Akamai: XOR DDoS Botnet startet täglich 20 DDoS-Angriffe von gekaperten Linux-Rechnern

sectank_artikelbilder_01
  • Das XOR DDoS Botnet ist weiter gewachsen und kann jetzt Mega-DDoS-Attacken von mehr als 150 Gbit/s durchführen
  • 90 Prozent der Angriffe zielen auf Unternehmen in Asien
  • Ein neuer Sicherheitshinweis erläutert Details mehrerer kürzlich erfolgter Angriffe durch das XOR DDoS BotnetMünchen, 5. Oktober 2015 – Akamai Technologies (NASDAQ: AKAM), der führende Anbieter von Content-Delivery-Network (CDN)-Services, hat unterstützt durch sein Security Intelligence Response Team (SIRT, https://blogs.akamai.com/2015/09/test-post.html) einen neuen Sicherheitshinweis veröffentlicht. Angreifer haben ein Botnet aufgebaut, das auf Basis von XOR DDoS – eine Trojaner-Malware, mit der Linux-Systeme gekapert werden – Distributed-Denial-Of-Service (DDoS)-Angriffe von mehr als 150 Gbit/s ausführen kann. Der ausführliche Sicherheitshinweis sowie eine Analyse zur Abwehr der DDoS-Angriffe und Hinweise zum Löschen der Malware stehen zum Download bereit unter: www.stateoftheinternet.com/xorddos.Die Trojaner-Malware XOR DDoS infiziert Linux-Systeme und instruiert sie per Fernsteuerung, DDoS-Attacken zu starten. Dazu verschaffen sich die Hacker zunächst per Brute-Force-Attacken Zugang zum Passwort der Secure-Shell-Services des Linux-Rechners. Sobald Angreifer die Login-Daten kennen, nutzen sie Root-Rechte und starten ein Bash Shell Script, das ein bösartiges Binärfile lädt und ausführt.Die Analysen des Akamai SIRT zeigen, dass sich die von dem XOR DDoS Botnet stammenden DDoS-Angriffe von einem niedrigen einstelligen Gbit/s-Bereich bis hin zu einem extrem hohen Bereich von mehr als 150 Gbit/s erstrecken. Am häufigsten zielten die Attacken auf Onlinespiele, gefolgt von Bildungseinrichtungen. Das Botnet startet bis zu 20 Angriffe pro Tag, 90 Prozent davon erfolgen in Asien. In einem ausführlichen Bericht schildert Akamai Details zu mehreren Attacken, die das XOR DDoS Botnet am 22. und 23. August dieses Jahres durchführte – eine davon mit nahezu 179 GBit/s und die andere mit rund 109 GBit/s. Dabei kamen die Angriffsvektoren SYN und DNS Floods zum Einsatz.In einigen Fällen – aber nicht immer – war die IP-Adresse des Bots gefälscht. Den Analysen zufolge wurde bei den Angriffen auf Kunden von Akamai ein Mix aus echten und gefälschten IP-Adressen verwendet. Die gefälschten IP-Adressen wurden so erzeugt, dass sie wie solche aus dem 24- oder dem 16-Bit-Adressraum des infizierten Hosts aussehen. Damit ISPs den manipulierten Datenverkehr nicht mit ihren per Unicast Reverse Path Forwarding (uRPF) geschützten Netzen blockieren, nutzen die Angreifer eine Technik, bei der nur das dritte oder vierte Oktett einer IP-Adresse geändert wird.Akamai konnte typische Erkennungsmuster in den Angriffen, wie Initial TTL Value, TCP Window Size und TCP Header Options, ermitteln. Solche Payload-Signaturen können sich als wichtige Hilfe bei der DDoS-Abwehr erweisen. Der ausführliche Report erhält dazu nähere Informationen. Darüber hinaus bietet der Bericht auch speziell auf den vom Botnetz generierten SYN Flood Attack Traffic abgestimmte tcpdump filter.

    So lässt sich die XOR DDoS Malware aufspüren und löschen

    Es gibt zwei Möglichkeiten, um die Präsenz von XOR DDoS festzustellen. Das Vorhandensein des Botnets in einem Netzwerk lässt sich erstens über die Analyse der Kommunikation zwischen dem Bot und zentralen Command-and-Control-Servern (C2) ermitteln. Der Report enthält dazu Snort Rules. Um die Infektion eines Linux-Rechners mit Malware aufzuspüren, bietet der Bericht zweitens YARA Rules an, die nach den Mustern bekannter Zeichenketten in den Binaries suchen.

    XOR DDoS ist persistent – selbst, wenn die bösartigen Files gelöscht werden, sorgen bestimmte Prozesse dafür, dass sich XOR DDoS neu installiert. Um die Malware tatsächlich zu löschen, ist ein vierstufiges Verfahren erforderlich, das der Report ausführlich erläutert:

    1. Die bösartigen Files in zwei Directories aufspüren

    2. Die für die Persistenz der eigentlichen Malware verantwortlichen Prozesse identifizieren

    3. Diese Prozesse löschen

    4. Die bösartigen Files löschen.

    Akamai beobachtet kontinuierlich DDoS-Angriffe, bei denen XOR DDoS zum Einsatz kommt. Ausführliche Informationen zu der Bedrohung, dem Löschen der Malware und den Techniken zur Abwehr der Attacken gibt es in einem umfangreichen Report, der zum Download bereitsteht unter: www.stateoftheinternet.com/xorddos.

    „Im letzten Jahr ist das XOR DDoS Botnet weiter gewachsen und ist jetzt in der Lage, sehr große DDoS-Abgriffe auszuführen“, sagt Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai. „XOR DDoS ist ein Beispiel dafür, wie Angreifer ihre Ziele ändern. Sie errichten jetzt Botnetze mit gekaperten Linux-Systemen und starten mit diesen DDoS-Angriffe. Das geschieht heute weit häufiger als früher, als Windows-Rechner die primären Ziele von DDoS-Malware waren.“

    Über das Akamai Security Intelligence Response Team (SIRT)

    Das Akamai Security Intelligence Response Team (SIRT) befasst sich mit der Abwehr weltweiter Cyber-Risiken und Gefahren, führt Digital-Forensic- sowie Post-Event-Analysen durch und teilt die Ergebnisse mit der Security-Community, um proaktiv vor Bedrohungen und Angriffen schützen zu können. Darüber hinaus unterhält das Akamai SIRT enge Kontakte mit anderen weltweit tätigen Organisationen und trainiert die Professional-Services- und Customer-Care-Teams von Akamai, damit diese ein breites Spektrum von Angriffen erkennen und abwehren können. Die Analysen von Akamai SIRT tragen dazu bei, dass die Cloud-Security-Produkte von Akamai zu den branchenbesten gehören und einen wirksamen Schutz vor all den aktuellen Bedrohungen auf Applikationsebene bieten können, mit denen es Unternehmen zu tun haben.