DDoS-Report von Imperva: Angriffe werden immer einfacher durchführbar

DDoS-Report von Imperva: Angriffe werden immer einfacher durchführbar

DDoS-Report von Imperva: Angriffe werden immer einfacher durchführbar

Imperva - ein Unternehmen für Cybersicherheits-Software - hat seinen neuen DDoS-Report veröffentlicht und darin die aktuellsten Erkenntnisse über die Cyber-Bedrohungslage für das erste Halbjahr 2021 aufgeführt. Im folgenden Beitrag haben wir die wichtigsten Punkte zusammengefasst und geben Ihnen Empfehlungen, wie sie sich präventiv gegen DDos-Angriffe schützen können.

Der Report zeigt eines sehr deutlich: Deutsche Unternehmen gehören zur Gruppe der häufigsten Angriffsziele: Rund 12 % aller DDoS-Angriffe wurden auf in Deutschland ansässige Unternehmen verübt. Die meisten Angriffe entfielen mit 46% auf den asiatisch-pazifischen Raum, wobei Taiwan besonders betroffen war. Dabei konzentrierten sich die Angriffe besonders auf drei Branchen: Etwa 30 % der Angriffe waren auf IT-Unternehmen gerichtet, gefolgt von Unternehmens- (25 %) und Finanzdienstleistungen (22 %).

Auch bezüglich der Größe der Angriffe gab es interessante Erkenntnisse: Im Juli 2021 vereitelten die Cybersicherheitsexperten von Imperva den bisher größten DDoS-Angriff mit einem Durchsatz von 1,02 Terabit pro Sekunde (Tbps) und 155 Millionen Datenpaketen pro Sekunde (Mpps). Darüber hinaus beobachtete das Forschungsteam einen Trend zu einem höheren Angriffsvolumen in kürzerer Zeit: Seit 2020 hat sich die Zahl der DDoS-Angriffe vervierfacht, wobei der durchschnittliche Angriff nur sechs Minuten dauerte.

Warum sind DDos-Angriffe so gefährlich?

Die Hürden für die Durchführung eines DDoS-Angriffs sind sehr niedrig. "DDoS-Angriffstools sind im Dark Web und auf DDoS-for-hire-Seiten im regulären Internet leicht zugänglich", berichtet Reinhart Hansen, CTO von Imperva Asia Pacific und Japan. Den Untersuchungen von Imperva zufolge werden solche Dienste immer beliebter, da sie im Allgemeinen weniger ausgeklügelte Angriffsvektoren wie das Transmission Control Protocol (TCP) verwenden. In den letzten 12 Monaten sind die datenpaketbasierten TCP-Angriffe von knapp über 10 Prozent auf fast 32 Prozent gestiegen, während die bandbreitenbasierten TCP-Angriffe von 4 Prozent auf 18 Prozent zugenommen haben.

DDoS- Angriffe sind auch deshalb so gefährlich, weil sie ein Ablenkungsmanöver im Rahmen eines umfassenderen Angriffs mit mehreren Vektoren sein können. Herkömmliche DDoS-Lösungen sind oft so konfiguriert, dass sie solch ein Maß an Aktivität ignorieren, sodass Angreifer unbemerkt groß angelegte Angriffe planen können.

Hinzu kommt, dass DDoS-Angriffe billig und einfach zu handhaben sind, jedoch verheerende Auswirkungen auf Unternehmen haben können: Eine Stunde Ausfallzeit kostet Unternehmen im Durchschnitt 85.000 Euro an entgangenem Umsatz, und ein Viertel der DDoS-Ziele wird 10 Mal oder öfter angegriffen. "Infolge der Corona-Pandemie und des Ansturms auf die Digitalisierung von Prozessen ist die Bedrohungslage sehr ernst geworden", sagt Kai Zobel, Vice President, EMEA, Imperva.

Deshalb gilt es für Unternehmen, sich gegen diese Bedrohungen bestmöglich zu schützen. Unser CSOC ermöglicht die rechtzeitige Erkennung von DDos-Angriffen. Über den Einsatz unserer Detektion-Regel werden Ausführungsversuche von DDoS Angriffen in der CSOC-Leitstelle umgehend gemeldet. Große Mengen von Netzwerkpaketen, die in kurzer Zeit einfließen, deuten dabei u.a. darauf hin, dass ein DDoS-Angriff im Umlauf ist.

Unsere Handlungsempfehlungen:

  • Protokollierung der Quell- und Ziel IP-Adresse sowie des genauen Zeitstempels des Vorfalls.
  • Ausstattung des Routers mit einem Paket Filter, bei dem Netzwerkverkehr aus Quell-IP-Adressen, die einem DDoS verursacht haben, blockiert wird.
  • Ausstattung des Routers mit einem Paket-Filter, bei dem Netzwerkverkehr, der an die betroffene Ziel-IP-Adresse gesendet wird, ausgeworfen wird.

 

Quelle: www.imperva.com

CryptoJacking – Die unsichtbare Gefahr

CryptoJacking – Die unsichtbare Gefahr

CryptoJacking – Die unsichtbare Gefahr

Unser CSOC erreichten kürzlich die Meldungen ‚Windows Script Executing PowerShell‘ sowie ‚Local Service Commands‘. Nach einer eingehenden Analyse im SIEM stellten wir fest, dass in einem Kundensystem folgende Powershell-Skripte aus diversen Frameworks wie Out-Compressed DDL und Invoke-Reflective PE Injektion verwendet wurden, um eine Ausführung zu ermöglichen: ‚nitro.ps1‘, ‚WMI.ps1‘ und ‚WMI64.ps1‘. Eine weitere Recherche ergab, dass diese Skripte von der fortschrittlichen CryptoJacking Malware „GhostMiner“ verwendet werden.

Im Folgenden möchte wir Ihnen diese drei Skripte näher erläutern: Das Skript ‚nitro.ps1‘ versucht alle verwendeten Passwörter per Brute-Force zu erzwingen, um einen Zugriff auf das jeweilige System zu erhalten. ‚WMI.ps1‘ archiviert die Persistenz mithilfe von WMI-Objekten (Windows Management Instrumentation). Es lädt zudem Payloads herunter und führt diese aus. Eine der ausgeführten Payloads eliminiert alle anderen Crypto-Miner auf dem infizierten Computer. WMI.ps1 sucht außerdem nach Listen von Diensten, geplanten Tasks und Befehlszeilenargumenten, die häufig in Verbindung mit Crypto-Minern vorkommen. ‚WMI64.ps1‘ startet schließlich den eigenen Crypto-Miner.

Doch welche Gefahr verbirgt sich hinter CryptoJacking? – Das Ziel von Angreifern ist es, durch CryptoJacking die Rechenressourcen von Geräten zu nutzen, um in der Folge wertvolle Online-Währungen wie Bitcoins zu stehlen. Doch die Schadsoftware wirkt sich auch an anderen Stellen negativ aus: Die Trojaner verlangsamen die Computerleistung aufgrund der hohen CPU-Auslastung immens. Häufig läuft dadurch die Rechnerlüftung auf Hochtouren. Bei einigen Unternehmen, die von vielen CryptoJacking-Systemen befallen wurden, entstehen somit jährlich nennenswerte Summen an Strom- und IT-Arbeitskosten. Zudem können reduzierte Rechnerleistungen dazu führen, dass bestimmte Geschäftsprozesse nicht mehr schnell und reibungslos ablaufen können.

Im Falle unseres Kunden, konnte diese Gefahr rechtzeitig abgewehrt werden. Unser Team hat ihn über diese Aktivitäten umgehend informiert und empfohlen, das betroffene System auf ungewöhnliche Prozesse, die eine hohe Prozessor-Auslastung verursachen, zu überprüfen. Unser Kunde ist anschließend tatsächlich fündig geworden und konnte das Crypto-Mining verhindern.

Unsere Handlungsempfehlungen:

- Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.

- Blockieren Sie JavaScript in dem Browser, um Drive-by-Cryptojacking zu stören.

- Installieren Sie die Browser-Add-Ons „AdBlock“, „No Coin“ und „MinerBlock“, um Mining-Aktivitäten in diversen Browsern zu blockieren.

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind.

- Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

- Beobachten Sie die üblichen Rechnerauslastungen der Systeme und dokumentieren Sie diese, um Abweichungen erkennen zu können.

- Blockieren Sie alle Websites, die dafür bekannt sind CryptoJacking Skripte zu liefern.

Fehler in ThroughTek SDK ermöglicht Angreifern das Ausspionieren von IoT-Geräten

Kritischer Fehler in ThroughTek SDK ermöglicht Angreifern das Ausspionieren von IoT-Geräten

Kürzlich wurde eine Sicherheitslücke entdeckt, die mehrere Versionen des ThroughTek Kalay P2P Software Development Kits (SDK) betrifft. Die Schwachstelle mit der Bezeichnung CVE-2021-28372 (CVSS-Score: 9.6) wurde Ende 2020 von FireEye Mandiant entdeckt und betrifft unsachgemäße Zugriffskontrollen in den Point-to-Point (P2P)-Produkten von ThroughTek, die bei erfolgreicher Ausnutzung das Abhören von Live-Audio, die Einsicht in Echtzeit-Videodaten oder die Kompromittierung von Geräteanmeldeinformationen ermöglichen könnten. Damit würde es Angreifern gelingen, die Kontrolle über ein betroffenes Gerät zu übernehmen, was zu einer Remotecodeausführung und zum unbefugten Zugriff auf sensible Informationen führen könnte.

Es existieren aktuell schätzungsweise 83 Millionen aktive Geräte, die auf der Kalay-Plattform laufen. Folgenden Versionen des Kalay P2P SDK sind von dieser Schwachstelle betroffen:

  • Version 3.1.5 und früher
  • SDK-Versionen mit dem nossl-Tag
  • Firmware von Geräten, die keinen AuthKey für die IOTC-Verbindung verwenden.
  • Firmware für Geräte, die AVAPI-Module verwenden, ohne den DTLS-Mechanismus zu aktivieren.
  • Firmware für Geräte, die P2PTunnel- oder RDT-Module verwenden.

Die Kalay-Plattform des taiwanesischen Unternehmens ist eine P2P-Technologie, die mit dem Internet verbundene Videoüberwachungsprodukte wie IP-Kameras und Lichtkameras in die Lage versetzt, große Audio- und Videodateien mit geringer Latenz sicher zu übertragen. Ermöglicht wird dies durch das SDK, eine Implementierung des Kalay-Protokolls, die in mobile und Desktop-Apps sowie in mit dem Netzwerk verbundene IoT-Geräte eingebettet ist.

CVE-2021-28372 betrifft den Registrierungsprozess zwischen einem Gerät und seiner mobilen App, insbesondere die Art und Weise, wie es auf das Kalay-Netzwerk zugreift und diesem beitritt. Dies versetzt Angreifer in die Lage, die Gerätekennung des Opfers (die so genannte UID) zu fälschen, böswillig Geräte mit derselben UID im Netzwerk zu registrieren, den Registrierungsserver zu veranlassen, bestehende Geräte zu überschreiben und die Verbindung fälschlicherweise an ein betrügerisches Gerät zu übertragen.

Sobald der Angreifer die UID missbräuchlich registriert hat, werden alle Verbindungsversuche von Clients, die auf die UID des Opfers zugreifen wollen, an den Angreifer weitergeleitet. Der Angreifer kann anschließend den Verbindungsprozess fortsetzen und die für den Zugriff auf das Gerät erforderlichen Anmeldedaten (Benutzername und Kennwort) erhalten. Die kompromittierten Anmeldedaten ermöglichen dem Angreifer, das Kalay-Netzwerk zu nutzen, um sich aus der Ferne mit dem Originalgerät zu verbinden, auf die AV-Daten zuzugreifen und RPC-Aufrufe zu tätigen.

Unsere Handlungsempfehlungen:

  • Es wird empfohlen, das Kalay-Protokoll auf Version 3.1.10 zu aktualisieren. Außerdem sollten DTLS und der Authentifizierungsschlüssel aktiviert werden, um Daten während der Übertragung zu schützen und eine zusätzliche Authentifizierungsebene während der Client-Verbindung hinzuzufügen.
  • Wenn eine ältere SDK-Version als 3.1.10 vorliegt, aktualisieren Sie die Bibliothek auf v3.3.1.0 oder v3.4.2.0 und aktivieren Sie authkey/DTLS.
  • Aktualisieren Sie regelmäßig Ihre IoT-Geräte.
  • Verwenden Sie ein VPN, das DDoS-Angriffen entgegenwirken kann.
  • Deaktivieren Sie UPnP (Universal Plug and Play), da diese Funktion dabei unterstützen soll, andere Netzwerkgeräte zu erkennen.