- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Die Rückkehr der PBot-Malware


Angriffe auf Webanwendungen- und DDOS-Angriffe haben wieder zugenommen
Domain Generation Algorithms − Der Zusammenhang zwischen Mirai-C2 und Angriffszielen

- Anzeigen -





Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal.

Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

Bedrohung durch Domain Generation Algorithms
Eine weitere altbekannte Bedrohung ergab sich aus der Analyse des Enterprise Threat Research Teams von Akamai. Dieses untersuchte die Nutzung von Domain Generation Algorithms (DGA) in Command-and-Control-Malware-Infrastrukturen (C2). DGA trat zum ersten Mal 2008 im Zusammenhang mit dem Conficker-Wurm in Erscheinung und wird seit jeher häufig als Kommunikationstechnik für moderne Malwarebedrohungen verwendet.

Das Team fand heraus, dass infizierte Netzwerke 15 Mal höhere DNS-Abfrageraten als saubere Netzwerke generieren. Diese lassen sich durch die Abfrage der von der Malware zufällig generierten Domänen in den infizierten Netzwerken erklären. Da die meisten generierten Domänen nicht registriert waren, wurden durch die Abfrage aller Domänen eine Vielzahl von Ressourcen aufgewendet. Die Analyse von Verhaltensunterschieden zwischen infizierten und sauberen Netzwerken ist eine wichtige Methode, um Malwareaktivitäten zu erkennen.

Mirai trägt zur Kommerzialisierung von DDoS bei
Als das Mirai-Botnet im September des vergangenen Jahres entdeckt wurde, war Akamai eines der ersten Ziele. Die Unternehmensplattform war kontinuierlichen Angriffen des Mirai-Botnets ausgesetzt, konnte diese jedoch erfolgreich abwehren. Das Forschungsteam von Akamai hat sich die einzigartigen Einblicke in Mirai zunutze gemacht, um die verschiedenen Aspekte des Botnets zu studieren. Der Fokus im 2. Quartal lag dabei auf der C2-Infrastruktur.

Die Forschungsergebnisse von Akamai deuten stark darauf hin, dass Mirai, ebenso wie andere Botnets, nun zur Kommerzialisierung von DDoS beitragen. Während viele C2-Nodes dedizierte Angriffe gegen ausgewählte IPs durchführten, führten sogar noch mehr sogenannte "Pay-for-Play"-Attacken durch. Dabei griffen die C2-Nodes von Mirai IPs kurzzeitig an, wurden inaktiv und tauchten anschließend wieder auf, um andere Ziele zu attackieren.

"Angreifer suchen stets nach Schwachstellen in der Abwehr von Unternehmen. Je verbreiteter und effektiver die Schwachstelle, desto mehr Energie und Ressourcen investieren die Hacker darin", sagt Martin McKeay, Senior Security Advocate bei Akamai. "Ereignisse, wie das Mirai-Botnet, die Exploits von WannaCry und Petya, die stetige Zunahme von SQLi-Angriffen und die Rückkehr von PBot zeigen uns, dass Angreifer nicht immer nur neue Methoden ausprobieren, sondern auch gerne auf Altbewährtes zurückgreifen."

Das 2. Quartal 2017 in Zahlen:

>> Die Zahl der DDoS-Angriffe im 2. Quartal 2017
haben im Vergleich zum ersten Quartal um 28 Prozent zugenommen, nachdem die Zahlen über drei Quartale hinweg rückläufig waren.

>> Die DDoS-Attacken sind hartnäckiger als je zuvor. Durchschnittlich griffen sie Ziele 32 Mal im gesamten Quartal an. Ein Gaming-Unternehmen wurde allein 558 Mal angegriffen. Das entspricht durchschnittlich sechs Attacken pro Tag.

>> Mit einem globalen Gesamtanteil von 32 Prozent war Ägypten das Ursprungsland mit der höchsten Anzahl an eindeutigen IP-Adressen, die in häufigen DDoS-Angriffen verwendet wurden. Im letzten Quartal standen noch die USA an der Spitze und Ägypten war nicht einmal unter den Top 5 zu finden.

>> In diesem Quartal wurden weniger Geräte zur Durchführung von DDoS-Angriffen verwendet. Die Anzahl der in volumetrischen DDoS-Angriffen verwendeten IP-Adressen fiel von 595.000 um 98 Prozent auf 11.000.

>> Angriffe auf Webanwendungen nahmen im Quartalsvergleich um fünf Prozent und im Jahresvergleich um 28 Prozent zu.

>> Mehr als die Hälfte der Angriffe über Webanwendungen wurde im vergangenen Quartal mittels SQLi-Attacken getätigt. Zuvor waren es noch 44 Prozent. Das entspricht etwa 185 Millionen Warnungen im 2. Quartal.

Methodik
Der "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform. Die am "State of the Internet"-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus den verschiedensten Abteilungen von Akamai. Hierzu zählen u. a. das Intelligence Response Team (SIRT), die Threat Research Unit sowie die Bereiche Information Security und Custom Analytics.
(Akamai Technologies: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 26.10.17


Akamai: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Gefälschte Office-365-Mails im Umlauf

    Die Sicherheitsexperten von Retarus warnen vor einer besonders perfiden Phishing-Angriffswelle: Derzeit befinden sich personalisierte Phishing-Mails in einem täuschend echten Microsoft-Layout im Umlauf, die den Empfänger unter anderem zu einer zweifachen Passwort-Eingabe auffordern. Retarus empfiehlt daher die sorgfältige Überprüfung enthaltener Links. Zusätzlichen Schutz bieten spezielle E-Mail-Security-Lösungen mit umfangreicher Phishing-Filterung und modernen Funktionen für die Advanced Threat Protection.

  • In Asien verheerende Schäden angerichtet

    Die Cyberspionage-Infrastruktur "PZChao" hat seit spätestens Juli 2017 Behörden, Bildungseinrichten und Technologie- und Telekommunikationsunternehmen angegriffen. Jetzt legt Bitdefender erstmals eine detaillierte Analyse zu PZChao vor: Der Malware-Werkzeugkasten, der vor allem auf Ziele in Asien und den USA ausgerichtet ist, verfügt über eine umfassende Infrastruktur zur Auslieferung von Komponenten und eine Fernzugriffskomponente, die eine feindliche Übernahme des kompromittierten Endgeräts erlaubt - bis hin zur Live-Verwendung von Mikrofon und Kamera. Überraschenderweise ebenfalls enthalten: ein Cryptominer, um Bitcoins zu schürfen - dies wurde in derart gezielten Attacken bisher nicht beobachtet.

  • Bösartige Aktivität von AdultSwine

    Sicherheitsforscher von Check Point Software Technologies haben einen neuen bösartigen Code im Google Play Store entdeckt, der sich in fast 60 Kinderspiel-Apps versteckt. Nach Angaben von Google Play wurden die Apps bisher zwischen 3 und 7 Millionen Mal heruntergeladen.Die Malware, AdultSwine genannt, richtet in dreierlei Hinsicht verheerenden Schaden an.

  • Mehrstufige Spyware ermöglicht Fernsteuerung

    Experten von Kaspersky Lab haben mit der Spyware ‚Skygofree' ein sehr fortschrittliches mobiles Implantat entdeckt. Die Android-Spionage-Malware ist seit dem Jahr 2014 aktiv und wurde für zielgerichtete Cyberüberwachung entwickelt, möglicherweise auch für offensive Cyberoperationen. Zu den fortschrittlichen Funktionen von Skygofree zählt beispielsweise die Möglichkeit, standortbasierte Audioaufnahmen über infizierte Geräte zu machen. Die Spyware wird über Internetseiten, die Seiten führender Mobilfunknetzbetreiber imitieren sollen, verbreitet.

  • Point-of-Sale-Malware "LockPOS"

    Die "LockPOS" genannte Point-of-Sale-Malware wurde erstmals 2017 beobachtet. Es handelt sich um einen Infostealer, der Daten von Zahlungskarten wie Kreditkarten aus dem Speicher der betroffenen Point-of-Sale-Systeme abzieht. Sicherheitsanalyst Henok Asfaw, Senior Threat Researcher beim Spezialisten für KI-basierende Malware-Abwehr bei Cylance, hat sich die jüngste Variante von LockPOS in seinem aktuellen Blog genauer angesehen. LockPOS hat - wie dokumentiert - die Injection-Technik so verändert, dass sie die Malware nun direkt im Kernel, also dem Betriebssystemkern, platziert. Das macht es bedeutend schwieriger die Schadsoftware aufzudecken und dient in erster Linie dazu traditionell arbeitende Antivirenlösungen zu umgehen.