Cyberkriminelle nutzen IoT-Devices für DDoS-Attacken IoT-Geräte und DDoS-Angriffe – eine gefährliche Symbiose

Autor / Redakteur: Heiko Frank / Peter Schmitz

Erst kürzlich hat ein neuer gewaltiger DDoS-Angriff alle bisher gekannten Dimensionen gesprengt. Der Angriff richtete sich gegen eine große europäische Bank und erzeugte mit 809 Millionen Paketen pro Sekunde (Mpps) eine immense Datenmenge, die auf das Ziel hereinbrach. Mit einer mehr als doppelt so großen Datenmenge wie bei früheren Angriffen stellt dieser somit einen neuen Rekord dar.

Firmen zum Thema

Immer häufiger wird die stetig steigende Zahl von IoT-Geräten durch Cyberkriminelle für DDoS-Attacken ausgenutzt.
Immer häufiger wird die stetig steigende Zahl von IoT-Geräten durch Cyberkriminelle für DDoS-Attacken ausgenutzt.
(Bild: gemeinfrei / Pixabay )

Angriffe wie dieser sind Grund genug, sich erneut mit den genauen Angriffstools- und -methoden von DDoS-Angriffen zu beschäftigen und auch die Herkunftsländer genauer zu betrachten, die für die Definition der aktuellen Bedrohungslandschaft ausschlaggebend sind. Weitreichende Informationen hierzu finden sich im aktuellen Threat Intelligence Report von A10 Networks, der auf etwa 10 Millionen individuellen Quell-IP-Adressen basiert. Unternehmen können mithilfe dieser Einblicke in die globale Bedrohungssituation ihre Maßnahmen zum Schutz gegen DDoS-Attacken effektiver planen.

DDoS-Botnet-Agenten stammen aus China, Vietnam und Taiwan

Immer häufiger wird die stetig steigende Zahl von IoT-Geräten durch Cyberkriminelle für DDoS-Attacken ausgenutzt. Geräte wie Smart Watches, Router und Kameras werden mit Malware infiziert und unter die Kontrolle von Cyberkriminellen gebracht, die diese schließlich für schädliche DDoS-Angriffe verwenden. DDoS-Botnet-Agenten werden zusätzlich von Cyberkriminellen dazu eingesetzt, die Malware, die sie bereits in IoT-Geräte eingeschleust haben, auf andere Computer, Server und weitere IoT-Geräte zu verbreiten. In der Folge kontrolliert der Cyberkriminelle zusätzliche Endgeräte mithilfe derer weitere Angriffe initiiert werden können.

Die Sicherheitsforscher hinter dem Threat Intelligence Report haben ihr Wissen über die bei diesen Angriffen wiederholt genutzten Hosts gesammelt und nach jenen gescannt, die Merkmale dazu aufweisen, dass sie mit entsprechender Malware infiziert sind. In ihrem Report listen sie die drei führenden Länder auf, die DDoS-Botnet-Agenten hosten:

  • China (15 Prozent)
  • Vietnam (12 Prozent)
  • Taiwan (9 Prozent)

Aus den oben genannten Ländern waren die wichtigsten ASNs, die DDoS-Botnet-Agenten betreiben:

  • Chungwha Telecoms (Taiwan)
  • China Telecom
  • China Unicom CN
  • VNPT Corp (Vietnam)

Verstärkte Verbreitung von Malware

IoT-Geräte sind oftmals leichte Beute für Cyberkriminelle, da viele Hersteller auf die notwendigen integrierten Sicherheitsprotokolle und Maßnahmen zur Abwehr potentieller Bedrohungen verzichten. Dieser Umstand bietet Cyberkriminellen die Möglichkeit, solche Geräte durch eine Sammlung von RCE-Exploits (Remote Code Execution) und eine ständig wachsende Liste von Standardbenutzernamen und -kennwörtern von Geräteherstellern ins Visier zu nehmen. Dadurch können sie die Dimension und Stärke von DDoS-Angriffen ständig erhöhen. Das A10 Weapons Intelligence System erkennt stündlich Hunderttausende von Ereignissen im Internet und bietet Einblicke in die wichtigsten IoT-Sicherheitslücken und die Angriffsmöglichkeiten.

Eines der wichtigsten Ergebnisse des Threat Intelligence Reports ist die Tatsache, dass Tausende von Malware-Binärdateien im Zuge der verschiedenen IoT-basierten Angriffe und Sicherheitslücken in die unterschiedlichsten Systeme eingeschleust wurden. Zu den Malware-Familien, die am häufigsten verwendet wurden, gehörten die folgenden: Gafgyt-Malware, Dark Nexus und die Mirai-Malware. Die zugehörigen binären Namen dieser Malware waren arm7, Cloud.x86 bzw. mmmmh.x86.

Bei einer genaueren Untersuchung der Merkmale und des Verhaltens der am häufigsten auftretenden Binärdatei arm7, zeigten die Ergebnisse, dass deren Angriffstypen in verschiedenen Formen auftraten. Unter die Angriffstypen fielen neben anderen TCP-Floods, HTTP-Floods und UDP-Floods. Um solche Angriffe einzudämmen, muss bei Verantwortlichen ein solides Verständnis der zugrundliegenden DDoS-Angriffstools durch ein tiefgreifendes Fachwissen und Reverse Engineering der Angriffs-Toolkits etabliert werden.

Effektive Reflected Amplification-DDoS-Angriffe

Spricht man von extrem großen DDoS-Angriffen, sind meist Reflected Amplification-Attacken gemeint. Diese außergewöhnlich effektiven Angriffe funktionieren, indem der Angreifer beispielsweise eine geringe Anzahl von Anfragen mit der manipulierten IP-Adresse eines Opfers an mit dem Internet vernetzte Server sendet. In der Folge antworten die Server mit einer Vielzahl, im Vergleich zu den Anfragen quantitativ wesentlich verstärkten Menge, an Rückmeldungen an das unwissentliche Opfer. Hierbei sind spezielle Server Dreh- und Angelpunkt, die auf nicht authentifizierte Anfragen antworten und Anwendungen oder Protokolle mit Verstärkungspotential ausführen.

Die häufigsten Arten solcher Angriffe können Millionen von offenen DNS-, NTP-, SSDP-, SNMP- und CLDAP-UDP-basierten Services nutzen. Diese Angriffe haben zu rekordverdächtigen volumetrischen Angriffen geführt, wie z. B. der jüngste CLDAP-basierte AWS-Angriff im 1. Quartal 2020, der in der Spitze 2,3 Tbit/s erreichte und 70 Prozent höher war als die vorherige Rekordattacke: der 1,35 Tbit/s Memcached-basierte GitHub-Angriff aus dem Jahr 2018. Die einzige Möglichkeit, sich gegen diese Angriffe zu schützen, besteht darin, proaktiv den Überblick über DDoS-Angriffstools und potenzielle Sicherheitslücken zu behalten.

Umfassender Schutz notwendig

Die Ergebnisse des Threat Intelligence Report zeigen die Notwendigkeit von umfassenden Schutzkonzepten. Während die Häufigkeit, Intensität und Komplexität von DDoS-Angriffen stetig zunehmen, sollten Unternehmen einen proaktiven Ansatz zum Schutz vor DDoS-Angriffen verfolgen. IT-Sicherheitsteams können beispielsweise Black Lists mit IP-Adressen erstellen, die im Verdacht stehen, DDoS-Botnets und potenziell gefährdete Server zu hosten. In Kombination mit Echtzeit-Bedrohungserkennung und automatisierter Signatur-Extraktion unterstützt diese Strategie Unternehmen dabei, auch die größten Multi-Vektor-DDoS-Angriffe abzuwehren. Es ist an der Zeit, dass Unternehmen die neuen gewaltigen Dimensionen und die Komplexität der heutigen DDoS-Angriffe stets im Blick haben – insbesondere da neue Technologien wie IoT und 5G stetig an Dynamik gewinnen und die Gefahrenlage weiter erhöhen.

Über den Autor: Heiko Frank ist Principal System Engineer bei A10 Networks.

(ID:47015875)