Akamai „State of the Internet“-Sicherheitsbericht

Steigende Gefahr durch Android-Botnetze

| Autor / Redakteur: Gerhard Giese / Peter Schmitz

Durch die steigende Zahl an IoT-Geräten und Smartphones bedrohen inzwischen immer mehr Android-Botnetze die IT-Sicherheit von Unternehmen.
Durch die steigende Zahl an IoT-Geräten und Smartphones bedrohen inzwischen immer mehr Android-Botnetze die IT-Sicherheit von Unternehmen. (Bild: Pixabay / CC0)

Im Schatten von DDoS-Attacken durch gekaperte Rechner und IoT-Systeme hat die WireX-Malware eine weitere Ressource aufgetan: Smartphones mit Android-OS. Dem WireX-Botnet gelang es 2017 die Kontrolle über viele Android-Geräte zu übernehmen und mit dem neu entstandenen Botnet Webseiten anzugreifen. Unternehmen müssen Wege finden, ihre Netze zu schützen, bevor ein Botnet-Angriff bis zur Infrastruktur durchdringt.

Im August 2017 sorgte die Aufdeckung des WireX Botnets für großen Wirbel: Etwa 300 unterschiedliche Android Apps – äußerlich harmlos und frei verfügbar im Google Play Store – infizierten innerhalb kurzer Zeit über 100.000 Geräte in mehr als 100 Ländern. Einmal installiert verwandelten diese Apps jedes Android Gerät in einen WireX-Zombie, der unbemerkt von den Besitzern und ferngesteuert zum Angriffstool werden konnte. Nur mit vereinten Kräften gelang es einer Allianz von Sicherheitsfirmen den groß angelegten Angriff zu stoppen, wohl wissend, dass das erst der Anfang sein würde. Denn Android steckt nicht nur in den meisten Smartphones, sondern auch in vielen IoT-Geräten.

Das Linux-basierte Betriebssystem wird als Gegenspieler zu Apples proprietärem iOS wegen seines Open-Source-Ansatzes geschätzt. Allerdings verhindern die vielen Android-Varianten standardisierte Patch-Mechanismen und die dafür notwendige Kompatibilität. Die Vergangenheit hat außerdem gezeigt, dass die Qualität der Programmierung des Betriebssystems stark variiert. Die Folge sind anfällige und vergleichsweise leicht zu kompromittierende Endgeräte. Die permanente Online-Verfügbarkeit und die App-Struktur, die beliebtesten Eigenschaften bei Smartphones, werden zu Einfallstoren für Hacker – und im weiteren Verlauf zu einer Gefahr für Unternehmensnetze.

Was macht Smartphone-Bots so gefährlich?

2017 hatten laut einer Studie erstmals mehr Menschen in Deutschland ein Smartphone als einen PC. Bedenkt man, dass Android das am weitesten verbreitete mobile Betriebssystem ist, lässt sich leicht erklären, warum es inzwischen immer mehr Android-Botnetze gibt.

Darüber hinaus nutzen diese Botnetze eine besondere Eigenschaft zu ihrem Vorteil: Aus technischer Sicht sind die Datenströme jedes einzelnen Gerätes im Vergleich zu Rechner-gestützten Botnets kleiner und somit schwieriger von legitimen Daten zu unterscheiden. Dass gerade ein Botnet entsteht oder angreift, fällt weniger auf, da der einzelne Datentransfer in der allgemeinen, legitimen Datenflut untergeht. Sicherheits-Tools, die den eingehenden Datenverkehr beispielsweise eines Firmennetzes analysieren, erkennen den Angriff somit unter Umständen nicht oder zu spät.

DDoS-Attacken auf konstant hohem Niveau

Für Unternehmen ist es grundsätzlich egal, woher Angriffe stammen – ob von IoT-Geräten, Smartphones oder PCs. Was zählt, sind Art und Volumen. Werden sie Opfer einer DDoS-Attacke, steht häufig alles still - daraus resultierende Folgen können existenzbedrohend sein. Eine frühzeitige Prävention dieser Bedrohung sollte deshalb im Fokus stehen. Dabei sollten Auswirkungen und Schwachstellen im Vorfeld klassifiziert werden, um so im Notfall geeignete Gegenmaßnahmen treffen zu können.

Aktive Monitoringsysteme und regelmäßige Sicherheitsaudits bieten Einblicke in den Netzwerkalltag, visualisieren mögliche Gefahren und schaffen so die nötige Sichtbarkeit einer neuen oder veränderten Bedrohungslage. Wie groß das Gefahrenpotenzial der WireX-Malware ist, beschreibt der „State of the Internet“-Sicherheitsbericht Q3-2017 von Akamai: Hohe Diversität bei den in Umlauf befindlichen Versionen, frei verfügbarer Quellcode und eine im Vergleich geringere Patch-Disziplin sorgen dafür, dass infizierte Android-Betriebssysteme, die nicht nur in Smartphones, sondern auch in vielen IoT-Geräten stecken, die Zahl der DDoS-Angriffe im dritten Quartal 2017 in die Höhe schnellen lassen. Natürlich könnte ein Großteil des Problems behoben werden, wenn Hersteller zeitnah Updates bereitstellen und Smartphone Besitzer diese auch aufspielen. Die Realität sieht aber oft anders aus. Zusätzlich dürfte zumindest den meisten Nutzern gar nicht bewusst sein, dass ihr Smartphone Teil eines Botnet geworden ist und so großen, betriebswirtschaftlichen Schaden anrichten kann. Unternehmen sind so immer wieder dazu gezwungen, ihre Sicherheitsvorkehrungen zu überdenken. Einen effektiven und skalierbaren Schutz bieten hier besonders Cloud-Security-Lösungen.

Ein Schutzschirm vor der eigenen Infrastruktur

Cloud-Security-Lösungen gelten als wirkungsvolle Weiterentwicklung in der IT-Sicherheit. Statt ausschließlich auf Firewalls, Intrusion-Detection- oder Prevention-Systeme und Virenscanner zu setzen, sorgen sie mit einem zusätzlichen und umfassenden Schutzschirm dafür, dass Angriffe gar nicht erst in die Nähe der gefährdeten Firmeninfrastruktur gelangen. Gerade in Zeiten, in denen mehr und mehr Unternehmen und Nutzer auf Webanwendungen setzen, ist die Anwendungssicherheit für die Produktivität und die Sicherheit elementar. Eine Verteidigung sollte deshalb schon in der Cloud beginnen, um auch bei DDoS-Angriffen mit hohen Bandbreiten für Schutz und kontinuierliche Erreichbarkeit sorgen zu können. Tiefe Einblicke ins Internet und die Möglichkeit, Daten an der Schnittstelle zwischen Web und Firmennetz frühzeitig analysieren zu können, sind hierbei die Basis.

Bei den Angriffen durch WireX-Malware, die von den infizierten Android-basierten Geräten außerordentlich hohe Mengen an Angriffs-Traffic lancierte, waren diese zusätzlichen Informationen sowohl für die Erkennung als auch für die Bekämpfung von hoher Wichtigkeit. Während die ersten kleineren Angriffe zunächst unentdeckt blieben (bis zu 70.000 gleichzeitig beteiligte IP-Adressen), erregte hier ein massiver Angriff am 17.8.2017 die ungeteilte Aufmerksamkeit der Security Community. In allen Fällen geschah der Angriff auf dem Application-Layer und bestand aus GET und POST-Requests, sah dementsprechend aus wie legitime Anfragen von HTTP-Clients und Webbrowsern. Im Vergleich zu Network und Transport Layer Attacken ist hier besonders gefährlich, dass die Angriffe schwerer zu identifizieren sind und es klassischen Abwehrsystemen seltener gelingt, derartige Attacken zu erkennen und erfolgreich abzuwehren.

Akamai, bekannter Security- und CDN-Anbieter, bemerkte bereits Wochen vor dem Ausbruch kleinere Angriffe. Durch Vergleichen des Datenverkehrs mit Erfahrungswerten, Echtzeitdatenströmen, Algorithmen und bekannten Angriffsmustern sowie der Lokalisation des Ursprungs eines Angriffs (im Fall von WireX stammten die Datenströme verstärkt aus Mobilfunknetzen) konnten Anomalien wahrgenommen und genau untersucht werden. Dass sich daraus ein Botnetz solcher Größe entwickeln würde, konnte zu diesem Zeitpunkt noch niemand ahnen. Erst der Zusammenschluss mit anderen Unternehmen aus der Sicherheitsbranche, namentlich Cloudflare, Flashpoint, Google, RiskIQ und Team Cymru, und der offene Austausch untereinander brachte den Umfang des Angriffs ans Licht.

Web-Inhalte und Unternehmensanwendungen in der Cloud schützen

DDoS-Angriffe sind verhältnismäßig einfach zu initiieren und richten häufig großen Schaden an. Zusätzlich werden DDoS-Attacken gerne als Ablenkungsmanöver eingesetzt, um andere invasive Angriffe zu verschleiern. Dann geht es nicht mehr nur um die Störung von Web-Aktivitäten, sondern darum, vertrauliche Daten abzugreifen.

Akamais Lösung, die „Intelligent Platform“ ist dezentral auf weltweit über 240.000 Servern und mehr als 3.750 Datacenter in über 130 Ländern verteilt und sorgt für die Sicherheit, Skalierung und Performanz von Webinhalten und Unternehmensanwendungen. Die Akamai Intelligent PlatformTM schützt Webanwendungen vor DDoS-Angriffen, bevor diese die Firmen-Infrastruktur erreichen. Zusätzlich stehen auch Infrastruktur-Lösungen parat, die auch für größere Netzwerkbereiche und Protokoll-unabhängig Sicherheitsbedrohungen wie DDoS-Attacken erkennen, blockieren und neutralisieren.

Über den Autor: Gerhard Giese ist Manager des Enterprise Security Teams bei Akamai. Mit über 20 Jahren Erfahrung im IT-Sicherheitssektor bietet er mit seinem internationalen Team aus Spezialisten technische Beratung für Lösungen zur Web- und Rechenzentrums-Sicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45221331 / Mobile Security)