- Anzeigen -


Sie sind hier: Home » Virenwarnung » Statistiken

Report zur globalen DDoS-Bedrohungslage


Angreifer nutzen eine Kombination verschiedener Angriffsvektoren nutzen, um komplexere Angriffe mit sowohl hoher Mpps als auch Gbps umzusetzen
Imperva vermutet, dass mit Angriffen mit hoher Mpps versucht wird, die aktuelle Generation DDoS-Schutzlösungen zu umgehen



Jeder abgemilderte DDoS-Angriff ist eine Einladung für die Angreifer, es stärker zu probieren. Imperva teilt diese Informationen in seinem aktuellen dreimonatigen Report zur globalen DDoS-Bedrohungslage, in dem das Unternehmen reale Daten von Tausenden Angriffen gegen seine Kunden analysiert. Dieser Report handelt von den aktuellen Tendenzen bei Angriffen auf Netzwerke und die Anwendungsebene, als auch den Verschiebungen der Aktivität von DDoS-Botnets.

Netzwerkschicht: Multi-Vektor-Angriffe mit hohem Mpps/Gbps
Im vorherigen Bericht von Imperva wurde einer steigenden Anzahl von DDoS-Netzwerkschicht-Floods mit hoher Mpps gegen Kunden Aufmerksamkeit geschenkt. Bei solchen Angriffen werden kleine Netzwerkpakete, die normalerweise nicht größer als 100 Bytes sind, mit einer extrem hohen Geschwindigkeit rausgepumpt, um die Weiterleitungskapazität der Netzwerk-Switches auszureizen, was in einen Denial of Service für legitime Nutzer resultiert.

Die Rate, mit der Pakete verschickt werden, wird in Millionen Pakete pro Sekunde (Mpps) gemessen. Im ersten Quartal 2016 waren Angriffe mit hoher Mpps so häufig wie nie zuvor.

Im Schnitt wehrte Imperva einen Angriff mit über 50 Mpps alle vier Tage und einen mit über 80 Mpps alle acht Tage. Einige dieser Angriffe erreichten mehr als 100 Mpps, wobei eine Spitzenrate von 120 Mpps überschritten wurde.

Imperva vermutet, dass mit Angriffen mit hoher Mpps versucht wird, die aktuelle Generation DDoS-Schutzlösungen zu umgehen. Zur Zeit sind die meisten Sicherheitslösungen und -Vorrichtungen hoch effektiv im Umgang mit Überfällen mit hoher Gbps. Täter finden jedoch heraus, dass viele dieser Lösungen nicht geeignet für Szenarien mit hoher Mpps sind, da sie nicht für die Verarbeitung hoher Paketraten entwickelt wurden.

Hochfrequenter Angriff über die Netzwerkschicht mit Spitzen von über 120 Mpps
Interessanterweise hat Imperva bemerkt, dass viele Angreifer eine Kombination verschiedener Angriffsvektoren nutzen, um komplexere Angriffe mit sowohl hoher Mpps als auch Gbps umzusetzen. Das häufigste Szenario hier war die Kombination aus UDP-Flood mit hoher Mpps und einem datenratenintensiven DNS-Verstärkungsangriff. Ein Ergebnis im ersten Quartal 2016 war die Zunahme von DNS-Verstärkungsangriffen um 6,3 Prozent im Vergleich zum letzten Quartal.

Verteilung von DDoS-Angriffsvektoren, nach Häufigkeit. Dies hat zusätzlich zu einer merklichen Zunahme von Multivektorangriffen geführt.

Insgesamt machen Multivektorangriffe 33,9 Prozent aller Netzwerkschichtangriffe aus, was einem Anstieg von 9,5 Prozent im Vergleich zum vorherigen Quartal entspricht. Das Ausmaß von Multivektorangriffen ist in absoluten Zahlen von 1.326 im letzten Quartal 2015 auf 1.785 im ersten Quartal 2016 gestiegen.

Verteilung von DDoS-Angriffen über die Netzwerkschicht, nach Anzahl der verwendeten Angriffsvektoren

Anwendungsschicht: Smartere DDoS-Bots
Wie im Fall von DDoS-Angriffen über die Netzwerkschicht hat Imperva im ersten Semester 2016 Täter festgestellt, die sich auf Angriffsmethoden konzentrierten, die Sicherheitsmaßnahmen umgehen konnten. Das beste Beispiel hierfür war die zunehmende Anzahl von DDoS-Bots, mit der Fähigkeit, durch Standardsicherheitslösungen zu rutschen, die normalerweise genutzt wurden, um Datenaufkommen der Angreifer auszufiltern.
Die Zahl solcher Bots ist im ersten Quartal 2016 auf 36,6 Prozent des gesamten Bot-Datenverkehrs angewachsen, im Vorquartal lag dieser Wert bei 6,1 Prozent. Zusammengefasst waren 18,9 Prozent in der Lage, Cookies zu akzeptieren und zu speichern, während die anderen 17,7 Prozent auch JavaScript parsen konnten.

Solche Fähigkeiten, wenn sie mit einem legitim erscheinenden HTTP-Fingerabdruck kombiniert werden, machen bösartige Bots unantastbar für die meisten gängigen Detektionsmethoden.

Verteilung der Sitzungen der Angriffe über die Anwendungsschicht, nach Fähigkeiten der Bots
Imperva hat festgestellt, dass Täter zusätzlich zum Einsatz raffinierterer Bots neue Wege zur Durchführung von Angriffen über die Anwendungsschicht erforschen. Der bemerkenswerteste dieser Versuche war ein HTTP/S POST Flood, der extrem große Inhaltslängen anforderte und so versuchte, die Netzwerkverbindung des Ziels zu verstopfen. Schließlich hat Imperva festgestellt, dass die Angriffe weiterhin zunehmen. Im ersten Quartal 2016 wurde jede Seite, die zum Ziel wurde, mehr als ein Mal angegriffen. Die Anzahl der Seiten, die zwischen zwei und fünf Mal angegriffen wurden, stieg von 26,7 Prozent auf 31,8 Prozent.

Verteilung nach Frequenz der Angriffe gegen ein Ziel
Imperva dokumentiert seit dem zweiten Quartal des vergangenen Jahres eine steile Zunahme der DDoS-Aktivitäten aus Südkorea – ein Trend, der dieses Quartal anhält. Dieses Mal, da 29,5 Prozent des anwendungsschichtbezogenen DDoS-Datenverkehrs aus Südkorea stammen, hat dieses Land den Gipfel der angreifenden Länder erklommen.

Steile Zunahme der DDoS-Aktivitäten aus Südkorea
Steile Zunahme der DDoS-Aktivitäten aus Südkorea Botnet-Landschaft: Südkorea führt die Liste der angreifenden Länder an, Bild: Imperva


Bei genauerem Hinsehen kann man an den Daten erkennen, dass das Gros des Datenverkehrs der Angriffe vom südkoreanischen Nitol (52,9 Prozent) und PCRat-Botnets (38,2 Prozent) ausgeht. Über 38,6 Prozent dieser Angriffe waren gegen japanische Websites gerichtet, während 30,3 Prozent in den USA beherbergte Seiten zum Ziel hatten.

Interessanterweise hat Imperva dieses Quartal auch einen steilen Anstieg bei der Verwendung des Generic!BT Schadprogramms beobachtet – einem bekannten Trojaner, mit dem Windows-Rechner kompromittiert werden. Der Trojaner wurde zum ersten Mal 2010 identifiziert und nun werden seine Varianten sichtbar, mit denen weltweit Geräte gekapert werden.

Im ersten Quartal 2016 wurden mittels Generic!BT DDoS-Angriffe von 7.756 einzelnen IPs aus 52 Ländern durchgeführt – hautsächlich aus Osteuropa. Der Großteil dieser Aktivität wurde nach Russland (52,6 Prozent) und die Ukraine (26,6 Prozent) zurückverfolgt. Aus diesem Grund erscheinen beide weiter oben als normal auf der Quartalsliste angreifender Länder.

Auf der Suche nach Schwachpunkten in Schutzlösungen
In den vorherigen Jahren hatten die meisten von Imperva beobachteten Angriffe die Absicht, umfangreichen Schaden an der Infrastruktur zu verursachen. Sie waren typischerweise grobe Floods mit roher Kraft, die mit hoher Kapazität und geringer Subtilität zuschlagen. Hieraus ragten raffiniertere Angriffe als seltenes Ereignis heraus.

Dennoch hat Imperva in den letzten paar Monaten immer mehr Angriffe festgestellt, die Schutzlösungen berücksichtigen. Die Vielfältigkeit der Angriffsmethoden sowie das Experimentieren mit neuen Angriffsvektoren legt nahe, dass mehr Täter nun die Prioritäten neu setzen und Angriffe formen, um DDoS-Schutzlösungen zu Fall zu bringen und nicht nur das Ziel.

Auf der anderen Seite spricht das für die Beliebtheit von DDoS-Schutzdiensten und Vorrichtungen, die zu einem integralen Bestandteil der meisten Sicherheitsperimeter gehören. Auf der anderen Seite illustriert das auch die Herausforderung, der sich die DDoS-Mitigations-Industrie stellen muss – zunehmend mehr ausgefeilte Angriffe, die weiche Punkte ihrer eigenen Technologie ausnutzen. (Imperva: ra)

eingetragen: 06.06.16
Home & Newsletterlauf: 21.06.16


Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Statistiken

  • Malware- & Netzwerkangriffe nehmen zu

    Wie der aktuell veröffentlichte "WatchGuard Internet Security Report" für das dritte Quartal 2019 belegt, sollte bei per E-Mail eingehenden Word-, RTF- oder anderen Office-Dokumenten weiterhin besondere Vorsicht gelten. Diesmal haben es gleich zwei einschlägige Malware-Varianten in die Top 10 geschafft. Die Nase vorn hat dabei ein Angriffsversuch, der auf einer Schwachstelle des Word-Formeleditors basiert. Dieser ermöglicht es Hackern beliebigen Code auszuführen, sobald das manipulierte Dokument geöffnet wird. Sowohl hinsichtlich der Gesamtmenge als auch der Verbreitung solch Office-basierter Übergriffe wurden dabei im dritten Quartal neue Bestmarken erreicht: Neben der Anzahl entsprechender Attacken verdoppelte sich auch der Adressatenkreis im Vergleich zum Vorquartal. Die Übermittlung erfolgte in der Mehrzahl aller Fälle per E-Mail. Daher wird es gerade für Unternehmen immer wichtiger, ihre Mitarbeiter gezielt zu sensibilisieren. Schulungen und Aufklärungsinitiativen können dazu beitragen, dass Anwender solche und andere Übergriffe sowie Phishing-Versuche besser erkennen.

  • Ein Drittel mehr DDoS-Attacken

    Im dritten Quartal 2019 stieg die Anzahl der DDoS-Angriffe gegenüber dem Vorquartal um ein Drittel (30 Prozent) an; mehr als die Hälfte (53 Prozent) der Attacken fand im September statt. Darüber hinaus gab es einen Anstieg einfacherer DDoS-Angriffe, die vor allem akademische Webseiten im Visier hatten. Der Anstieg ist durch eine Vielzahl einfacherer Angriffe bedingt, während in den vorherigen Quartalen das Wachstum auf eine Zunahme intelligenter Angriffe zurückzuführen war, die von erfahrenen Cyberkriminellen auf Anwendungsebene durchgeführt wurden. In diesem Quartal sank der Anteil dieser Art von Angriffen auf 28 Prozent aller DDoS-Angriffe, im zweiten Quartal machten intelligente Angriffen noch die Hälfte (50 Prozent) aus.

  • Vermehrt Ransomware-Angriffe auf NAS-Systeme

    Kaspersky-Forscher haben im Rahmen einer aktuellen Studie eine neue Art von Ransomware-Angriff identifiziert, der im Hinblick auf Network Attached Storage (NAS) ein neues Risiko für Backup-Daten darstellt, die in der Regel auf solchen Geräten gespeichert werden. Da NAS bislang weitgehend als sichere Technologie galt, sind Nutzer hinsichtlich potenzieller Infektionen zumeist unvorbereitet - wodurch deren Daten einem erhöhten Risiko ausgesetzt sind. Um Network Attached Storages anzugreifen, scannen Cyberkriminelle IP-Adressverzeichnisse und suchen dort nach NAS-Systemen, die über das Internet erreicht werden können. Auch wenn Webschnittstellen nur mittels Authentifizierung zugänglich sind, läuft auf einer Reihe von Geräten Software, die Schwachstellen enthält. Dies ermöglicht es Angreifern, einen Trojaner mittels Exploits zu installieren, der alle Daten auf den mit dem NAS verbundenen Geräten verschlüsselt.

  • Cyberkriminelle schlagen bevorzugt an Werktagen zu

    Barracuda Networks hat ihren aktuellen Spear-Phishing-Report veröffentlicht. Im Zeitraum von Juli bis September 2019 identifizierte der Sicherspezialist 1,5 Millionen Spear-Phishing-Attacken bei über 4.000 Unternehmen oder Institutionen, die "Barracuda Sentinel" einsetzen, ein Cloud-Service mit KI-Lösung zur Echtzeit-Abwehr von Spear-Phishing-Attacken und Betrugsversuchen. Folgender vier Vektoren bedienten sich die Angreifer hauptsächlich: Scamming (39 Prozent): Diese Angriffe zielen ab auf private, sensible und persönliche Informationen wie etwa Kontodaten oder Kreditkartennummern.

  • Sextortion ein sehr großes Problem

    Proofpoint hat ihren neuesten Threat Report für das dritte Quartal 2019 veröffentlicht. Darin zeigt das Unternehmen aktuelle Trends und Bedrohungen im Bereich Cybersecurity auf. Besonders auffällig ist dabei, dass die Schadsoftware Emotet allein bei 12 Prozent aller E-Mails mit Malware im Anhang zum Einsatz kam - obwohl Emotet nur in den letzten beiden Wochen des Septembers nennenswert aktiv war. Das heißt demnach, dass in diesem kurzen Zeitraum mehrere Millionen von Nachrichten mit bösartigen URLs oder Anhängen versandt wurden. Eine der treibenden Kräfte hinter der weltweiten Verbreitung von Emotet ist die in Fachkreisen als TA542 (Thread Actor 542) bezeichnete Gruppierung. Diese Gruppe Cyberkrimineller ist für den Vertrieb von Emotet "zuständig" und erweiterte in diesem Zeitraum auch ihr regionales Targeting auf eine Reihe neuer Länder, darunter Italien, Spanien, Japan, Hongkong und Singapur. TA542 hat dabei Methoden angewandt, von denen sich die Gruppe Anfang 2019 zunächst getrennt hatte. Dazu gehören beispielsweise sehr gezielte eingesetzt saisonale und topaktuelle Köder. In diesem Zusammenhang beobachtete Proofpoint zum Beispiel am 23. September, dass in den Nachrichten häufiger als sonst von Edward Snowden die Rede war und die Cyberkriminellen ihre Köder entsprechend anpassten.