Akamai warnt vor neuen Reflection-basierten DDoS-Angriffen

Akamai Technologies veröffentlicht einen neuen Sicherheitshinweis. Das Unternehmen hat in den letzten Monaten drei neue Reflection-DDoS (Distributed Denial of Service)-Attacken beobachtet. Die  Angreifer suchen Möglichkeiten zur missbräuchlichen Nutzung von UDP-Services im Internet

Die Sicherheitsinformationen enthalten detaillierte Angaben zu den DDoS-Bedrohungen durch NetBIOS Nameserver Reflection, RPC Portmap Reflection und Sentinel Reflection sowie eine Payload-Analyse, eine Snort-Regel und Best Practices zur Systemabsicherung.

In einem Reflection-basierten DDoS-Angriff, auch DrDoS-Attacke genannt, gibt es drei Typen von Beteiligten: den Angreifer, den Opfer-Server, der als unwissender Komplize agiert, und das Angriffsziel. Der Angreifer sendet eine einfache Anfrage an einen Service auf einem Opfer-Host. Er fälscht (IT-Spoofing) dabei die Anfrage, so dass sie erscheint, als käme sie vom Ziel.

Der Opfer-Server antwortet an die gefälschte Adresse und sendet unerwünschten Netzwerk-Traffic an das Ziel des Angreifers. Die Methode Reflection-DDoS-Attacke wird gewählt, um die Zahl der Antworten auf die Anfrage des Angreifers deutlich zu erhöhen und so die Leistungsfähigkeit des Angreifers zu steigern.

Der Angreifer sendet Hunderte oder Tausende von Anfragen mit hoher Intensität an zahlreiche Opfer unter Nutzung eines Angriffstools zur Prozessautomatisierung und löst damit eine Flut von unerwünschtem Traffic aus, der zu einem Denial-of-Service-Ausfall am Angriffsziel führt.

"Obwohl Reflection-DDoS-Attacken durchaus verbreitet sind, richten sich die drei neuen Angriffe erstmals gegen andere Services. Sie zeigen, dass Angreifer das Internet unaufhörlich nach neuen Möglichkeiten durchsuchen, die sie nutzen können", betont Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai.

"Es scheint so, dass kein UDP-Service vor einer missbräuchlichen Nutzung durch DDoS-Angreifer sicher ist. Deshalb müssen Server-Admins unnötige Services außer Betrieb nehmen oder sie vor einer bösartigen Reflection schützen. Allein schon die hohe Anzahl von UDP-Services, die im Internet für Reflection-DDoS-Attacken zugänglich sind, ist beachtlich."

Die für die neuen Reflection-Attacken verwendeten Tools sind artverwandt – sie sind alle Modifikationen desselben C-Codes. Jeder Angriffsvektor basiert auf der gleichen Methode: einem Script, das eine gefälschte Anfrage an eine Reihe von Opfer-Reflektoren sendet. Und die Optionen für die Kommandozeilen sind ähnlich.

DDoS-Attacken mit NetBIOS Nameserver Reflection
Die NetBIOS-Reflection-DDoS-Attacken – vor allem die NetBIOS Name Service (NBNS) Reflection – wurden von Akamai im Zeitraum von März bis Juli 2015 beobachtet, in dem sie sporadisch auftraten. NetBIOS dient der Kommunikation von Applikationen auf unterschiedlichen Rechnern und dem Session-Aufbau zum Zugriff auf verteilte Ressourcen in einem LAN.

Diese Attacken generieren das 2,56- bis 3,85-Fache an Antwort-Traffic an das Zielsystem im Vergleich zu den ursprünglich vom Angreifer gesendeten Anfragen. Akamai erkannte vier NetBIOS-Nameserver-Reflection-Attacken, die größte mit einer Bandbreite von 15,7 Gbit/s. Obwohl legitimierte und bösartige NetBIOS-Nameserver-Anfragen häufig auftreten, wurde eine Antwort-Traffic-Flut erstmals im März 2015 während einer abgewehrten DDoS-Attacke auf einen Akamai-Kunden entdeckt.

DDoS-Attacken mit RPC Portmap Reflection
Die erste von Akamai beobachtete und abgewehrte RPC-Portmap-Reflection-DDoS-Attacke trat im August 2015 in einer Multi-Vektor-DDoS-Attacke auf. Über RPC Portmap, auch bekannt als Port Mapper, erhält ein Client die Information, wie eine bestimmte Version eines Open Network Computing Remote Procedure Call (ONC RPC) Service aufzurufen ist.

Der größte Antwort-Traffic hatte einen Verstärkungsfaktor von 50,53. Ein eher üblicher Faktor lag bei 9,65. Von den vier von Akamai abgewehrten RPC-Reflection-Attacken überschritt eine 100 Gbit/s, was sie zu einem extrem leistungsstarken Angriff machte. Im September 2015 wurden von Akamai fast täglich aktive bösartige Reflection-Anfragen gegen verschiedenste Ziele registriert.

DDoS-Attacken mit Sentinel Reflection
Die erste Sentinel-Reflection-DDoS-Attacke wurde im Juni 2015 an der Stockholmer Universität beobachtet und als Schwachstelle im Lizenzmanagement-Server für die Statistik-Software SPSS identifiziert. Akamai wehrte zwei Sentinel-Reflection-DDoS-Angriffe im September 2015 ab. Zu den Ausgangspunkten der Attacken gehörten leistungsstarke Server mit hoher Bandbreite wie Universitätsserver.

Der Verstärkungsfaktor bei einer dieser Attacken lag bei 42,94, jedoch wurden nur 745 einzelne Quellen für den Angriffs-Traffic identifiziert. Selbst durch die zusätzliche Bandbreite, die von Servern in gut verbundenen Netzwerken bereitgestellt wird, ist ein Angriff dieses Typs durch die Anzahl verfügbarer Reflektoren limitiert. Die maximale Bandbreite belief sich auf 11,7 Gbit/s.

DDoS-Mitigation und Systemabsicherung
Für alle drei Attacken gilt, dass ein Upstream-Filtering für die DDoS-Mitigation genutzt werden kann, sofern dies möglich ist. Anderenfalls wird ein Cloud-basierter DDoS-Mitigation-Service eines Providers benötigt. Das Threat Advisory von Akamai beinhaltet eine Snort-Mitigation-Regel zum Aufspüren bösartiger Anfragen, die von einem RPC-Portmap-Angriffstool generiert werden. Ähnliche Regeln können für die Detektion im Sentinel-Service-Umfeld aufgestellt werden.

"Für alle drei Services gilt: Admins sollten sich fragen, ob es notwendig ist, die Services jedermann im Internet zugänglich zu machen", erklärt Scholly. "Im Hinblick auf NetBIOS lautet die Antwort wahrscheinlich nein und für die anderen beiden möglicherweise ja. Die Frage heißt dann, wie diese geschützt werden können. RPC- wie Sentinel-Traffic können mit einem Intrusion Detection System überwacht werden."

IAVCworld per E-Mail folgen