DDoS- und Anwendungs- angriffe - akamai.com · State of the Internet-Sicherheitsericht u DDoS- und Anendunsanriffen: Band 5, Ausae 1 2 Mitteilung des Herausgebers Willkommen zur ersten

„State of the Internet“-Sicherheitsbericht

DDoS-

Band 5, Ausgabe 1

undAnwendungs-

angriffe

2„State of the Internet“-Sicherheitsbericht zu DDoS- und Anwendungsangriffen: Band 5, Ausgabe 1

Mitteilung des HerausgebersWillkommen zur ersten Ausgabe des „State of the Internet“-Sicherheitsberichts 2019! Das neue Jahr ist bereits einige Wochen alt und die Feiertage liegen schon eine Weile zurück. Der erste Tag des Jahres ist zwar nur ein willkürliches Datum, aber trotzdem ein guter Zeitpunkt, um auf Vergangenes zurückzublicken und die Zukunft zu planen.

Netzwerksicherheitsexperten haben die Aufgabe, anhand der aus früheren Erfahrungen gewonnenen Erkenntnisse neue Kontrollmethoden zu entwickeln, mit denen sich Systeme zukünftig nachhaltig schützen lassen. Dabei handelt es sich eigentlich um einen einfachen Prozess, der aber häufig durch die täglichen, für den Unternehmensbetrieb erforderlichen Aufgaben erschwert wird. Zeit zum Nachdenken zu finden, hat dabei meist keine hohe Priorität.

Hat sich Ihr Team die Zeit genommen, die wichtigsten Vorfälle und Herausforderungen aus dem Jahr 2018 zu besprechen und zu erörtern, welche Konsequenzen dies für 2019 hat? Hatten Sie mit zahllosen unabhängigen Problemen zu kämpfen oder gab es ein übergreifendes Thema bei Ihren Erfahrungen im letzten Jahr?

Es gibt viele Beispiele von hervorragenden Sicherheitsteams, die jede Störung in ihrem Unternehmen überprüfen und daraus lernen. Aber selbst die besten Teams vergessen manchmal, die vielen unterschiedlichen Vorfälle als Ganzes zu betrachten. Globale und langfristige Trends lassen sich nur dann ermitteln, wenn wir etwas Abstand nehmen und unsere Perspektive ändern.

• Bisweilen steckt hinter einem „Angriff“ nicht genau das, was man zunächst vermutet. Die Experten im Security Operations Command Center (SOCC) von Akamai haben sich um 4 Milliarden Anfragen zu Websiteproblemen gekümmert und die eigentliche Ursache ermittelt.

• Bots bringen Angreifern viel Geld. Daher werden sie ständig weiterentwickelt, sodass neue Abwehrmaßnahmen umgangen werden. Ein Angreifer ging sogar so weit, Menschen mit Erfahrung bei der Umgehung der Akamai-Sicherheitsmaßnahmen gutes Geld anzubieten.

• Psychische Probleme kosten US-Unternehmen jährlich mehr als 190 Milliarden US-Dollar an entgangenen Gewinnen. Unsere Gastautorin Amanda Berlin befasst sich damit, auf welche Aspekte Sie in Ihrem Team achten sollten.

ZUSAMMENGEFASST


Ein zusätzlicher Hinweis an Sie bei der Vorschau auf das kommende Jahr: Kümmern Sie sich um die Stresslevel und die psychische Gesundheit der Menschen, mit denen Sie im Bereich Sicherheit zusammenarbeiten. Ganz gleich, ob es sich um jemanden handelt, der Ihnen unterstellt ist, Ihren Vorgesetzten oder einfach einen Freund in einem anderen Unternehmen: Nehmen Sie sich etwas Zeit, um herauszufinden, wie es diesen Menschen geht.

Bei mehreren Konferenzen wurden in den letzten Jahren Stress und Burnout in die Tagesordnung aufgenommen, insbesondere bei „BSides“ und „RSA“. Ein kurzer Anruf oder eine E-Mail können im Arbeitsalltag eines Kollegen einen großen Unterschied machen. Unser Beruf ist auf jeden Fall stressig, und manchmal hilft es, wenn wir uns gegenseitig unterstützen.

Im Jahr 2019 gibt es zahlreiche Möglichkeiten für Veränderungen. Was möchten Sie erreichen?


Inhaltsverzeichnis

MITTEILUNG DES HERAUSGEBERS 2

PSYCHISCHE GESUNDHEIT: BEWUSSTSEINSSCHULUNG FÜR HACKER 5

NEUESTE FORSCHUNGSSTUDIEN 11

jQuery-Dateiupload 11

UPnProxy 11

STUDIEN VON AKAMAI 11

Der DDoS-Angriff, der keiner war 11

Mehr Bots, mehr Probleme 15

AUSBLICK 22

ANHANG A: METHODIK 23

QUELLEN 24


PSYCHISCHE GESUNDHEIT:

Bewus-stseins-schulung für HackerDie Informationssicherheits-Community besteht aus intelligenten, motivierten, leidenschaftlichen und eigenwilligen Menschen und lässt sich nur schwer mit anderen Branchen vergleichen. Da wir uns selbst hohem Druck und großen Stresslevels aussetzen (durch Forschung, Lernen, Lehren usw.), können die Dinge schnell überhand nehmen. Aber wir setzen uns nicht nur selbst unter Druck, sondern erfahren auch zusätzlichen Druck in vielerlei Formen von unseren Chefs, Kollegen und der Familie.

Die meisten der von uns übernommenen Rollen passen zu unserer Motivation und Bereitschaft, stundenlang vor dem Bildschirm zu sitzen. Das Ergebnis ist, dass viele von uns einen gesundheitlichen Schaden davontragen – auf unterschiedliche Weise, zu unterschiedlichen Zeiten und aus unterschiedlichen Gründen.

Amanda Berlin, Gastautorin für diese Ausgabe des „State of the Internet“-Sicherheitsberichts, bietet einen etwas anderen Blickwinkel als unsere normalen externen Beiträge. In der Reihe der SOTI-Sicherheitsberichte geht es darum, unseren Lesern hautnah über die „schlechten Tage“ im Internet zu berichten. Es gibt zunehmend Anzeichen dafür, dass die schon immer hohen Stresslevel und Burnout-Fälle in der Informationssicherheitsbranche weiter ansteigen. Dadurch stellt sich zwangsläufig die Frage, wie sich nicht nur das physische, sondern auch das emotionale und psychische Wohlbefinden der Mitarbeiter in Sicherheitsteams gewährleisten lässt. Glücklicherweise arbeite ich in einem Unternehmen wie Akamai, dem das Wohlbefinden seiner Mitarbeiter sehr wichtig ist. Leider verfügen aber nicht alle unserer Leser über eine solche Supportstruktur. Natürlich lässt sich das Problem nicht mit ein paar Beitragsseiten in unserem Bericht lösen. Trotzdem glauben ich und der Rest des SOTI-Teams als Mitglieder der Sicherheits-Community, dass Amanda Berlins Perspektive den Fokus auf diese Probleme richten kann und so eine offenere Diskussion anregt. Wir möchten intensivere Bemühungen zur Verbesserung des Wohlbefindens von Mitarbeitern in der Sicherheitsbranche fördern, damit wir uns alle darauf konzentrieren können, das Internet gemeinsam sicherer zu gestalten.

Dieser Beitrag sollte nicht als medizinischer Rat oder professionelle Beratung angesehen werden. Wenn Sie glauben, dass Sie oder jemand in Ihrem Umfeld die in diesem Bericht angeführten Symptome zeigen, nehmen Sie bitte professionelle Hilfe in Anspruch.

Martin McKeay, Editorial Director


Die Weltgesundheitsorganisation gibt an, dass über 800.000 Menschen pro Jahr Selbstmord begehen und dass Suizid die zweithäufigste Todesursache bei den 15- bis 29-Jährigen ist. Es gibt Anzeichen dafür, dass auf jeden Erwachsenen, der Selbstmord begeht, mehr als 20 weitere Personen kommen, die einen Suizidversuch unternehmen. Nur durch frühzeitige Identifizierung und ein effektives Management kann gewährleistet werden, dass Menschen die erforderliche Betreuung erhalten.

PSYCHISCHE GESUNDHEIT ALS GESCHÄFTSZIEL:Schwere psychische Erkrankungen kosten Amerika 193,2 Milliarden US-Dollar an entgangenen Gewinnen pro Jahr, und etwa 4 % der Erwachsenen in den USA – 9,8 Millionen – erleiden jedes Jahr eine schwere psychische Erkrankung, die eine erhebliche Beeinträchtigung oder Einschränkung einer oder mehrerer wichtiger Lebensaktivitäten darstellt.

Viele Unternehmen integrieren mittlerweile Behandlungen der psychischen Gesundheit und Sensibilisierung in ihre täglichen Aktivitäten. Sie haben festgestellt, dass ein zufriedener, ausgeglichener Mitarbeiter bessere Ergebnisse erzielt, länger im Unternehmen bleibt und im Allgemeinen zu einer besseren Arbeitsumgebung beiträgt.

MENTAL HEALTH HACKERS (MHH): Jeder Mensch hat psychische Bedürfnisse auf verschiedenen Ebenen. Ob Sie eine Erkrankung haben, durch die sich Ihre psychische Gesundheit nur schwer aufrechterhalten lässt, ist ebenfalls ein Faktor. Wenn Sie dies bei allen Entscheidungen berücksichtigen – genauso, als ob Sie jeden Tag für Ihre körperliche Gesundheit ins Fitnessstudio gehen würden –, macht dies im täglichen Leben einen bedeutsamen Unterschied.

Egal, ob Sie es mit Selbstreflexion versuchen oder einem Freund oder Familienmitglied helfen: Es ist nicht immer einfach, den Unterschied zwischen erwarteten Verhaltensweisen und den Anzeichen einer psychischen Erkrankung zu erkennen. Es gibt keinen einfachen Test, mit dem man ermitteln kann, ob eine psychische Erkrankung vorliegt oder ob Handlungen und Gedanken typische Verhaltensweisen sind oder auf einer körperlichen Erkrankung beruhen.

Jede Erkrankung hat ganz eigene Symptome, aber zu den häufigsten Anzeichen für psychische Erkrankungen gehören die folgenden:

• Sich übermäßig sorgen oder Angst haben

• Übermäßig traurig oder schwermütig sein

• Verwirrtes Denken oder Konzentrations- und Lernprobleme

http://www.who.int/news-room/fact-sheets/detail/suicide

http://www.who.int/news-room/fact-sheets/detail/suicide

https://www.nami.org/Learn-More/Mental-Health-By-the-Numbers

https://www.nami.org/Learn-More/Mental-Health-By-the-Numbers


• Extreme Stimmungsschwankungen mit unkontrollierbaren „Höhen“ oder Euphoriegefühlen

• Anhaltendes oder starkes Reizgefühl oder Zorn

• Meiden von Freunden und sozialen Aktivitäten

• Schwierigkeiten, andere Personen zu verstehen oder eine Beziehung zu anderen aufzubauen

• Veränderte Schlafgewohnheiten oder müde und abgeschlafft sein

• Veränderte Essgewohnheiten, wie z. B. gesteigertes Hungergefühl oder Appetitlosigkeit

• Veränderter Geschlechtstrieb

• Schwierigkeiten, die Realität wahrzunehmen (Wahnvorstellungen/Halluzinationen)

• Unfähigkeit, Veränderungen bei den eigenen Gefühlen, Verhaltensweisen oder der eigenen Persönlichkeit wahrzunehmen

• Missbrauch von Substanzen wie Alkohol oder Drogen

• Mehrere physische Beschwerden ohne offensichtliche Ursachen

• Selbstmordgedanken, Selbstmordplanung

• Unfähigkeit, tägliche Aktivitäten durchzuführen oder tägliche Probleme und Stress zu bewältigen

Nehmen Sie auf jeden Fall Hilfe in Anspruch, wenn Sie diese benötigen, oder

wenn jemand, den Sie kennen, diese benötigt. Ein wichtiger erster Schritt besteht

darin, so viel wie möglich über psychische Gesundheit zu lernen. Wenden Sie

sich an Ihre Krankenversicherung, Ihren Hausarzt oder die zuständige staatliche

Gesundheitsbehörde, um weitere Ressourcen zu erhalten.

Ich empfehle Ihnen dringend, nach einem Erste-Hilfe-Kurs für psychische Gesundheit

in Ihrer Nähe zu suchen – unabhängig davon, ob Sie persönlich mit einem Problem

zu kämpfen haben. Auch wenn Sie es noch nicht gemerkt haben, kennen Sie

wahrscheinlich jemanden in Ihrer näheren Umgebung, der in dieser Lage ist.

Psychische Erkrankungen wirken sich direkt oder indirekt auf uns alle aus. Tatsächlich

leidet ein Viertel der Bevölkerung an einer psychischen Erkrankung. Aber wir sind

nicht so allein, wie wir vielleicht denken, und wir alle können einen großen Beitrag

zu unserer Gesellschaft leisten, indem wir einfach am Leben bleiben.

https://www.mentalhealthfirstaid.org/


Supportsysteme sind für eine gute Genesung von entscheidender Bedeutung. Dieser

Support trägt dazu bei, Schäden durch psychische Erkrankungen möglichst gering

zu halten. Er kann sogar ein Lebensretter für einen Ihnen nahestehenden Menschen

sein. Sie können eine ganze Reihe von Schritten unternehmen, um sich selbst oder

anderen zu helfen, darunter die folgenden:

• Informieren Sie sich so weit wie möglich über die jeweilige Krankheit.

• Tauschen Sie sich mit Familienmitgliedern und Freunden aus, statt

unangenehme Diskussionen zu führen.

• In Fällen akuter psychiatrischer Beschwerden (z. B. bei Psychosen oder

Suizidgedanken) ist der Weg ins Krankenhaus die klügste Wahl.

• Anstatt zu raten, was vielleicht helfen könnte: Reden Sie darüber oder stellen

Sie Fragen.

• Suchen Sie nach Supportgruppen.

• Versichern Sie Ihren Freunden oder Familienmitgliedern, dass sie Ihnen am

Herzen liegen.

• Bieten Sie ihnen Hilfe bei alltäglichen Aufgaben an, wenn sie dazu nicht in der

Lage sind.

• Berücksichtigen Sie sie bei Ihren Plänen. Auch wenn Ihre Angebote abgelehnt

werden, probieren Sie es weiterhin auf unaufdringliche Weise.

• Bleiben Sie selbst gesund und übernehmen Sie sich nicht. Wenn Sie sich

übernehmen, wird dies langfristig nur zu weiteren Problemen führen.

• Vermeiden Sie es, in die Rolle des „Problemlösers“ und „Retters“ zu verfallen.

Egal, wie sehr Sie jemanden lieben, dies allein kann ihn nicht retten.

• Objektivität, Mitgefühl und Akzeptanz zu bieten, ist außerordentlich wichtig.

• Bedenken Sie, dass Ihre Handlungen und Ihre Zuneigung einen Unterschied

machen, selbst wenn dies nicht offensichtlich ist.

• Haben Sie realistische Erwartungen. Der Genesungsprozess ist weder

geradlinig noch schnell.


COMMUNITY-SUPPORT:Für diejenigen, die meinen Vortrag Hackers, Hugs & Drugs nicht kennen, hier zunächst

ein wenig Hintergrund zu meiner Person.

Ich habe seit dem mittleren Teenageralter auf die eine oder andere Weise mit Ängsten

und Depressionen zu kämpfen. Schlechte Beziehungen zu anderen haben meine

bereits vorhandenen Probleme noch verstärkt. Als ich vor etwa sechs Jahren der

InfoSec-Community beitrat, erlebte ich zum ersten Mal ein Gefühl der Zugehörigkeit.

Durch Ausprobieren verschiedener Medikamente und Bewältigungsstrategien gelang

es mir, meine eigene psychische Gesundheit besser in den Griff zu bekommen (oder

zumindest ein besseres Bewusstsein dafür zu entwickeln).

