Imperva über den erneuten Anstieg der DDoS Botnetzwerke
In der letzten Woche hat Incapsula einen neuen Report veröffentlicht, der die aktuellsten Trends an der DDoS (Distributed-Denial-of-Service) Front beschreibt. Der Report enthüllt, dass es sowohl auf der Netzwerk- wie auch auf der Applikationsebene beunruhigende Neuigkeiten gibt.
Obwohl der Incapsula Report sehr detailiert die verschiedenen Trends und Typen sowie ihre Häufigkeiten analysiert, so soll im Folgenden auf die wirklich interessanten Erkenntnisse des Reports eingegangen: Die applikationsbasierten DDoS Attacken, die von den Botnetzwerken initiiert werden.
Im letzten Jahr hat Imperva bereits einen ausführlichen Bericht veröffentlicht, der auf den zunehmenden Trend des Hackens von CMS-Systemen im industriellen Cybercrime Umfeld eingegangen ist. Hierbei verwenden die Hacker Botnetzwerke, um weitere Rechner für die Erweiterung der Botnetzwerke zu infizieren und diese anschliessend als Plattform für Netzwerk- und Applikationsattacken zu nutzen. Für DDoS Attacken macht dies auch wirklich Sinn. Wenn ein Hacker die Leistung einer Vielzahl von Rechner in einem grossen Botnetzwerk nutzen kann, dann steigen die Chancen den angegriffenen Dienst auch wirklich zum Absturz zu bringen. Und wenn sogar Server anstelle von normalen Rechnern infiziert werden können, dann ist das noch viel schlimmer, da dann den Hackern deutlich mehr Bandbreite und Rechenleistung zur Verfügung steht.
Die Forschungsergebnisse von Incapsula bestätigen die Erkenntnisse von Imperva aus dem letzten Jahr – mit einer enormen Anzahl von Attacken, die von Botnetzwerken verursacht wurden. Im Laufe des Jahres 2013 konnte Imperva einen Anstieg des Attackenvolumens um 240% registrieren. Hierbei war besonders auffällig, dass viele dieser Attacken WordPress CMS Plattformen als Ursprungsort ihrer Botnetzwerk-Attacke hatten.
Abbildung: Die geographische Verteilung von Botnetzwerken
DDoS Bots werden immer komplexer
Vor ein paar Monaten konnte Imperva in einem Threat Advisory bezüglich einer JBoss Schwachstelle aufzeigen, wie einfach das kidnappen eines Server für die Verteilung gefährlicher Inhalte ist – aber der anaylsierte Hacker-Code war hinsichtlich der zur Verfügung stehenden Funktionalitäten zu einfach programmiert.
Incapsula war unter Verwendung ihres einzigartigen Bot-Analyse-Mechanismus in der Lage, einen interessanten Trend zu isolieren. Die Bots, obwohl immer noch sehr primitiv programmiert, haben sich weiterentwickelt. Immer mehr und mehr dieser Bots sind mittlerweile in der Lage, mit der Applikation selbst wie ein tatsächlicher Nutzer zu interagieren.
Abbildung: Beobachtete Funktionalitäten von DDoS Bots
Dies zeigt eindeutig den Weg, den industrielle Hacker einschlagen. Die Hacker haben das Potenzial von Bots erkannt und entwickeln immer leistungsfähigere Bots, die klassische IT-Sicherheitslösungen umgehen können, indem sie das Verhalten eines Nutzers oder Browsers perfekt imitieren können.
Hier noch weitere Erkenntnisse aus dem Incapsula Report:
- Über 25% aller Botnetzwerke befinden sich in Indien, China und dem Iran
- 29% der Botnetzwerke greifen mehr als 50 Ziele pro Monat an
- 29,9% der DDoS Bots kann Cookies akzeptieren
- 46% aller falschen Benutzer-Agenten sind gefälsche Baidu Bots (und 11,7% sind falsche Google Bots)
Informationen
Quelle: Imperva Data Security Blog – Autor: Barry Shteiman
Über Imperva
Imperva gehört zu den führenden unabhängigen Anbietern von Datensicherheitssystemen und ermöglicht einen vollständigen Security Lifecycle für Geschäftsdatenbanken und Anwendungen. Die Imperva SecureSphere Suite ist die einzige Lösung am Markt, die ein umfassendes Security Monitoring für Datenbanken, Anwendungen und File-Systeme ermöglicht. Rund 1.200 Unternehmen, 25.000 Cloud-Anwender sowie Behörden und Managed-Service-Anbieter setzen auf Imperva, um den Diebstahl sensibler Daten zu verhindern, sich gegen Sicherheitslücken zu schützen, Anwendungen abzusichern und Vertraulichkeit zu garantieren. Weitere Informationen unter www.imperva.de