Die steigende Zahl von DDoS-Angriffs-Tools und gewaltige Botnets ermöglichen es Cyber-Kriminellen, verheerende DDoS-Angriffe durchzuführen. Zu diesen Ergebnissen kommt der DDoS Threat Intelligence Report von A10 Networks.
Der aktuelle DDoS Threat Intelligence Report von A10 Networks zeigt, dass die Pandemie nicht nur weitreichende gesellschaftliche Folgen hatte, sondern auch immensen Einfluss auf die Bedrohungslage im digitalen Raum genommen hat. Insbesondere durch die stetig steigende Anzahl an DDoS-Angriffs-Tools und aufgrund der sich immer weiter ausbreitenden Botnets ist es Cyber-Kriminellen möglich, umfangreiche DDoS-Angriffe durchzuführen. Da zahlreiche Branchen, Dienstleister sowie das Bildungs- und Gesundheitswesen zu einer Verlagerung ihrer Tätigkeit in den digitalen Raum gezwungen wurden, standen Cyber-Kriminellen mehr Ziele als je zuvor zur Verfügung.
Eine weitere Erkenntnis des Reports ist der steigende Einfluss des neuen Mobilfunkstandards 5G auf die allgemeine Bedrohungslage. Durch die schnellere und bessere Vernetzung von intelligenten Geräten erhalten Cyber-Kriminelle immer neue Möglichkeiten für den Zusammenschluss von Botnets. Angriffe mit teils verheerenden Konsequenzen für Unternehmen drohen als Folge.
Botnets wirken als Katalysator für DDoS-Angriffe
Durch die konsequente Beobachtung von DDoS-Attacken, Angriffsmethoden und zugehörigen Malware-Aktivitäten hat A10 Networks im zweiten Halbjahr 2020 einen stetigen Anstieg der Häufigkeit, Intensität und Raffinesse dieser Bedrohungsform festgestellt. Im State of DDoS Weapons Report konnte A10 Networks einen Anstieg von über 12 Prozent bei der Anzahl potenzieller DDoS-Angriffs-Tools im Internet ausmachen.
In absoluten Zahlen handelt es sich um 12,5 Millionen entdeckte kompromittierte Endgeräte, die von Kriminellen für ihre Zwecke missbraucht werden können. Die Auswirkungen dieser Entwicklung können dramatisch sein.
So verzeichnete etwa Amazon im Juni 2020 einen DDoS-Angriff auf seine Public Cloud, der mit 2,3 Terabit pro Sekunde (Tbps) fast doppelt so groß war wie jeder zuvor aufgezeichnete Angriff. Kurz darauf enthüllte Google Details zu einem noch umfangreicheren DDoS-Angriff, der einen Spitzenwert von 2,5 Tbps erreichte.
Da die nicht klar identifizierbare Herkunft der Angriffe die Aufklärung der Hintergründe beinahe unmöglich macht, sind präventive Maßnahmen und eine umfassende Vorbereitung auf mögliche DDoS-Attacken essentiell. Nur so kann eine effektive Abwehrstrategie aufgebaut werden.
Erweiterung des Angriffsspektrums mit Malware auf anfälligen Endgeräten
Grundlage für diese enormen Kapazitäten der DDoS-Attacken sind oftmals Botnets, die sich aus kompromittierten Endgeräten speisen. Durch die stetige Weiterentwicklung von Methoden zur unbemerkten Übernahme von Computern, Servern, Routern, Kameras und einer Vielzahl anderer IoT-Geräte und den ausgeklügelten Einsatz von Malware sind gigantische Botnets entstanden.
Diese sind für das Portfolio von Hackern unentbehrliche Werkzeuge, um Schaden anzurichten. Hinsichtlich der Standorte dieser Botnet-Agenten konnte A10 Networks klare Schwerpunkte in Indien, Ägypten und China ausmachen, wo etwa drei Viertel der Kapazitäten dieser Werkzeuge zu finden sind.
Eine besondere Beobachtung von A10 Networks stellt zudem der sprunghafte Anstieg der Anzahl dieser Angriffstools im September 2020 in Indien dar. Hierbei wurden mehr als 130.000 IP-Adressen mit eindeutigem Verhalten identifiziert. Als Ursache hierzu wird der Mirai-Malware-Stamm vermutet.
Amplification greift mit Verstärkungsfaktor von über 30 an
Amplification, eine Technik, die die verbindungslose Natur des UDP-Protokolls ausnutzt, kann von Cyber-Kriminellen dazu genutzt werden, das Ausmaß von DDoS-Attacken enorm zu erweitern. Vereinfacht gesagt geben sich Angreifer dazu als das gewünschte Opfer aus, indem sie die Ziel-IP-Adresse fälschen. Unter dieser IP starten sie anschließend eine Vielzahl an Anfragen auf exponierte Server, die auch auf nicht authentifizierte IPs reagieren.
Durch Anwendungen und Protokolle auf diesen Servern, die eine Verstärkungsfunktion erfüllen, wird über die erfolgten Antworten eine Welle an Anfragen auf das eigentliche Ziel gestartet, die um ein Vielfaches größer ist als die ursprünglichen Anfragen. Amplification-Reflection-Angriffe, die Millionen von ungeschützten DNS-, NTP-, SSDP-, SNMP- und CLDAP-UDP-basierten Diensten ausnutzen können, haben zu rekordverdächtigen volumetrischen Angriffen geführt und machen mittlerweile den Großteil der DDoS-Angriffe aus.
Mit einem Verstärkungsfaktor von über 30 gilt SSDP als eine der stärksten DDoS-Angriffswerkzeuge. Der einfachste Schutz gegen solche Angriffe besteht darin, den aus dem Internet stammenden Port-1900-Verkehr zu blockieren, sofern es keinen speziellen Anwendungsfall für die SSDP-Nutzung im Internet gibt. Das Blockieren von SSDP-Verkehr von bestimmten geografischen Standorten, an denen eine hohe Botnet-Aktivität festgestellt wurde, kann ebenfalls einen wirksamen Schutz darstellen. (rhh)