Von unserem Gastautor Anurag Kahol, CTO, Bitglass

[datensicherheit.de, 18.02.2019] Traditionell richtet sich das Augenmerk bei IT-Sicherheitsmaßnahmen vornehmlich darauf, Risiken durch externe Bedrohungen zu minimieren und Angriffsvektoren zu schließen. Mit neuen Technologien sowie den erhöhten Anforderungen an die Datensicherheit rücken allerdings auch Bedrohungen, die innerhalb der Organisation entstehen, in den Fokus. Die Einführung von Cloudanwendungen und die gestiegene Nutzung von Privatgeräten für geschäftliche Aufgaben haben die Prävalenz dieser Bedrohungen deutlich erhöht, da sensible Informationen viel leichter zugänglich sind.

Drei Kategorien von Insider-Bedrohungen

Nicht alle unternehmensinternen Sicherheitsrisiken sind absichtlich durch Mitarbeiter verursacht. Doch unabhängig davon, ist das Ergebnis stets dasselbe: Der Verlust vertraulicher Daten. Allgemein können Insider-Bedrohungen in drei Kategorien unterteilt werden:

1. Akteure mit bösen Absichten
   Ob Rache am Arbeitgeber, Wirtschaftsspionage oder persönliche Bereicherung: Akteure mit derartigen Motiven gehen mit dem Vorsatz, Unternehmensinformationen zu stehlen, ans Werk. Zwar ist diese Gruppe eher eine Ausnahme, jedoch ist der Schaden, die sie anrichten kann, erheblich. Da sie über legitime Zugangsdaten verfügen, können sie jederzeit auf sensibelste Informationen zugreifen, ohne einen Sicherheitsalarm auszulösen.
2. Unachtsamkeit von Mitarbeitern
   Während verärgerte Mitarbeiter zweifelsohne eine Sicherheitsbedrohung darstellen, können loyale, jedoch nachlässige Mitarbeiter in dieser Hinsicht ebenso problematisch sein. Sicherheitsrisiken können beispielsweise unbeabsichtigt entstehen, wenn Mitarbeiter unterwegs ungesichertes öffentliches WLAN nutzen, Anmeldeinformationen verlieren, auf verdächtige E-Mail-Links klicken, ihr Mobilgerät unbeaufsichtigt lassen oder versehentlich sensible Informationen mit Unbefugten teilen. Jedes dieser Missgeschicke eröffnet Kriminellen ein Einfalltor, das unter gewöhnlichen Betriebsbedingungen nicht bestanden hätte.
3. Externe Dienstleister
   Bei der Planung und Anpassung von Sicherheitsstrategien werden Dritte, beispielsweise Dienstleister, von Organisationen häufig übersehen. Viele Mitarbeiter von Drittanbietern, wie zum Beispiel Agenturen, agieren als voll integrierte Mitglieder einer Organisation. Sie erhalten oft legitime IT-Anmeldeinformationen, um gemeinsam Dokumente über Cloud-Laufwerke auszutauschen. Auch sie können daher, ebenso wie interne Mitarbeiter, über detaillierte Kenntnisse der internen Prozesse und Kontrollmechanismen verfügen.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Schutzmaßnahmen gegen interne Bedrohungen und Account-Missbrauch

Neben den typischen Insider-Bedrohungen gibt es auch Attacken, die zwar von externen Angreifern durchgeführt werden, sich allerdings das Vertrauen zu Mitarbeitern der Organisation zu Nutze machen. Kapern Hacker einen Account, nachdem sie legitime Anmeldedaten – beispielsweise durch Social Engineering oder Spoofing – erbeutet haben, kann es sehr lange dauern, bis dies der IT-Verwaltung auffällt, da anormales Verhalten schwer zu erkennen ist. Währenddessen können die Unbefugten sich jedoch große Mengen an sensiblen, internen Daten aneignen. Ein hohes Maß an Misstrauen gegenüber Mitarbeitern ist im Sinne der Datensicherheit bei Cloud-Apps daher durchaus angemessen. Um diese effektiv schützen zu können, sollten jedoch weitere Maßnahmen ergriffen werden:

• Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM): Alphanumerische Passwörter bieten keine ausreichende Account-Sicherheit. Egal ob ein verärgerter Mitarbeiter oder ein böswilliger Akteur, der sich unerlaubt Zugriff verschafft hat: Um die „guten“ von den „bösen“ Nutzern unterscheiden zu können, muss eine weitere Sicherheitsebene durch Identitäts- und Zugriffsmanagement eingezogen werden. Dies geschieht durch Multi-Faktor-Authentifizierung (MFA) und kontextbezogene Zugriffskontrolle, die etwa Abteilungszugehörigkeit und den geografischen Standort berücksichtigt. Zudem verhindert eine Session-Verwaltung, die inaktive Benutzer automatisch aus Unternehmensanwendungen ausloggt, unbefugten Zugriff und den unautorisierten Gebrauch des Accounts.
• Data Loss Prevention (DLP): Der Einsatz von Cloud DLP ermöglicht es den Mitarbeitern, sicher zu arbeiten – wo immer sie wollen, wann immer sie wollen und von den Geräten ihrer Wahl. Ein typisches Cloud-DLP-Angebot sollte Wasserzeichen zur Nachverfolgung, Verschlüsselung auf Datei- und Feldebene, Redaktions- und andere Funktionen beinhalten, die sicherstellen, dass sensible Daten nie in die falschen Hände geraten.
• Automatisierung: In der heutigen datengetriebenen Geschäftswelt genügt es nicht mehr, potenzielle Cloud-Sicherheitsbedrohungen manuell zu identifizieren und zu analysieren. Automatisierungslösungen nutzen maschinelles Lernen, um bösartiges oder verdächtiges Verhalten zu erkennen: Beispielsweise Mitarbeiter, die auf Dokumente zugreifen, die für ihre Arbeit nicht relevant sind, oder Mitarbeiter, die plötzlich untypisch große Mengen an vertraulichen Informationen herunterladen.
• Sicherheitstraining: Während die Technologie einen wichtigen Beitrag zur Verbesserung der Datensicherheit leistet, kann auch eine so einfache Maßnahme wie die Schulung der Mitarbeiter eine Schlüsselrolle spielen. Regelmäßige Updates und Auffrischungskurse sorgen dafür, dass der Datenschutz im Vordergrund steht und die Mitarbeiter über die neuesten Best Practices auf dem Laufenden bleiben. Durch die Diskussion über die Bedeutung der Verteidigung von Daten und die Folgen einer Nichtbeachtung können Risiken wie Diebstahl und Datenverlust reduziert werden.

Mit dieser robusten Sicherheitsstrategie können Unternehmen Cloud-Technologien vorteilhaft für ihre Business-Agilität nutzen und die damit verbundenen Schwachstellen ausmerzen. Auf diese Weise kann das Unternehmen rund um die Uhr sowohl die Datensicherheit als auch eine optimale Effizienz der Betriebsabläufe gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

[datensicherheit.de, 20.09.2018] Legitime Fernwartungssoftware (Remote Administration Tool, RAT) stellt eine ernste Gefahr für industrielle Netzwerke dar. Laut einer aktuellen Untersuchung von Kaspersky Lab [1] sind RAT weltweit auf 31,6 Prozent der Rechner industrieller Kontrollsysteme (ICS) installiert – in Deutschland (35,1 Prozent), der Schweiz (33,2 Prozent) und Österreich (32,7 Prozent) sogar noch häufiger. Das Problem: Dass die Fernwartungssoftware im eigenen Netzwerk aktiv ist, wird von den Sicherheitsteams der betroffenen Organisationen oft erst bemerkt, wenn Cyberkriminelle diese zur Installation von Malware, Ransomware oder Kryptominern missbrauchen oder sich damit Zugriff auf Informationen beziehungsweise finanzielle Ressourcen des betroffenen Unternehmens verschaffen.

RAT sind legitime Softwaretools, mit denen Dritte aus der Ferne Zugriff auf einen Rechner erlangen können. Sie bieten Mitarbeitern einen ressourcensparenden Zugang ins Unternehmensnetzwerk, können allerdings auch von Cyberkriminellen für den unerlaubten Zugriff auf damit ausgestattete Rechner missbraucht werden. RAT werden beispielsweise in SCADA-Systemen oder HMI (Human Machine Interfaces) von Arbeitsplatzrechnern zur Steuerung industrieller Prozesse eingesetzt. Weltweit wird jede fünfte Fernwartungssoftware (18,6 Prozent) automatisch zusammen mit der ICS-Software installiert. Dies führt zu einer mangelnden Sichtbarkeit für Systemadministratoren und macht RAT damit umso attraktiver für Angreifer.

Angriffsvektoren und mögliche Konsequenzen

Laut der Kaspersky-Untersuchung nutzen Angreifer RAT für

• unautorisierten Zugang zum Netz des angegriffenen Unternehmens,
• die Infektion des Netzwerks mit Malware zur Spionage und Sabotage,
• die Erpressung von Lösegeld durch Infektionen mit Ransomware,
• den direkten Zugriff auf finanzielle Ressourcen der angegriffenen Organisation über das infizierte Unternehmensnetz [2].

Die größte Gefahr durch RAT besteht darin, dass erweiterte Systemrechte erlangt werden können. Dies kann in der unbegrenzten Kontrolle über ein Industrieunternehmen resultieren und damit zu massiven finanziellen Verlusten bis hin zu physischen Schäden führen. Bei den Angriffen handelt es sich häufig um standardmäßige Brute-Force-Attacken, bei denen das Passwort durch Ausprobieren sämtlicher Zeichenkombinationen ermittelt wird. Neben dieser Methode könnten Angreifer jedoch auch Schwachstellen in der RAT-Software ausnutzen.

„Die Anzahl industrieller Kontrollsysteme mit RATs ist besorgniserregend“, konstatiert Kirill Kruglov, Senior Security Researcher im Industrial Control Systems Cyber Emergency Response Team bei Kaspersky Lab (Kaspersky Lab ICS CERT). „Viele Unternehmen ahnen nicht einmal, wie hoch das damit verbundene Risiko ist. So konnten wir vor kurzem Angriffe bei einem Automobilhersteller feststellen, der auf einem seiner Rechner RAT-Software installiert hatte. Auf dem Rechner wurde regelmäßig über Wochen hinweg versucht, verschiedene Typen von Malware zu installieren. Unsere Sicherheitslösungen blockierten mindestens zwei solcher Versuche pro Woche. Wäre das Unternehmen nicht durch unsere Sicherheitssoftware geschützt gewesen, hätte dies unangenehme Folgen nach sich gezogen. Das heißt jedoch nicht, dass Unternehmen nun sofort jedes RAT aus ihrem Netzwerk verbannen sollten. Denn letztendlich handelt es sich um nützliche Anwendungen, die Zeit und Geld sparen. Jedoch sollte deren Einsatz im Unternehmensnetz nur mit der entsprechenden Vorsicht erfolgen – speziell in industriellen Kontrollnetzwerken, die oftmals Teil der kritischen Infrastruktur sind.“

Empfehlungen des Kaspersky Lab ICS CERT

• Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RAT, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
• RAT, die zusammen mit ICS-Software installiert wurden, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
• Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert werden. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum gewährt werden.

[1] https://ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics/
[2] https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/

Weitere Informationen zum Thema:

Kaspersky Lab ICS CERT
„Threats posed by using RATs in ICS”

datensicherheit.de, 16.08.2018
Studie zu Reaktionsmaßnahmen auf Attacken gegen industrielle Kontrollsysteme

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 21.02.2018
Die fünf schlimmsten Cyberangriffe auf ICS-Systeme

Ein Gastbeitrag des Internet-Dienstleisters und Cloud-Anbieters OVH

[datensicherheit.de, 02.05.2018] DDoS-Angriffe haben 2016 mehrmals Schlagzeilen gemacht. Man denke etwa an die Rekord-Attacke auf einen unserer Kunden im September 2016 oder auch an den Angriff auf den Blog des investigativen Journalisten Brian Krebs. 2017 war in den Medien seltener von DDoS-Angriffen die Rede. Das bedeutet aber nicht, dass es keine gegeben hätte. Ganz im Gegenteil zeigen unsere Statistiken zum Jahr 2017, dass Distributed-Denial-of-Service-Angriffe nach wie vor eine der größten Sorgen für alle Internet-Akteure sind, seien es Cloud-Anbieter wie OVH oder Internetanbieter (engl. Internet Service Provider, ISP). Die Angriffstechniken werden immer ausgereifter, und die über dem Internet of Things (IoT) schwebende Bedrohung konnte bisher nicht abgewendet werden. Ganz im Gegenteil.

Informationen von Clément Sciascia, dem Lead Tech des Projekts VAC (eine von OVH entwickelte Kombination verschiedener Technologien zur Abwehr von DDoS-Angriffen).

Gestiegenes Angriffsvolumen und zeitliche Verteilung

Ein paar allgemeine Informationen vorab: 2017 hat das VAC von OVH im Schnitt rund 1.800 DDoS-Angriffe pro Tag registriert, das sind etwa 50.000 pro Monat. Der ruhigste Tag war der 16. März 2017 mit „nur“ 981 Angriffen. Der ereignisreichste Tag des vergangenen Jahres war dagegen der 04. Oktober 2017 mit 7.415 Angriffen. Das ist übrigens der Jahrestag der Unabhängigkeitserklärung von Belgien (04. Oktober 1830), aber wir vermuten da erst einmal keinen Zusammenhang.

In Abbildung 1 ist zu sehen, dass die allgemeine Tendenz – bezogen auf die Zahl der registrierten Angriffe – steigend ist (R2 = 0,05613). Hierfür können verschiedene Erklärungen angeführt werden. Einerseits darf man nicht unterschätzen, dass unsere Systeme mit der Zeit immer ausgereifter werden und die Angriffe besser erkennen (das ist die gute Nachricht). Andererseits ist aber auch klar, dass die Zahl der Angriffe immer mehr zunimmt (das ist die weniger gute).

Wenn man sich Abbildung 1 einmal genauer anschaut, ist außerdem zu erkennen, dass es in manchen Monaten mehr Angriffe gab als in anderen. Das ist zunächst einmal eine interessante Tatsache, aber es ist noch zu früh, hieraus irgendwelche Schlussfolgerungen zu ziehen.

Bild: OVH

Abbildung 1: Zahl der vom VAC von OVH im Jahr 2017 erkannten und abgewehrten Angriffe nach Monaten.

Bild: OVH

Abbildung 2: Vorkommen von Angriffen nach Wochentag und Uhrzeit (UTC).

Bei einem genaueren Blick auf die Verteilung der Angriffe nach Wochentag und Uhrzeit (Abbildung 2) wird deutlich, dass die meisten Attacken gegen Abend stattfinden (Weltzeit), und zwar größtenteils zwischen 19 und 21 Uhr UTC.

Diese sehr ungleichmäßige Verteilung der Angriffe stellt eine besondere Herausforderung für das VAC Team dar, weil eine regelrechte Angriffswelle in einem sehr kurzen Zeitfenster abgewehrt werden muss. Und das gilt umso mehr, als der frühe Abend auch der kritischste Zeitraum für die meisten Spiele- und E-Commerce-Plattformen ist, die zu dieser Tageszeit die meisten Besucher haben. Zu dieser Zeit wird die Bandbreite also am meisten in Anspruch genommen, und zwar sowohl vom legitimen Traffic als auch vom durch die Angriffe generierten unerwünschten Traffic, der dann vom VAC erkannt und abgewehrt werden muss (Mitigation). Schon die geringste Überlastung hätte erhebliche Konsequenzen für die Dienstqualität aller Kunden.

2017 waren etwa 60.000 verschiedene IP-Adressen bei OVH das Ziel wenigstens eines DDoS-Angriffs.

Bild: OVH

Abbildung 3: Verschiedene IP-Adressen, die im Laufe des Jahres 2017 mindestens einmal Ziel eines DDoS-Angriffs waren.

Abbildung 3 zeigt für jeden Monat des Jahres die Zahl unterschiedlicher IP-Adressen, die mindestens einmal Opfer eines Angriffs wurden. Dieses Diagramm weist einen wesentlichen Unterschied zu dem in Abbildung 1 auf (Zahl der registrierten Angriffe pro Monat): Mit Ausnahme des Monats Juni ist die Zahl der angegriffenen IP-Adressen mit etwa 9.000 pro Monat im Jahresverlauf relativ konstant. Gleichwohl ist die Tendenz auch hier steigend (R2 = 0,01282).

Die Unterschiede in den Abbildungen 1 und 3 deuten darauf hin, dass manche IP-Adressen häufiger Ziel einer Attacke sind als andere. Abbildung 4 bestätigt diese Annahme.

Bild: OVH

Abbildung 4: Angriffshäufigkeit je Monat und IP-Adresse.

Diese Abbildung gruppiert die IP-Adressen nach Angriffsvolumen pro Monat. Es ist klar zu erkennen, dass die Mehrzahl der IP-Adressen zwischen ein- und fünfmal pro Monat angegriffen wird (Medianwert 2). Im gesamten Jahresverlauf waren die angegriffenen IP-Adressen im Schnitt 13 Angriffen ausgesetzt. 30 der betroffenen IP-Adressen wurden im Jahresverlauf häufiger als 1.000-mal angegriffen (auf die am häufigsten angegriffene IP-Adresse erfolgten 4.317 Attacken).

