VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 3 3. QUARTAL 2014

Transkript

1 VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 3 3. QUARTAL 2014

2 INHALT ZUSAMMENFASSUNG 3 VON VERISIGN BEOBACHTETE DDoS-ANGRIFFSTRENDS IM 4 Angriffsminderungen nach Angriffsgröße 4 Angriffsminderungen nach Branchen 5 Angriffsminderungen nach Angriffshäufigkeit 6 FALLSTUDIE: NEUES PROTOKOLL FÜR REFLEKTIONSANGRIFFE KOMMT ZUM EINSATZ 7 Das Simple Service Discovery Protocol (SSDP) 7 GLOBALE BEOBACHTUNGEN 8 Verisign beobachtet DBOT Linux-DDoS-Malware 8 Einsatz von SHELLSHOCK zur Bereitstellung von Linux-DDoS-Malware 9 2 2

3 > ZUSAMMENFASSUNG 20 PROZENT der Angriffe waren größer als 10 Gbps Dieser Bericht enthält Beobachtungen und Erkenntnisse, die aus den Angriffsminderungen abgeleitet wurden, die im Auftrag von und in Zusammenarbeit mit Kunden der Verisign DDoS Protection Services und der Sicherheitsforschung der idefense Security Intelligence Services durchgeführt wurden. Er bietet eine einzigartige Übersicht über die Angriffstrends, die sich im letzten Quartal entwickelt haben, unter anderem über Angriffsstatistiken, DDoS-Analysen über böswilligen Code und Verhaltenstrends. ZUSAMMENFASSUNG DER ERGEBNISSE: Schwachstellen und Angriffstrends im 3. Quartal 2014 Für den Zeitraum vom 1. Juli bis 30. September 2014 hat Verisign die folgenden wichtigen Trends beobachtet: Die Zahl der Angriffe in der Kategorie von 10 Gbps und mehr stieg ab dem 2. Quartal um 38 % an und stellte damit 20 % aller Angriffe im 3. Quartal dar. Die Angreifer führten ständig gezielte Angriffe auf Kunden durch, wobei durchschnittlich über drei separate Angriffe pro Kunde gestartet wurden. Die am häufigsten angegriffene Branche war Medien und Unterhaltung. Sie stellten über 50 Prozent aller Minderungsaktivitäten dar. Anstieg der Angreifer mit durchschnittlich 3,3 > separaten Angriffen pro Kunde im 3. Quartal Aufgrund der hohen Häufigkeit massiver Angriffe im 2. Quartal beobachtete Verisign eine Abnahme der durchschnittlichen Angriffsgröße um 48 Prozent von Quartal zu Quartal, aber die durchschnittliche Angriffsgröße nahm zwischen dem 1. und dem 3. Quartal 2014 um 65 Prozent zu. Entfernt man die sehr großen Angriffe aus dem Datenbestand des 2. Quartals, zeigt sich eine durchschnittliche Angriffsgröße von 4,6 Gbps, die im Vergleich zur durchschnittlichen Angriffsgröße des 3. Quartals eine Steigerung um über 40 Prozent darstellt. Die größten Angriffe, die in diesem Quartal beobachtet wurden, zielten auf die E-Commerce-Branche, bei Spitzen mit über 90 Gbps. Verisign minderte direkt neue Typen von UDP-Reflektionsangriffen und setzte dazu das Simple Service Discovery-Protokoll ein (SSDP/UDP Port 1900). Das Netzzeitprotokoll (Network Time Protocol, NTP) stellt weiterhin die Mehrheit der UDP-basierten Reflektionsverstärkungsangriffe dar, wobei im 3. Quartal eine Verlagerung zu SSDP beobachtet wurde. Verisign idefense-analysten berichteten, dass die Shellshock -Bash-Schwachstelle global genutzt wurde, um DDoS-Botnets effizient zu verbreiten. Eine Zunahme bei der Bereitstellung von Linux-DDoS-Malware zeigt eine steigende Nutzung von Servern mit hohen Bandbreiten in DDoS-Botnets. 3 3

4 VON VERISIGN BEOBACHTETE DDoS-ANGRIFFSTRENDS IM Angriffsminderungen nach Angriffsgröße Die Häufigkeit groß angelegter DDoS-Angriffe nimmt weiterhin zu. Die Zahl der Angriffe in der Kategorie von 10 Gbps und mehr stieg ab dem 2. Quartal um 38 % an und stellte damit 20 Prozent aller Angriffe im 3. Quartal dar (Abbildung 1). Abwehrmechanismen und Geräte, die vor Ort zur Minderung eingesetzt werden, sind von den Moment an nicht mehr wirksam, wenn ein DDoS-Angriff die Upstream- Kapazität einer Organisation überschreitet. Organisationen, deren Fokus auf Robustheit liegt, sollten in Betracht ziehen, einen cloud-basierten oder hybriden Vor-Ort/Cloud-DDoS-Schutz einzusetzen, um Multivektor- und volumetrische Angriffe auf Anwendungsebene zu mindern, die ihre verfügbare Bandbreite überschreiten, und dabei die Betriebskosten nur geringfügig zu erhöhen. > 10 Gbps > 5 < 10 Gbps > 1 < 5 Gbps > 1 Gbps Prozent 1. Quartal Quartal Quartal Abbildung 1: Zunahme bei den Angriffen größer als 10 Gbps 12,42 6,46 4,60 3,70 3,92 3,17 2,14 1,51 1. Quartal Quartal Quartal Quartal Quartal Quartal Quartal Gbps Abbildung 2: Durchschnittliche Angriffsgröße nach Quartal (in Gbps) 4 4

5 Die von Verisign im dritten Quartal geminderten Angriffe lagen bei durchschnittlich 6,46 Gbps (Abbildung 2), was einen Rückgang bei der durchschnittlichen Angriffsgröße in Höhe von 48 Prozent von Quartal zu Quartal darstellte, jedoch eine 65-prozentige Steigerung bei der durchschnittlichen Angriffsgröße seit dem 1. Quartal 2014 bedeutet. Die außergewöhnliche Zunahme bei der durchschnittlichen Angriffsgröße im 2. Quartal (12,43 Gbps) wurde durch mehrere anhaltende volumetrische Angriffe im Bereich 200 bis 300 Gbps verursacht. Entfernt man die sehr großen Angriffe aus dem Datenbestand des 2. Quartals, zeigt sich eine durchschnittliche Angriffsgröße von 4,6 Gbps, die im Vergleich zur durchschnittlichen Angriffsgröße des 3. Quartals eine Steigerung um über 40 Prozent darstellt. Der größte volumetrische UDP-basierte DDoS-Angriff, der von Verisign im 3. Quartal gemindert wurde, lag bei 90 Gbps; der größte TCP-basierte Angriff lag bei über 30 Gbps. Angriffsminderungen nach Branchen DDoS-Angriffe sind eine globale Bedrohung und nicht auf eine bestimmte Branche beschränkt, wie in Abbildung 3 dargestellt. Diese vergleichenden Daten können hilfreich sein, wenn Ausgaben für die Sicherheit basierend auf der beobachteten Gefährdung Ihrer Branche durch diese Bedrohung priorisiert werden. Branchen mit dem höchsten Risiko sind im Allgemeinen diejenigen, die entweder politisch aktiv sind oder durch Ausfallzeiten deutliche finanzielle Verluste erleiden. Abgesehen davon kann, wie Verisign im vergangenen Jahrzehnt beobachtete, jede Organisation aus einer ständig wachsenden Anzahl von Gründen ein Ziel werde und sollte in diesem Kontext die Risiken und möglichen Bedrohungen in Betracht ziehen. Kunden der Medien- und Unterhaltungsbranche sind weiterhin den meisten Angriffen ausgesetzt, mit Spitzen bei etwas mehr als 20 Gbps im 3. Quartal (Abbildung 4). Dies ist mehr als genug, um die meisten Minderungskapazitäten vor Ort zu überfordern. Die E-Commerce-Branche wurde zwar weniger häufig angegriffen, musste aber im letzten Quartal mit über 90 Gbps den größten Angriff überstehen (Abbildung 4). Dieser Angriff war eine pulsierende UDP-Flut mit Bündeln von maximal 30 Minuten. Er bestand hauptsächlich aus NTP-Datenverkehr mit Reflektionsverstärkungsangriffen. Diese Aktivität war darauf ausgelegt, die wichtigen Online-Handelsfunktionen des Kunden lahmzulegen und wurde erfolgreich von Verisign gemindert. Die Weihnachtszeit 2014 stehen vor der Tür, also sollten die Branchen E-Commerce und Finanzen besonders wachsam sein und während ihrer Hauptsaison für Umsatz und Kundeninteraktion auf zunehmende DDoS-Angriffe vorbereitet sein. In der Vergangenheit hat Verisign während der Weihnachtszeit eine Zunahme der DDoS-Aktivität in diesen Branchen beobachtet und geht davon aus, dass dieser Trend fortgesetzt wird. Medien und Unterhaltung 55 % 0 IT-Dienstleistungen/Cloud/SaaS 28 % E-Commerce 10 % Finanzen 7% 100 Abbildung 3: Prozentsatz der Angriffe nach Branche 5 5

6 , ,0 27,0 90,0 36,0 1. Quartal ,3 E-Commerce ,8 2. Quartal ,9 3. Quartal 2014 IT-Dienstleistungen/Cloud/SaaS Gbps Medien und Unterhaltung Abbildung 4: Maximale Angriffsgrößen nach wichtigsten Branchen Angriffsminderungen nach Angriffshäufigkeit Im Laufe des Jahres 2014 hat Verisign eine kontinuierliche Zunahme bei der Zahl der Angriffe pro Kunde beobachtet, einschließlich Angriffen, die in der Mitte ihre Taktik änderten. Im 3. Quartal fand mit durchschnittlich mehr als drei Angriffen pro gezieltem Kunde die größte Zunahme bei der Angriffs häufigkeit statt und war damit 60 Prozent höher als im 2. Quartal (Abbildung 5). Die Zunahme bei der Angriffshäufigkeit, ebenso wie die Zunahme bei der Angriffshöhe, kann auf reifere Angreifer zurück geführt werden, weiterhin auf einfacheren Zugriff auf gebrauchsfertige DDoS-Botnets und -Toolkits sowie Beobachtungen der Gegner über die Auswirkungen der Angriffe auf ihre Ziele. Da sich Angreifer weiterentwickeln und immer ausgefeiltere Methoden verwenden, rechnet Verisign damit, dass sich dieser Trend in absehbarer Zukunft fortsetzt. 3,5 3,0 2,5 2,00 2,06 2,0 1,5 1,0 0, Quartal Quartal Quartal 2014 Durchschnittliche Anzahl von Angriffen pro Kunde 3,33 0,0 Abbildung 5: Durchschnittliche Anzahl von Angriffen pro gezieltem Kunde (nach Quartal) 6 6

7 Fallstudie: NEUES PROTOKOLL FÜR REFLEKTIONSANGRIFFE KOMMT ZUM EINSATZ Größte SSDPAngriffe im 3. Quartal 15 GBPS und 4,58 MPPS Das Simple Service Discovery Protocol (SSDP) Während dieses Quartals beobachteten wir außer den NTP-basierten Angriffen die Nutzung von SSDP bei UDP-basierten Verstärkungsangriffen. Der größte SSDP-basierte Angriff, der von Verisign im 3. Quartal gemindert wurde, zielte auf die IT-Dienstleistungsbranche und erreichte Spitzenwerte von fast 15 Gbps sowie 4,58 Millionen Paketen pro Sekunde (Mpps). Verisign konnte die in diesem Quartal auftretenden Angriffe mithilfe seines Überwachungsdienstes und der weltweit verbundenen Plattform für die DDoS-Minimierung schnell erkennen und mindern. Christian Rossow veröffentlichte am 22. Februar 2014 einen Beitrag mit dem Titel Amplification Hell: Revisiting Network Protocols for DDoS Abuse 1 (Verstärkungshölle: Wiederaufgreifen des Themas Netzwerkprotokolle für den Missbrauch von DDoS), in dem der Bandbreitenverstärkungsfaktor identifiziert wurde. Er identifizierte SSDP mit einem Bandbreitenverstärkungsfaktor von bis zu 30,8. Dies bedeutet, dass ein Suchbefehl für dieses Protokoll eine Antwort zurückgibt, die 30,8-mal größer ist als die Anfrage selbst. Das US CERT2-Team gab basierend auf der ursprünglichen Untersuchung am 17. Januar 2014 eine Warnung heraus. Obwohl die Verstärkung, die generiert wird, kleiner ist als dies mit Reflektionsangriffen mit DNS oder NTP möglich ist, haben SSDP-Angriffe immer noch die Fähigkeit, Organisationen zu überfordern, die herkömmliche Sicherheitsanwendungen zum Schutz ihrer Vermögenswerte einsetzen. Ähnlich wie bei anderen Reflektionsverstärkungsangriffen spoofen böswillige Akteure bei einer SSDP-Anforderung die Quell-IP, um ein Opfer anzugreifen. Bei den meisten Organisationen ist es nicht erforderlich, dass SSDP-Implementierungen für das Internet zugänglich sind. In diesem Fall können Zugangsanfragen aus dem Internet, die auf dieses Protokoll abzielen, an der Netzwerkperipherie blockiert werden, um vor diesem bestimmten Vektor zu schützen. Verisign empfiehlt eine Prüfung der internen Ressourcen, einschließlich ausgehender Netzwerkströme, um sicherzustellen, dass Ihre Organisation nicht ahnungslos bei SSDP-basierten DDoS-Angriffen genutzt wird. WAS IST SSDP? SSDP ist ein Netzwerkprotokoll, das für die Ankündigung und Erkennung von Netzwerkdiensten und Präsenzinformationen verwendet wird. Es wird am häufigsten als Basis des Erkennungsprotokolls für UPnP (Universelles Plug & Play) genutzt. Implementierungen senden und empfangen Informationen mithilfe von UDP auf Portnummer SSDP wird wie viele andere UDP-basierte Protokolle wegen seines verbindungslosen Status missbraucht, der Quell-IP-Adressen- Spoofing ermöglicht, und wegen des Verstärkungsfaktors bei der Antwort. Gemäß den ShadowServer-Daten3 gibt es im Internet über 15 Millionen Geräte, bei denen SSDP aktiviert ist und die daher für die Nutzung von DDoS-Angriffen anfällig sein können. Ähnlich wie bei allen Reflektionsangriffen muss ein Angreifer die Quell-IP-Adresse der Anfrage spoofen, um sie dem geplanten Ziel anzupassen, damit alle anfälligen Geräte das Ziel mit SSDP-Antworten überfluten. 1 Christian Rossow. Amplification Hell (Verstärkungshölle): Revisiting Network Protocols for DDoS Abuse (Wiederaufgreifen des Themas Netzwerkprotokolle für den Missbrauch von DDoS)

8 GLOBALE BEOBACHTUNGEN Verisign beobachtet DBOT Linux-DDoS-Malware Verisign idefense-analysten entdeckten eine Variante der DBOT-Hintertür, die auf UNIX-ähnlichen Systemen läuft und hauptsächlich für DDoS-Angriffe verwendet wird. Diese Malware wird durch einen IRC (Internet Relay Chat) C&C (Command-and-Control)-Kanal gesteuert. Sie legt ihren Prozessnamen so fest, dass dieser wie ein normaler Systemprozess aussieht (wie beispielsweise syslogd oder crond). Sie wird nicht nur zum Ausführen von DDoS-Angriffen verwendet, sondern kann auf infizierten Systemen vollständigen ReverseShell-Zugriff erhalten und Mails senden (z. B. für Spam). Angreifer verwenden das IRC-Protokoll, um die Kontrolle über die DBOT-Hintertür zu erhalten und dann den aufgebauten Kanal des IRC C&C-Servers zu verwenden, um Befehle auszugeben, die den infizierten Server zur Ausführung von Aufgaben anweisen. Verisign idefense-analysten beobachteten die folgenden DDoS-Befehle: Befehl Beschreibung udp1 UDP-Flut gegen einen Benutzer: Definierte IP-Adresse und Port mit einem aus dem String Tr0x bestehenden Payload, der mehrfach wiederholt wird. udp2 Gleichzeitige Flut gegen einen Benutzer: Definierte IP-Adresse auf inkrementierten Ports für UDP, TCP, ICMP und JGMP, mit einem Payload, der aus dem wiederholten Zeichen A besteht. udp3 UDP-Flut gegen einen Benutzer: Definierte IP-Adresse und zufällig ausgewählter Port mit einem Payload, der ausschließlich aus Nullen besteht. Diese Funktion hat einige Fehler und funktioniert daher möglicherweise nicht einwandfrei. tcp TCP SYN-Flut gegen einen Benutzer: Definierte IP-Adresse und Port bestehend aus gleichzeitigen Verbindungen, die sofort nach erfolgter Verbindung geschlossen werden. http Verbindung mit TCP-Port 80 auf einem Benutzer: Definierte IPAdresse und wiederholte Ausführung von HTTP GET / -Anfragen. Verisign idefense hat nachgewiesen, dass während der Ausführung eines der oben genannten eingebauten DDoS-Angriffsbefehle derzeit kein IP-Adressen-Spoofing auftritt. Von daher sind die meisten beobachteten Angriffs-IPs legitim und erhöhen die Minderungsgeschwindigkeit. Die DBOT-Malware lässt jedoch mithilfe ihrer ReverseShell-Funktion zu, dass willkürlich Befehle auf einem infizierten System ausgeführt werden können, wodurch Angreifer unbegrenzt dazu befähigt werden, Angriffsmuster manuell zu ändern oder bei Bedarf zusätzliche DDoS-Tools installieren zu können. Das von idefense analysierte Malware-Beispiel hatte ein MD5-Hash von b74b86f591097b9b6773c1176b. 8

9 Einsatz von SHELLSHOCK zur Bereitstellung von Linux-DDoS-Malware Verisign idefense-forscher analysierten ELF-Malware, die bei der Übermittlung über die Shellshock Bash-Schwachstelle beobachtet wurde. Shellshock ist der allgemein übliche Name für eine Reihe von kritischen Schwachstellen (CVE und später CVE , CVE , CVE , CVE und CVE ) in der Bash-Shell-Anwendung, die in einer Vielzahl von Betriebssystemen durchdringend verwendet wird (einschließlich OSX, RedHat, Debian und viele eingebettete Geräte). Die Schwachstelle wird durch einen Fehler im Befehls- und Argumente-Parser der GNU-BashVersionen 1.14 bis 4.3 verursacht. Der Fehler führt zu fehlerhafter Verarbeitung von Befehlen, die nach Funktionsdefinitionen in der zusätzlichen Umgebungsvariable gesetzt werden. Das Problem erlaubt es böswilligen Akteuren, willkürlichen und böswilligen Binärcode über eine konstruierte Umgebung auszuführen, die eine netzwerkbasierte Ausnutzung ermöglicht. Die Malware, die diese Schwachstelle nutzt, kommuniziert mit bestimmten fest programmierten C&CServern. Verbindungen durch diese C&C-Server führen zu wechselseitiger Kommunikation, der Empfang von Befehlen und Links führt zu zusätzlichen böswilligen Inhalten oder Payloads in Form von RohdatenPastebin-Links. Die Malware existierte bereits vor der Bereitstellung in der letzten Kampagne, die Shellshock nutzte. Verisign hat Aufzeichnungen über die genauen Strings, die von der Malware aus verteilt wurden, wie auf Pastebin bereits am 20. August 2014 gepostet wurde. Die Malware überprüft das infizierte System auf die üblicherweise verwendeten Benutzernamen und schwachen Passwörter (d.h. root, admin, user, login usw.), um die DDoS-Angriffe zu starten und massive Scans auf anfälligen Geräten im Internet auszuführen. Während der Durchführung der Analyse entdeckten Verisign idefense-forscher mehrere Beispiele für die Nutzung der kürzlich gefundenen Schwachstelle. Das von idefense analysierte Malware-Beispiel hatte ein MD5-Hash von 5B345869F7785F980E8FF7EBC001E0C7. 9

10 HINWEISE VerisignInc.com 2014 VeriSign, Inc. Alle Rechte vorbehalten. VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder nicht registrierte Marken von VeriSign Inc. und deren Tochtergesellschaften in den Vereinigten Staaten und im Ausland. Alle anderen Handelsmarken sind das Eigentum ihrer jeweiligen Inhaber. Verisign Public