- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Die Rückkehr der PBot-Malware


Angriffe auf Webanwendungen- und DDOS-Angriffe haben wieder zugenommen
Domain Generation Algorithms − Der Zusammenhang zwischen Mirai-C2 und Angriffszielen

- Anzeigen -





Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal.

Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

Bedrohung durch Domain Generation Algorithms
Eine weitere altbekannte Bedrohung ergab sich aus der Analyse des Enterprise Threat Research Teams von Akamai. Dieses untersuchte die Nutzung von Domain Generation Algorithms (DGA) in Command-and-Control-Malware-Infrastrukturen (C2). DGA trat zum ersten Mal 2008 im Zusammenhang mit dem Conficker-Wurm in Erscheinung und wird seit jeher häufig als Kommunikationstechnik für moderne Malwarebedrohungen verwendet.

Das Team fand heraus, dass infizierte Netzwerke 15 Mal höhere DNS-Abfrageraten als saubere Netzwerke generieren. Diese lassen sich durch die Abfrage der von der Malware zufällig generierten Domänen in den infizierten Netzwerken erklären. Da die meisten generierten Domänen nicht registriert waren, wurden durch die Abfrage aller Domänen eine Vielzahl von Ressourcen aufgewendet. Die Analyse von Verhaltensunterschieden zwischen infizierten und sauberen Netzwerken ist eine wichtige Methode, um Malwareaktivitäten zu erkennen.

Mirai trägt zur Kommerzialisierung von DDoS bei
Als das Mirai-Botnet im September des vergangenen Jahres entdeckt wurde, war Akamai eines der ersten Ziele. Die Unternehmensplattform war kontinuierlichen Angriffen des Mirai-Botnets ausgesetzt, konnte diese jedoch erfolgreich abwehren. Das Forschungsteam von Akamai hat sich die einzigartigen Einblicke in Mirai zunutze gemacht, um die verschiedenen Aspekte des Botnets zu studieren. Der Fokus im 2. Quartal lag dabei auf der C2-Infrastruktur.

Die Forschungsergebnisse von Akamai deuten stark darauf hin, dass Mirai, ebenso wie andere Botnets, nun zur Kommerzialisierung von DDoS beitragen. Während viele C2-Nodes dedizierte Angriffe gegen ausgewählte IPs durchführten, führten sogar noch mehr sogenannte "Pay-for-Play"-Attacken durch. Dabei griffen die C2-Nodes von Mirai IPs kurzzeitig an, wurden inaktiv und tauchten anschließend wieder auf, um andere Ziele zu attackieren.

"Angreifer suchen stets nach Schwachstellen in der Abwehr von Unternehmen. Je verbreiteter und effektiver die Schwachstelle, desto mehr Energie und Ressourcen investieren die Hacker darin", sagt Martin McKeay, Senior Security Advocate bei Akamai. "Ereignisse, wie das Mirai-Botnet, die Exploits von WannaCry und Petya, die stetige Zunahme von SQLi-Angriffen und die Rückkehr von PBot zeigen uns, dass Angreifer nicht immer nur neue Methoden ausprobieren, sondern auch gerne auf Altbewährtes zurückgreifen."

Das 2. Quartal 2017 in Zahlen:

>> Die Zahl der DDoS-Angriffe im 2. Quartal 2017
haben im Vergleich zum ersten Quartal um 28 Prozent zugenommen, nachdem die Zahlen über drei Quartale hinweg rückläufig waren.

>> Die DDoS-Attacken sind hartnäckiger als je zuvor. Durchschnittlich griffen sie Ziele 32 Mal im gesamten Quartal an. Ein Gaming-Unternehmen wurde allein 558 Mal angegriffen. Das entspricht durchschnittlich sechs Attacken pro Tag.

>> Mit einem globalen Gesamtanteil von 32 Prozent war Ägypten das Ursprungsland mit der höchsten Anzahl an eindeutigen IP-Adressen, die in häufigen DDoS-Angriffen verwendet wurden. Im letzten Quartal standen noch die USA an der Spitze und Ägypten war nicht einmal unter den Top 5 zu finden.

>> In diesem Quartal wurden weniger Geräte zur Durchführung von DDoS-Angriffen verwendet. Die Anzahl der in volumetrischen DDoS-Angriffen verwendeten IP-Adressen fiel von 595.000 um 98 Prozent auf 11.000.

>> Angriffe auf Webanwendungen nahmen im Quartalsvergleich um fünf Prozent und im Jahresvergleich um 28 Prozent zu.

>> Mehr als die Hälfte der Angriffe über Webanwendungen wurde im vergangenen Quartal mittels SQLi-Attacken getätigt. Zuvor waren es noch 44 Prozent. Das entspricht etwa 185 Millionen Warnungen im 2. Quartal.

Methodik
Der "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform. Die am "State of the Internet"-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus den verschiedensten Abteilungen von Akamai. Hierzu zählen u. a. das Intelligence Response Team (SIRT), die Threat Research Unit sowie die Bereiche Information Security und Custom Analytics.
(Akamai Technologies: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 26.10.17


Akamai: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Hauptziel: Kreditkarteninformationen

    Der europäische Security-Software-Hersteller Eset hat einen alten Bekannten im Google Play Store entdeckt: Der auf den Namen BankBot getaufte Trojaner fiel den Eset-Forschern das erste Mal Anfang 2017 in die Hände. Jetzt hat er klammheimlich seinen Weg zurück in den Google Play Store gefunden. Getarnt als Spiel "Jewels Star Classic" des Entwicklers "GameDevTony" schlich sich die Banking-Malware in den Android App-Store ein. Wie so oft nutzten die Entwickler der Malware auch hier Namen bekannter Spielereihen wie Jewels Star. Die betrügerische App wurde insgesamt über 5.000 Mal heruntergeladen, bevor sie auf Hinweis von Eset aus dem Google Play Store entfernt wurde.

  • Spear Phishing-Mails an Arbeitnehmer

    FireEye veröffentlichte Details zu einer neuen iranischen Hackergruppe mit potenziell zerstörerischen Fähigkeiten. FireEye bezeichnet die Gruppe mit dem Namen APT33 (APT = Advanced Persistent Threat). Die Analyse von FireEye zeigt, dass APT33 seit mindestens 2013 Cyberspionage betreibt und wahrscheinlich für die iranische Regierung arbeitet. Diese Informationen stammen aus aktuellen Untersuchungen von Mandiant und FireEye iSIGHT Threat Intelligence-Analysen. Folgende Informationen über die Aktivitäten, die Fähigkeiten und mögliche Beweggründe von APT33 wurden dabei aufgedeckt: APT33 nahm branchenübergreifend Organisationen ins Visier, die ihren Hauptsitz in den Vereinigten Staaten, Saudi-Arabien und Südkorea haben. Die Gruppe zeigte besonderes Interesse an Luftfahrtunternehmen, die sowohl im militärischen als auch im zivilen Bereich tätig sind, sowie an Energieversorgungsunternehmen mit Verbindungen zur petrochemischen Produktion.

  • Die Rückkehr der PBot-Malware

    Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal. Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

  • Angriffskampagne mit betrügerischen E-Mails

    Check Point Software Technologies gab die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt. Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt stammt. Sein Facebook-Account ziert das Motto: "Reich werden oder beim Versuch sterben".

  • Verbreitung über Malvertising

    Eset hat einen speziellen Fall von Krypto-Mining entdeckt, welcher das Schürfen von Krypto-Währungen direkt über das JavaScript eines Web-Browsers ermöglicht. Diese CPU-intensive Aufgabe ist in der Regel von der Mehrheit der Werbenetzwerke verboten, weil sie die Nutzererfahrung erheblich beeinträchtigt. Schon seit geraumer Zeit nutzten Cyberkriminelle den Vorteil von Krypto-Währungen, um Profite zu generieren. Allerdings verwenden sie in der Regel Malware oder potenziell unerwünschte Anwendungen, die sie auf den Computern ihrer Opfer installieren. Um mit Krypto-Mining Geld zu verdienen, müssen "Schürfer" ihre Rechnerleistung zur Verfügung stellen. Die Entwickler des nun untersuchten JavaScripts nutzen hierfür allerdings die Rechnerleistung ihrer Opfer.