DDoS-Angriffe nehmen zu
Service Provider verstärkt über DDoS angegriffen
77 Prozent der dokumentierten Sicherheitsvorfälle im Jahr 2019 waren DDoS-Attacken
Eine aktuelle Studie von F5 Labs zeigt, dass Distributed Denial-of-Service (DDoS)-Angriffe auf Service Provider derzeit deutlich zunehmen1. Die Analyse der Daten zu den weltweiten Sicherheitsvorfällen – sowohl im Mobilfunk- als auch im Festnetz – ergab auch, dass Brute-Force-Angriffe zwar immer noch weit verbreitet sind, aber insgesamt abnehmen. Außerdem gab es zahlreiche Web-Injection-Attacken und Angriffe auf Geräte. "Generell haben die Service Provider wichtige Fortschritte bei der Absicherung ihrer Netzwerke erreicht, aber es ist noch immer Luft nach oben. Dies gilt insbesondere für die frühzeitige Erkennung von Angriffen – ohne die Skalierbarkeit und den Kundenservice zu beeinträchtigen", sagt Malcolm Heath, Senior Threat Research Evangelist F5 Labs.
DDoS-Angriffe waren zwischen 2017 und 2019 mit 49 Prozent aller gemeldeten Vorfälle die bei weitem größte Bedrohung für Service Provider. Dabei gab es einen starken Anstieg in diesem Zeitraum: Der Anteil der DDoS-Angriffe wuchs auf 77 Prozent, gegenüber nur 25 Prozent im Jahr 2017. Denial-of-Service-Angriffe im Umfeld der Service Provider geschehen in der Regel kundenorientiert (z.B. DNS) oder konzentrieren sich auf Anwendungen, mit denen der Kunde beispielsweise Rechnungen einsehen oder seine Nutzung überwachen kann. Die meisten Angriffe erfolgten auf Basis ausgelesener Informationen von der Kundendatenbank des Service Providers. Viele dieser Angriffe, insbesondere die DNS-bezogenen Vorfälle, nutzen die Ressourcen des Dienstanbieters, um Dritte anzugreifen. Die Mehrheit der Vorfälle waren Formen von DNS-DDoS-Angriffen, etwa Reflection- und Water-Torture-Attacken.
Reflection-Angriffe nutzen vom Dienstanbieter gehostete Ressourcen (wie DNS und NTP), um den gefälschten Datenverkehr zu spiegeln, sodass die Antworten des fremdgesteuerten Dienstes an das Ziel und nicht an den Initiator gehen.
DNS "Water Torture" ist eine Form des Reflection-Angriffs, bei dem absichtlich falsche Abfragen verwendet werden, um eine erhöhte Belastung der Ziel-DNS-Server zu erzeugen. Die Anfragen durchlaufen jedoch immer noch die lokalen DNS-Server des Dienstanbieters. Dies führt zu einer erhöhten Belastung und gelegentlich zum Denial of Service.
Das erste Anzeichen für einen Angriff ist in der Regel zunehmender Traffic im Netzwerk. Andere Warnhinweise sind Kundenbeschwerden über einen zu langsamen Netzwerkdienst oder nicht antwortende DNS-Server. "Entscheidend ist hier, den normalen Netzwerkverkehr schnell mit den für Angriffe typischen Abweichungen zu vergleichen", sagt Heath. "Es ist auch wichtig, schnell eine detaillierte Protokollierung für Netzwerkdienste wie DNS zu aktivieren, um ungewöhnliche Abfragen zu identifizieren."
Weniger Passwort-Hacks
Brute-Force-Angriffe, bei denen in hohem Ausmaß Benutzernamen und Passwörter am Authentifizierungs-Endpunkt ausprobiert werden, waren die am zweithäufigsten gemeldeten Vorfälle. Angreifer verwenden oft Berechtigungsnachweise, die sie bei anderen Angriffen erbeutet haben. Über "Credential Stuffing" nehmen sie andere Dienste ins Visier. Weitere Formen von Brute-Force-Angriffen nutzen einfach gewöhnliche Listen standardisierter Berechtigungspaare (d.h. admin/admin), häufig verwendete Passwörter oder zufällig generierte Zeichenfolgen. F5 Labs beobachtete einen deutlichen Rückgang der Brute-Force-Angriffe, nämlich von 72 Prozent aller Vorfälle im Jahr 2017 auf nur 20 Prozent im Jahr 2019.
Die Angriffe auf Service Provider, die sich auf den Finanzsektor konzentrieren, haben jedoch zugenommen. Zudem stellte F5 Labs fest, dass die ersten Anzeichen für diese Art von Angriffen in der Regel Kundenbeschwerden über gesperrte Zugänge sind – statt automatischer Erkennung. "Die frühzeitige Entdeckung von Angriffen ist auch hier entscheidend", sagt Heath. "Eine Zunahme fehlgeschlagener Anmeldeversuche innerhalb einer kurzen Zeitspanne muss einen Alarm auslösen und entsprechende Reaktionen nach sich ziehen. Zudem ist es wichtig, die weit verbreitete Verwendung der Multi-Faktor-Authentifizierung voranzutreiben, um hartnäckige Angreifer in Schach zu halten."
Kompromittierte Geräte, Web-Angriffe und IoT-Bots
Ebenfalls häufig waren Angriffe auf Geräte innerhalb der Infrastruktur von Service Providern. Hierauf entfielen acht Prozent der Vorfälle im Jahr 2018. In der Regel wurden sie durch einen erhöhten ausgehenden Datenverkehr erkannt, da die angegriffenen Geräte für Denial-of-Service-Attacken zum Einsatz kamen.
Gemäß F5 Labs waren allgemeine Web-Angriffe ebenfalls für acht Prozent aller Vorfälle im Jahr 2019 verantwortlich, vor allem über Injection. Die Angreifer versuchen dabei, Fehler im Code von Webanwendungen zu nutzen, um eigene Befehle auszuführen. Bei einer SQL Injection wollen sie meist Befehle auf Backend-Datenbankservern ausführen, um Daten auszulesen. WAF-Technologien oder Alarme, die von Webserver-Protokollen ausgelöst werden, fangen solche Angriffe normalerweise ab.
Im Internet der Dinge (IoT) war der Bot Annie, eine Variante von Mirai, sehr aktiv. Der Bot tauchte erstmals 2016 auf und zielte auf die benutzerdefinierten Protokolle TR-069 und TR-064 ab. Diese kommen bei ISPs zur Fernverwaltung großer Router-Flotten über Port 7547 zum Einsatz. Obwohl der Entwickler von Annie schon im Dezember 2016 angab, den Bot nicht zu benutzen, sind Angriffe auf Port 7547 immer noch weit verbreitet und haben sich 2019 noch weiter verstärkt. Das Interesse der Angreifer am Remote Management Port 8291 von Mikrotik-Geräten hat in den letzten sechs Monaten ebenfalls exponentiell zugenommen.
F5 Labs analysierte Daten des F5 Security Incident Response Team (F5 SIRT), wobei insbesondere Vorfälle aus den Jahren 2017, 2018 und 2019 untersucht wurden, die von globalen Telekommunikationsanbietern (sowohl Festnetz- als auch Mobilfunkanbieter) gemeldet wurden.
(F5 Networks: ra)
eingetragen: 22.03.20
Newsletterlauf: 20.05.20
F5 Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.