6 Neue DDoS-Angriffstypen und ihre Auswirkungen auf Ihre Sicherheit
Ein DDoS-Angriff (Distributed Denial-of-Service) ist eine Art Cyberangriff, mit dem der normale Datenverkehr einer Site oder eines Dienstes mit Anforderungen unterbrochen wird. Der Angriff betrifft verschiedene Plattformen, einschließlich Websites und Videospiele.
Bei einem DDoS-Angriff erfährt die Serverinfrastruktur, auf die sich ein Onlinedienst stützt, unerwarteten Datenverkehr, wodurch er offline geschaltet wird.
Seit dem ersten Denial-of-Service-Angriff im Jahr 1974 sind DDoS-Angriffe zum bedeutendsten Cyberangriffstyp geworden. In diesem Artikel wird untersucht, wie Angreifer, die ein DDoS verwenden, komplexer geworden sind, und es werden Methoden zur Minderung des Risikos ihrer Angriffe bereitgestellt.
Wie funktioniert ein DDoS?
Netzwerke von mit dem Internet verbundenen Maschinen können zur Durchführung von DDoS-Angriffen verwendet werden. Zu den Maschinentypen, die bei einem DDoS-Angriff verwendet werden, gehören Computer. Die Sammlung von Geräten, die für ein DDoS verwendet werden, werden als Botnets bezeichnet.
DDoS-Angreifer verwenden Malware, um die Kontrolle über die Geräte zu erlangen, sodass sie Angriffe aus der Ferne lenken können. Es ist schwierig, zwischen einem Botnetz und einem normalen Gerät zu unterscheiden, da Systeme Botnetze normalerweise als legitime Internetgeräte erkennen.
Hier sind die Arten, wie DDoS-Angriffe ausgeführt werden können und wie sie sich auf Sie auswirken können.
1. Windows-Remotedesktopprotokoll
Das Windows-Remotedesktopprotokoll (RDP) wird verwendet, um Computer über Netzwerke zu verbinden. Das Angemessenheitsprotokoll von Microsoft hat es den Benutzern leicht gemacht, Computer über Netzwerke zu verbinden.
Untersuchungen von Netscout zeigen, dass Windows RDP verwendet wurde, um DDoS-Angriffe zu verstärken und neue Vektoren auszunutzen. Das User Diagram Protocol (UDP) war eine wichtige Komponente, mit der Angreifer DDoS-Angriffe mit den Servern ausführen.
UDP ist ein Kommunikationsprotokoll, das für zeitkritische Übertragungen wie Sprache und Videos verwendet wird. Seine Geschwindigkeit basiert auf der Tatsache, dass vor der Datenübertragung keine formelle Verbindung hergestellt wird. Dies hat mehrere Nachteile, einschließlich des Verlusts von Paketen während der Übertragung und der Anfälligkeit für DDoS-Angriffe.
Obwohl nicht alle RDP-Server missbraucht wurden, verwendeten Cyberkriminelle Windows RDP, um den Junk-Verkehr für ihre DDoS-Angriffe zu bouncen und zu verstärken. Angreifer nutzten Systeme, bei denen die RDP-Authentifizierung am UDP-Port 3389 über dem Standard-TCP-Port 3389 aktiviert war. Angreifer sendeten UDP-Pakete an die UDP-Ports von RDP-Servern, bevor sie an Zielgeräte weitergeleitet wurden.
2. Jenkins-Server
Jenkins ist ein Open-Source-Server zur Automatisierung von Softwareentwicklungsaufgaben. Ein Jenkins-Server kann verwendet werden, um eine Vielzahl kritischer Softwareentwicklungsaufgaben auszuführen, einschließlich Erstellen, Testen, Bereitstellen und kontinuierlicher Integration.
Es wurde eine Sicherheitslücke identifiziert, die es ermöglichte, DDoS-Angriffe mit Jenkins zu starten. Während der Fehler behoben wurde, beleuchtete die Sicherheitsanfälligkeit einige der DDoS-Risiken im Zusammenhang mit Fehlern in Servern.
Wenn Sie eine öffentliche Jenkins-Instanz ausführen, aktualisieren Sie diese bitte wöchentlich auf 2.204.2 LTS oder 2.219+. Ältere Versionen sind möglicherweise ein Ziel für Denial-of-Service-Angriffe. Siehe SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
– Jenkins (@jenkinsci), 13. Februar 2020
Sicherheitsforscher stellten fest, dass ein Angreifer das Jenkins-UDP-Erkennungsprotokoll (auf UDP-Port 33848) verwenden kann, um DDoS-Angriffe zu verstärken und den Datenverkehr vom Server zum beabsichtigten Ziel zu leiten. Angreifer könnten dann die Server des anfälligen Jenkin verwenden, um den Datenverkehr um das bis zu 100-fache zu verstärken.
Der Fehler machte es auch wahrscheinlicher, dass die Server dazu verleitet wurden, fortlaufende Pakete aneinander zu senden. Dies kann zu Endlosschleifen und Abstürzen führen.
3. WS-DD-Protokoll (Web Services Dynamic Discovery)
Das WS-DD-Protokoll (Web Services Dynamic Discovery) ist ein Multicast-Erkennungsprotokoll, mit dem Dienste oder Geräte in einem lokalen Netzwerk gefunden werden. Videoüberwachung und -druck sind einige Beispiele für Aktivitäten, für die WS-DD verwendet wird.
Untersuchungen zeigen, dass Cyberkriminelle WS-DD als UDP-Verstärkungstechnik verwendet haben. Im Jahr 2019 führten Angreifer mit dem Protokoll über 130 DDoS-Angriffe durch und verwendeten über 630.000 Geräte, um die DDoS-Angriffe zu verstärken. Mit zunehmender Verwendung von IoT-Geräten (Internet of Things) könnten diese Arten von Angriffsvektoren zu einem größeren Problem werden.
4. DDoS-Sicherheitslücken in 5G
5G verspricht, die Geschwindigkeit und Reaktionsfähigkeit von drahtlosen Netzwerken zu verbessern. Das Mobilfunknetz der 5. Generation verbindet Menschen und ihre Geräte wie nie zuvor mit besserer Bandbreite und fortschrittlicher Antennentechnologie.
Eine Erhöhung der Anzahl der angeschlossenen Geräte kann jedoch dazu führen, dass das Risiko von DDoS-Angriffen zunimmt.
A3:… Ein Beispiel für eine neue Gefährdungsstufe wären sogar Unternehmen, die selbst kein 5G verwenden – erhöhte DDoS-Angriffsgrößen… Die „Guten“ sind nicht die einzigen, die die erhöhte verfügbare Bandbreite nutzen können… #BIZTALKS #CyberSecurity # InfoSec #Security # 5G
– Joseph Steinberg (@JosephSteinberg), 21. Oktober 2020
Da die Größe des IoT-Gerätenetzwerks mit der Einführung von 5G zunimmt, könnte sich die Angriffsfläche für DDoS-Angriffe erweitern. Es gibt viele anfällige und ungeschützte IoT-Geräte.
In der Anfangsphase der Implementierung eines neuen Netzwerks wie 5G müssen zwangsläufig viele Sicherheitsverbesserungen vorgenommen werden. Die kombinierten Schwachstellen von IoT-Geräten und die neue Sicherheitsstruktur von 5G-Netzwerken können 5G-Geräte zu einem einfachen Ziel für kreative Cyberkriminelle machen.
Cyberkriminelle verwenden wahrscheinlich 5G, um ihre DDoS-Angriffsbandbreite zu erweitern. Die zusätzliche Bandbreite könnte die Auswirkung volumetrischer Angriffe verbessern, bei denen die Bandbreite verwendet wird, um die Bandbreite des Ziels zu sättigen.
5. ACK DDoS mit pulsierenden Wellen
Das Webinfrastrukturunternehmen Cloudflare entdeckte einen DDoS-Angriff, der Datenverkehr in pulsierenden Wellen sendet, ähnlich dem Schlag einer Trommel. Die Urheber des Angriffs haben sich möglicherweise für die weniger konventionelle Methode zum Senden von Datenverkehr entschieden, um Sicherheitssysteme zu täuschen.
Der global verteilte Angriff dauerte zwei Tage und verwendete Knoten, um die gleiche Anzahl von Paketen mit gleichen Raten zu senden. Die Kreativität war jedoch nicht genug. Über 700 Angriffe wurden erkannt und kontrolliert.
6. Multi-Vektor-Angriffe
Bei Multi-Vektor-Angriffen wird eine Kombination verschiedener Techniken verwendet, um Angriffe auf mehrere Angriffsvektoren der Netzwerk-, Anwendungs- und Datenschicht auszuführen.
In den letzten Jahren sind Multi-Vektor-Angriffe immer beliebter geworden, da Hacker neue Wege finden, Plattformen anzugreifen. Multi-Vektor-Angriffe können extrem schwer zu verteidigen sein, da es schwierig sein kann, Ressourcen vorzubereiten, um auf vielfältige Angriffe zu reagieren.
Je mehr Protokolle im Internet implementiert werden, desto mehr Angriffsmethoden können Cyberkriminelle verwenden. Fortschritte bei Hardware und Software weltweit bieten Cyberkriminellen neue Möglichkeiten, mit neuen Angriffen zu experimentieren. BitTorrent, HTML und TFTP gehören zu den häufig verwendeten Angriffsmethoden.
Smart-Einblicke in die Anatomie einer DDoS-Bedrohung @Imperva https://t.co/OgpF0d0d0g und die Zunahme von Multi-Vektor- # DDoS- Angriffen auf Unternehmen ( #video @ A10Networks ) #IoT #Cybersecurity #Infosecurity # Cloudsec #CISO #DataBreach #Botnet #Malware #Ransonmware #SMM #SEO pic.twitter.com/zecdoDe291
– Benson M | Über die Daten hinaus (@Benson_Mwaura) 12. September 2018
7. Botnets, die Android-Geräte betreffen
Ein neues Botnetz verwendet Android-Geräte, um DDoS-Angriffe zu starten. Das Botnetz Matryosh verwendet das Befehlszeilenprogramm Android Debug Bridge (ADB) im Google Software Software Development Kit (SDK), um Angriffe auszuführen. Mit ADB können Entwickler Befehle auf Geräten remote ausführen.
ADB ist nicht authentifiziert. Dies bedeutet, dass ein Angreifer es missbrauchen kann, indem er die Debug Bridge auf einem Android-Gerät aktiviert. Schlimmer ist, dass viele Produkte mit aktivierter Debug Bridge ausgeliefert wurden. Auf solche Geräte kann problemlos per Fernzugriff zugegriffen werden, und es ist schädliche Software installiert, um DDoS-Angriffe auszuführen.
Wenn Matryosh auf einem Gerät ausgeführt wird, erhält es einen TOR-Proxy, um seine Aktivität zu verbergen. Dies könnte es für Antivirensoftwaresysteme erheblich schwieriger machen, schädliche Software und Angriffe zu identifizieren.
Reduzierung der Risiken von DDoS-Angriffen
Das Risiko von DDoS-Angriffen kann durch angemessene Vorbereitung erheblich reduziert werden. Cloud-Technologie, Reaktionspläne und das Verständnis von Warnzeichen gehören zu den Schlüsselfaktoren, die bestimmen, ob DDoS-Angriffsrisiken auftreten.
Cloud-basierte Dienstleister
Die DDoS-Prävention kann an Cloud-basierte Dienstanbieter ausgelagert werden. Dies kann kurzfristig kostspielig sein, bietet jedoch Vorteile, die die langfristigen Kosten senken können. Die Cloud verfügt normalerweise über mehr Bandbreitenressourcen als private Netzwerke. Darüber hinaus ist es für Angreifer aufgrund der breiteren Ressourcenzuweisung und der hochentwickelten Firewalls schwieriger, ihr beabsichtigtes Ziel über Cloud-basierte Anwendungen zu erreichen.
DDoS-Angriffswarnzeichen
Es ist wichtig, die roten Fahnen zu kennen, die auf einen DDoS-Angriff hinweisen können. Dies kann die schnelle Bereitstellung von Lösungen erleichtern, um das Risiko von Verlusten durch einen Angriff zu verringern. Das Herunterfahren von Websites, die Verlangsamung von Netzwerken und eine erhebliche Verringerung der Qualität der Benutzererfahrung gehören zu den häufigsten Anzeichen eines Angriffs.
DDoS-Antwortplan
Ein DDoS-Reaktionsplan ist erforderlich, um eine gute Verteidigungsstrategie umzusetzen. Der Plan sollte auf einer gründlichen Sicherheitsbewertung basieren. Ein DDoS-Antwortplan sollte detailliert sein und präzise ausgeführt werden. Der Plan sollte Details des Reaktionsteams, Kontakte, Benachrichtigungsverfahren, Eskalationsverfahren und eine Systemcheckliste enthalten.
Anpassen und überwinden
Cyberkriminelle entwickeln sich ständig weiter, da sie nach neuen Wegen suchen, um Systeme zum persönlichen Vorteil zu nutzen. Mit der Einführung neuer Technologien werden zwangsläufig mehr Angriffsmethoden erstellt, wodurch sich Möglichkeiten zur Implementierung kreativer DDoS-Methoden ergeben.
Wir müssen nicht nur zusätzliche Maßnahmen ergreifen, um uns vor Angriffen zu schützen, die auf uralte Sicherheitslücken zurückzuführen sind, sondern auch die Risiken angehen, die mit einer neuen Ära vielfältigerer und fortschrittlicherer Technologien verbunden sind.