Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt. Ganz vorne mit dabei: Amazon Web Services - ein Großteil des Angriffstraffics kommt über diese Server.
Im Verlauf von sechs Monaten konnte das Security Operations Center des Netzwerk-Sicherheitsanbieters Link11 (LSOC) den kontinuierlichen Anstieg von Amazon- und Google-Server als Quellen für DDoS-Angriffe (Distributed Denial of Service) nachweisen. DDoS-Angriffe aus der Cloud sind damit um den Faktor 16 im Vergleich zum Januar gewachsen - als der Angriffstraffic, der von missbrauchten Cloud-Servern ausging, nur mehr zwei Prozent des gesamten DDoS-Angriffstraffics ausmachte. Mit 32,3 Prozent wird inzwischen jede dritte Attacke unter Einsatz von Cloud-Servern ausgeführt - einen beträchtlichen Anteil daran haben unterwanderte Amazon-Server, aber auch Server von Google.
Immer häufiger mieten sich Cyberkriminelle Cloud-Server von Amazon oder Google an, um DDoS-Attacken zu starten. Foto: BeeBright - www.shutterstock.com
Gehackte oder angemietete Cloud-Server
Das LSOC konnte zwei Wege identifizieren, mit denen sich DDoS-Angreifer Zugang zu den Ressourcen der Cloud verschaffen:
Der klassische Weg besteht darin, Botnetze aus gehackten Privatrechnern oder Firmen-Servern in der Cloud aufzubauen.
Statt fremde Rechner zu hacken, mieten sich die Angreifer zunehmend unter falschem Namen und mit gestohlenen Kreditkartendaten Serverkapazitäten in der Cloud. Denn AWS, Microsoft Azure und Google Cloud bieten preiswerte Rechenleistung mit schneller Anbindung zwischen 1 und 10 Gbps. Gehackte Kreditkartendaten aus den USA sind auf dem Schwarzmarkt bereits für wenige Dollar zu haben. Für weitere benutzerspezifische Angaben zum Kreditkarteninhaber wie Name, Datum und Rechnungsadresse kann der Preis auf 30 bis 45 Dollar steigen. Sind die Cloud-Server erst einmal gemietet, spielen die Angreifer meist ein vorgefertigtes Script ein, das den Server innerhalb von Minuten in einen Bot verwandelt.
Preiswert und schnell zu Dutzenden von Cloud-Servern
Das LSOC hat bei ausgewählten globalen Cloud-Anbietern die legale Anmietung von Servern getestet. Eine Kreditkartennummer und ein paar persönliche Angaben genügen. Die Anmietung einer Amazon EC2 Instance über das "AWS Free"-Modell dauerte nur wenige Minuten. Zehn Regionen standen zur Auswahl, je Region konnten maximal 20 Instanzen angemietet werden. Das ergab pro Account rein rechnerisch eine Maximalzahl von 200 Miet-Servern. Mit 200 Cloud-Servern, die jeweils mit mindestens 1 Gbps angebunden sind und reine UDP Floods ausführen, lassen sich nach Einschätzung des LSOC Angriffsbandbreiten von weit über 100 Gbps erreichen. Mit DNS- und NTP-Reflection gewinnen die Angreifer noch mehr Schlagkraft.
Neben Miet-Servern gibt es auf der ganzen Welt zahlreiche Gratis- oder Sonderangebote für Programmierer, die Serverplatz mieten wollen. Die bei der Registrierung abgefragten Daten werden nur selten validiert, so dass auch Nicht-Programmierer über diese Plattformen Zugang zu günstigen Cloud-Ressourcen erhalten und sie für DDoS-Attacken missbrauchen können.
So bekämpfen Sie DDoS-Attacken wirksam
Schützen Sie Ihr Unternehmen gegen DDoS-Attacken Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
1. Angriff verifizieren Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
2. Teamleiter informieren Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
3. Ressourcen bündeln Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
4. Remote-User schützen Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
5. Attacke klassifizieren Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
6. Bestimmte IP-Adressenbereiche blockieren Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
7. Angriffe auf Applikationslayer abwehren Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
8. Sicherheitsperimeter richtig einsetzen Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
9. Ressourcen einschränken Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
10. Kommunikation planen Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
DDoS-Angriffe über AWS machen Schlagzeilen
Einer der größten DDoS-Angriffe der Welt geht möglicherweise auf den Cloud-Service von Amazon zurück. Die Hacker-Gruppe NewWorldHackers soll am Silvestertag 2015 die BBC-Webseite mit einer Rekord-DDoS-Attacke lahmgelegt haben: 602 Gbps. Die BBC-Seiten inklusive des iPlayers waren für über drei Stunden vom Netz abgetrennt. Dafür nutzten die Angreifer nach eigenen Angaben zwei Server des AWS.
2016: HSBC Die britische Bank HSBC fällt einem DDoS-Angriff zum Opfer - Kunden können ihren Online-Account geschlagene 48 Stunden nicht erreichen. Und das zwei Tage vor Abgabefrist der Steuererklärung.
2015: Microsoft Xbox Live Das kostenpflichtige Gaming-Network Xbox Live von Microsoft soll in der Weihnachtswoche mittels DDoS angegriffen werden - diese Drohung wird im Dezember 2015 bekannt. Die Angreifer wollen damit angeblich auf weiterhin bestehende Sicherheitslücken in Microsoft-Diensten hinweisen. Auch Sonys Konkurrenzangebot, das Playstation Network, solle attackiert werden.
2015: Carphone Warehouse Der britische Telekommunikationsanbieter Carphone Warehouse fällt einer DDoS-Attacke zum Opfer. Und als wäre das nicht schon genug, werden zusätzlich auch noch Millionen Kundendaten von den Angreifern kopiert.
2014: 300 Gbps 300 Gigabit pro Sekunde: In diesem Ausmaß hat es noch nie einen DDoS-Angriff gegeben. Mithilfe von 100.000 ungepatchten Servern greift ein Botnet ein nicht näher bekanntes Rechenzentrum an.
2014: 400 Gbps Nur ein halbes Jahr später geht es noch heftiger: Mit einem NTP-basierten (Network Time Protocol) DDoS-Angriff wird eine Internetanbieter attackiert.
2013: chinesisches Internet Teile des Chinesischen Internets sind von einer der größten DDoS-Attacken bisher lahmgelegt. Und das, obwohl die Regierung des Reichs der Mitte eines der weltbesten Security-Systeme samt entsprechend ausgebildetem Personal aufweisen kann.
2013: Spamhaus Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz.
2013: Dispatch International Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet.
2012: 50Hertz Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
2012: Pizza.de / Lieferando UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus.
2012: UPC Die Internet-Präsenz des österreichischen TK-Unternehmens UPC ist vermutlich aufgrund von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer wurden Anonymous-Hacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten Vorratsdatenspeicherung äußern wollen.
Anmietung von Cloud-Servern für Cyber-Attacken ist strafbar
Die Verwendung von Servern für kriminelle Aktivitäten ist bei allen großen Anbietern von Cloud-Services verboten. Im "Amazon Web Services Customer Agreement" heißt es explizit: "5.4.5 Network. You may make network connections from Amazon EC2 hosted servers to other hosts only with the permission and authorization of the destination hosts and networks. Examples of unacceptable network traffic include: ... Flooding. Denial of Service (DoS) of any kind." Googles Cloud Platform Acceptable Use Policy schließt ebenfalls die Nutzung der Server für kriminelle Zwecke aus: "Customer agrees not to, and not to allow third parties to use the Services:... to intentionally distribute viruses, worms, Trojan horses, corrupted files, hoaxes, or other items of a destructive or deceptive nature…"
Die Praxis zeigt jedoch, dass sich DDoS-Angreifer durch entsprechende AGBs nicht davon abhalten lassen, Cloud-Server zur Ausführung von Attacken anzumieten. Da sie sich unter falschem Namen anmelden, lässt sich ihre Spur kaum zurückverfolgen.
Gegen Cloud-Server-Attacken absichern
Das LSOC erwartet, dass der Anteil der Cloud-Server an DDoS-Attacken weiter steigen wird. Bis Ende des Jahres 2016 könnte bei DDoS-Attacken schon jeder zweite angreifende Server aus der Cloud kommen. Wenn Nutzer von Cloud-Servern den Verdacht haben, dass ihre Server missbraucht werden, sollten sie dies umgehend dem Betreiber des Cloud-Services melden. Microsoft Azure fordert dies in seinen Online Subscription Agreement sogar ausdrücklich von seinen Kunden ein: "§ 1.e Sie sind verpflichtet, unser Kundensupportteam unverzüglich über einen möglichen Missbrauch Ihrer Accounts oder Anmeldedaten oder über Sicherheitsvorfälle im Zusammenhang mit den Onlinediensten zu informieren."
Nach Kenntnisstand des LSOC fällt der veränderte Netzwerk-Traffic des Servers aber nur den wenigsten Cloud-Kunden auf. Das stellt ein wachsendes DDoS-Sicherheitsrisiko dar, über das sich IT-Sicherheitschefs von Unternehmen im Klaren sein müssen. Sie können DDoS-Angriffe aus der Cloud nicht verhindern, aber sie können dafür sorgen, dass sie keine Auswirkungen auf Verfügbarkeit und Performance der attackierten Infrastrukturen haben. (sh)