Anzeige
SECURITY24. Juli 2014

Botnet “itsoknoproblembro” ist immer noch gepflegt und aktiv

Quelle: tashatuvango/bigstock.com
Quelle: tashatuvango/bigstock.com
Der vierteljährlich erscheinende Global DDoS Attack Report von Prolexic (einer Akamai-Tochter) zeichnet ein leicht verändertes Bild im Vergleich zu den Vorquartalen: Ziele sind PaaS-& SaaS-Anbieter, sowie weit verbreitete CMS-Versionen.

Beim Aufbau von Server-seitigen Botnetzen zielten die Angreifer vermehrt auf Platform-as-a-Service (PaaS)- und Software-as-a-Service (SaaS)-Anbieter, deren Server-Instanzen unter Software mit bekannten Sicherheitslücken laufen, dazu zählen etwa bestimmte Versionen des LAMP-Stacks (Linux, Apache, MySQL, PHP) oder von Microsoft Windows Server. Angriffsobjekte waren auch unsichere Versionen weit verbreiteter Content-Management-Systeme (CMS) wie WordPress und Joomla oder deren Plugins.

Während der Einsatz von Server-seitigen Botnetzen weiter angestiegen ist, bleibt auch das mit einer PHP-Injection arbeitende Botnetz “itsoknoproblembro” (Brobot) weiterhin eine Bedrohung. Verschiedene Attacken im zweiten Quartal 2014 liefern Belege dafür, dass das Botnetz auch nach seinem Einsatz in der Angriffsserie “Operation Ababil” auf Finanzinstitute in den Jahren 2011 bis 2013 voll funktionsfähig bleibt. Wer glaubte, die Gefahr sei bereits gebannt, wird jetzt eines Besseren belehrt, denn es scheint, als ob das Botnetz weiterhin gepflegt wird und nach wie vor aktiv ist.

DDoS-Angriffstypen Quelle: Prolexic Global DDoS Attack Report Q2/2014
DDoS-Angriffstypen Quelle: Prolexic Global DDoS Attack Report Q2/2014
Die Zahl der Reflection- und Amplification-Attacken ist im zweiten Quartal 2014 im Vergleich zum zweiten Quartal 2013 weiter angestiegen; auf sie entfielen 15 Prozent aller Infrastruktur-Attacken. Diese nutzen die Funktionalität der eingesetzten Internetprotokolle und falsch konfigurierter Server aus. Während die Zahl der NTP-Reflection-Attacken im zweiten Quartal 2014, wahrscheinlich aufgrund von Aufräumarbeiten der Community, stark zurückging, war bei den SNMP-Reflector-Attacken eine Zunahme zu verzeichnen, die so die Lücke füllte.

Vergleich zum zweiten Quartal 2013

 Ein Anstieg um 22 Prozent bei der Gesamtzahl der DDoS-Attacken

 Ein Anstieg um 72 Prozent der durchschnittlichen Bandbreite, mit der die Attacken ausgeführt wurden

 Ein Anstieg um 46 Prozent bei den Infrastruktur-Attacken auf Layer 3 und 4

 Ein Rückgang um 54 Prozent bei der durchschnittlichen Dauer der Attacken von 38 auf 17 Stunden

 Ein Anstieg um 241 Prozent bei der durchschnittlichen Spitzenbandbreite.

Analyse und Trends

Attacken, bei denen Server-seitige Botnetze zum Einsatz kamen, wurden von Akamai nur bei technisch anspruchsvollen und detailliert ausgeführten DDoS-Kampagnen verzeichnet. Diese hochvolumigen Infrastruktur-Attacken wiesen Signaturen auf, die vermutlich eigens dafür entwickelt wurden, um der Erkennung durch DDoS-Abwehrmaßnahmen zu entgehen. Aufgrund der Wirksamkeit der Attacken und der hohen Verbreitung von Sicherheitslücken in cloudbasierter Software ist mit weiteren Angriffen zu rechnen, denn diese können auf dem DDoS-Untergrundmarkt leicht zu Geld gemacht werden. Cyber-Attacken bilden ein erhebliches Gefahrenpotenzial für Unternehmen, Regierungen und andere Organisationen. Diese und weitere Trends werden im Prolexic Global DDoS Attack Report für das zweite Quartal 2014 detailliert diskutiert. Er steht zum Download bereit unter www.prolexic.com/attackreports

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert