VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 4 4. QUARTAL 2014

Transkript

1 VERISIGN-BERICHT ZU DISTRIBUTED DENIAL OF SERVICE-TRENDS AUSGABE 4

2 VERISIGN-BERICHT ZU DISTRIBUTED INHALT ZUSAMMENFASSUNG 3 VON VERISIGN BEOBACHTETE DDOS-ANGRIFFSTRENDS: 4 Angriffsminderungen nach Angriffsgröße 4 ANGRIFFSMINDERUNGEN NACH VERTIKALEN BRANCHEN 5 DDoS-FOR-HIRE-DIENSTE BEDEUTEN EINE GRÖSSERE BEDROHUNG FÜR DIE UNTERNEHMEN 7 FAZIT 8 2 2

3 VERISIGN-BERICHT ZU DISTRIBUTED ZUSAMMENFASSUNG Durchschnittliche Angriffsgröße: 7,39 Gbits 14 % QUARTALSVERGLEICH 245 % JAHRESVERGLEICH Dieser Bericht enthält Beobachtungen und Erkenntnisse, die aus den Minderungen von Distributed Denial of s-(ddos-)angriffen abgeleitet wurden, die im Auftrag von und in Zusammenarbeit mit Kunden der Verisign DDoS Protection s und der Sicherheitsforschung der Verisign idefense Security Intelligence s durchgeführt wurden. Er bietet eine einzigartige Übersicht über die Angriffstrends, die sich im letzten Quartal entwickelt haben, unter anderem über Angriffsstatistiken und Verhaltenstrends. Im Zeitraum vom 01. Oktober bis 31. Dezember 2014 beobachtete Verisign die folgenden wichtigen Trends: Dauerhafte volumetrische DDoS-Aktivität mit Angriffen, die 60 Gbits/16 Millionen Pakete pro Sekunde (Mpps) für User Datagram Protocol-(UDP)-Überflutungen und 55 Gbits/60 Mpps für auf dem Transmission Control Protocol (TCP) basierende Angriffe erreichen. Die durchschnittliche Angriffsgröße ist auf 7,39 Gigabits pro Sekunde (Gbits) gestiegen und damit 14 Prozent höher als im 3. Quartal 2013 und 245 Prozent höher als im 4. Quartal Die am häufigsten angegriffene Branche im 4. Quartal war IT-Dienstleistungen/Cloud/SaaS, die ein Drittel aller Minderungsaktivitäten ausmachte und einen Spitzenwert bei knapp über 60 Gbits erreichte. Ein deutlicher Anstieg der Zahl der Angriffe gegen öffentliche Einrichtungen war zu verzeichnen, die 15 Prozent aller von Verisign durchgeführten Minderungsmaßnahmen im 4. Quartal ausmachten. Angriffe gegen den Finanzdienstleistungssektor verdoppelten sich im Vergleich zum letzten Quartal als Prozentsatz sämtlicher Angriffe im Quartal und stellten 15 Prozent aller Minderungsmaßnahmen dar. Die am häufigsten angegriffene Branche: IT-DIENSTLEISTUNGEN/ CLOUD/SAAS 42 Prozent der Angriffe erreichten einen Spitzenwert von mehr als 1 Gbit, wobei 17 % mehr als 10 Gbits des DDoS-Datenverkehrs nutzten. Das Netzzeitprotokoll (Network Time Protocol, NTP) stellt weiterhin die Mehrheit der UDP-basierten Reflektionsverstärkungsangriffe dar, wobei der Angriffsvektor Simple Discovery Protocol (SSDP), der zuerst im 3. Quartal beobachtet wurde, weiterhin zunahm. Artikel des 4. Quartals: DDoS-for-Hire-Dienste bedeuten eine größere Bedrohung für die Unternehmen Die zunehmende Verfügbarkeit von DDoS-for-Hire-Diensten auch bekannt als Booters stellen ein großes Risiko für Sicherheitsexperten dar, da sie nahezu jedem ermöglichen, geschulte Internet-Verbrecher für nur 2 US-Dollar pro Stunde anzuheuern, um einen gezielten DDoS-Angriff zu starten. Der Artikel in diesem Quartal beschreibt, wie dieser böswillige Markt funktioniert, und stellt einige ernüchternde Details dazu vor, wie erschwinglich DDoS-Angriffe geworden sind. 3 3

