IoT-Geräte als DDoS-Generatoren

Massive DDoS-Angriffe im Terabit-Bereich drohen

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

DDoS-Netzwerke auf Basis von schlecht gesicherten, vernetzten IoT-Geräten attackieren Unternehmen.
DDoS-Netzwerke auf Basis von schlecht gesicherten, vernetzten IoT-Geräten attackieren Unternehmen. (Bild: Comfreak - Pixabay / CC0)

Denial of Service-Angriffe plagen Betreiber von Webseiten und Online-Diensten. Ein aktueller Trend gibt eine düstere Zukunftsaussicht: Ungesicherte IoT-Geräte wie Netzwerkkameras, digitale Videorekorder oder Hausautomatisierungssysteme dienen Kriminellen als willige Botnet-Clients, die DDoS-Attacken in bislang nicht gekanntem Volumen ausführen. Tendenz: Steigend.

Der DDoS-Angriff auf das Blog des Journalisten Brian Krebs kam mit einer bis dato unbekannten Wucht von bis zu 620 Gigabit pro Sekunde. Kurze Zeit später wurde bei einem DDoS-Angriff auf den Anbieter OVH die Terabit-Grenze gesprengt. Woher kommt dieser plötzliche Anstieg an DDoS-Potenzial? Experten sehen das Problem vor allem im Internet of Things, beziehungsweise in schlecht gesicherten und vernetzten Consumer-Geräten.

Kurz nach den Attacken auf Krebs wurde in einem Untergrund-Forum der Quelltext für ein Botnet namens Mirai veröffentlicht. Das arbeitet grundsätzlich wie jedes andere Botnet: es sucht anfällige Produkte, infizierte diese, fügt sie dem eigenen Netzwerk hinzu und nutzt sie anschließend, um Befehle auszuführen.

In diesem Fall geht es in erster Linie um Attacken auf Webseiten. Zwei Dinge fallen allerdings auf: Mirai setzt auf massiven Level-7-Datenverkehr, beispielsweise HTTP-Anfragen. Bislang arbeiteten DDoS-Attacken vor allem mit Datenverkehr auf den OSI-Leveln 3 und 4, sie verwendeten etwa DNS-Amplification-Attacken.

Mirai muss außerdem den Datenverkehr nicht künstlich verstärken, stattdessen sendet eine schiere Masse an Geräten legitim wirkende HTTP-Anfragen. Das klappt deswegen so gut, da Mirai statt klassischen PCs vor allem vernetzte Geräte infiziert, etwa Videorekorder, Kameras oder ähnliche IoT-Produkte.

Botnets aus Kameras

Mirai ist mit diesem Trend nicht allein, mit Bashlight gibt es mindestens ein weiteres Botnet, das genau auf diese Art von Geräten zielt. Die Botnets scannen das Internet nach verwundbaren Clients, die fälschlicherweise direkt mit dem Internet verbunden sind. Die Attacke erfolgt in erster Linie über Schwachstellen im Telnet-Protokoll. Erschreckenderweise sind Millionen Geräte per Telnet im Internet verfügbar, wie bereits eine kurze Shodan-Suche über die Standard-Ports 23,1023 und 2323 zeigt.

Der massive Zuwachs an solchen Geräten erklärt sich vor allem durch den Preis. Technik ist günstig geworden, zahlreiche (Billig-)Hersteller erweitern ihre Produkte „schnell mal“ um Netzwerkfunktionen, ohne wirklich die gängigen Sicherheitsrichtlinien zu befolgen. Das führt dazu, dass etwa Smart-TVs, Kameras oder Systeme zur Haussteuerung ungeschützt direkt über das Internet ansprechbar sind.

Massive DDoS-Attacke mit IoT-Botnetz

Security-Blog attackiert

Massive DDoS-Attacke mit IoT-Botnetz

28.09.16 - Das Sicherheitsblog KrebsOnSecurity wurde Opfer eines massiven DDoS-Angriffs. Bis zu 620 GBit/s an Datenmüll prasselten auf die Seite ein, der Großteil wurde scheinbar durch schlecht gesicherte IoT-Geräte erzeugt. lesen

Die Hersteller liefern Sicherheitsaktualisierungen – wenn überhaupt – nur langsam aus, die meisten Nutzer ignorieren sie. Dazu kommt ein schlecht oder gar nicht geschützter Telnet-Zugang. Noch schlimmer: Einmal angemeldet, erhält man darüber meist automatisch einen Root-Zugriff auf dem Gerät. Damit werden solche IoT-Produkte leichte Beute für automatisierte Angriffe, die fröhlich Schadprogramme nachladen können.

Ist ein Gerät erst einmal Teil eines solchen Botnetzes, kann es als Ausgangspunkt für Attacken oder weitere Infektionen genutzt werden. Die eigentlichen Besitzer merken davon oft nichts, welcher Heimanwender prüft schon Log-Files auf verdächtige Aktivitäten?

Schlimmer geht’s immer

Die schiere Masse an billigen IoT-Geräten und der Trend, immer mehr Geräte „smart“ im Netzwerk arbeiten zu lassen, sorgt dafür, dass die Betreiber von Botnets wie Mirai oder Bashlight der Nachschub nicht ausgeht. Natürlich könnte man Hersteller in die Verantwortung nehmen, Updates zu liefern oder von Anfang an gängige Sicherheitsrichtlinien befolgen.

Bei Preisen wie etwa 20 US-Dollar für vernetze Kameras ist es allerdings utopisch zu denken, dass irgendein Hersteller dafür eine aktive Support-Struktur aufbaut. Die Betreiber von Anti-DDoS-Diensten und großer Webseiten müssen sich also darauf einstellen, dass Angriffe auf Layer 7 künftig verstärkt auftreten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44322512 / DDoS und Spam)