zurück zur Übersicht

Sind Sie schon ein Bot?

Brian Krebs ist in Security-Kreisen fast so etwas wie ein Promi. Umso größer der Aufruhr, als kürzlich zu lesen war, dass seine Website Opfer eines der größten bisher dagewesenen DDoS-Angriffe (Distributed Denial of Service) geworden ist. Dabei wurden selbst die Server des Internet-Dienstleisters Akamai in die Knie gezwungen. Bemerkenswert ist dabei, dass die Angriffe nicht wie sonst durch Amplification und Reflection- Attacken, sondern direkt von Tausenden von gekaperten Geräten ausgingen.

DDoS: Die Techno-Zombies greifen an!

Botnetze werden oft für Spamversand oder DDoS Attacken verwendetGrundprinzip eines DDoS-Angriffes ist es, den attackierten Server durch gezielte Überlastung zum Absturz zu bringen. Dazu müssen möglichst viele andere Server in kurzer Zeit Verbindung zum Zielsystem aufnehmen. Die Menge der Daten, die der Server dadurch verarbeiten muss, sorgt schließlich für den Ausfall.

Für solche Angriffe werden viele Rechner benötigt. Hacker betreiben aber natürlich in der Regel kein eigenes Rechenzentrum zu diesem Zweck. Sie kapern einfach Massen von Internetfähigen Computern.

Dies kann durch das Ausnutzen von Schwachstellen in Webservern oder SSH-Servern geschehen, oder einfach durch Erraten des Administrator-Passworts. Kern der Sache ist, möglichst viele Rechner und Server unbemerkt mit einer Software zu versehen, die es erlaubt, unbemerkt und zielgerichtet ins Netz zu kommunizieren. Viele Nutzer wissen nicht einmal, dass ihr PC längst zu einem Botnetz gehört. So steht dem Angreifer eine Armee von Zombierechnern zur Verfügung, die z.B. für Spamversand oder eben DDoS-Angriffe verwendet werden können.

Die Macht der Reflektion

Reflection-Attacken werden durch fehlerbehaftete oder falsch konfigurierte Dienste ausgelöst. Dienste, die UDP verwenden, bieten sich dafür an, da kein vorheriger Verbindungsaufbau nötig ist. Spezielle DNS-Anfragen mit weniger als 100 Bytes können eine Antwort auslösen, die 60-70-mal so groß ist. Ähnliches existiert für NTP und SNMP. Wird die Absenderadresse der Anfragen gefälscht, können die Pakete auf das Opfersystem gelenkt werden. Der eigentliche Absender des ursprünglichen Datenpakets (der Bot) bleibt so unbekannt. Da vom Bot nur wenige Daten versendet werden, die nicht einmal an das Zielsystem gerichtet sind, sondern an meist harmlose Webserver, ist die Kommunikation nicht so einfach zu bemerken.

Im Fall von Brian Krebs wurden diese Techniken aber nicht verwendet, sondern offenbar übernommene Systeme direkt zum Angriff benutzt. Vieles deutet darauf hin, dass es sich in der Tat um eine Art Machtdemonstration gehandelt hat, da der Angriff durch Reflektion weit weniger Bots für das gleiche Resultat benötigt hätte.

Das Millionenheer der Smart Devices

Nicht nur klassische PCs und Webserver können zu Bots werden. Leider haben viele Hersteller von IP-Kameras, Haus- und Heizungssteuerungen, und anderen Steuerungsgeräten, die direkt im Internet hängen, noch zu wenig Sicherheitsbewusstsein oder Know-how, um ihre Geräte von Anfang an sicher zu machen. Und wenn die Hersteller alles richtig gemacht haben, sind es oft die Dienstleister, die die Geräte implementieren und aus Bequemlichkeit oder Unwissenheit simple Passwörter verwenden.

Ein Botnet entsteht nicht von selbst. Wer ein Botnet aufbauen will, muss erst einmal verwundbare Geräte finden. Wie macht er das? Er scannt das Internet ständig nach Geräten mit Schwachstellen und Standard-Passwörtern.

Aber den Scan kann man als Security-Verantwortlicher auch selbst ausführen. Warum also nicht den Leuten aus dem Darknet einmal einen Schritt voraus sein?

Mit Schwachstellenscans Kontrollverlust vorbeugen

Warum sind Schwachstellen-Scans so wichtig? Vorausgesetzt, man nutzt die gewonnenen Informationen für das gezielte Schließen der Lücken, hat man mehrere Fliegen mit einer Klappe geschlagen: man dichtet seine eigene Systeme ab, so dass niemand mehr dort eindringen und Informationen abziehen kann. Gleichzeitig kann man überprüfen, ob die Prozesse für das Patchen funktionieren. Andererseits tut man einen Dienst an der Allgemeinheit, weil die eigenen Systeme so nicht mehr als Sprungbrett für DDoS-Attacken und Spam-Kampagnen genutzt werden können.

Nicht zu verwechseln sind Schwachstellen-Scans mit Penetration Tests. Beim Schwachstellenscan geht es um das hochautomatisierte Prüfen auf allgemein bekannte Lücken, kurz um eine Basisabsicherung. Er kann als Grundlage für einen Penetration Test dienen. Ein Penetration Test zielt viel tiefer und wird händisch ausgeführt, um möglichst viele Informationen vom Zielsystem abzuziehen oder weiter in interne Systeme einzudringen.

Ein Bot klaut keine Daten. Normalerweise.

Jemand, der Spam versenden oder DDoS-Attacken ausführen will, interessiert sich aber im ersten Schritt nur für leicht zugängliche Systeme mit direktem Anschluss ans Internet. Und diese lassen sich für den rechtmäßigen Besitzer mit entsprechenden Werkzeugen genauso leicht überprüfen wie für jeden anderen. Würde dies jeder tun und „seine“ Lücken schließen, wäre die Gefahr entsprechender Attacken wesentlich geringer.

Um nicht Teil eines Botnets zu werden, empfehlen sich also – neben vielen anderen Maßnahmen – wie dem Einsatz von Anti-Spoofing-Mechanismen, beispielsweise auf den Firewalls, das ständige Patchen der Systeme und der regelmäßige Scan auf Schwachstellen und Default-Passwörter.


Weiterführende Links:

https://www.heise.de/security/meldung/Security-Journalist-Brian-Krebs-war-Ziel-eines-massiven-DDoS-Angriffs-3329988.html

http://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

 

https://www.heise.de/security/meldung/Source-Code-von-maechtigem-DDoS-Tool-Mirai-veroeffentlicht-3345809.html

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar