Corero warnt vor neuem, gefährlichen DDoS-Angriffs-Vektor mit dem Potenzial für Attacken im Terabit-Bereich

Der neue Zero-Day-Angriffsvektor verfügt über einen signifikanten Verstärkungsfaktor; er dient beispielsweise dazu, Botnet-Tools wie bei den jüngsten Angriffen auf Dyn, Brian Krebs und OVH noch effektiver zu machen

(PresseBox) ( Marlborough, MA / Berlin, Deutschland, )
Corero Network Security (LSE: CNS), einer der führenden Anbieter von First Line of Defense®-Sicherheitslösungen zur Abwehr von DDoS-Angriffen, hat einen neuen Angriffsvektor bei Zero-Day DDoS-Attacken beobachtet. Dieser Vektor trat erstmals in der letzten Woche bei einem Corero-Kunden auf. Die Technik gehört zur Familie der Amplification-Angriffe und nutzt dazu einen neuen Vektor nämlich das Lightweight Directory Access Protocol (LDAP). LDAP ist das am häufigsten verwendete Protokoll um innerhalb von Datenbanken wie Active Directory auf Benutzernamen und Passwortinformationen zuzugreifen. Active Directory ist in den meisten Online-Diensten integriert.

Das Corero-Experten-Team hat zwar bis dato nur eine Handvoll kurzer, aber extrem leistungsstarker Angriffe auf Basis dieses Vektors beobachtet. Trotzdem hat die neue Technik das Potenzial große Schäden anzurichten. Der Verstärkungsfaktor als solcher erreicht Spitzenwerte bis zum 55-fachen der ursprünglichen Attacke. Kombiniert mit Angriffen, bei denen Internet-of-Things-Botnetze eingesetzt werden, wie jüngst bei der Attacke auf die Webseite des Security Bloggers und Journalisten Brian Krebs mit 655 Gigabyte, geht Corero von neuen Rekordwerten schon in naher Zukunft aus. Wir sprechen hier von Größenordnungen im Bereich vieler Terabit pro Sekunde. Die DDoS-Landschaft war gerade in den letzten Wochen extrem volatil. Dazu hat insbesondere die Veröffentlichung des Mirai-Codes beigetragen und die darauf folgende Infektion von IoT-Geräten. Dieser Trend wird sich in der näheren Zukunft fortsetzen.

Dave Larson, CTO/COO von Corero Network Security: “In unseren Augen führt der neue Vektor uns auf eine neue Eskalationsstufe in der ohnehin bewegten DDoS-Landschaft. Ich würde sogar so weit gehen, anzunehmen dass solche Angriffe das Potenzial haben selbst die jüngsten skandalträchtigen Attacken vergleichsweise „geringfügig“ aussehen zu lassen. Kombiniert man die neue Technik nämlich mit anderen Methoden insbesondere mit Botnetzen aus IoT-Geräten, können die Angriffe bisher nicht vorstellbare Größenordnungen erreichen und entsprechende Schäden anrichten. Beispielsweise über die potenziellen Auswirkungen auf die Verfügbarkeit des Internets. Zumindest wären solche Angriffe in der Lage die verfügbare Leistung zu drosseln, jedenfalls in bestimmten Regionen.“

Reflection- und  Amplification-Angriffe

In diesem Fall funktioniert die Technik folgendermaßen. Der Angreifer schickt eine simple Anfrage an einen ungeschützten Reflektor, der verbindungsloses LDAP (Connectionless LDAP, CLDAP) unterstützt. Dank der manipulierten Adresse wirkt das Ganze wie eine Anfrage des ins Visier genommenen Opfers. CLDAP schickt dann seine Antwort an die gefälschte Adresse und damit zugleich den unerwünschten Datenstrom.

Verstärkungstechniken gestatten es böswilligen Akteuren die Größenordnung ihres Angriffs zu steigern. Denn die Server-Antworten sind wesentlich umfangreicher als die ursprüngliche Anfrage. Hier kann der LDAP-Server extrem hohe Bandbreiten erreichen. Corero hat bereits einen Verstärkungsfaktor vom 46-fachen bis zu einem Spitzwert des 55-fachen beobachten können.

Dave Larson erklärt: „LDAP ist nicht das erste Protokoll, das auf diese Art und Weise ausgebeutet wird und es wird auch nicht das letzte sein. Neue Amplification-Angriffe wie dieser tauchen auf, weil das Internet voll ist von offenen Diensten, die auf gefälschte Record-Abfragen antworten. Allerdings lassen sich die Auswirkungen vieler derartiger Angriffe durch vernünftige Hygienemaßnahmen des Service Providers mildern. Dazu gehört es beispielsweise gefälschte IP-Adressen als solche zu identifizieren und zwar bevor die Anfragen im Netzwerk zugelassen werden. Insbesondere dient dazu die BCP 38 (Best Common Practice) wie sie im RFC 2827 der Internet Engineering Task Force (IETF) beschrieben ist. Hier wird erläutert welche Router-Konfigurationen geeignet sind gefälschte IP-Adressen über einen Ingress-Filter auszusortieren. Das allein würde schon dazu beitragen, die Auswirkungen solcher Reflection-Angriffe mindestens in Bezug auf ihre Größenordnung zu begrenzen.“

„Und noch eines kommt dazu. DDoS-Angriffe werden mehr und mehr automatisiert. Das heißt, Angreifer wechseln so schnell zwischen verschiedenen Vektoren hin und her, dass eine menschliche Intervention nicht mehr mithalten kann. Will man sich effektiv gegen solche Angriffe schützen, müssen die Abwehrtechnologien gleichermaßen automatisiert werden. Wer sich ausschließlich auf Out-of-Band Scubbing-Technologien verlässt riskiert Kollateralschäden. Die Attacken sind vergleichsweise kurz und treten mit einem hohen Volumen auf. Traditionelle Lösungen sind kaum imstande sie zu erkennen beziehungsweise die Netzwerkverfügbarkeit rechtzeitig zu gewährleisten.“

Der hier erläuterte CLDAP Zero-Day-Angriff auf einen Kunden von Corero wurde über das Corero SmartWall® Threat Defense System und dessen patentierte Smart-Rule-Funktion geblockt. Auch bei diesem neu aufgetretenen Angriffsvektor war und ist es nicht nötig manuell zu intervenieren, um potenzielle Service-Ausfälle zu verhindern.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.