Ich halte diesen Vortrag jetzt bereits seit eineinhalb Jahren bei verschiedenen

Konferenzen und Zusammenkünften und bin nach wie vor von den hochgradig

positiven Reaktionen überrascht. Jedes Mal, wenn ich denke „Okay, das habe ich jetzt

oft genug vorgetragen“, kommt wieder jemand auf mich zu und teilt mir mit, dass der

Vortrag ihn oder sie inspiriert hat, Hilfe in Anspruch zu nehmen oder Gedanken zu

Selbstverletzung oder Selbstmord zu vertreiben.


Als ich immer mehr solcher Geschichten hörte, dachte ich, dass ich meine

Bemühungen vielleicht in einem größeren Umfang fortsetzen sollte. Ich rede zwar

gern, aber mein Vortrag erreicht immer nur eine bestimmte Anzahl von Menschen.

Wir – die Sicherheits-Community als Ganzes – brauchten aber mehr. Dann kam mir

die Idee für den Mental Health & Wellness-Workshop auf der DerbyCon. Ich war

völlig überrascht, dass sich dieser eine Workshop dann zu einem größeren Projekt

mit vielen kleineren Workshops entwickelt hat.

Was sich daraus in diesem Raum entwickelte, hätte ich mir nie träumen lassen. Unsere

Gemeinschaft leidenschaftlicher Informationssicherheitsexperten kam zusammen und

schuf gemeinsam etwas Erstaunliches, nämlich Selbsthilfe für die Gruppe. Aber das

war noch längst nicht alles. Inzwischen haben wir Mental Health Hackers ins Leben

gerufen, um unsere Idee mit ihrem entspannten Umfeld auf weiteren Konferenzen

einzubringen.

Dies ist ein wahres Gemeinschaftsprojekt, bei dem wir neue Dinge lernen wollen.

Es ist an der Zeit, Veränderungen in unseren Communitys und Familien vorzunehmen,

damit wir fast genauso leicht über unsere psychische Gesundheit sprechen können

wie über Schwachstellen, Protokolle und Patches.

Amanda Berlin, Mental Health Hackers November 2018


Neueste ForschungsstudienIm vierten Quartal 2018 haben die Forscher von Akamai neue Untersuchungsergebnisse zu Schwachstellen im jQuery-Dateiupload und zu neuen Angriffen auf UPnP veröffentlicht.

JQUERY-DATEIUPLOAD:Im Oktober meldete Larry Cashdollar eine Sicherheitsanfälligkeit beim Hochladen von Dateien im jQuery-Dateiupload-Projekt von Blueimp, die schnell gelöst wurde. Das Problem war aber damit nicht behoben, da der Basiscode von Blueimp auch in anderen Projekten zum Einsatz kam. Im Endeffekt wurde eine Reihe von Projekten aktualisiert, aber es gab noch mehrere Tausend andere, die aufgrund von Problemen bei der Erkennung und bei den Kontakten auf GitHub nicht ermittelt werden konnten.

UPNPROXY:Im November aktualisierte Chad Seaman seine ursprünglichen UPnP-Untersuchungen und entdeckte neue Angriffe mit Eternal Blue und Eternal Red. Er ermittelte 277.000 Geräte, auf denen eine anfällige Implementierung von UPnP ausgeführt wurde, sowie mehr als 45.000 aktive Injection-Angriffe. Zum Zeitpunkt der Veröffentlichung der Forschungsergebnisse hatten Angreifer über die 45.113 Router mit bestätigten Injektionen Zugriff auf 1,7 Millionen Computer.

Studien von AkamaiDER DDOS-ANGRIFF, DER KEINER WARAnfang 2018 stellte Akamai ungewöhnlichen Traffic an eine der URLs eines Kunden in Asien fest. Der Traffic war so hoch, dass die Datenbank, die Akamai für die Protokollierung solcher Aktivitäten nutzt, zu Spitzenzeiten fast überlief.

Nach Meldung des abnormalen Traffics durch eine andere Abteilung und näherer Untersuchung zeigten der erste Bericht und die zugehörigen Daten alle Anzeichen eines größeren DDoS-Angriffs. Das Trafficvolumen erreichte irgendwann 875.000 Anfragen pro Sekunde. Zu Beginn des Vorfalls wurde die Trafficwelle als stark verteilt registriert, wobei in frühen Protokollerfassungen 5,5 Gbit/s aufgezeichnet wurden.

https://blogs.akamai.com/sitr/2018/11/jquery-file-upload-disclosure-due-diligence.html

https://blogs.akamai.com/sitr/2018/11/jquery-file-upload-disclosure-due-diligence.html

https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html


ENORM HOHER TRAFFIC:Die erste Meldung des Vorfalls an das Security Operations Command Center (SOCC) erfolgte nicht über normale Kanäle, sondern wurde von einer anderen Abteilung bei Akamai gemeldet. Das war wirklich nicht normal.

