Report zur globalen DDoS-Bedrohungslage
Angreifer nutzen eine Kombination verschiedener Angriffsvektoren nutzen, um komplexere Angriffe mit sowohl hoher Mpps als auch Gbps umzusetzen
Imperva vermutet, dass mit Angriffen mit hoher Mpps versucht wird, die aktuelle Generation DDoS-Schutzlösungen zu umgehen
Jeder abgemilderte DDoS-Angriff ist eine Einladung für die Angreifer, es stärker zu probieren. Imperva teilt diese Informationen in seinem aktuellen dreimonatigen Report zur globalen DDoS-Bedrohungslage, in dem das Unternehmen reale Daten von Tausenden Angriffen gegen seine Kunden analysiert. Dieser Report handelt von den aktuellen Tendenzen bei Angriffen auf Netzwerke und die Anwendungsebene, als auch den Verschiebungen der Aktivität von DDoS-Botnets.
Netzwerkschicht: Multi-Vektor-Angriffe mit hohem Mpps/Gbps
Im vorherigen Bericht von Imperva wurde einer steigenden Anzahl von DDoS-Netzwerkschicht-Floods mit hoher Mpps gegen Kunden Aufmerksamkeit geschenkt. Bei solchen Angriffen werden kleine Netzwerkpakete, die normalerweise nicht größer als 100 Bytes sind, mit einer extrem hohen Geschwindigkeit rausgepumpt, um die Weiterleitungskapazität der Netzwerk-Switches auszureizen, was in einen Denial of Service für legitime Nutzer resultiert.
Die Rate, mit der Pakete verschickt werden, wird in Millionen Pakete pro Sekunde (Mpps) gemessen. Im ersten Quartal 2016 waren Angriffe mit hoher Mpps so häufig wie nie zuvor.
Im Schnitt wehrte Imperva einen Angriff mit über 50 Mpps alle vier Tage und einen mit über 80 Mpps alle acht Tage. Einige dieser Angriffe erreichten mehr als 100 Mpps, wobei eine Spitzenrate von 120 Mpps überschritten wurde.
Imperva vermutet, dass mit Angriffen mit hoher Mpps versucht wird, die aktuelle Generation DDoS-Schutzlösungen zu umgehen. Zur Zeit sind die meisten Sicherheitslösungen und -Vorrichtungen hoch effektiv im Umgang mit Überfällen mit hoher Gbps. Täter finden jedoch heraus, dass viele dieser Lösungen nicht geeignet für Szenarien mit hoher Mpps sind, da sie nicht für die Verarbeitung hoher Paketraten entwickelt wurden.
Hochfrequenter Angriff über die Netzwerkschicht mit Spitzen von über 120 Mpps
Interessanterweise hat Imperva bemerkt, dass viele Angreifer eine Kombination verschiedener Angriffsvektoren nutzen, um komplexere Angriffe mit sowohl hoher Mpps als auch Gbps umzusetzen. Das häufigste Szenario hier war die Kombination aus UDP-Flood mit hoher Mpps und einem datenratenintensiven DNS-Verstärkungsangriff. Ein Ergebnis im ersten Quartal 2016 war die Zunahme von DNS-Verstärkungsangriffen um 6,3 Prozent im Vergleich zum letzten Quartal.
Verteilung von DDoS-Angriffsvektoren, nach Häufigkeit. Dies hat zusätzlich zu einer merklichen Zunahme von Multivektorangriffen geführt.
Insgesamt machen Multivektorangriffe 33,9 Prozent aller Netzwerkschichtangriffe aus, was einem Anstieg von 9,5 Prozent im Vergleich zum vorherigen Quartal entspricht. Das Ausmaß von Multivektorangriffen ist in absoluten Zahlen von 1.326 im letzten Quartal 2015 auf 1.785 im ersten Quartal 2016 gestiegen.
Verteilung von DDoS-Angriffen über die Netzwerkschicht, nach Anzahl der verwendeten Angriffsvektoren
Anwendungsschicht: Smartere DDoS-Bots
Wie im Fall von DDoS-Angriffen über die Netzwerkschicht hat Imperva im ersten Semester 2016 Täter festgestellt, die sich auf Angriffsmethoden konzentrierten, die Sicherheitsmaßnahmen umgehen konnten. Das beste Beispiel hierfür war die zunehmende Anzahl von DDoS-Bots, mit der Fähigkeit, durch Standardsicherheitslösungen zu rutschen, die normalerweise genutzt wurden, um Datenaufkommen der Angreifer auszufiltern.
Die Zahl solcher Bots ist im ersten Quartal 2016 auf 36,6 Prozent des gesamten Bot-Datenverkehrs angewachsen, im Vorquartal lag dieser Wert bei 6,1 Prozent. Zusammengefasst waren 18,9 Prozent in der Lage, Cookies zu akzeptieren und zu speichern, während die anderen 17,7 Prozent auch JavaScript parsen konnten.
Solche Fähigkeiten, wenn sie mit einem legitim erscheinenden HTTP-Fingerabdruck kombiniert werden, machen bösartige Bots unantastbar für die meisten gängigen Detektionsmethoden.
Verteilung der Sitzungen der Angriffe über die Anwendungsschicht, nach Fähigkeiten der Bots
Imperva hat festgestellt, dass Täter zusätzlich zum Einsatz raffinierterer Bots neue Wege zur Durchführung von Angriffen über die Anwendungsschicht erforschen. Der bemerkenswerteste dieser Versuche war ein HTTP/S POST Flood, der extrem große Inhaltslängen anforderte und so versuchte, die Netzwerkverbindung des Ziels zu verstopfen. Schließlich hat Imperva festgestellt, dass die Angriffe weiterhin zunehmen. Im ersten Quartal 2016 wurde jede Seite, die zum Ziel wurde, mehr als ein Mal angegriffen. Die Anzahl der Seiten, die zwischen zwei und fünf Mal angegriffen wurden, stieg von 26,7 Prozent auf 31,8 Prozent.
Verteilung nach Frequenz der Angriffe gegen ein Ziel
Imperva dokumentiert seit dem zweiten Quartal des vergangenen Jahres eine steile Zunahme der DDoS-Aktivitäten aus Südkorea – ein Trend, der dieses Quartal anhält. Dieses Mal, da 29,5 Prozent des anwendungsschichtbezogenen DDoS-Datenverkehrs aus Südkorea stammen, hat dieses Land den Gipfel der angreifenden Länder erklommen.
Bei genauerem Hinsehen kann man an den Daten erkennen, dass das Gros des Datenverkehrs der Angriffe vom südkoreanischen Nitol (52,9 Prozent) und PCRat-Botnets (38,2 Prozent) ausgeht. Über 38,6 Prozent dieser Angriffe waren gegen japanische Websites gerichtet, während 30,3 Prozent in den USA beherbergte Seiten zum Ziel hatten.
Interessanterweise hat Imperva dieses Quartal auch einen steilen Anstieg bei der Verwendung des Generic!BT Schadprogramms beobachtet – einem bekannten Trojaner, mit dem Windows-Rechner kompromittiert werden. Der Trojaner wurde zum ersten Mal 2010 identifiziert und nun werden seine Varianten sichtbar, mit denen weltweit Geräte gekapert werden.
Im ersten Quartal 2016 wurden mittels Generic!BT DDoS-Angriffe von 7.756 einzelnen IPs aus 52 Ländern durchgeführt – hautsächlich aus Osteuropa. Der Großteil dieser Aktivität wurde nach Russland (52,6 Prozent) und die Ukraine (26,6 Prozent) zurückverfolgt. Aus diesem Grund erscheinen beide weiter oben als normal auf der Quartalsliste angreifender Länder.
Auf der Suche nach Schwachpunkten in Schutzlösungen
In den vorherigen Jahren hatten die meisten von Imperva beobachteten Angriffe die Absicht, umfangreichen Schaden an der Infrastruktur zu verursachen. Sie waren typischerweise grobe Floods mit roher Kraft, die mit hoher Kapazität und geringer Subtilität zuschlagen. Hieraus ragten raffiniertere Angriffe als seltenes Ereignis heraus.
Dennoch hat Imperva in den letzten paar Monaten immer mehr Angriffe festgestellt, die Schutzlösungen berücksichtigen. Die Vielfältigkeit der Angriffsmethoden sowie das Experimentieren mit neuen Angriffsvektoren legt nahe, dass mehr Täter nun die Prioritäten neu setzen und Angriffe formen, um DDoS-Schutzlösungen zu Fall zu bringen und nicht nur das Ziel.
Auf der anderen Seite spricht das für die Beliebtheit von DDoS-Schutzdiensten und Vorrichtungen, die zu einem integralen Bestandteil der meisten Sicherheitsperimeter gehören. Auf der anderen Seite illustriert das auch die Herausforderung, der sich die DDoS-Mitigations-Industrie stellen muss – zunehmend mehr ausgefeilte Angriffe, die weiche Punkte ihrer eigenen Technologie ausnutzen. (Imperva: ra)
eingetragen: 06.06.16
Home & Newsletterlauf: 21.06.16
Imperva: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.