DDoS-Angriffe: Funktionsweise, Arten und Schutzmaßnahmen

Attacken via HTTPS-Protokoll: Neun von zehn Malware-Angriffen erfolgen über gesicherte Verbindungen

Neuer Internet Security Report von WatchGuard für das Q2 zeigt zudem einen enormen Anstieg bei Malware-, Netzwerk- und Ransomware-Angriffen

Im jüngsten Internet Security Report von WatchGuard Technologies für das zweite Quartal 2021 spiegelt sich der weltweit anhaltende Trend zu mobilen oder hybriden Arbeitsmodellen aus sicherheitstechnischer Sicht wider. Die Forscher des WatchGuard Threat Lab fanden beispielsweise heraus, dass 91,5 Prozent aller Malware in diesem Zeitraum über verschlüsselte Verbindungen verschickt wurde. Darüber hinaus stellten sie einen enormen Anstieg bei Malware-, Netzwerk- und Ransomware-Angriffen fest. Corey Nachreiner, Chief Security Officer bei WatchGuard, dazu: „Aufgrund der veränderten Situation und der Art und Weise, wie und wo Menschen arbeiten und sich mit dem Internet verbinden, haben sich auch die Prioritären beim Schutz der Anwender und Unternehmen verändert. Während eine starke Verteidigung der traditionellen Netzwerkperimeter noch immer einen wichtigen Teil einer mehrstufigen Sicherheitsstrategie darstellt, gewinnen insbesondere Endpoint Protection (EPP) sowie schnelle Endpoint Detection and Response (EDR) massiv an Stellenwert.“

Zu den bemerkenswertesten Ergebnissen des WatchGuard Q2 2021 Internet Security Report gehören:

Neun von zehn Malware-Angriffen erfolgen über HTTPS-Verbindungen – Im zweiten Quartal wurden 91,5 Prozent der Malware über verschlüsselte Verbindung verschickt, ein dramatischer Anstieg gegenüber dem vorherigen Quartal. Im Umkehrschluss bedeutet das, dass jedes Unternehmen, welches keine Lösung zur HTTPS-Inspektion einsetzt, neun von zehn Attacken am Perimeter unbemerkt passieren lässt.

Malware umgeht über PowerShell-Tools leistungsstarke Schutzmechanismen – Die Malware AMSI.Disable.A tauchte zum ersten Mal im ersten Quartal in der Liste der Top-Malware von WatchGuard auf. In Q2 konnte sie sofort Platz 2 der Liste nach Volumen und Platz 1 für verschlüsselte Bedrohungen insgesamt erobern. Diese Malware-Familie nutzt PowerShell-Tools, um verschiedene Sicherheitslücken in Windows-Betriebssystemen zu umgehen. Was sie jedoch besonders interessant macht, ist ihre Fähigkeit, dabei möglichst unentdeckt zu bleiben. WatchGuard fand heraus, dass AMSI.Disable.A einen Code verwendet, der die Antimalware-Scan-Schnittstelle (AMSI) in PowerShell deaktivieren kann. Dadurch bleibt die Malware inklusive der bösartigen Nutzlast von Sicherheitsüberprüfungen unbemerkt.

Dateilose Bedrohungen nehmen zu und agieren noch perfider – In den ersten sechs Monaten des Jahres 2021 haben Malware-Erkennungen, die von Skripting-Engines wie PowerShell ausgehen, bereits 80 Prozent des gesamten Angriffsvolumens des letzten Jahres in dieser Kategorie ausgemacht. Das bedeutet nicht nur einen erheblichen Anstieg gegenüber dem Vorjahr, sondern auch, dass sich bei der derzeitigen Steigerungsrate das Volumen im Vergleich zum Vorjahr insgesamt verdoppeln wird.

Netzwerkangriffe boomen trotz zunehmend primär dezentral arbeitender Mitarbeiter – WatchGuard-Appliances haben im Vergleich zum Vorquartal 22 Prozent mehr Netzwerkangriffe erkannt, die in der Summe das Volumen von Anfang 2018 erreichten. Von Januar bis März wurden insgesamt bereits 4,1 Millionen Netzwerkangriffe verzeichnet. Im darauffolgenden Quartal stieg diese Zahl knapp um eine weitere Million. Der aggressive Anstieg unterstreicht, dass die Perimetersicherheit keinesfalls hinter dem benutzerorientierten Schutz zurückbleiben sollte.

Ransomware-Angriffe kehren mit aller Macht zurück – Nachdem die Gesamtzahl der Ransomware-Erkennungen von 2018 bis 2020 rückläufig war, kehrte sich dieser Trend in der ersten Jahreshälfte 2021 um. In den ersten sechs Monaten lag die Summe nur knapp unter der Gesamtzahl des Jahres 2020. Sollten die täglichen Ransomware-Vorfälle für den Rest des Jahres auf einem konstanten Niveau bleiben, wird die Steigerungsrate im Vergleich zu 2020 über 150 Prozent betragen.

Große Einzelangriffe stellen breitangelegte Attacken in den Schatten – Der Angriff auf die Colonial Pipeline am 7. Mai 2021 hat überdeutlich und erschreckend klar gemacht, dass Ransomware eine dauerhafte Bedrohung darstellt. Als wichtigstes Sicherheitsereignis des Quartals unterstreicht der Fall Colonial, dass Cyberkriminelle nicht nur die lebenswichtigsten Bereiche – wie Krankenhäuser, Industrieanlagen und kritische Infrastrukturen – ins Fadenkreuz nehmen, sondern offenbar ihre Angriffe auf diese hochwertigen Ziele zunehmend verstärken. Die WatchGuard-Analyse von Vorfällen wie diesem befasst sich mit den Auswirkungen, der Zukunft der Sicherheit kritischer Infrastrukturen und den Maßnahmen, die Unternehmen in jedem Sektor ergreifen können, um sich dagegen zu schützen und eine Ausbreitung zu verlangsamen.

Alte Schwachstellen erweisen sich weiterhin als lohnende Ziele – Abweichend von den üblichen ein bis zwei Neuzugängen pro Quartal gab es in Q2 gleich vier bis dato unbekannte Signaturen unter den Top-10-Netzwerkangriffen. Die jüngste zielt auf eine Sicherheitslücke in der beliebten Web-Skriptsprache PHP aus dem Jahr 2020 ab, die anderen drei betreffen noch deutlich ältere Schwachstellen. Dazu gehören eine Oracle GlassFish Server-Lücke aus dem Jahr 2011, eine SQL-Injection-Schwachstelle in der Krankenaktenanwendung OpenEMR aus dem Jahr 2013 und eine offene Flanke im Rahmen der RCE (Remote Code Execution) in Microsoft Edge aus dem Jahr 2017. All diese Schwachstellen sind zwar veraltet, stellen aber bis zur Behebung nach wie vor ein Risiko dar.

Microsoft Office-basierte Bedrohungen erfreuen sich nach wie vor großer Beliebtheit – Im zweiten Quartal gab es einen Neuzugang in der Liste der 10 am weitesten verbreiteten Netzwerkangriffe, der sich erstmals ganz oben positionieren konnte. Bei der Signatur 1133630 handelt es sich um die oben erwähnte RCE-Schwachstelle von 2017, die Microsoft-Browser betrifft. Obwohl es sich um einen alten Exploit handelt und die meisten Systeme (hoffentlich) gepatcht sind, droht denjenigen, die das Update noch nicht eingespielt haben, ein böses Erwachen, sollte der Angreifer die Schwachstelle vor ihnen finden. Eine sehr ähnliche, ebenfalls hochgradig gefährliche RCE-Sicherheitslücke, die als CVE-2021-40444 bekannt ist, sorgte Anfang September für Schlagzeilen, als sie aktiv in gezielten Angriffen gegen Microsoft Office und Office 365 auf Windows 10-Computern ausgenutzt wurde. Office-basierte Bedrohungen via Malware sind nach wie vor sehr beliebt, weshalb WatchGuard diese Angriffsarten immer noch in freier Wildbahn entdeckt. Glücklicherweise werden sie von bewährten IPS-Schutzmaßnahmen erkannt.

Phishing-Domains geben sich als legitime Domains aus – WatchGuard hat in letzter Zeit eine Zunahme von Malware beobachtet, die auf Microsoft Exchange-Server und –ganz allgemein – E-Mail-Benutzer abzielt, um Remote-Access-Trojaner (RAT) an hochsensiblen Orten herunterzuladen. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass das 2. Quartal das zweite Quartal in Folge war, in dem Remote-Mitarbeiter entweder in hybride Büros und akademische Umgebungen zurückkehrten oder sich wieder wie gewohnt im Unternehmen befanden. In jedem Fall – oder an jedem Standort – ist es ratsam, bei den Anwendern ein starkes Sicherheitsbewusstsein zu entwickeln und auch die ausgehende Kommunikation von Geräten zu überwachen, die mit den angeschlossenen Endpunkten nicht direkt verbunden sind.

Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 16,6 Millionen Malware-Varianten (438 pro Gerät) und fast 5,2 Millionen Netzwerkbedrohungen (137 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem zweiten Quartal 2021, einen noch tieferen Einblick in die Bedrohungen, die in der ersten Jahreshälfte 2021 am Endpunkt erkannt wurden, empfohlene Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen und vieles mehr.

Der aktuelle Internet Security Report in englischer Sprache steht online zum Download zur Verfügung:

Themen- und Technologiekatalog

Das Verständnis von Industrie 4.0 hat sich in den letzten Jahren deutlich erweitert. Industrie 4.0 umfasst ein großes Spektrum von Möglichkeiten und Gestaltungsbereichen. Dazu gehören sowohl technologische Entwicklungen, als auch viele Aspekte der Unternehmenstransformation. „Condition Monitoring“ oder „Prädiktive Wartung“ sind nur zwei von über 100 Ansätzen, mit denen ein Unternehmen heute seinen Weg in die Industrie 4.0 gestalten kann.

Erhalten Sie hier einen Überblick, welche Technologien und Themen welche Chancen für die Industrie 4.0-Transformation bieten.

DDoS-Angriffe: Funktionsweise, Arten und Schutzmaßnahmen

DDoS-Angriffe gehören zu den Attacken, die beim Angegriffenen die am meisten sichtbarsten Probleme verursachen. Dabei handelt es sich um einen massiven Angriff von fremden Rechnern auf das eigene Netzwerk oder auf einzelne Dienste eines Servers und einer kompletten Netzstruktur. In den letzten Jahren wurden diese Angriffe nicht mehr nur zur simplen Überlastung eingesetzt, sondern sind ein strategischer Teil von Hackern oder Crackern zur Beschädigung von Unternehmen und staatlichen Infrastrukturen geworden. Problematisch ist dabei vor allem, dass ohne die richtige Infrastruktur zur Verteidigung, eine effiziente Abwehr solcher Angriffe schwer wird.

Erfahren Sie in diesem Artikel, was genau ein DDoS-Angriff ist, wo der Unterschied zu DoS (Denial of Service) liegt, lernen Sie die verschiedenen Formen der DDoS-Angriffe kennen und warum Angreifer überhaupt solche Angriffe durchführen. Abschließend informieren wir Sie über geeignete Schutzmaßnahmen gegen DDoS-Angriffe.

Was genau ist ein DDoS-Angriff?

Der DDoS-Angriff, der die Kurzform von Distributed Denial of Service ist, ist eine gezielte und dezentral gesteuerte Attacke auf die Infrastruktur und die Netzwerke von Unternehmen, Webseiten und staatlichen Organisationen. Dabei zielen die Angreifer darauf ab, dass die Benutzung bestimmter Webseiten oder Dienste durch die pure Masse an Anfragen und Angriffen nicht mehr möglich ist.

Man kann es sich so vorstellen: Ein Server bietet für Besucher einen Schalter, durch den die Anfragen bearbeitet werden. In der Regel ist der Schalter groß genug, um hundert oder vielleicht auch tausend Anfragen in der Minute zu verarbeiten. Bei einem DDoS-Angriff werden aber binnen weniger Sekunden, bis zu einer Million verschiedene Anfragen auf den Server bzw. den Schalter aus dem Beispiel gesteuert. Der Server kann die schiere Menge an Anfragen irgendwann nicht mehr abarbeiten und stellt den Dienst ein.

Bei einem DDoS-Angriff bedient sich der Angreifer in den meisten Fällen sogenannter Botnetze. Dabei handelt es sich um fremde Rechner, die mit Malware infiziert sind und nicht einmal bemerken, dass sie für einen solchen Angriff genutzt werden. Entsprechende Netzwerke können inzwischen relativ einfach im Internet angemietet werden.

Die Angreifer nutzen bei solchen Angriffen entweder verschiedene Sicherheitslücken auf dem Server aus oder – was klassisch für einen Distributed Denial of Service Angriff ist – sie bringen die Netzwerke zur Überlastung. Einer Belastung von mehreren tausend Anfragen pro Sekunde können nur die wenigsten Netzwerke standhalten. Die Hardware ist überfordert, das Netzwerk bricht zusammen und der Dienst oder die Webseite sind nicht mehr erreichbar. Das kann zu erheblichen Problemen bei der Kommunikation führen oder, im Fall von Unternehmen, zu Einbußen bei den Umsätzen.

DoS und DDoS – wo liegt der Unterschied?

Wer sich umfangreich mit dem Thema beschäftigt, wird in den meisten Fällen bei der Recherche zu DDoS-Angriffen auch auf die DoS-Angriffe stoßen. Dabei ist der Unterschied wichtig: Während der einfache DoS-Angriff in der Regel von einem einzelnen Angreifer ausgeführt wird und konkret auf bestimmte Schwachstellen in der Software oder Infrastruktur zielt, handelt es sich bei DDoS-Angriffen um eine Massenattacke. Das bedeutet auch, dass die Vorkehrungen gegen einen einfachen DoS-Angriff in der Regel deutlich einfacher sind. Wird man aber mit einer Distributed Denial of Service Attacke belegt, ist es in der Regel recht schwer, passende Maßnahmen innerhalb kürzester Zeit zu ergreifen.

Verschiedene Formen der DDoS-Angriffe auf die Server

Die Angreifer bedienen sich bei einem Distributed Denial of Service Angriff verschiedener Methoden und zielen dabei nicht immer auf Schwachstellen oder Lücken im Code einer Webseite. In den meisten Fällen ist es recht einfach möglich, durch eine konzentrierte Attacke gegen bestimmte Dienste, den gewünschten Erfolg zu erreichen. In der Regel wird zwischen den folgenden drei Formen der Attacke unterschieden, wobei es wichtig ist festzustellen, dass es in den letzten Jahren noch gesonderte Arten gibt. Diese würden allerdings zu weit greifen und kommen zumindest in den meisten Wellen nicht vor. Das sind die drei typischen Formen der DDoS-Attacken:

Netzwerkangriffe

Bei einem einfachen Angriff auf das Netzwerk machen sich die Angreifer die Infrastruktur der meisten Server und Router zunutze. Mit der Hilfe von fingierten und manipulierten Anfragen an das Netzwerk wird binnen kürzester Zeit eine solche Belastung erreicht, dass die meisten Geräte abschalten. Eine Webseite wäre in diesem Fall nicht mehr oder nur noch sehr langsam erreichbar. Durch die Dauer des Angriffes ist es zudem wahrscheinlich, dass sich einzelne Dienste aus Sicherheit abschalten.

HTTP-Flooding

Für die normalen Server erscheint das HTTP-Flooding im ersten Moment so, als hätten sich Millionen von Benutzern binnen von wenigen Sekunden dazu entschieden, die Webseite zu besuchen. Mit einem Mal schwemmen Millionen Anfragen auf dem Server, die auf den ersten Blick wie normale Besuche erscheinen. Durch die Menge der Zugriffe und den Umstand, dass es inzwischen lernfähige Algorithmen für die Attacken gibt, erfolgt in der Regel irgendwann eine Abschaltung des Servers und die Seite ist nicht mehr erreichbar.

Aufzeichnung einer Distributed-Denial-of-Service-Attacke. In der Grafik sieht man sehr schön das plötzliche auftreten von gehäuften Anfragen.

By Moggot (Own work) [CC BY-SA 3.0], via Wikimedia Commons

DNS-Angriffe

DNS-Server sind ein beliebtes Angriffsziel. Das liegt daran, dass ein erfolgreicher Angriff binnen kurzer Zeit dazu führt, dass keine Dienste des Servers mehr erreichbar sind. Zu diesem Zweck werden wieder manipulierte Daten oder eine pure Masse an Anfragen genutzt, deren Beantwortung den DNS-Server überfordern.

Der Effekt dieser verschiedenen DDoS-Angriffe ist in der Regel immer gleich: An irgendeinem Punkt versagen entweder Hard- oder Software und es kommt zu einem Erliegen der Webseite, des Servers oder des gesamten Netzwerkes. Je nach Unternehmen oder Institution, die hinter diesem System steht, kann dies zu kritischen Situationen führen. Verschiedene Sicherheitsmaßnahmen reduzieren zwar Auswirkungen und Risiko, lassen es aber nicht zu, dass eine solche Situation gänzlich verhindert wird. Aber wieso eigentlich? Was sind die Motive hinter den Angriffen, die auf diese Weise ganze IT-Infrastrukturen lahmlegen?

Die Motive hinter den Angriffen der Art Distributed Denial of Service

Um zu verstehen, warum es in den letzten Jahren immer häufiger zu solchen Angriffen kommt, muss man nur einen Blick auf die möglichen Motive von Angreifern werfen. In den ersten Jahren war die DDoS-Attacke meistens eine Form von Vandalismus gegen Webseiten. Das führte dazu, dass zum Beispiel beliebte Browsergames abgeschaltet worden sind, wenn sie ungeliebte Neuerungen veröffentlicht haben. Auch Zeitungen waren bei der Berichterstattung ein beliebtes Ziel. Zuletzt zeigt sich allerdings, dass die Distributed Denial of Service Attacke zu einem Werkzeug für die Politik und die Kriminalität im Netz geworden ist. Nur einige Beispiele, weswegen es bereits zu solchen Attacken gekommen ist:

Aktivismus

Selbsternannte Aktivisten aus den verschiedensten politischen und gesellschaftlichen Strömen haben schon in dieser Form ihren Protest gezeigt. Während die Webseite von PETA bereits betroffen war, haben Tierschützer die Online-Shops von Fleischhändlern lahmgelegt. Meistens sind solche Attacken nicht von Dauer, richten aber dennoch Schaden an.

Selbsternannte Aktivisten aus den verschiedensten politischen und gesellschaftlichen Strömen haben schon in dieser Form ihren Protest gezeigt. Während die Webseite von PETA bereits betroffen war, haben Tierschützer die Online-Shops von Fleischhändlern lahmgelegt. Meistens sind solche Attacken nicht von Dauer, richten aber dennoch Schaden an. Erpressung

Immer wieder war in den letzten Jahren davon zu hören, dass mit der Hilfe von DDoS-Angriffen, beispielsweise Online-Shops oder auch Social-Media-Plattformen lahmgelegt worden sind. Die Angreifer forderten eine Summe, damit die Webseiten für den Kunden wieder erreichbar waren und nicht noch höhere Umsatz- und Imageverluste entstehen konnten.

Immer wieder war in den letzten Jahren davon zu hören, dass mit der Hilfe von DDoS-Angriffen, beispielsweise Online-Shops oder auch Social-Media-Plattformen lahmgelegt worden sind. Die Angreifer forderten eine Summe, damit die Webseiten für den Kunden wieder erreichbar waren und nicht noch höhere Umsatz- und Imageverluste entstehen konnten. Cyberkrieg

Ein sehr neues Phänomen ist die gezielte Ausschaltung von staatlichen Webseiten und Infrastrukturen im Netz. Besonders Russland und Nordkorea werden immer wieder solcher Attacken verdächtigt, wobei gesichert ist, dass auch westliche Geheimdienste sich solcher Attacken bereits bedient haben.

Darüber hinaus gibt es noch die Beispiele des einfachen Vandalismus, in denen vorgefertigte Programme genutzt werden, um einer anderen Person zu schaden. Erst durch eine strengere Gesetzgebung sind diese Fälle seltener geworden, wobei an diesem Punkt die Cyberkriminalität dafür zugenommen hat.

Erfolgreiche Maßnahmen gegen DDoS-Attacken

Generell lässt sich sagen, dass es keine „einfachen“ Schutzmethoden gegen solche Angriffe gibt. Da es sich dabei um tatsächliche organisierte Kriminalität im Netz handelt, die häufig mit entsprechenden Absichten dahinter verbunden ist, verfügen die meisten Angreifer über entsprechende Professionalität, um normale Systeme auszuhebeln.

Die meisten Maßnahmen lassen sich durch einen guten Dienstleister für das Server-Housing oder das Hosting erreichen. Diese Anbieter verfügen über technische und softwarebasierte Lösungen für den Schutz. Dazu zählt zum Beispiel eine gute Filterung von Anfragen auf die Server und ein gutes Routing mit entsprechend verbauter Verteilung der Last. Dies ist auch durch Cluster und Virtualisierung möglich.

Für einfache Besitzer von einem Server beginnt es aber bereits damit, nicht verwendete Dienste zu schließen und auf die Ports am eigenen Server zu achten. Der beste Schutz gegen einen Angriff ist, möglichst wenig Angriffsfläche für DDoS zu bieten. Alle Maßnahmen darüber hinaus sollten mit der Hilfe von guter Hardware und der passenden Beratung durch IT-Experten individuell für das eigene System besprochen werden.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels