Cyber-Attacken
Die größten Cyber-Gefahren
Ebenso wie sich das Web weiterentwickelt, ändern sich permanent auch die Verfahren und Techniken der Cyber-Attacken, um IT-Infrastrukturen und Web-Applikationen lahmzulegen. Reflection- und Botnetz-Angriffsmethoden werden aktuell erweitert und verfeinert. Ein wirksamer Schutz ist aber möglich.
Technologische Meilensteine sind oft gleichbedeutend mit einem bedeutenden Ereignis, dem dann eine gewisse Einführungsphase folgt. Der ursprüngliche Hype rund um ein Produkt ist oft weit größer als seine anfänglichen Möglichkeiten in der realen Welt. Die wirklich bedeutenden Produkte und Trends setzen sich langsam, aber sicher im Alltag durch. Die Welt der DDoS-Angriffs-Tools ist da keine Ausnahme. Neue Methoden stehen im Rampenlicht, der Hype legt sich etwas und dann werden sie sehr schnell zu einer allgegenwärtigen Bedrohung.
Das Mirai-Botnetz ist ein gutes Beispiel für eine disruptive Technologie, die den Hype-Zyklus durchläuft. Im Herbst 2016 sorgte das Mirai-Botnetz einige Male für Schlagzeilen. Die beiden bisher größten auf der Akamai Intelligent Platform gemessenen DDoS-Angriffe erreichten 623 Gbit/s und 555 Gbit/s. Auch sieben der zwölf groß angelegten Angriffe mit mehr als 100 Gbit/s im vierten Quartal 2016 lassen sich dem Mirai-Botnet zuordnen. Aktuell ist festzustellen, dass sich die Möglichkeiten von Mirai-Botnetzen in eine Richtung bewegen, bei der der Wettbewerb mit anderen Botnetzen die Größe einzelner Angriffe reduziert, die Zahl der Angriffe aber weiter ansteigt. Viele der bedeutenden Angriffe im Jahr 2017 nutzten das Mirai-Botnetz, erreichten aber nicht mehr die Größe vom Herbst 2016.
Infizierte IoT-Geräte als Botnetz-Client
Mit weitverbreiteten Kombinationen aus Benutzername und Kennwort wie Admin/Admin durchforstet Mirai das Internet nach angreifbaren Geräten, infiziert sie und kann sie so in Botnetze einbinden. Jedes der betroffenen Geräte kann in DDoS-Angriffe eingebunden werden und dazu beitragen, dass die Malware weiter verbreitet wird. Eine weitergehende Analyse von Cyber-Attacken zeigt ferner, dass Bots als Ausgangsbasis von auftragsbasierten DDoS-Angriffen und Erpressungsversuchen „weitervermietet“ werden.
Mirai weist einige Besonderheiten auf, beispielsweise die Nutzung internetfähiger Geräte kombiniert mit Methoden wie sie ansonsten für Botnetze keineswegs charakteristisch sind. Dazu zählt zum Beispiel, dass das Telnet gezielt bezüglich anfälliger Systeme durchsucht wird und Kennwörter mit Brute-Force-Attacken geknackt werden. DDoS-Floods erfolgen mit Generic-Routing-Encapsulation (GRE)-Paketen, über die Angreifer ungehärtete DDoS-Mitigation-Systeme attackieren können. Während andere, sehr massive DDoS-Angriffe Protocol-Reflection-Techniken einsetzen, verzichtet Mirai darauf und zielt stattdessen beispielsweise mit mehreren Botnetzen auf ein einzelnes Ziel.
Eine wichtige Rolle für die weitere Entwicklung von Mirai spielt die Veröffentlichung des Quellcodes und einer Anleitung zum Einrichten des Botnetzes im Oktober 2016. Als Folge entstanden seit Ende des letzten Jahres Mutationen. Eine davon nutzte eine Sicherheitslücke im Fernwartungsprotokoll TR-069 und konnte so Home-Router unter ihre Kontrolle bringen.
Darüber hinaus kam es zu Beginn dieses Jahres zu einer Reihe von DDoS-Attacken auf deutsche Onlineshops, bei denen die Angreifer ein Mirai-Botnetz nutzten. Im März 2017 erfolgten mit einem Mirai-Botnetz erstmals Cyber-Attacken auf Webanwendungen – zuvor richteten sich Angriffe ausschließlich auf die Infrastrukturebene.
- Die größten Cyber-Gefahren
- Die Betreiber von Botnetzen verfeinern ihre Methoden
- DDoS-Angriffe wirksam abwehren
Lesen Sie mehr zum Thema
