:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DDoS-Rückblick auf 2022 Aktuelle Methoden und Vektoren bei DDoS Attacken
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Die These, dass Cyberkriminelle versuchen, vorhandenen Schutzmaßnahmen durch die Entwicklung stetig modifizierter und leistungsfähigerer DDoS-Angriffsvektoren und Methoden immer einen Schritt voraus zu sein, bestätigt sich jedes Jahr aufs Neue. Während Security-Lösungen immer präziser und effektiver arbeiten, schaffen sich Angreifer immer neue Wege, um diese Abwehr möglichst zu umgehen.
Die geopolitischen Spannungen haben im ersten Halbjahr 2022 zu verstärkten Angriffsaktivitäten der Cyberkriminellen geführt. Insgesamt wurden weltweit mehr als sechs Millionen DDoS-Angriffe protokolliert. Für diese weist der Netscout Threat Intelligence Report gegenüber dem vorangegangenen Halbjahr eine Steigerung der genutzten maximalen Bandbreite um 57 Prozent und des Datendurchsatzes um 37 Prozent aus. Viel Arbeit also für die Security-Abteilungen, die gehalten sind, ihren Fokus regelmäßig neu auszurichten, um ihre Abwehrmaßnahmen zu modifizieren.
Reflexion und Verstärkung
Reflection/Amplification-Attacken bilden quasi des kleine 1x1 aktueller DDoS-Angriffsvektoren. Bei der DDoS-Reflection wird Antwort eines Services auf die IP-Zieladresse gelenkt, beliebte Reflektoren sind dabei DNS-, NTP- oder CLDAP-Server. Durch die DDoS-Amplification wird dann erreicht, dass Antwort-Pakete an gespoofte Absender deutlich größer als die Anfragen ausfallen. Diese Art des Angriffs erfolgt meist über UDP-basierte Services ohne Authentifizierung. Einige TCP-Dienste lassen sich ebenfalls für diesen Zweck verwenden, was jedoch für Angreifer aufwendiger ist.
:quality(80)/p7i.vogel.de/wcms/0c/12/0c12798710e8ad30112ef71fe5db6722/0109365049.jpeg "TCP Flooding-Angriffe (SYN, ACK, RST) bleiben auch im ersten Halbjahr 2022 der am häufigsten genutzte Angriffsvektor (etwa 46 Prozent aller Angriffe).")
:quality(80)/p7i.vogel.de/wcms/e5/e7/e5e71e5f03299b479d0c6016731ddb99/0109365050.jpeg "Der fast 50-prozentige Rückgang der DNS-Amplification-Angriffe zwischen dem zweiten Halbjahr 2021 und dem ersten Halbjahr 2022 hatte erhebliche Auswirkungen auf die gesamte DDoS-Bedrohungslandschaft.")
:quality(80)/p7i.vogel.de/wcms/01/dd/01ddcbc72c275275103d9727cfae8eff/0109365046.jpeg "Der bislang größte Amplification-Faktor in der Geschichte, der TP240 PhoneHome Reflection/Amplification DDoS-Vektor, wurde durch einen Fehler in der Mitel PBX-Software ermöglicht, der es jedem im Internet erlaubte, gefälschte UDP-Pakete an die Testeinrichtung zu senden.")
:quality(80)/p7i.vogel.de/wcms/4d/64/4d64ca9ed3991762a0d4e529b8ae0d54/0109365047.jpeg "NETSCOUT stellt fest, dass mehr als 80 Prozent des gesamten erfassten Angriffsverkehrs von einer relativ kleinen Anzahl bestätigter IP-Adressen stammt.")
Neue DDoS-Vektoren werden von Angreifern zunächst stark genutzt, bis die Zahl der potenziellen Reflektoren aufgrund eingespielter Patches auf den kompromittierten Geräten und Services abnimmt. Dies war der Fall bei Memcached, wo anfänglich große Angriffe mit Zehntausenden von Geräten durchgeführt wurden. Und auch beim jüngsten TP240 PhoneHome-Vektor, der mit einem Verhältnis von 4.294.967.296:1 den größten jemals verzeichneten Amplification-Faktor aufweist, war dies der Fall.
Beliebtes Flooding
Einem Trend folgend, der Anfang 2021 begann, bilden aktuell allerdings TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten Angriffsvektor. Sie kamen im ersten Halbjahr 2022 bei rund 46 Prozent aller Attacken zum Einsatz. Hinzu kommen ICMP-Flooding-Angriffe (9 Prozent aller Angriffe).
