Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Massive DDoS Attacke legt zig große Dienste lahm!

M.Sc. Chris Wojzechowski

Ende September wurde der Security-Journalist und Blogger Brian Krebs Opfer eines massiven DDoS Angriffes. Jetzt zeigen die Botnetzbetreiber, dass sie nicht nur Blogs unerreichbar machen können. Zeitweise waren zig große Dienste nicht erreichbar. Dreh und Angelpunkt waren die DNS Server. Ein erstes Beispiel für Angriffe auf die kritische Infrastruktur?

Twitter, Spotify, Reddit und viele andere Dienste waren zeitweise nicht erreichbar!

Man könnte es als Angriff auf das Nadelöhr des Internets bezeichnen. DNS Server, deren Hauptaufgabe die Beantwortung von Anfragen zur Namensauflösung ist, sind unter der Last einer massiven DDoS Attacke zusammengebrochen. Folgende Dienste waren zeitweise nicht erreichbar:

  • Dyn
  • Twitter
  • Etsy
  • GitHub
  • Soundcloud
  • Spotify
  • Heroku
  • Netflix
  • Pagerduty
  • Shopify
  • Spotify
  • Intercom (App)

Attackiert wurde der DNS-Provider Dyn. Es sind wohl zahlreiche Droh-Emails bei den Betreibern eingegangen, fanden aber entweder keine Beachtung, oder den Forderungen wurde absichtlich nicht nachgekommen. Der entstandene Schaden wird in die Millionen gehen, da zeitweise auch Amazon in Deutschland nicht erreichbar war.

Wer hat die massive DDoS Attacke verursacht?

Die Verursacher der Attacke sind noch unbekannt. Die Heimatschutzorganisation, zu englisch Homeland Security, ermittelt bereits. Akamai, der Anbieter der den Blog von Brian Krebs kostenfrei gehostet hat, zeigt die Auswirkungen und andauernden Angriffe der DDoS Attacke auf einer Map.

Eine massive DDoS Attacke legt große Dienste lahm!
Der Real-Time Web-Monitor von Akamai (Quelle: Screenshot Akamai.com)

Akamai hat sich leider nicht weiter bereit erklärt, den Blog von Brian Krebs zu hosten, da die Kosten, um diesen vor DDoS Attacken zu schützen, viel zu hoch sind. Akamai hat Hosting für Brian gesponsort. Mittlerweile ist der Blog beim Project Shield von Google untergekommen.

Wie konnte die massive DDoS Attacke umgesetzt werden?

Hinter der Attacke steckt das Botnet Mirai. Der Source Code dieses Botnetzes ist auf GitHub frei verfügbar. Kompromittiert werden Geräte, welche zwar über Konnektivität verfügen, jedoch wenige bis gar keine Sicherheitsfeatures implementiert haben. So klappert das Botnetz Geräte ab und testet z.B. bekannte Benutzernamen/Passwortkombination ab:

  add_auth_entry("\x50\x4D\x4D\x56", "\x50\x4D\x4D\x56", 4);     // root   root
  add_auth_entry("\x50\x4D\x4D\x56", "\x13\x10\x11\x16\x17", 4); // root   12345
  add_auth_entry("\x57\x51\x47\x50", "\x57\x51\x47\x50", 3);     // user   user
  add_auth_entry("\x43\x46\x4F\x4B\x4C", "", 3);                 // admin  (none)
  add_auth_entry("\x50\x4D\x4D\x56", "\x52\x43\x51\x51", 3);     // root   pass

Durch eine große Anzahl an gefundener Geräte, konnte eine solche massive DDoS Attacke erst umgesetzt werden!

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Meine Meinung zum Ausfall der Systeme und der DDoS Attacke!

Die Drohungen der Botnetzbetreiber, dass es aktuell keinen wirksamen Schutz gegen so massive DDoS Attacken gibt, ist nicht gelogen. Attacken in einer Größenordnung von 1 TB/s sind massiv und hält kaum ein Dienst aus. Die gezielte Attacke auf einen DNS Service ist entsprechend zielgerichtet. Attacken dieser Art (auf die Infrastruktur) funktionieren auch, um Websites im Darknet unerreichbar zu machen.

Der Angriff verursachte einiges an Schaden. Schuld sind viele Geräte, die schlecht oder vollkommen ungesichert am Netz hängen. Die Besitzer von IP-Cams sind sich teilweise gar nicht bewusst, dass die Kamera, welche den Garten im Blick hält, dafür sorgt, dass man zeitweise nichts über PayPal bezahlen konnte.

Es bleibt abzuwarten, wie viel wir noch von solchen Attacken hören. Sichtbar in der Größenordnung sind sie auf jeden Fall. Ein Szenario, in dem ein Krankenhaus, Netzbetreiber oder Telekommunikationsanbieter von der Außenwelt abgeschnitten wird, will ich mir nicht ausmalen.

Weitere Informationen und Quellen

[1] DDos Attacks against Dyn (Schneier.com)
[2] Cyberattackte aus dem Babyfon (Spiegel)
[3] DNS-Provider unter Attacke. Spotify, Netflix, Twitter und weitere betroffen (Caschy)
[4] DDoS-Attacke legt Twitter, Netflix, Paypal, Spotify und andere Dienste lahm (heise)
[5] Twitter, Reddit, Spotify Were Collateral Damage in Major Internet Attack (vice)
[6] DDoS-Angriff: Das steckt hinter dem Ausfall von Twitter, Soundcloud, Netflix und Spotify (t3n)
[7] Mirai Source Code – Botnet (github)

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen