DDoS-Attacken via Botnets

Botnet SchildDistributed-Denial-of-Services (DDoS)-Angriffe haben sich in den letzten Jahren zu einem lukrativen Geschäftsmodell entwickelt. Werden essentielle Websites und Services außer Gefecht gesetzt, steigt die Bereitschaft bei den Unternehmen Lösegeld zu bezahlen und so weitere Ausfälle zu vermeiden. 

Mit der Zunahme internetfähiger Geräte hat sich die Bedrohungslage nun weiter verschärft: Mit Hilfe von sogenannten Botnets erreichen DDoS-Angriffe eine nie dagewesene Größe und Reichweite.

Anzeige

Botnets bezeichnet eine Gruppe infiltrierter Systeme und Geräte, die für unterschiedliche Angriffe auf Webanwendungen und DDoS-Attacken genutzt werden können. Bekanntestes Beispiel einer solchen Attacke war im letzten Jahr das Botnet Mirai (japanisch „Zukunft). Die Linux-Schadsoftware profitiert von der wachsenden Anzahl an Geräten, die mit dem Internet verbunden sind (z. B. Kameras, Router, digitale Videorekorder oder Fernseher). Im Fall von Mirai scannt die Software zunächst nach Sicherheitslücken in IoT-Geräten mit dem werkseitig aufgespielten Netzwerkprotokoll Telnet und verschafft sich dann über Standardpasswörter gewaltsam Zugang. Einmal gehackt, werden die infiltrierten IoT-Geräte für den Angriff auf ein einzelnes Ziel mobilisiert, was zu einer Überbelastung und damit zur Abschaltung des angegriffenen Systems führt. 

2016 umfassten das ursprüngliche Mirai-Botnet rund eine halbe Million IoT-Geräte weltweit. Zusätzlich verschärft wurde die Lage durch die Offenlegung des Mirai-Source Codes in einem Online-Forum, inklusive Anleitungen zum Setup und Konfiguration von Botnets. Was folgte waren zahlreiche Angriffe gegen Webdienste, darunter Twitter, Spotify und Amazon. Auch bei einem Hackerangriff auf DSL-Router im November 2016 wurde ein auf Mirai basierter Computerwurm eingesetzt, der knapp 900.000 deutsche Telekom-Kunden aus dem Netz warf.

Unsichere Zukunft?

Erfahrungsgemäß zieht die Offenlegung eines bekannten Schadsoftware-Codes eine ganze Reihe an Trittbrettfahrern nach sich. Auch 2017 wird eine Vielzahl neuer Varianten erwartet, die den Mirai-Source-Code für DDoS- und anderweitige Attacken nutzen. Der frei verfügbare Code spart Cyberkriminellen Zeit und Aufwand und ermöglicht es selbst Amateuren, sich an Hacker-Angriffen zu versuchen. 

Allerdings sind solche Malware-Varianten nicht zwangsläufig erfolgreich. Und nicht immer führen sie zu einer allgemein verschärften Bedrohungslage. Zwar sind die elementaren Bausteine von Mirai nun öffentlich zugänglich, der richtige Umgang stellt jedoch weniger erfahrene Akteure vor technische Herausforderungen. Wie sehr sich die Malware in den nächsten Monaten verbreitet, hängt also auch von dem Angebot an sogenannten DDoS-as-a-Service Lösungen ab, die auf dem illegalen Markt angeboten werden. 

Verfügen Hacker jedoch über die entsprechenden Ressourcen und Fähigkeiten, ist mit einer Handvoll von Malware-Varianten rechnen, die sich durchsetzen und erfolgreiche DDoS-Angriffe ausführen werden. Ein Beispiel für eine solche Hybrid-Malware ist der GozNym Bank-Trojaner, der sich aus dem Source Code der Schadsoftwaren Gozi und Nymaim zusammensetzt und für den Diebstahl von bislang 4 Millionen US-Dollar verantwortlich ist. 

IOT Botnet Advert

Wie stark sich Mirai verbreitet hängt auch von dem Angebot an sogenannten DDoS-as-a-Service Lösungen ab, die auf dem illegalen Markt angeboten werden. (Quelle: Digital Shadows)
 

Viele Wege führen zu DDoS

Wie immer die Zukunft für Mirai auch aussehen mag: Unternehmen sollten sich bewusst sein, dass die Malware nur eine von vielen Methoden ist, um DDoS-Angriffe zu starten. Der Einsatz von Botnets, um IoT-Geräte zu infiltrieren, ist nicht neu. Anstatt sich auf einzelne Bedrohungen zu fixieren, sollten Unternehmen daher die Sicherheit ihrer IoT-Geräte und Internet-Dienste generell stärken und grundlegende Maßnahmen zur Steigerung ihrer Cybersecurity ergreifen. Insgesamt lassen sich zehn Empfehlungen festmachen:

Erstellen eines individuellen Bedrohungsmodells 

Informationen zu aktuellen Bedrohungen, den Akteuren und ihren Taktiken, Techniken und Prozeduren (TTPs) helfen, das Risiko von Angriffen besser einzuschätzen. Dabei sollten auch relevante und kontextbezogene Erkenntnisse wie Branche, Unternehmensgröße und geografischer Lage berücksichtigt werden. So lassen sich Sicherheitsmaßnahmen priorisieren und individuell ausrichten. 