E-Gaming und E-Commerce: die am häufigsten von DDoS-Angriffen betroffenen Services

Wir haben einen näheren Blick auf die betroffenen IP-Adressen geworfen. Aus den uns zur Verfügung stehenden Informationen über die verantwortlichen Nutzer der damit verbundenen Dienstleistungen konnten wir ableiten, welche spezifischen Aktivitäten am häufigsten Opfer dieser Angriffe werden.

Als Erstes haben wir festgestellt, dass alle Nationalitäten unter diesen Attacken zu leiden haben. Wie nicht anders zu erwarten war, werden Online-Gaming-Dienste am häufigsten angegriffen, allen voran Minecraft-Server. Schon seit einigen Jahren beobachten wir die Rivalität zwischen Game-Server-Administratoren, die sich regelrechte Cyberkriege liefern.

Auch wenn die Gründe hierfür manchmal nichtig sind, scheint es doch vor allem eine Sache des Geldes zu sein. Die wichtigsten Gaming-Server generieren einen beträchtlichen Umsatz. Deshalb greifen die Administratoren sich gegenseitig an, um die Servicequalität des Konkurrenten zu verschlechtern und so die Gamer zu den eigenen Servern zu locken. Ein gnadenloser Wettstreit …

Es ist dabei auch festzuhalten, dass der von OVH angebotene spezifische DDoS-Schutz für den Gaming-Sektor zahlreiche Nutzer aus diesem Bereich überzeugt hat, sodass sie in unseren Statistiken wohl überrepräsentiert sind. Auch wenn die Angriffe auf bei OVH gehostete Game-Server aufgrund unserer soliden Schutzmechanismen meist ins Leere laufen, sind die Versuche doch nicht umsonst. Sie helfen nämlich unseren Ingenieuren im Bereich Forschung und Entwicklung, die ständig an der Verbesserung der Erkennungsalgorithmen arbeiten, indem sie diese Angriffe analysieren. Das wiederum kommt allen Kunden von OVH zugute.

An zweiter Stelle kommen die E-Commerce-Plattformen. Erstaunlicherweise werden Plattformen unterschiedlichster Größe angegriffen − vom riesigen Händler bis hin zum kleinen Onlineshop mit eher bescheidenem Traffic. Dabei geht es in den wenigsten Fällen um eine Rivalität zwischen den Beteiligten, sondern vielmehr um Erpressung. Das Prinzip ist einfach: Nach einer ersten Attacke schickt der Angreifer seinem Opfer eine E-Mail und fordert darin im Gegenzug für die Einstellung der Angriffe eine Zahlung in einen elektronischen Geldbeutel, normalerweise in Form von Bitcoins (BTC) oder Monero (XMR). Meist werden diese Drohungen nicht umgesetzt. Wir empfehlen Ihnen auch, niemals auf solche Forderungen einzugehen und zu zahlen, denn damit würden Sie diese kriminellen Aktivitäten geradezu unterstützen. Und Sie selbst hätten trotzdem keinerlei Sicherheit, nicht noch einmal das Opfer von Angriffen zu werden. Die einzig echte Lösung besteht darin, einen Hosting-Anbieter zu finden, der diese Angriffe effizient abwehren kann. Dadurch werden Ihre Angreifer entmutigt und konzentrieren sich dann auf eine leichtere Beute.

Bild: OVH

Abbildung 5: Eine der schlimmsten uns bekannten Erpresser-E-Mails.

Im Übrigen sind die angegriffenen Aktivitäten sehr heterogen, sodass eine Klassifizierung wenig sinnvoll wäre. Innovative Start-ups, öffentliche Verwaltung oder Informationsseiten (Medien, Blogs, …), jeder kann eines Tages Opfer eines solchen DDoS-Angriffs werden. Die Hintergründe sind kaum zu verallgemeinern: Rivalität zwischen Konkurrenten, Streitigkeiten zwischen einem Service und einem Nutzer, der Versuch, die Medien zu zensieren (zu diesem Thema empfehlen wir den Artikel des amerikanischen Journalisten Brian Krebs: The Democratization of Censorship) u. v. m.

Veränderungen in Intensität und Art der Angriffe

Wir konnten auf unserem Netzwerk 2017 keine Angriffe feststellen, die den Rekord von 1 Terabit pro Sekunde überschritten hätten. Dennoch haben wir weiterhin in die Kapazitäten unseres VAC und unseres Backbone investiert, um so mit diesen unvermeidbaren Angriffen umgehen zu können. Denn die Mittel zu deren Umsetzung gibt es immer noch, insbesondere Botnets (Netzwerke aus kompromittierten Geräten), auf die wir gleich näher eingehen werden.

Bild: OVH

Abbildung 6: Für Angriffe auf IP-Adressen bei OVH genutzte Vektoren im Jahr 2017.

Bei einer Analyse der in Abbildung 6 gezeigten Vektoren und Fokussierung auf die vierte Schicht (L4) des OSI-Modells fanden wir wenig überraschend vor allem UDP-Angriffe, SYN-Flood und Amplification-Angriffe. Die Ausnutzung von Schwächen des UDP-Protokolls stellt mehr als die Hälfte aller auf unserem Netzwerk registrierten Angriffe dar (UDP + Amplification + DNS + NTP). Die Wahl der UDP und SYN-Flood Vektoren ist dabei keineswegs zufällig. Vielmehr bieten sie dem Angreifer die Möglichkeit, die eigene Identität zu verschleiern, indem er Pakete mit missbräuchlich angeeigneten IP-Adressen zusammenstellt. Eine Technik, die übrigens auch die Umsetzung von Amplification-Angriffen ermöglicht. Diese wiederum werden gerne von „Booter-Diensten“ eingesetzt − Plattformen, die DDoS-Angriffe zum Kauf anbieten und dafür in der Regel ein Netzwerk von Computern verwenden, die ihre echte IP verbergen. Tatsächlich wird ein Großteil der von uns registrierten Angriffe über solche Plattformen gestartet; die Botnets stellen ihrerseits einen deutlich geringeren Anteil dar.

Auch wenn die Vektoren auf L4 gleich geblieben sind, konnten wir eine kleine Veränderung in der Art der Angriffe feststellen. Abbildung 7 zeigt den Monatsdurchschnitt der Attacken nach Datenpaketen pro Sekunde und Bandbreite. Während die Bandbreite im Jahresverlauf weitgehend konstant bleibt (etwa 700 Mbit/s je Angriff), schwankt die Zahl der versendeten Pakete doch beträchtlich, mit einer auffälligen Spitze im Oktober mit fast 1 Mpps.

Bild: OVH

Abbildung 7: Durchschnitt der DDoS-Angriffe in Paketen pro Sekunde (pps) (oben) und Bandbreite (Mbit/s) (unten) je Monat.

Bei einem Blick auf die Statistik zu den größten Angriffen im Jahr 2017 (Abbildung 8) lässt sich eine klare Verbindung herstellen zwischen den einzelnen Spitzen und dem Auftauchen neuer Botnets aus verbundenen Geräten (IoT) oder gehackten Routern. Auch wenn wir oben betont haben, dass der Großteil der Angriffe über „Booters“ gestartet wird, werden doch die stärksten Attacken gerade über Botnets gestartet, insbesondere solche der Mirai-Familie (also durch Verwendung von Teilen des Mirai-Codes, der Ende 2016 von seinem reuigen Entwickler öffentlich gemacht wurde).

Darüber hinaus konnten wir eine Veränderung in den von den Angreifern gewählten Strategien sehen. Es ist klar zu erkennen, dass die Größe der stärksten Angriffe im Hinblick auf die Bandbreite unterhalb von 200 Gbit/s bleibt, also deutlich weniger als in den vergangenen Jahren. Die Angreifer haben wohl erkannt, dass wir einfach zu viel zusätzliche Bandbreite in der Hinterhand haben, als dass sie unsere Netzwerke überlasten könnten. Tatsächlich nutzen wir von den 13 Tbit/s der weltweiten OVH Netzwerkkapazität gerade einmal durchschnittlich 3,5 Tbit/s. Stattdessen konzentrieren sich die Angreifer jetzt auf die Kapazität des Netzwerk-Equipments und unserer Abwehrsysteme zur Verarbeitung großer Mengen an Datenpaketen, indem sie Angriffe mit geringer Bandbreite, dafür aber umso mehr Paketen starten. Ganz konkret werden nicht etwa Pakete mit 1.480 Bytes versendet, die einen beträchtlichen Traffic generieren würden, sondern zahllose winzig kleine Pakete mit weniger als 100 Bytes.

In Abbildung 8 ist deutlich zu sehen, wie im Laufe der Monate die Zahl der pps kontinuierlich steigt. Das zeigt einmal mehr, dass wir es mit Angreifern zu tun haben, die sich anpassen und ihre Techniken immer weiter verbessern, um unsere Schutzmechanismen zu umgehen. Deshalb müssen wir sicherstellen, dass wir ihnen immer einen Schritt voraus sind.

Bild: OVH

Abbildung 8: Größte Attacken nach pps (oben) und Bandbreite (unten) je Monat.

Angriffe, die auf Schicht 4 des OSI-Modells ansetzen, sind im Allgemeinen besonders beeindruckend in Sachen Bandbreite und/oder Pakete pro Sekunde. Nichtsdestotrotz sind auch Angriffe auf Schicht 7 (Anwendungsebene) nicht zu unterschätzen, etwa HTTP-Floods.

Hier ist zunächst einmal festzuhalten, dass die Angriffe auf Schicht 7 seit dem Auftauchen neuer Vektoren wie SSH-Flood oder SMTP-Flood deutlich ansteigen. Dabei ist HTTP-Flood mit zwei Dritteln aller von uns beobachteten Angriffe auf Schicht 7 unzweifelhaft der am häufigsten verwendete Vektor. Diese Attacken haben übrigens nicht die gleichen Auswirkungen auf das Ziel wie L4-Angriffe. Hier geht es nicht darum, die Netzwerkinfrastruktur, sondern vielmehr die Anwendung selbst zu überlasten, indem man beispielsweise einen Apache-Dienst mit Anfragen überschwemmt. Derartige Angriffe sind in der Regel etwas schwieriger aufzuspüren, weil eine Vielzahl von Variablen eine Rolle spielt, etwa die Leistung des Servers (ein VPS wird nicht so viele Anfragen bewältigen können wie ein Dedicated Server mit Dual-Socket-System) oder auch die Konfiguration des Servers und dessen Optimierung angesichts erhöhter Last. Die Erkennungsmechanismen können also nicht für alle Kunden die gleichen Grenzwerte verwenden.

Sie sehen also, dass genau in diesem Bereich die größte Herausforderung für unsere Teams besteht. Denn Angriffe auf L7 könnten in den nächsten Monaten noch deutlich häufiger werden. Wir haben festgestellt, dass anders als bei den L4-Attacken die Angriffe auf Schicht 7 größtenteils über Botnets gestartet werden, seien es IoT-Botnets oder traditionellere Varianten. Insbesondere haben wir festgestellt, dass immer häufiger „WordPress Pingbacks“ ausgenutzt werden, eine standardmäßig aktivierte Funktion, die für Reflection-Angriffe genutzt werden kann.

Reaper- und Satori-Botnets im Fokus

Anhand der Statistiken in Abbildung 8 ist deutlich zu erkennen, dass es gegen Ende 2017 relativ viele DDoS-Angriffe gab. Die Monate September und Oktober waren Schauplatz von Angriffen zwischen 80 und 100 Gbit/s bzw. zwischen 60 und 90 Mpps. Einige dieser Attacken konnten wir dem Reaper-Botnet zuordnen, das innerhalb eines sehr kurzen Zeitraums eine Vielzahl von Systemen infiziert hat. Hier ist auch ein Phänomen zu erkennen, das wir schon weiter oben erläutert haben: Die Angreifer versuchen die Anzahl der Pakete pro Sekunde zu maximieren, anstatt die Bandbreite zu überlasten. Wir können Ihnen allerdings versichern, dass das OVH VAC problemlos alle hinterhältigen Pläne durchkreuzen konnte.