4 VERISIGN-BERICHT ZU DISTRIBUTED VON VERISIGN BEOBACHTETE DDOS-ANGRIFFSTRENDS: Angriffsminderungen nach Angriffsgröße Die Größe der von Verisign im vierten Quartal 2014 geminderten Angriffe wiesen eine durchschnittliche Spitzengröße von 7,39 Gbits auf (siehe Abbildung 1). Dies stellt einen 14-prozentigen Anstieg der durchschnittlichen Angriffsgröße im Vergleich zum 3. Quartal 2014 (6,46 Gbits) und einen Anstieg von 245 Prozent im Vergleich zum 4. Quartal 2013 dar (2,14 Gbits) ,46 7, Gbps 3,92 4,60 2,14 4. Quartal Quartal Quartal Quartal Quartal Abbildung 1: Durchschnittliche Spitzenangriffsgröße nach Quartal Die DDoS-Angriffsaktivität in der Kategorie von 10 Gbits und höher blieb bei 17 Prozent aller Angriffe hoch, obwohl diese Zahl etwas niedriger im Vergleich zu den 23 Prozent im 3. Quartal war (siehe Abbildung 2). Insgesamt nahmen 42 Prozent der Angriffe mehr als 1 Gbit des Angriffsdatenverkehrs ein, was selbst heute für jedes netzwerkabhängige Unternehmen eine hohe Bandbreite für die Überbereitstellung von DDoS-Angriffen bedeutet. 100 >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps Prozent 1. Quartal Quartal Quartal Quartal Abbildung 2: Spitzenangriffsminderungen 2014 nach Kategorie 4 4

5 VERISIGN-BERICHT ZU DISTRIBUTED Der größte volumetrische UDP-basierte DDoS-Angriff, der von Verisign im 4. Quartal gemindert wurde, galt einem Kunden aus dem Sektor IT-Dienstleistungen/Cloud/SaaS. Dabei handelte es sich primär um einen NTP-Reflektionsangriff, der auf Port 443 abzielte und einen Spitzenwert bei 60 Gbits und 16 Mpps erreichte. Der Angriff blieb mehr als 24 Stunden bei der Rate von 60 Gbits und dient als weiteres Beispiel dafür, dass die Botnet-Kapazität und Angriffsnachhaltigkeit von einigen Unternehmen kaum bewältigt werden können. Der größte TCP-basierte Angriff war eine SYN-Flut gegen einen Kunden aus der Medien- und Unterhaltungsbranche. Der Angriff zielte auf einen benutzerdefinierten Spiele-Port ab und erreichte einen Spitzenwert von 55 Gbits und 60 Mpps. ANGRIFFSMINDERUNGEN NACH VERTIKALEN BRANCHEN DDoS-Angriffe sind eine globale Bedrohung und nicht auf eine bestimmte vertikale Branche beschränkt, wie in Abbildung 3 dargestellt. Darüber hinaus erkennt Verisign an, dass die Angriffe nach vertikaler Branche, die in diesem Dokument genannt werden, nur den geschützten Kundenstamm von Verisign widerspiegeln; jedoch können diese Daten bei der Priorisierung von Sicherheitskosten basierend auf den beobachteten Schwachstellen Ihrer Branche für DDoS-Angriffe hilfreich sein. Im 4. Quartal erlebten Kunden aus dem Sektor IT-Dienstleistungen/Cloud/SaaS das größte Angriffsvolumen (siehe Abbildung 3), das ein Drittel aller Angriffe ausmachte und eine Spitzengröße bei knapp über 60 Gbits erreichte. Verisign erwartet, dass sich der Trend von Angriffen gegen den Sektor IT-Dienstleistungen/Cloud/ SaaS fortsetzt, da diese Unternehmen IP-Ressourcen in cloud-basierte s und Infrastrukturen verlagern und ihre Angriffsfläche auf die Vor-Ort-Geräte und öffentliche und private Clouds effektiv vergrößern. IT-Dienstleistungen/Cloud/SaaS 33% Medien- und Unterhaltungsbranche/Content 23% Finanzen 15% E-Commerce/ OnlineWerbung TelekommuÖffentlicher Sektor nikation 15% 0 8% 6% 100 Abbildung 3: Angriffsminderungen nach vertikalen Branchen im 4. Quartal

6 VERISIGN-BERICHT ZU DISTRIBUTED Angriffe gegen den öffentlichen Sektor machten 15 PROZENT der Angriffe im 4. Quartal 2014 aus Kunden aus dem öffentlichen Sektor haben den größten Anstieg an Angriffen erlebt, die 15 Prozent der gesamten im 4. Quartal durchgeführten Minderungen ausmachten. Verisign glaubt, dass der starke Anstieg der Zahl der DDoS-Angriffe im öffentlichen Sektor Angreifern zugeordnet werden kann, die vermehrt DDoS-Angriffe als Taktik für politisch motivierte Aktionen oder Hackeraktivitäten gegen unterschiedliche internationale Regierungsorganisationen und als Reaktion auf unterschiedliche, effektive publik gemachte Ereignisse im Quartal, einschließlich Protesten in Hongkong und Ferguson, MO, nutzten. Wie in den Cyber-Bedrohungen und Trends für idefense 2015 beschrieben, trug die Konvergenz von Online- und physikalischen Protestbewegungen zur vermehrten Nutzung von DDoS-Angriffen während des gesamten Jahres 2014 als Taktik gegen Organisationen, unter anderem im öffentlichen Sektor, bei. Verisign ist ebenfalls der Auffassung, dass die schnelle und wachsende Verfügbarkeit von DDoS-Toolkits und DDoS-as-a--Angeboten im Cyber-Untergrund ebenfalls zum Anstieg der Angriffe im öffentlichen Sektor beigetragen haben könnte. Verisign prognostiziert, dass sich dieser Trend 2015 fortsetzen wird. Der nächstgrößte Anstieg bei der Zahl von Angriffen war in der Finanzindustrie zu verzeichnen. Diese Zahl hat sich verdoppelt und macht 15 Prozent der gesamten Minderungen aus. Wie im Verisign DDoS Trendbericht für das 3. Quartal 2014 beschrieben, war das Vorweihnachtsgeschäft 2014 im 4. Quartal im vollen Gange und Verisign konnte während dieses Zeitraums bisher jedes Jahr einen Anstieg der DDoS-Aktivität gegen Kundenorganisationen beobachten. Verisign hat im Dezember mehr DDoS- Angriffe als in jedem anderen Monat 2014 gemindert. DDoS-ANGRIFFSVEKTOREN UND -MINDERUNG IM NTP-Verstärkung Im 4. Quartal 2014 war der von Verisign am häufigsten beobachtete Angriffsvektor weiterhin UDP-Verstärkungsangriffe, die das Netzzeitprotokoll (NTP) nutzten. Wie in den vorherigen Berichten bereits beschrieben, nutzen viele Unternehmen keine externen Systeme für ihr NTP oder vertrauen diesen nicht. In solchen Fällen kann die Lösung einfach darin bestehen, die Nutzung und die Datenrate der für ein- und ausgehende NTP-Verbindungen genutzten Ports auf die authentifizierten und bekannten Systeme zu beschränken. SSDP-Verstärkung Außerdem beobachtete Verisign, dass das Simple Discovery Protocol (SSDP) in DDoS-Verstärkungsangriffen im 4. Quartal weiterhin ausgenutzt wurde. Verisign empfiehlt eine Prüfung der internen Ressourcen, um sicherzustellen, dass diese nicht ahnungslos bei SSDP-basierten DDoS- Angriffen genutzt werden. Bei den meisten Organisationen ist es nicht erforderlich, dass SSDP-Implementierungen für das Internet zugänglich sind. In diesem Fall muss das Protokoll auf Netzwerkseite bis zu den Netzwerkressourcen des Unternehmens blockiert werden, um es vor diesem speziellen Vektor zu schützen. 6 6

7 VERISIGN-BERICHT ZU DISTRIBUTED Fallstudie: DDoS-FOR-HIRE-DIENSTE BEDEUTEN EINE GRÖSSERE BEDROHUNG FÜR DIE UNTERNEHMEN Eines der häufigsten Themen von DDoSAngriffen im gesamten Jahr 2014 ist, dass die beteiligten Akteure, Strategien und Werkzeuge sich weiterentwickelt und hinsichtlich ihrer Effektivität und Intensität verbessert haben. Wie Sie in den aktuellen Nachrichten vielleicht gelesen haben, sind einige Internet-Verbrecher tatsächlich so kompetent beim Starten von erfolgreichen DDoS-Angriffen geworden, dass sie daraus einen Beruf gemacht haben. Die zunehmende Verfügbarkeit von DDoS-for-Hire-Diensten auch bekannt als Booters stellt ein großes Risiko für Sicherheitsexperten dar, da sie nahezu jedem ermöglichen, geschulte InternetVerbrecher anzuheuern, um einen gezielten DDoS-Angriff zu starten. Name des Dienstes Preis des Dienstes (US-Dollar) Xakepy.cc 1 Stunde ab 5 US-Dollar 24 Stunden ab 30 US-Dollar 1 Woche ab 200 US-Dollar 1 Monat ab 800 US-Dollar World DDoS 1 Tag ab 50 US-Dollar 1 Woche ab 300 US-Dollar 1 Monat ab 1200 US-Dollar King s DDoS 1 Stunde ab 5 US-Dollar 12 Stunden ab 25 US-Dollar 24 Stunden ab 50 US-Dollar 1 Woche ab 500 US-Dollar 1 Monat ab 1500 US-Dollar MAD DDoS 1 Nacht ab 35 US-Dollar 1 Woche ab 180 US-Dollar 1 Monat ab 500 US-Dollar Gwapo s Professional DDoS 1-4 Stunden ab 2 US-Dollar pro Stunde 5-24 Stunden ab 4 US-Dollar pro Stunde Stunden ab 5 US-Dollar pro Stunde 1 Monat pauschal ab 1000 US-Dollar Seit ihrer Einführung 2010 haben sich DDoS-for-Hire-Dienste hinsichtlich ihres 1 Stunde für 6 US-Dollar Erfolgs und ihrer Beliebtheit weiterentwickelt 1 Nacht für 60 US-Dollar PsyCho 1 Woche für 380 US-Dollar DDoS und können heute überraschenderweise 1 Monat für 900 US-Dollar für ein erstaunlich geringe Gebühr bezogen 1 Nacht für 50 US-Dollar werden; viele kosten lediglich 5 US-Dollar DDoS 911 pro Stunde und einige gar nur 2 USDollar pro Stunde (siehe Abbildung 41), 1 Tag für 70 US-Dollar Blaiz DDoS 1 Woche ab 450 US-Dollar gemäß einer von Verisign durchgeführten Studie zu idefense Security Intelligence 1 Tag ab 50 US-Dollar Critical DDoS 1 Woche ab 300 US-Dollar s. Außerdem kann man massive und 1 Monat ab 900 US-Dollar nachhaltige Angriffe für nur 800 US-Dollar für einen gesamten Monat durchführen 1 Tag ab 50 US-Dollar No. 1* DDoS_ 1 Woche ab 300 US-Dollar lassen. Was vielleicht noch beunruhigender SERVICE 1 Monat ab 1000 US-Dollar ist, ist dass DDoS-for-Hire-Dienste in den letzten paar Jahren erstaunlich raffiniert Abbildung 4: Preisliste für ausgewählte DDoS-for-Hire-Dienste dabei geworden sind, unter dem Radar von Behörden zu arbeiten und nicht entdeckt zu werden. 1 Verisign idefense Security Intelligence s,

8 VERISIGN-BERICHT ZU DISTRIBUTED Angesichts ihrer Rechtswidrigkeit werden DDoS-for-Hire-Dienste für gewöhnlich im Geheimen beauftragt. Wie Sie sich vermutlich denken können, sind offen beworbene DDoS-Dienste sehr selten und führen oft zu Verhaftungen. Um dies zu umgehen, bewerben Botnet-Betreiber ihre DDoS-Dienste meistens in Untergrundforen und geben dabei oft ihre speziellen Dienste, Preise und Leistungszusicherungen an. Natürlich ist es riskant, Booters zu beauftragen. Im Grunde genommen sucht die beauftragende Partei einen Partner, der eine Straftat mit ihr begeht; sich zu entscheiden, welche Parteien vertrauenswürdig und kompetent sind, ist gewiss nicht einfach. Diesbezüglich hat die Reputation eines Dienstes innerhalb dieser Foren enormen Einfluss auf seinen Gesamterfolg. So verfolgen einige unerschrockene Akteure gelegentlich kreativere Werbemaßnahmen: Die Betreiber des Gwapo DDoS-Dienstes zum Beispiel hat auf YouTube Videos veröffentlicht, die ahnungslose Akteure beim Lesen eines Skripts zeigten, um den DDoS- zu erklären, und die potenzielle Käufer baten, die Betreiber per zu kontaktieren. Eine der profiliertesten Werbungen für einen DDoS-Dienst 2014 stammte von der DDoS-Gruppe Lizard Squad. Seit August 2014 hat die Gruppe die Verantwortung für Angriffe gegen mehrere Online-Spieledienste übernommen, einschließlich dem PlayStation Network (PSN) von Sony Corp. und Xbox Live von Microsoft Inc. PSN und Xbox Live waren beide durch DDoS-Angriffe am 25. Dezember 2015 längere Zeit online nicht erreichbar. Nach den erfolgreichen Weihnachtsangriffen begann Lizard Squad, den Betrieb seines eigenen DDoS-Dienstes mit dem Namen LizardStresser zu bewerben, der zwischen 5,99 US-Dollar bis 119,99 US-Dollar pro Anwendungsmonat kostet. In einem Interview meinte ein angebliches Mitglied der Gruppe der technischen Internetseite DailyDot, dass diese beachtlichen Angriffe dazu dienten, die Nachfrage für den DDoS-Dienst der Gruppe zu erhöhen.2 Der Geldtransfer stellt zusätzliche Hindernisse und Risiken für DDoS-for-Hire-Dienste und ihre Kunden dar, da die meisten Scheck- und Kartenzahlungen Aufzeichnungen generieren, die zu einer der beiden beteiligten Parteien führen können. Stattdessen werden für die meisten dieser finanziellen Transaktionen verschiedene Online-Währungen, unter anderem Bitcoin, verwendet, mit denen die beteiligten Parteien Geschäfte tätigen und gleichzeitig anonym bleiben und das Risiko für Ermittlungen reduzieren können. FAZIT Angesichts der schnellen Verfügbarkeit von DDoS-as-a--Angeboten und der zunehmenden Erschwinglichkeit dieser Dienste sind Unternehmen jeder Größe mehr denn je dem Risiko ausgesetzt, einem DDoS-Angriff zum Opfer zu fallen, der die Netzwerkverfügbarkeit und -produktivität beeinträchtigt und nicht nur große Verluste bei den Online-Einnahmen verursachen, sondern auch den unschätzbaren Ruf des Unternehmens und das Kundenvertrauen schädigen kann. Wachsam zu sein und die Funktionen dieser Dienste sowie die kombinierten Bemühungen der Akteure, die sie verkaufen und einsetzen, zu verstehen, sind sicherlich der Schlüssel dazu, DDoS-Bedrohungen jetzt und in Zukunft zu bekämpfen. 2 Turton, William. Lizard Squad s Xbox Live, PSN attacks were a marketing scheme for new DDoS service. DailyDot. 30. Dezember VerisignInc.com 2015 VeriSign, Inc. Alle Rechte vorbehalten. VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder nicht registrierte Marken von VeriSign, Inc. und deren Tochtergesellschaften in den Vereinigten Staaten und in anderen Ländern. Alle anderen Handelsmarken sind das Eigentum ihrer jeweiligen Inhaber. Verisign Public