- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Die Rückkehr der PBot-Malware


Angriffe auf Webanwendungen- und DDOS-Angriffe haben wieder zugenommen
Domain Generation Algorithms − Der Zusammenhang zwischen Mirai-C2 und Angriffszielen

- Anzeigen -





Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal.

Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

Bedrohung durch Domain Generation Algorithms
Eine weitere altbekannte Bedrohung ergab sich aus der Analyse des Enterprise Threat Research Teams von Akamai. Dieses untersuchte die Nutzung von Domain Generation Algorithms (DGA) in Command-and-Control-Malware-Infrastrukturen (C2). DGA trat zum ersten Mal 2008 im Zusammenhang mit dem Conficker-Wurm in Erscheinung und wird seit jeher häufig als Kommunikationstechnik für moderne Malwarebedrohungen verwendet.

Das Team fand heraus, dass infizierte Netzwerke 15 Mal höhere DNS-Abfrageraten als saubere Netzwerke generieren. Diese lassen sich durch die Abfrage der von der Malware zufällig generierten Domänen in den infizierten Netzwerken erklären. Da die meisten generierten Domänen nicht registriert waren, wurden durch die Abfrage aller Domänen eine Vielzahl von Ressourcen aufgewendet. Die Analyse von Verhaltensunterschieden zwischen infizierten und sauberen Netzwerken ist eine wichtige Methode, um Malwareaktivitäten zu erkennen.

Mirai trägt zur Kommerzialisierung von DDoS bei
Als das Mirai-Botnet im September des vergangenen Jahres entdeckt wurde, war Akamai eines der ersten Ziele. Die Unternehmensplattform war kontinuierlichen Angriffen des Mirai-Botnets ausgesetzt, konnte diese jedoch erfolgreich abwehren. Das Forschungsteam von Akamai hat sich die einzigartigen Einblicke in Mirai zunutze gemacht, um die verschiedenen Aspekte des Botnets zu studieren. Der Fokus im 2. Quartal lag dabei auf der C2-Infrastruktur.

Die Forschungsergebnisse von Akamai deuten stark darauf hin, dass Mirai, ebenso wie andere Botnets, nun zur Kommerzialisierung von DDoS beitragen. Während viele C2-Nodes dedizierte Angriffe gegen ausgewählte IPs durchführten, führten sogar noch mehr sogenannte "Pay-for-Play"-Attacken durch. Dabei griffen die C2-Nodes von Mirai IPs kurzzeitig an, wurden inaktiv und tauchten anschließend wieder auf, um andere Ziele zu attackieren.

"Angreifer suchen stets nach Schwachstellen in der Abwehr von Unternehmen. Je verbreiteter und effektiver die Schwachstelle, desto mehr Energie und Ressourcen investieren die Hacker darin", sagt Martin McKeay, Senior Security Advocate bei Akamai. "Ereignisse, wie das Mirai-Botnet, die Exploits von WannaCry und Petya, die stetige Zunahme von SQLi-Angriffen und die Rückkehr von PBot zeigen uns, dass Angreifer nicht immer nur neue Methoden ausprobieren, sondern auch gerne auf Altbewährtes zurückgreifen."

Das 2. Quartal 2017 in Zahlen:

>> Die Zahl der DDoS-Angriffe im 2. Quartal 2017
haben im Vergleich zum ersten Quartal um 28 Prozent zugenommen, nachdem die Zahlen über drei Quartale hinweg rückläufig waren.

>> Die DDoS-Attacken sind hartnäckiger als je zuvor. Durchschnittlich griffen sie Ziele 32 Mal im gesamten Quartal an. Ein Gaming-Unternehmen wurde allein 558 Mal angegriffen. Das entspricht durchschnittlich sechs Attacken pro Tag.

>> Mit einem globalen Gesamtanteil von 32 Prozent war Ägypten das Ursprungsland mit der höchsten Anzahl an eindeutigen IP-Adressen, die in häufigen DDoS-Angriffen verwendet wurden. Im letzten Quartal standen noch die USA an der Spitze und Ägypten war nicht einmal unter den Top 5 zu finden.

>> In diesem Quartal wurden weniger Geräte zur Durchführung von DDoS-Angriffen verwendet. Die Anzahl der in volumetrischen DDoS-Angriffen verwendeten IP-Adressen fiel von 595.000 um 98 Prozent auf 11.000.

>> Angriffe auf Webanwendungen nahmen im Quartalsvergleich um fünf Prozent und im Jahresvergleich um 28 Prozent zu.

>> Mehr als die Hälfte der Angriffe über Webanwendungen wurde im vergangenen Quartal mittels SQLi-Attacken getätigt. Zuvor waren es noch 44 Prozent. Das entspricht etwa 185 Millionen Warnungen im 2. Quartal.

Methodik
Der "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform. Die am "State of the Internet"-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus den verschiedensten Abteilungen von Akamai. Hierzu zählen u. a. das Intelligence Response Team (SIRT), die Threat Research Unit sowie die Bereiche Information Security und Custom Analytics.
(Akamai Technologies: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 26.10.17


Akamai: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Verbreitung über Malvertising

    Eset hat einen speziellen Fall von Krypto-Mining entdeckt, welcher das Schürfen von Krypto-Währungen direkt über das JavaScript eines Web-Browsers ermöglicht. Diese CPU-intensive Aufgabe ist in der Regel von der Mehrheit der Werbenetzwerke verboten, weil sie die Nutzererfahrung erheblich beeinträchtigt. Schon seit geraumer Zeit nutzten Cyberkriminelle den Vorteil von Krypto-Währungen, um Profite zu generieren. Allerdings verwenden sie in der Regel Malware oder potenziell unerwünschte Anwendungen, die sie auf den Computern ihrer Opfer installieren. Um mit Krypto-Mining Geld zu verdienen, müssen "Schürfer" ihre Rechnerleistung zur Verfügung stellen. Die Entwickler des nun untersuchten JavaScripts nutzen hierfür allerdings die Rechnerleistung ihrer Opfer.

  • Spyware-Tool zur Strafverfolgung

    Forscher von Eset haben eine Überwachungskampagne entdeckt, welche eine neue Variante der berüchtigten Spyware FinFisher nutzt. Die auch als FinSpy bekannte Malware wird als Tool zur Strafverfolgung vermarktet und weltweit an staatliche Stellen verkauft. Vermutlich wird die Spyware auch von repressiven Regimen genutzt. Insgesamt sieben Länder sind von FinFisher betroffen. In zwei davon gibt es Hinweise darauf, dass große Internetanbieter in die Verbreitung des Überwachungsprogramms involviert waren.

  • Online-Multiplayer-Spiele missbraucht

    Eset hat eine neue, raffinierte Malware entdeckt: "Joao" verbreitet sich über Computerspiele, welche auf inoffiziellen Webseiten veröffentlicht werden. Die modulare Malware ist in der Lage, weitere schädliche Codes herunterzuladen und auszuführen. Die vollständige Analyse des Schädlings hat Eset auf dem Blog WeLiveSecurity veröffentlicht. Verbreitung über verschiedene Online-Multiplayer-Spiele Für die Verbreitung ihrer Malware haben die Joao-Angreifer Online-Multiplayer-Spiele missbraucht. Eset Forscher konnten zeigen, dass hierfür verschiedene Spieletitel von Aeria Games genutzt wurden, einem Vermarkter für Online-Spiele mit Hauptsitz in Berlin. Die Spiele wurden modifiziert und auf inoffiziellen Webseiten zum Download angeboten. Einmal heruntergeladen und gestartet, sammelt die Malware Informationen vom infizierten Computer und lädt anschließend weitere Komponenten von einem Command-and-Control Server herunter. Die von den Eset-Forschern entdeckten Joao-Komponenten enthielten Möglichkeiten für Backdoor-, Spionage- und Überlastangriffe (DDoS).

  • Watering-Hole- & Spear-Phishing-Kampagnen

    Die berüchtigte Hackergruppe Turla ist zurück: Eset hat eine neue, verbesserte Backdoor der Cyberkriminellen entdeckt. "Gazer" verbreitet sich seit 2016 und attackiert gezielt europäische Institutionen. Die ausführliche technische Analyse hat Eset auf dem Blog WeLiveSecurity sowie im zugehörigen Whitepaper veröffentlicht. Typisch Turla: Die Turla Gruppe greift seit vielen Jahren verschiedene europäische Regierungen und Botschaften auf der ganzen Welt an und ist bekannt für ihre zielgerichteten Watering-Hole- und Spear-Phishing-Kampagnen. Eset Forscher konnten die Backdoor Gazer global nachweisen, am häufigsten jedoch auf Computern in Europa.

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.