Das Satori-Botnet, das in der Welt der Cybersicherheit immer mehr von sich reden macht, hat seit November einen steilen Aufstieg hingelegt. Am 24. November 2017 konnten wir beobachten, wozu dieses Botnet tatsächlich fähig ist: Ein Angriff mit „nur“ 160 Gbit/s hat fast 250 Mpps generiert. Das war das erste Mal in der Geschichte des VAC, dass wir es mit einer solchen Zahl zu tun hatten. Gleichzeitig war es auch eine hervorragende Gelegenheit, das Verhalten der verschiedenen an der Mitigation beteiligten Bausteine im Detail zu analysieren. Das VAC hat den Angriff abgewehrt, aber vor allem konnten wir aufgrund der gesammelten Daten mögliche Verbesserungen ermitteln und unsere Abwehr-Algorithmen optimieren.

IoT: die unsichtbare Gefahr

Nachdem wir nun schon von Reaper und Satori gesprochen haben, dürfen zum Abschluss dieses Artikels natürlich die IoT-Botnets nicht fehlen. Im September 2016 hat die Welt Mirai kennengelernt, und zwar infolge eines Angriffs auf einen unserer Kunden, bei dem ein neuer Rekord von einem Terabit pro Sekunde aufgestellt wurde (genug, um eine Festplatte mit 2 TB in nur 16 Sekunden zu füllen!). Dieses Botnet hat Nachlässigkeiten seitens der Hersteller verbundener Objekte (IoT) bei der Entwicklung ihrer Produkte ausgenutzt. So wurden vor allem Kameras mithilfe einer Schadsoftware kompromittiert, um sie so in Zombies zu verwandeln, die ihrem Botmaster zu Diensten sind.

Aber die vom IoT ausgehende Bedrohung, die über dem Internet schwebt, beschränkt sich nicht allein auf Mirai. Schon vorher folgte Malware häufig dem gleichen Prinzip, etwa Aidra (2008), Tsunami (2010), Mr.Black (2014) oder auch LizKebab/Gafgyt/QBOT (2014). Seit dem Angriff auf unser Netzwerk beobachten wir diese Botnets mit umso größerer Aufmerksamkeit, um ihre Organisation zu verstehen, ihre Verbreitungsmechanismen, die Entwicklung in der Zahl der kompromittierten Geräte, die für einen geplanten Angriff verwendet werden können, und noch vieles mehr.

Dank dieser systematischen Beobachtungen haben wir heute eine sehr viel genauere Vorstellung von dieser Bedrohung – und können im Fall der Fälle die notwendigen Schritte einleiten. So haben etwa im letzten November unsere Erkennungstools verschiedene Versuche des Satori-Botnets festgestellt, immer mehr verbundene Objekte zu kompromittieren.

Um neu entstehende und etablierte Botnets im Auge zu behalten, verwenden wir sogenannte „Honeypots“, wörtlich also „Honigtöpfe“. Die Bezeichnung ist eine Anspielung auf den Zeichentrickbären Winnie Puuh, der oft durch den Anblick oder den Duft eines Honigtopfes verführt wird und so in kritische Situationen gerät. Bei unseren Honigtöpfen handelt es sich um Köder, die wir ganz bewusst mit Schwachstellen designen und ins Internet stellen. Regelmäßige Analysen helfen uns dann dabei, die Funktionsweise der Kompromittierungsversuche zu verstehen.

Abbildung 9 zeigt eben diese Aktivitäten rund um unsere Honeypots für das Jahr 2017. Berücksichtigen wir zusätzlich zu diesen Kurven noch die Spitzenzeiten der großen Botnets, die 2017 Schlagzeilen gemacht haben − etwa Hajime, Reaper oder Satori −, dann stellen wir fest, dass die Aktivität rund um die Honeypots deutlich zugenommen hat.

Bild: OVH

Abbildung 9: Aktivität unserer Honeypots im Kampf gegen IoT-Botnets.

Anhand dieser Grafik kann man auch für das erste Quartal 2017 eine relativ hohe Aktivität feststellen. Diese ist vor allem auf die Malware Hajime zurückzuführen, die das gesamte Internet in einer Art Dauerschleife gescannt hat. Ab April gab es dann spürbar weniger Aktivität, bevor es im September wieder von Neuem anfing – wenn auch in geringerem Ausmaß. Diese Trends spiegeln die geringer werdende Begeisterung der „Script Kiddies“ für Mirai wider. Als „Script Kiddies“ bezeichnet man Jugendliche mit nur geringer technischer Kompetenz, dafür aber umso mehr Ambitionen im Bereich Cyberkriminalität. Blöd für sie, dass der Aufbau eines Botnets mit Mirai oder einer seiner Varianten dann doch nicht so kinderleicht ist. Um die notwendige Zahl an kompromittierten Geräten zu erreichen, muss man regelrechte F&E betreiben, um die Vektoren für die Infektion aktuell zu halten. Denn die Sicherheitslücken, die sich die Vektoren von gestern zunutze machten, sind heute vielleicht schon geschlossen. Deswegen haben die „Kiddies“ dann realistischere Projekte für sich entdeckt: QBOT. Wir werden noch auf diesen Punkt zurückkommen, aber heute repräsentiert QBOT etwa 80 % der aktiven IoT-Botnets. Technisch versiertere Angreifer haben weiterhin Mirai verwendet und auch verbessert, indem sie unter anderem die Ausnutzung neuer Sicherheitslücken in Geräten in den Code eingepflegt haben.

Bild: OVH

Abbildung 10: Geolokalisierung der IPs, über die unsere Honeypots kompromittiert werden sollten, im zeitlichen Verlauf.

In Abbildung 10 sieht man perfekt die Umsetzung neuer Schwachstellen und Nachlässigkeiten in den Infektionsalgorithmen. Jedes Mal, wenn ein neuer Exploit implementiert wird, werden sehr schnell sehr viele Geräte neu kompromittiert, was zu einer ungewöhnlich hohen Aktivität auf unseren Honeypots führt (Spitzen). Wenn wir die infizierten Geräte dann geolokalisieren, können wir für jede einzelne Spitze ein bestimmtes Land ermitteln.

Und hier ist die Erklärung dafür: Die am häufigsten ausgenutzten Schwachstellen sind Router (und vor allem Router von Privatpersonen, also normale „Internetrouter“). Wenn sich die Hacker auf diese Geräte konzentrieren, ist ihnen ein gewisser Erfolg sicher, weil die Internetanbieter ihre Kunden in einem Land oder einem geografischen Gebiet praktisch flächendeckend mit einem einzigen Routermodell versorgen. Hat dieses Modell eine Sicherheitslücke, können mit nur einem einzigen Infektionsalgorithmus innerhalb kürzester Zeit Tausende Geräte kompromittiert werden. Und weil ein kompromittiertes Gerät dann seinerseits das Internet nach anfälligen Geräten durchsucht, gibt es plötzlich eine ungewöhnlich hohe Aktivität aus einem bestimmten Land. Diese wird dann durch unsere Honeypots zurückverfolgt, wie in Abbildung 10 zu sehen ist.

Zur Erinnerung: Ein Botnet ist eine Gruppe von infizierten Geräten, den sogenannten Zombies, die mit einem Command-and-Control-Server verbunden sind. Dieser Kontrollserver steuert sie per Fernzugriff und lässt sie bestimmte Aktionen ausführen (z. B. eine IP angreifen). Unsere Honeypots ermöglichen es uns, auch diese Kontrollserver zurückzuverfolgen und so ihre Anzahl zu schätzen. Abbildung 11 zeigt die Zahl der von unseren Systemen im Jahr 2017 erkannten Command-and-Control-Server (kurz C&C-Server). Zwar identifizieren wir immer mehr davon, allerdings darf man daraus keine voreiligen Schlüsse ziehen. Jeden Monat verbessern wir unsere Erkennungssysteme und entdecken deshalb heute Botnets, die gestern noch nicht auf unserem Radar erschienen wären. Daher können wir heute noch nicht mit Sicherheit sagen, ob es hier eine echte steigende Tendenz gibt.

Bild: OVH

Abbildung 11: Durch unsere Systeme erkannte Kontrollserver je Monat in 2017.

Was jedoch in jedem Fall bemerkenswert ist, ist die weiter oben schon angesprochene zunehmende Abkehr von Mirai zugunsten von QBOT. Während im ersten Quartal 2017 fast 30 % der von uns erkannten Botnets den Mirai-Code verwendeten, waren es im vierten Quartal 2017 nur noch 10 % (die übrigen identifizierten Botnets verwendeten mit überwältigender Mehrheit QBOT). Wie aber schon Elie Bursztein (Leiter des Anti-Abuse-Teams von Google) in seinem Blog erklärt hat, hat sich die Architektur von Mirai-Botnets im Laufe der Monate weiterentwickelt. Statt eines einzigen großen Botnets nutzen die Betreiber jetzt lieber mehrere kleine, um einerseits eine höhere Ausfallsicherheit zu erreichen, falls ein Teil ihres Netzwerks erkannt wird, und andererseits auch den Verkauf der durch diese Botnets angebotenen „Dienste“ zu erleichtern (normalerweise hängen die Kosten für die Nutzung eines Botnets von der Anzahl der mobilisierten Bots ab). Dementsprechend ist es nicht ungewöhnlich, dass mehrere Kontrollserver mit unterschiedlichen IP-Adressen gleichzeitig genau denselben Befehl an ihre Bots senden.

Wenn wir uns nun noch einmal genauer ansehen, auf welche Vektoren die Nutzer dieser Botnets setzen, und zwar unabhängig von ihrem Ziel, dann können wir große Ähnlichkeiten zu den Angriffen auf dem OVH Netzwerk feststellen, die wir oben bereits analysiert haben. In Abbildung 12 ist zu sehen, dass auch hier UDP mit 46 % an der Spitze liegt, gefolgt von SYN-Flood mit 20 % und (auf der Anwendungsebene) HTTP-Flood mit 19 %.

Bild: OVH

Abbildung 12: Am häufigsten durch IoT-Botnets verwendete Vektoren im Jahr 2017.

Ganz besonders interessant ist auch, die von den Hackern angegriffenen Ports zu analysieren. In Abbildung 13 sieht man die sieben am häufigsten angegriffenen Ports, unabhängig vom Netzwerk. Port 80 (HTTP) wird am häufigsten ins Visier genommen, und zwar sowohl bei Angriffen via TCP-Protokoll als auch via UDP-Port – auch wenn das auf Anhieb unlogisch erscheint (denn HTTP basiert auf TCP).

Die übrigen Ports sind noch interessanter, weil man durch sie ein klares Bild der Nutzer von Botnets bekommt. Wie oben bereits angesprochen, ist die Welt der Videospiele unerbittlich, und die starke Konkurrenz verleitet Admins dazu, sich auf regelrechte Cyberkriege einzulassen. Darüber hinaus scheinen aber viele der Benutzer dieser Botnets einfach nur schlechte Spieler zu sein, die versuchen, ihre Gegner während einer laufenden Partie durch Angriffe auf die Xbox Live Ports zu stören.

Bild: OVH

Abbildung 13: Durch IoT-Botnets am häufigsten angegriffene Ports im Jahr 2017.

Ausgehend von diesen Zahlen versuchten wir herauszufinden, ob andere Netzwerke von den gleichen, durch IoT-Botnets verursachten Angriffstypen wie OVH betroffen waren. Hierfür haben wir drei andere Internet-Akteure ausgewählt: einen wichtigen US-amerikanischen ISP, einen großen CDN-Provider und schließlich einen Hosting-Anbieter, der in seiner Geschäftstätigkeit OVH ähnelt.

Die Ergebnisse sind spannend:

• Der große amerikanische ISP wird vor allem Opfer solcher DDoS-Attacken, die auf Xbox Live, PlayStation und alles, was mit Gaming zu tun hat, abzielen.
• Der CDN-Provider hingegen ist hauptsächlich von L7-Attacken des Typs HTTP-Flood betroffen (was in Anbetracht seines Geschäftsmodells auch relativ logisch ist).
• Der Hosting-Anbieter dagegen erlebt ganz ähnliche Angriffe wie OVH.

Für alle, die noch Zweifel hatten: DDoS-Angriffe nehmen also keineswegs nur Hoster ins Visier. Alle Internet-Akteure, ob groß oder klein, sind in der einen oder anderen Form dieser Bedrohung ausgesetzt, die direkt von der Art der angebotenen Dienstleistungen abhängt. Der einzig echte Unterschied besteht in den zur Verfügung stehenden Mitteln, mit denen diese Akteure ihre Nutzer schützen. Und in ihrer Fähigkeit, durch die genaue Beobachtung und Auswertung der Techniken schon heute die DDoS-Angriffe von morgen vorherzusagen.

Die wichtigsten Fakten

Nach dieser Analyse können wir nun drei wichtige Tatsachen festhalten:

• Die Angriffstypologien verändern sich: Die Intensität in Sachen Bandbreite nimmt deutlich weniger zu als die Zahl der versendeten Pakete pro Sekunde.
• Es gibt deutlich mehr Angriffe auf Anwendungsebene (L7).
• Die Struktur der IoT-Botnets beweist – wenn überhaupt ein Beweis nötig war –, dass Cyberkriminelle die Schwachstellen der verbundenen Objekte gezielt ausnutzen, um ihr „Business“ nachhaltig zu sichern.

Diese Entwicklungen zeigen deutlich, wie die Angreifer ihre Techniken kontinuierlich an die Gegenmaßnahmen von Akteuren wie OVH anpassen.

Es ist schlicht unmöglich, ein prototypisches Opfer von DDoS-Angriffen auszumachen; die Profile sind vollkommen unterschiedlich. Allerdings sind zwei Bereiche besonders häufig betroffen: Online-Gaming (allen voran Minecraft- und Teamspeak-Server) und E-Commerce-Plattformen, und zwar unabhängig von ihrer Größe.

In den meisten Fällen verfolgen die Angreifer vor allem finanzielle Ziele: sei es ganz direkt durch die Erpressung von Geldern, oder indirekt durch die Schädigung eines Konkurrenten mit dem Ziel, dessen Kunden abzuwerben. Noch kurz zu einem Punkt, der nichts mit Gaming zu tun hat: Es haben auch schon Herausgeber von Anti-DDoS-Lösungen Angriffe gestartet um dann hinterher bei den Opfern der Attacken Werbung für das eigene Schutzangebot zu machen.

Wir jedenfalls werden auch 2018 aufmerksam beobachten, ob sich die in dieser Analyse festgestellten Trends langfristig bestätigen.

Weitere Informationen zum Thema:

OVH
Anti-DDoS

datensicherheit.de, 21.02.2018
DDoS-Bedrohung wächst: Defizite beim Schutz erleichtert Attacken

[datensicherheit.de, 27.03.2018] Das Link11 Security Operation Center (LSOC) beobachtet laufend Entwicklung von DDoS-Attacken im Netz und veröffentlicht seine Analysen vierteljährlich. In der neuesten Ausgabe Q4 2017 fällt unter den 13.452 untersuchten Attacken besonders die Gefahr durch Multivektor-Attacken auf. Erstmals wurden in einer Attacke 12 Angriffsvektoren nachgewiesen.

DDoS-Attacken auf Unternehmen gehören in der DACH-Region zurr Tagesordnung

DDoS-Attacken auf Unternehmen gehören in Deutschland, Österreich und der Schweiz zur Tagesordnung. Im 4. Quartal 2017 registrierte das LSOC 13.452 Angriffe, das entspricht fast 150 Attacken täglich. Gegenüber dem Vorjahresquartal bedeutet das eine Zunahme von 116 %.

Der Quartals-Report analysiert, erklärt und vergleicht die wichtigsten Merkmale von DDoS-Attacken wie Angriffsvolumen, Dauer Vektorenzahl und Quellenländer. Die wichtigsten Ergebnisse:

• Die Zahl der abgewehrten Attacken verblieb im 4. Quartal mit 13.452 Angriffen auf einem hohen Niveau.
• Im 4. Quartal musste das LSOC 116 % mehr Attacken als im Vorjahreszeitraum abwehren.
• Bei 5 DDoS-Angriffen lagen die Bandbreitenspitzen zwischen 40 und 80 Gbps
• Die größte vom LSOC abgewehrte Attacke erreichte eine Spitzenbandbreite von 70,1 Gbps.
• Die höchste Paketrate lag nach Messungen des LSOC bei 53,1 Millionen Paketen pro Sekunde.

DDoS-Attacke kombiniert 12 Vektoren

DDoS-Attacken sind heute deutlich komplexer als in den Anfangszeiten, als die Täter ausschließlich auf reine UDP Floods oder TCP SYN Floods setzten. Die Angreifer kombinieren immer häufiger mehrere Angriffstechniken bzw. erweitern ihr Angriffsset mit neuen Protokollen. Nahezu jede 2. Attacke (45,3 %) basierte aus mehreren Techniken. Am häufigsten setzen die Angreifer 2 oder 3 Vektoren ein.
Das bisherige Maximum an Vektoren, die das LSOC in einem Angriff nachweisen konnte, lag bislang bei 10. Im 4. Quartal registrierte die DDoS-Schutzexperten erstmals jeweils eine Attacke mit 11 und eine mit 12 Vektoren.

Weitere Informationen zum Thema:

Link11
Link11 DDoS-Report für die DACH-Region

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent