Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Most Popular News



Bevorstehendes Update für Adobe Reader und Acrobat schließt Sandbox-Escape-Sicherheitslücke



Kaspersky Lab-Analyse: Trojaner Regin attackiert GSM-Infrastruktur



Neue Zeus-Spielart mit breitem Zielspektrum



Zahlreiche Sicherheitslücken in der Google App Engine



DDoS-Leistungsstärke bricht alle Rekorde
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Nachrichten

Ist Ihr Server ein Bot?

29.01.2013 13:44 MSK   |   Ihr Kommentar

Prolexic hat einen Artikel zu itsoknoproblembro veröffentlicht – ein Toolkit zur Durchführung von DDoS-Attacken, das Cyberkriminelle seit dem vergangenen Jahr einsetzen. Das Dokument enthält die Ergebnisse einer Analyse des modus operandi sowie einzelne php-Skripte, die zu dieser Sammlung gehören, ebenso wie die Topografie des Botnetzes, das auf seiner Basis aufgebaut wurde und schließlich Empfehlungen zur Erkennung der Bedrohung und zur Vermeidung von Infektionen.

Wie wir bereits berichteten, war itsoknoproblembro im vergangenen Herbst aktiv an DDoS-Attacken auf amerikanische Banken beteiligt, die sich bis in den Dezember fortsetzten. Nach Angaben von Prolexic hatten diese Attacken eine Spitzenleistung von 70 Gbit/Sek und über 30 Millionen Pakete/Sek. Die ersten Vorfälle unter Verwendung von itsoknoproblembro registrierten die Experten vor einem Jahr. Laut Aussage der Experten waren diese DDoS-Kampagnen, die sich gegen Hosting-Provider und Vertreter der Energiewirtschaft richteten, noch recht dürftig. Etwa zu dieser Zeit wurde auf einem russischen Server verdächtige Aktivität entdeckt, die mit diesem Toolkit in Zusammenhang stand.

Wie die Analyseergebnisse zeigten, ist es mit itsoknoproblembro möglich, parallel verschiedenartige DDoS-Attacken auf mehrere Ziele durchzuführen. Das Toolkit unterstützt unterschiedliche Angriffstechniken, wie etwa POST, GET, TCP und UDP flood, UDP flood - unter Verwendung von Proxy-Servern und ohne Proxy-Server. Die Attacken des Typs HTTP flood können kombiniert (Wechsel von GET- und POST-Anfragen) und auch bei geschützten (https-) Verbindungen durchgeführt werden.

Um eine möglichst große Kanalkapazität bei geringer Zahl infizierter Rechner zu erreichen, bauten die Cyberkriminellen ein mehrere tausend Computer umfassendes Botnetz auf gehackten Webservern auf. Sie schleusten schädliche Skripte ein, indem sie bekannte Sicherheitslücken in den Steuerungssystemen von Websites ausnutzten, wie z.B. WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ und andere. Nach Einschätzungen von Prolexic werden zu diesem Zweick am häufigsten Lücken in der Schablone Bluestork (Joomla) und dem Plug-In TimThumb (WordPress) ausgenutzt. Im Internet ist eine Vielzahl von Websites aktiv, die veraltete Versionen von CMS-Produkten verwenden, und ein Massenhack von Ressourcen via Sicherheitslücke ist keine Seltenheit.

Nach Angaben der Experten führt das auf itsoknoproblembro basierende Botnetz eine DDoS-Attacke in mehreren Schritten durch und verfügt nicht über ein standardmäßiges C&C-Interface. Nach dem Laden einer allgemeinen Liste infizierter Knoten (Prolexic nennt sie bRobots) in das Botnetz werden Skripte aktiviert, die den Befehl zur Durchführung der Attacke geben. Auf den bRobots werden unterschiedliche Dateikombinationen aus einem allgemeinen Fundus installiert, die Botnetzbetreiber können auf sie zugreifen, den Status des Bots überprüfen und DDoS-Attacken initiieren.

Alle Bot-Server lassen sich bedingt in Kontroller und direkt ausführende Angreifer einteilen: Die ersten versenden die Befehle (IP-Adresse des Ziels, Dauer der Attacke, Größe der Pakete), die an konkrete Skripte auf den Knoten der zweiten Ebene adressiert sind. Um die angegriffenen Ressourcen so weit wie möglich zu überfrachten, erstellt der Bot viele Threads: Nachdem er einen Befehl von einem „Kontroller“ erhalten hat, wiederholt er ihn vielfach, indem er sich selbst über GET-Anfragen versendet. Darüber hinaus führen die „Ausführer“ und die „Kontroller“ einen „einrangigen“ Austausch durch, infolgedessen auf jeder Ebene die Zusammensetzung verändert werden kann. Eine weitere Schicht des Botnetzes richtet offene http-Proxys ein, die von den Angreifern zum Verbergen der Quellen des DDoS-Traffics eingesetzt werden.

Gemäß Vorhersage von Prolexic wird die Popularität von itsoknoproblembro unter den Organisatoren von DDoS Kampagnen weiter steigen, daher müsse diese Bedrohung aktiv bekämpft werden. Wie die Statistik zeigt, liegt die Lebensdauer von bRobot derzeit bei über sechs Monaten. Die Persistenz der Infektion und der Arbeitsaufwand beim Desinfizieren hängen von der Zahl und Vielfalt der Schaddateien ab sowie von der Zahl der von den Cyberkriminellen installierten Backdoors. Die Verwendung von veralteten, verwundbaren CMS-Produkten ist ein weltweites Problem, und die Experten rufen die Entwickler dazu auf, die Update-Prozedur zu vereinfachen, damit die Anwender nach einer persönlichen Einstellung nicht bei jedem Update gezwungen sind, die Konfiguration erneut zu ändern. Der Artikel mit dem Profil von itsoknoproblembro ist auf der Website von Prolexic verfügbar (Registrierung erforderlich).

Quelle:

Weiterführende Links
Weblog
Die Darkhotel-APT
Sinkholing des Hlux/Kelihos Botnetzes – was ist seitdem passiert?
Erfolgsstory Botnetz-Zerschlagung: Wie Kaspersky Lab das Hlux/Kelihos-Botnetz stilllegte
Artikel
Entwicklung der IT-Bedrohungen im dritten Quartal 2013
Entwicklung der IT-Bedrohungen im ersten Quartal 2010
Viruslist-Nachrichten
Wichtige Virut-Domains beschlagnahmt
Binärdateien von Kelihos ziehen um
Glossarius
Botnetz
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen