DDoS-Attacken aus der Cloud

Wenn Amazons Cloud zum Angreifer wird

Jens-Philipp Jung ist Mitgründer und Geschäftsführer der Link11 GmbH aus Frankfurt/M. Das Unternehmen schützt Webseiten und Server vor DDoS-Attacken aus dem Internet und hat bereits mehrfach Preise für die innovative Schutzlösung gewonnen. Als ausgewiesener IT-Experte arbeitet Jung an der IKT-Strategie des Bundesministeriums für Bildung und Forschung mit.
Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt. Ganz vorne mit dabei: Amazon Web Services - ein Großteil des Angriffstraffics kommt über diese Server.

Im Verlauf von sechs Monaten konnte das Security Operations Center des Netzwerk-Sicherheitsanbieters Link11 (LSOC) den kontinuierlichen Anstieg von Amazon- und Google-Server als Quellen für DDoS-Angriffe (Distributed Denial of Service) nachweisen. DDoS-Angriffe aus der Cloud sind damit um den Faktor 16 im Vergleich zum Januar gewachsen - als der Angriffstraffic, der von missbrauchten Cloud-Servern ausging, nur mehr zwei Prozent des gesamten DDoS-Angriffstraffics ausmachte. Mit 32,3 Prozent wird inzwischen jede dritte Attacke unter Einsatz von Cloud-Servern ausgeführt - einen beträchtlichen Anteil daran haben unterwanderte Amazon-Server, aber auch Server von Google.

Immer häufiger mieten sich Cyberkriminelle Cloud-Server von Amazon oder Google an, um DDoS-Attacken zu starten.
Immer häufiger mieten sich Cyberkriminelle Cloud-Server von Amazon oder Google an, um DDoS-Attacken zu starten.
Foto: BeeBright - www.shutterstock.com

Gehackte oder angemietete Cloud-Server

Das LSOC konnte zwei Wege identifizieren, mit denen sich DDoS-Angreifer Zugang zu den Ressourcen der Cloud verschaffen:

  • Der klassische Weg besteht darin, Botnetze aus gehackten Privatrechnern oder Firmen-Servern in der Cloud aufzubauen.

  • Statt fremde Rechner zu hacken, mieten sich die Angreifer zunehmend unter falschem Namen und mit gestohlenen Kreditkartendaten Serverkapazitäten in der Cloud. Denn AWS, Microsoft Azure und Google Cloud bieten preiswerte Rechenleistung mit schneller Anbindung zwischen 1 und 10 Gbps. Gehackte Kreditkartendaten aus den USA sind auf dem Schwarzmarkt bereits für wenige Dollar zu haben. Für weitere benutzerspezifische Angaben zum Kreditkarteninhaber wie Name, Datum und Rechnungsadresse kann der Preis auf 30 bis 45 Dollar steigen. Sind die Cloud-Server erst einmal gemietet, spielen die Angreifer meist ein vorgefertigtes Script ein, das den Server innerhalb von Minuten in einen Bot verwandelt.

Preiswert und schnell zu Dutzenden von Cloud-Servern

Das LSOC hat bei ausgewählten globalen Cloud-Anbietern die legale Anmietung von Servern getestet. Eine Kreditkartennummer und ein paar persönliche Angaben genügen. Die Anmietung einer Amazon EC2 Instance über das "AWS Free"-Modell dauerte nur wenige Minuten. Zehn Regionen standen zur Auswahl, je Region konnten maximal 20 Instanzen angemietet werden. Das ergab pro Account rein rechnerisch eine Maximalzahl von 200 Miet-Servern. Mit 200 Cloud-Servern, die jeweils mit mindestens 1 Gbps angebunden sind und reine UDP Floods ausführen, lassen sich nach Einschätzung des LSOC Angriffsbandbreiten von weit über 100 Gbps erreichen. Mit DNS- und NTP-Reflection gewinnen die Angreifer noch mehr Schlagkraft.

Neben Miet-Servern gibt es auf der ganzen Welt zahlreiche Gratis- oder Sonderangebote für Programmierer, die Serverplatz mieten wollen. Die bei der Registrierung abgefragten Daten werden nur selten validiert, so dass auch Nicht-Programmierer über diese Plattformen Zugang zu günstigen Cloud-Ressourcen erhalten und sie für DDoS-Attacken missbrauchen können.

DDoS-Angriffe über AWS machen Schlagzeilen

Einer der größten DDoS-Angriffe der Welt geht möglicherweise auf den Cloud-Service von Amazon zurück. Die Hacker-Gruppe NewWorldHackers soll am Silvestertag 2015 die BBC-Webseite mit einer Rekord-DDoS-Attacke lahmgelegt haben: 602 Gbps. Die BBC-Seiten inklusive des iPlayers waren für über drei Stunden vom Netz abgetrennt. Dafür nutzten die Angreifer nach eigenen Angaben zwei Server des AWS.

Schon Ende 2014 wurden der AWS mit DDoS-Attacken in Verbindung gebracht. Hacker hatten Unternehmensdaten und Filmmaterial von Sony gestohlen und im Web veröffentlicht. Als Gegenschlag soll Sony AWS-Server in Tokio und Singapur unter falschem Namen angemietet und mit DDoS-Attacken versucht haben, die illegalen Downloads offline zu nehmen. Amazon bestreitet bis heute einen Missbrauch der AWS.

Anmietung von Cloud-Servern für Cyber-Attacken ist strafbar

Die Verwendung von Servern für kriminelle Aktivitäten ist bei allen großen Anbietern von Cloud-Services verboten. Im "Amazon Web Services Customer Agreement" heißt es explizit: "5.4.5 Network. You may make network connections from Amazon EC2 hosted servers to other hosts only with the permission and authorization of the destination hosts and networks. Examples of unacceptable network traffic include: ... Flooding. Denial of Service (DoS) of any kind." Googles Cloud Platform Acceptable Use Policy schließt ebenfalls die Nutzung der Server für kriminelle Zwecke aus: "Customer agrees not to, and not to allow third parties to use the Services:... to intentionally distribute viruses, worms, Trojan horses, corrupted files, hoaxes, or other items of a destructive or deceptive nature…"

Die Praxis zeigt jedoch, dass sich DDoS-Angreifer durch entsprechende AGBs nicht davon abhalten lassen, Cloud-Server zur Ausführung von Attacken anzumieten. Da sie sich unter falschem Namen anmelden, lässt sich ihre Spur kaum zurückverfolgen.

Gegen Cloud-Server-Attacken absichern

Das LSOC erwartet, dass der Anteil der Cloud-Server an DDoS-Attacken weiter steigen wird. Bis Ende des Jahres 2016 könnte bei DDoS-Attacken schon jeder zweite angreifende Server aus der Cloud kommen. Wenn Nutzer von Cloud-Servern den Verdacht haben, dass ihre Server missbraucht werden, sollten sie dies umgehend dem Betreiber des Cloud-Services melden. Microsoft Azure fordert dies in seinen Online Subscription Agreement sogar ausdrücklich von seinen Kunden ein: "§ 1.e Sie sind verpflichtet, unser Kundensupportteam unverzüglich über einen möglichen Missbrauch Ihrer Accounts oder Anmeldedaten oder über Sicherheitsvorfälle im Zusammenhang mit den Onlinediensten zu informieren."

Umfrage zu CRM in der Cloud

Nach Kenntnisstand des LSOC fällt der veränderte Netzwerk-Traffic des Servers aber nur den wenigsten Cloud-Kunden auf. Das stellt ein wachsendes DDoS-Sicherheitsrisiko dar, über das sich IT-Sicherheitschefs von Unternehmen im Klaren sein müssen. Sie können DDoS-Angriffe aus der Cloud nicht verhindern, aber sie können dafür sorgen, dass sie keine Auswirkungen auf Verfügbarkeit und Performance der attackierten Infrastrukturen haben. (sh)