Damit verlieren die fast schon traditionellen Reflection/Amplification-Attacken mit ihren 45 Prozent ihre Spitzenposition als meistverwendete Angriffsmethode. Weiter spezifiziert kommt dabei bei 11 Prozent aller Reflection/Amplification-Angriffe die DNS Amplification zum Einsatz - mit sinkender Tendenz: Im Vergleich vom zweiten Halbjahr 2021 mit dem ersten Halbjahr 2022 kam es zum Rückgang der DNS-Amplification-Angriffe um fast 50 Prozent. Auf den Plätzen folgt die TCP-Amplification (TCP SYN/ACK) mit 10 Prozent und die NTP- Amplification mit 5 Prozent. Die restlichen 19 Prozent verteilen sich auf exotischere Reflection/Amplification-Vektoren, wobei sich diese interessanterweise nicht in der Angebotspalette der kriminellen DDoS-Booter/IP-Stresser-Services finden.
Betrachtet man die Häufigkeit missbräuchlich verwendeter Protokolle, ergibt sich diese Reihenfolge: SIP (4,1 Millionen), NTP (2,5 Millionen) und TFTP (2,2 Millionen). DNS-Reflektoren dagegen liegen mit 1,4 Millionen noch hinter L2TP und rpcbind lediglich an sechster Stelle; vor zwei Jahren waren es noch mehr als 2,3 Millionen. Dieser Rückgang lässt sich unter anderem durch die zunehmende Implementierung von Services zur Quelladressenvalidierung (SAV) erklären.
Flächenangriffe legen wieder zu
Wenn Angreifer nicht ein einzelnes Ziel oder einen einzelnen Host ins Visier nehmen, sondern ihre Angriffe über ganze Subnetze oder CIDR-Blöcke (Classless Inter-Domain Routing) ausbreiten, spricht man von Carpet Bombing. Da sich viele DDoS-Abwehrsysteme auf einzelne IP-Adressen und nicht auf ganze Subnetze konzentrieren, bleiben diese Angriffe oft unbemerkt.
Durch diese Art der Angriffe erhöht sich auch die Wahrscheinlichkeit, dass andere Systeme und Dienste, die das Opfer nutzt, ebenfalls überlastet werden, was zu einer Reihe von Kollateralschäden führen kann.
Konnte noch im zweiten Halbjahr 2021 eine sinkende Zahl an Carpet-Bombing-Attacken beobachtet werden, kam es Mitte Februar und damit rund um die Eskalation in der Ukraine zu einem starken Anstieg der DDoS-Attacken und anschließend auch zu einem Anstieg der Carpet-Bombing-Angriffe auf eine mehr als doppelt so hohe Zahl wie noch im Dezember '21.
Die Angriffsvektoren, die beim Carpet Bombing verwendet werden, entsprechen in der Verteilung der Gesamtheit der DDoS-Landschaft. Den größten Teil macht mit 44 Prozent generisches UDP-Flooding im Rahmen von Multivektor-Attacken aus, gefolgt von DNS-Amplification (15 Prozent), TCP-Flooding (14 Prozent), TCP-Amplification (4 Prozent) und die restlichen UDP Reflection/Amplification-Vektoren (23 Prozent).
Angriffe auf die Anwendungsschicht
Sogenannte DNS-Water Torture Angriffe auf DNS Server erlebten im ersten Halbjahr 2022 ebenfalls einen erschreckenden Zuwachs von 46 Prozent im Vergleich zum gleichen Vorjahreszeitraum. Diese Angriffe zielen mit großen Mengen von gefälschten Domain Anfragen auf eine Überlastung von DNS Servern ab. Beliebt ist diese Angriffsform, da sie wenig Ressourcen vonseiten des Angreifers voraussetzt. Nachdem die Kurve zu Beginn des Jahres 2022 noch abflachte, schnellten die Zahlen an März wieder in die Höhe.
Wenn man diese Angriffe nach Vektoren aufschlüsselt, wird deutlich, dass vor allem auf Brute-Force DNS-UDP Query-Flooding gesetzt wird. Dieser Vektortyp macht fast 75 Prozent aller DNS-Water-Torture-Angriffe aus. Obwohl die überwiegende Mehrheit der Angriffe das UDP-Protokoll verwendet, haben die mit dieser Angriffsmethode verbundenen TCP-Angriffe im Jahr 2022 zugenommen. Dieser Trend reflektiert, dass Angreifer immer häufiger Bots für direkte Angriffe einsetzen. Auch hier ist zu beobachten, dass die Botnetze konstant leistungsstärker werden und auch neue Player, wie die Killnet Organisation, hinzugekommen sind.
Über den Autor: Karl Heuser ist Account Manager Security DACH bei Netscout.
(ID:49032816)
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/f5/35f57b44a3a661cd1bf56582a3949083/0109715821.jpeg "Für das Jahr 2023 erwarten Security-Expoerten, dass Angreifer immer stärker DDoS-Angriffe einsetzen, die sehr variabel und dadurch schwerer abzuwehren sind. (Bild: Blue Planet Studio - stock.adobe.com)")