Aktuelles, Branche - geschrieben von cp am Donnerstag, April 25, 2019 17:28 - noch keine Kommentare
Imperva deckt auf: DDoS-Angriff mit Ping-Befehl
Wenn Nutzer unwissentlich 70 Millionen Anfragen auf Webseiten auslösen
[datensicherheit.de, 24.04.2019] Bald wöchentlich hört man von Cyberangriffen, die die Privatsphäre von Nutzern offenlegen oder ganze Webseiten lahmlegen. So geschehen vor kurzem in China. Dort schlossen sich die mobilen Nutzer des meist genutzten Instant-Messaging-Dienstes Tencent QQ unwissentlich zusammen, um eine Webseite innerhalb weniger Stunden mit 70 Millionen Anfragen zu überfluten.
DDoS-Angriff über eine populäres HTML5-Feature
Möglich machte dies ein DDoS-Angriff. Er benutzte dabei ein populäres HTML5-Feature, den <a>-Tag-Ping, um die User dazu zu bringen, sich unbeabsichtigt an dem großen DDoS-Angriff zu beteiligen. Der Angriff beruhte dabei nicht auf einer Schwachstelle im Sicherheitssystem der Webseite; in diesem Fall wandelten die Angreifer eine legitime Funktion in ein Angriffswerkzeug um. Dieser Fall zeigt die Verwundbarkeit von Webseiten – der DDoS-Angriff hätte auch mit anderen Webbrowsern durchgeführt werden können und kann das auch zukünftig, wenn Web-Architekten und IT-Administratoren ihre Sicherheitsmassnahmen nicht entsprechend anpassen.
Die Sicherheitsanalysten von Imperva, die den Angriff untersucht haben, sind davon überzeugt, dass es nicht bei diesem Einzelfall bleibt, sondern diese Art der DDoS-Angriffe weiter zunehmen werden. Imperva erforscht daher unaufhörlich in ihrem Content Delivery Network (CDN) DDoS-Angriffe jeder Art, um Gegenmaßnahmen zu entwickeln und den Angreifern immer einen Schritt voraus zu sein.
Dem Ping-Befehl auf der Spur
Ping ist ein Befehl in HTML5. Er listet URLs, die benachrichtigt werden sollen, wenn der User einem Hyperlink folgt. Klickt er auf diesen, wird eine POST-Anfrage mit dem Text „ping“ an die im Attribut angegebenen URLs gesendet. Die Anfrage enthält auch die Überschriften „ping-from“, „ping-to“ und einen Inhaltstyp „text/ping“. Das Attribut ermöglicht Website-Besitzern, die Klicks auf einen Link zu verfolgen.
Benachrichtigungsdienste mit Ping sind nicht neu. Die Pingback-Funktion im beliebten WordPress CMS benachrichtigt einen Website-Besitzer, wenn ein Link angeklickt wird. Angreifer haben Pingbacks verwendet, um DDoS-Angriffe durchzuführen, indem sie Millionen von Anfragen an anfällige WordPress-Instanzen geschickt haben, um diese zu zwingen, die Pingback-Anfragen auf die Ziel-Website umzuleiten.
Betroffen von diesem aktuellen DDoS-Angriff waren rund 4.000 Benutzer-IPs, die meisten aus China. Sie erzeugten während des vierstündigen Angriffs einen Spitzenwert von 7.500 Anfragen pro Sekunde (RPS) und insgesamt 70 Millionen Anfragen. Die Sicherheitsanalysten von Imperva gehen davon aus, dass der Mastermind dabei die Benutzer der beliebten chinesischen Chat-App WeChat über Social Engineering und Malvertising (bösartige Werbung) dazu brachte, den QQBrowser zu öffnen. Ihn haben die meisten Chinesen als Standard-Browser für ihr Smartphone installiert.
So gelang der DDoS-Angriff mit Ping
- Der Angreifer injizierte eine bösartige Werbeanzeige, die eine verdächtige Website lädt.
- Der Link zur legitimen Website mit der bösartigen Werbung wird in einem hochfrequentierten WeChat-Gruppenchat gepostet.
- Die Nutzer der Chatgruppe besuchen die Website mit der bösartigen Werbung.
- Jetzt wird der JavaScript-Code ausgeführt und erzeugt einen Link mit dem Attribut „ping“, auf welchen der Benutzer klickt.
- Daraufhin wird eine HTTP-Ping-Anfrage erzeugt und vom Browser des legitimen Benutzers an die Zieldomäne gesendet.
Die Folge für zukünftige DDos-Angriffe auf Google Chrome oder Apple Safari
Dieses Mal hat der DDos-Angriff „nur“ WeChat-Anwender getroffen. Ping-Angriffe lassen sich aber auch auf andere Webbrowser ausweiten. Grund: Stand heute lassen sich in den neueren Versionen von Google Chrome, Apples Safari und Opera die Hyperlink-Auditierung, bekannt als Ping, nicht mehr vom User deaktivieren.
Für Imperva ein klarer Aufruf an Web-Architekten und Sicherheitsprofis, von vornherein alle Web-Anfragen, die „Ping-To“ und/oder „Ping-From“ HTTP-Header auf den Edge-Geräten (Firewall, WAF, etc.) enthalten, zu blockieren. Das verhindert, dass die Ping-Anfragen jemals auf den Server gelangen. Imperva hat DDoS Protection zum Schutze der Kunden-Websites dahingehend bereits aktualisiert.
Weitere Informationen zum Thema:
datensicherheit.de, 30.0.1.2019
DDoS-as-a-Service: Webstresser-User im Visier der Ermittlungsbehörden
datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken
datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste
datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt
datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017
datensicherheit.de, 27.03.2018
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht
datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt
datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren