KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

Transkript

1 KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1

2 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das Unternehmen XYZ (Name zum Schutz der Kundenidentität geändert), das die Managed Security Services der NTT Group nutzt, wurde Ziel eines DDoS-Angriffs (Distributed Denial of Service). Der DDoS-Angriff auf der Anwendungsebene, der in dieser Variante bisher eher selten eingesetzt wurde, galt der Webanwendung und erfolgte mit weniger als einem Megabit pro Sekunde. Damit unterschied sich dieser DDoS-Angriff wesentlich von vielen der großen, verteilten Angriffe, mit denen es NTT täglich im globalen Backbone für seine Kunden zu tun hat. 2

3 CHRONOLOGIE DER EREIGNISSE CHRONOLOGIE DER EREIGNISSE DATUM EREIGNIS 1. TAG Möglicher DDoS-Angriff auf Anwendungsebene wird erkannt Der Vorfall wird an den Kunden der NTT Group eskaliert Das Team stellt keine betrieblichen Störungen fest, die Verzögerungen hervorrufen und auf einen Angriff hindeuten Vom Internetanbieter (ISP) des Kunden werden die Logs angefordert Eine genaue Analyse zeigt, dass sich ein Angreifer eine WordPress-Funktion zunutze macht Abwehrmaßnahmen werden ermittelt. Eine Signatur wird erstellt, getestet und implementiert Der Kunde kann den Angriff vollständig abwehren Die Eskalation der bereinigten Details zu den beim Angriff gesendeten Datenpaketen wird an das Unternehmen übermittelt, das für die Verhinderung von DoS-Angriffen verantwortlich ist Der Vorfall dauert gerade einmal 5,5 Stunden. Nach Vorliegen der ISP-Logs verstreichen nur 1,5 Stunden 7. TAG Die neue offizielle Signatur wird implementiert BESCHREIBUNG DER EREIGNISSE Im Frühjahr 2014 stellten die Sicherheitsexperten der NTT Group in einem Security Operations Center (SOC) einen DDoS-Angriff fest. Sie beobachteten ungewöhnliche Antworten von verschiedenen Systemen in der überwachten Umgebung eines Kunden. Daraufhin führte die NTT Group gemeinsam mit dem betroffenen Unternehmen, dessen IT-Dienstanbieter und ISP weitere Untersuchungen durch. Dem Team war schnell klar, dass 3

4 die längere Reaktionszeit der Anwendung nicht auf Wartungsarbeiten oder Netzwerkhardware zurückzuführen war. Das SOC-Team von NTT forderte die relevanten Logs an. Genauere Untersuchungen ergaben, dass die Angreifer die legitime WordPress-Funktion Pingback für ihren DDoS-Angriff nutzten. Nachdem die Sicherheitsexperten der NTT Group den Angriff einordnen konnten, waren sie in der Lage, eine Signatur zu entwickeln, zu testen und zu implementieren, um zukünftige Angriffe zu verhindern. Nach erfolgreicher Abwehr des Angriffs wurde das für die Abwehr von DoS-Angriffen verantwortliche Unternehmen über den Vorfall und die Abwehrmaßnahmen der NTT Group informiert. Daraufhin entwickelte und implementierte das Unternehmen eine offizielle Signatur, die auch allen anderen Kunden zur Verfügung gestellt wurde. URSACHE Der Angriff fand auf der Anwendungsebene statt und zielte darauf ab, alle Ressourcen der angegriffenen Webanwendung zu beanspruchen. Aufgrund des geringen Datenvolumens gab es jedoch keine Beeinträchtigung beim Netzwerkzugriff auf die Website. Das ist typisch für Angriffe auf Anwendungsebene und macht es so schwierig, sie vom normalen Datenverkehr einer Website zu unterscheiden. Wegen der geringen Bandbreite hatte der Angriff auch keine Auswirkungen auf andere Anwendungen, die denselben Internetzugang nutzen. Den Angreifern gelang es über die WordPress-Funktion, sich der legitimen und als sicher eingestuften Server von Drittanbietern zu bemächtigen und scheinbar legitime HTTP-Anfragen an die Webserver des Unternehmens abzusetzen. Auf der Website des angegriffenen Unternehmens wurde WordPress nicht ausgeführt

5 Pingback ist bei WordPress standardmäßig aktiviert und wird für Querverweise zwischen Blogs verwendet. Die Angreifer können die Ziel-URL fälschen, sodass die WordPresse-Site die Website des angegriffenen Unternehmens kontaktiert, um zu überprüfen, ob der Pingback tatsächlich von dort kommt. Der Pingback-Angriff macht sich legitime HTTP-Anfragen zunutze, die Abfrage enthält jedoch einen willkürlichen Wert, der sich bei jeder Anfrage ändert. Die willkürliche Anfrage macht den Angriff so effektiv, weil die Website gezwungen wird, die Seite bei jeder eingehenden Anfrage neu zu laden. Puffer- und Cachespeicher, die eigentlich die Last für den Webserver reduzieren, werden damit umgangen. Für das ständige neue Laden der Seite werden sehr viele Anwendungsressourcen benötigt, was zu einem DoS-Fehler (Denial of Service) der betroffenen Website führen kann. Das gilt besonders für Webseiten mit umfangreichen Medieninhalten. Bei dieser Art von WordPress-Angriff werden legitime WordPress-Sites gegen die ahnungslosen Opfer eingesetzt. Es gibt Beispiele für WordPress-Angriffe, bei denen über WordPress-Sites zum Senden von Pingback-Anfragen an ein einziges Unternehmen missbraucht wurden. Einige Monate später gab es einen erneuten Angriffsversuch mit derselben Art von WordPress-DDoS-Angriff auf diesen Kunden sowie mehrere Finanz- und Transportunternehmen. Die Website eines Finanzinstituts wurde über eine Stunde lang lahmgelegt. Andere Unternehmen hatten bis zu 12 Stunden mit verschiedenen Beeinträchtigungen zu kämpfen. Dagegen waren die Kunden der NTT Group nicht nennenswert beeinträchtigt. 5

6 KOSTEN DES VORFALLS Ausgehend von Gesprächen mit dem Unternehmen XYZ schätzte die NTT Group die tatsächlichen Kosten infolge des Vorfalls als gering ein, weil er schnell erkannt und behoben werden konnte. Der Großteil der Kosten entfiel auf Koordination, Kommunikation und Dokumentation der gewonnenen Erkenntnisse. KOSTEN DES VORFALLS POSTEN Kosten für Untersuchung, Behebung und professionelle Unterstützung bei der Behandlung des Vorfalls KOSTEN unter $ Kosten für Rechts- und PR-Beratung 0 $ Verlust aufgrund der Nichtverfügbarkeit der Website gering Direkt durch das Ereignis verursachte Gesamtkosten unter $ Gesamtkosten durch Folgeangriffe (nach Implementierung der Signaturen) 0 $ Abbildung: Kosten infolge des erfolgreich abgewehrten DDoS-Angriffs FAZIT DER FALLSTUDIE Untersuchungen der NTT Group zeigen, dass DoS-Angriffe weitverbreitet sind und eine Gefahr für jedes Unternehmen mit Internetpräsenz darstellen. Im beschriebenen Fall hatte das Unternehmen XYZ proaktiv Maßnahmen zur Abwehr von DoS-/DDoS-Angriffen eingeleitet. Als der Angriff auf die Webanwendung aufgedeckt wurde, bekamen ihn Experten sofort in den Griff. Erfahrene SOC-Analysten untersuchten und implementierten effektive und nachhaltige Abwehrmaßnahmen. Als das Unternehmen XYZ erneut das Ziel von WordPress-Angriffen wurde, blieb es von Ausfällen verschont. 6

7 ABWEHR VON DOS-/DDOS-ANGRIFFEN AUF WEBANWENDUNGEN Serviceausfälle beeinträchtigen nicht nur die Kundeninteraktionen, sondern schaden auch dem Ruf eines Unternehmens. Es gibt verschiedene Arten von DoS-/DDoS-Angriffen und demnach auch kein allgemein gültiges Rezept dagegen. Mit einer proaktiven Abwehr auf mehreren Ebenen und soliden Richtlinien können diese Angriffe jedoch verhindert und damit ihre Auswirkungen minimiert werden. Die folgenden Empfehlungen können DoS-/DDoS-Angriffe eindämmen: Unternehmensweite Risikoanalyse: Ermitteln Sie wichtige Daten und Anwendungen in Ihrem Unternehmen und setzen Sie sich mit den möglichen Auswirkungen verschiedener Angriffe auf Ihr Unternehmen auseinander. Wenn die Website Ihres Unternehmens durch einen Angriff lahmgelegt werden könnte und dadurch ein messbarer Schaden für Ihr Unternehmen entstehen würde, sollten Sie Strategien zur Abwehr von DoS-/DDoS-Angriffen in die Sicherheitspläne Ihres Unternehmens aufnehmen. Formale DoS-/DDoS-Abwehrstrategie: Stellen Sie sicher, dass Ihre Abwehrstrategie Vorgaben zur Vermeidung und Abwehr von DoS-/ DDoS-Angriffen umfasst. DoS-/DDoS-Verteidigungsstrategie auf mehreren Ebenen: Prüfen Sie lokale, cloud- und ISP-basierte Lösungen unter Berücksichtigung aller Aspekte Ihrer Umgebung. Nicht alle Dos-/DDoS-Angriffe sind gleich. Bei langsamen Angriffen auf Anwendungsebene mit wenig Datenverkehr ist eine andere Taktik gefordert als bei Reflection-Angriffen, die zu einer Überflutung der Netzwerkebene führen. Ausloten der ISP-Optionen: Erstellen Sie eine genaue Kontaktliste mit Namen und Telefonnummern aller ISP und Drittanbieter, damit Sie sie im Bedarfsfall unverzüglich kontaktieren können. Sprechen Sie mit Ihrem ISP darüber, wie er Sie bei der Erkennung und Behebung von DoS-/ DDoS-Angriffen unterstützen kann, bevor der Ernstfall eintritt. 7

8 Reflektieren der gewonnenen Erkenntnisse: Reflektieren Sie nach einem DoS /DDoS-Angriff erfolgreich oder nicht die gewonnenen Erkenntnisse, um auf zukünftige Angriffe besser vorbereitet zu sein. Testen der Umgebung: Testen Sie Ihre zugänglichen Systeme, um Grenzen und Schwachstellen aufzudecken und zu beheben, bevor sie Ziel eines Angriffs werden. Monitored und Managed Security Services: Prüfen Sie, welche Services zur Abwehr und Analyse von DoS-/DDoS-Angriffen von Ihrem MSS-Anbieter unterstützt werden. Informieren Sie sich vorab über die jeweiligen Funktionen und darüber, wie die Services von Drittanbietern mit anderen verfügbaren Ressourcen kombiniert werden können. Lesen Sie mehr online im Global Threat Intelligence Report: 8