Identifizieren von kritischen Bereichen

Kennen Unternehmen ihre Achilles-Ferse, können sie diese mit entsprechenden Vorkehrungen und Sicherheitslösungen schützen, z. B. DDoS-Abwehrdienste und Lösung zur DDoS-Minimierung. Investitionen in diese Tools lohnen sich, wenn man diese den finanziellen Schaden gegenüberstellt, den ein Ausfall eines Online-Shops oder Web-Dienstes verursacht. 

Bei der eignen IT beginnen

Opfer von DDoS sind nicht nur die über Botnet angegriffenen Systeme, sondern auch die Systeme, die gehackt und für Angriffe genutzt werden. Mehr Sicherheit in IoT-Geräten sowie ein ausgereiftes Passwort-Management sind daher essentiell. Das Sperren von Fernzugriffs-Funktionen bei Services und Geräten sollte in die Sicherheitsüberlegungen ebenso hineinspielen, wie der Verzicht von externen, standardisierten Lösungen für administrative Aufgaben. Statt Telnet, FTP und HTTP lassen sich beispielsweise SSH, SFTP und HTTPS.asdf nutzen. 

Angriffe unterscheiden

Neben DDoS über Botnets, können Angriffe auch auf Applikations-Ebene (DNS-Reflection-DoS) erfolgen. Dabei nutzen die Angreifer Sicherheitslücken in Domain Name Systems aus, um extrem große Datenströme auf den Internetanschluss des Opfers zu lenken. Bei NTP Reflection-Attacken zielen auf NTP Server (Network Time Protocol), über die sich normalerweise die System-Zeit verlässlich abgleichen lässt. Da hier vorwiegend Default-Installationen vorliegen, ist die Anfälligkeit besonders hoch. Admins sollten daher aktiv werden und kontinuierlich sicherstellen, dass eigene Server nicht für DDoS-Angriffe missbraucht werden.

Handbuch für den Ernstfall erstellen

Hat eine DDoS-Attacke kritische Webanwendungen einmal lahmgelegt, ist es meist zu spät, um lange über Vorgehensweisen zu beratschlagen. Ein entsprechendes Handbuch mit Lösungs- und Verhaltensempfehlungen zu erstellen und dieses gemeinsam mit wichtigen Stakeholdern auf seine Durchführbarkeit hin zu überprüfen, kann im Ernstfall viel Zeit sparen und den Schaden minimieren. 

Szenarien durchspielen 

Auf der Grundlage dieses Handbuchs lassen sich DDoS-Szenarien durchspielen und interne Prozesse und Richtlinien zur Schadensminderung, Wiederherstellung der Daten und Krisenkommunikation festlegen. 

Testen von DDoS-Schutzprogrammen

Auch bei Sicherheitslösungen unterscheidet sich die Theorie oft von der Praxis. Um die Wirksamkeit von DDoS-Abwehrdienste zu überprüfen, sollten Unternehmen Servicedienstleister auf die Probe stellen und detaillierten Einblick in die jeweiligen Schutzvorkehrungen verlangen. 

Volumen ist nicht immer entscheidend

Zwar nutzt eine Mehrheit von DDoS-Angriffen eine hohes Datenvolumen, um Systeme zu überlasten und damit außer Gefecht zu setzen. Angriffe auf Applikations-Ebene sind aber nicht immer mit großen Datenmengen verbunden. Gegenmaßnahmen sollten daher auch für “low and slow”-Angriffen abrufbar sein. 

Cyber Situational Awareness 

Viele Sicherheitssysteme schlagen erst dann Alarm, wenn eine Attacke unmittelbar bevorsteht oder bereits erfolgt ist. Sinnvoller ist es, wachsam zu bleiben, aktuelle Bedrohungen im Auge zu behalten und die Vorboten eines Angriffs zu erkennen. Dazu ist auch eine enge Zusammenarbeit mit dem jeweiligen Servicedienstleistern von Sicherheitstools nötig. 

Externe Services kennen

So wie Unternehmen ihre eigene IT kennen müssen, sollten sie auch die Infrastruktur und Konfiguration von externen Diensten kennen. Das gewährleistet die erforderliche Redundanz und Ausfallsicherheit. 

Angesichts der stetig wachsenden Anzahl vernetzter Geräte, stellen Botnets und damit durchgeführte DDoS-Attacken eine der größten Sicherheitsbedrohungen – für das Internet of Things wie auch für die Smart Factory, Smart Home oder Smart City dar. Dabei sind Botnets in der Lage nicht nur IoT-Geräte, sondern auch Webserver, wie für Content Management Systeme, zu infiltrieren. Angriffsziel könnten in Zukunft nicht mehr nur einzelne Unternehmen sein, sondern auch Social Media-Plattformen oder Netzwerke von Spielekonsolen wie Xbox oder PlayStation. Hier werden die Anwender direkt zu Opfern, von denen Lösegeld gefordert wird. Mit der Weiterentwicklung von Mirai sowie neuer ausgereiften Malware-Varianten, rücken diese Angriffsszenarien in eine nicht allzu ferne Zukunft.

Michael Marriott

 

 

Autor: Michael Marriott, Research Analyst bei Digital Shadows
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.