Bei einer eingehenderen Untersuchung des Berichts stellte das SOCC fest, dass eine große Anzahl von HTTP-Anfragen an die URL eines Kunden gesendet wurde. Dies führte sofort zu der Annahme, dass ein Angriff vorliegt, wie in Abbildung 1 dargestellt. Anders ließ sich diese plötzliche unerwartete Trafficwelle zu dem Zeitpunkt nicht erklären.

Ziel des SOCC ist es, Probleme zu stoppen und zu reduzieren, was jedoch unter möglichst geringer oder gar keiner Ausfallzeit für den Kunden erfolgen muss. Während das Security Incident Response Team (SIRT) an der Ursachenermittlung für den Trafficanstieg an die URL des Kunden arbeitete, konzentrierte sich das SOCC darauf, den normalen Betrieb wiederherzustellen.

ANALYSE DER DETAILS:Zur Ermittlung der Ursache für diese Trafficflut untersuchte das SIRT den Traffic an die fragliche URL einige Tage vor dem Vorfall und stellte etwas Interessantes fest.

Ein paar Tage vor dem Spitzen-Traffic erhielt die Kunden-URL Anfragen von 139 IP-Adressen mit genau denselben „Angriffs“-Merkmalen. In weniger als einer Woche erhöhten sich die Anfragen an die URL von 643 auf weit mehr als 4 Milliarden. Anhand der Daten in Abbildung 2 können Sie sehen, wie verteilt diese Anfragen waren.

1.4E+09

1.2E+09

1E+09

800000000

600000000

400000000

200000000

0

00:00 04:48 09:36 14:24 19:12 00:00 04:48 09:36

Anf.

Abbildung 1: Die anfängliche Trafficspitze war so groß – mehr als 4 Milliarden Anfragen –, dass das Protokollierungssystem fast abstürzte.


Die erste Analyse ergab, dass die Hälfte der IPs von Akamai als NAT-Gateways eingestuft wurde. Durch eine zusätzliche Paket- und Header-Analyse wurde bestätigt, dass der fragliche Traffic von einem Windows COM-Objekt (WinhttpRequest) generiert wurde.

Ursprünglich umfasste der Traffic aus früheren Anfragen an die Kunden-URL GET- und POST-Anfragemethoden. Jetzt aber wurde die URL mit Tausenden von IP-Adressen mit POST-Anfragen überflutet.

Bei einer Untersuchung aller POST-Anfragen an die URL des Kunden zeigte sich, dass die User-Agent-Felder nach dem Sperren nicht gefälscht oder anderweitig geändert wurden. Dadurch verstärkte sich die Annahme der SIRT-Forscher, dass ein Windows-Tool für diese enorme Flut von Anfragen verantwortlich war.

Über die nachfolgenden 28 Stunden konnte das SOCC mehr als 4 Milliarden Anfragen von 15.582 IP-Adressen abwehren. Es stellte sich heraus, dass die vom Kunden verwendete Basisplattform 98 % des problematischen Traffics ohne Intervention reduzierten konnte – und das alles allein dank der Ratensteuerung.

Die Plattform von Akamai verwendet Adaptive Rate Controls, um Kunden vor DDoS-Angriffen zu schützen. Diese Steuerelemente nutzen verhaltensbasierte Regeln, um die Anfragerate für eine bestimmte Anwendung zu überwachen und zu steuern.

In diesem Fall konzentrierte sich die Ratensteuerung darauf, POST-Anfragen an die URL des Kunden zu stoppen. Die restlichen 2 % des Traffics wurden durch die Entwicklung eines neuen Regelsatzes abgewehrt, mit dem die Steuerelemente ausgelöst werden.

LAND IP-ADRESSEN ANFRAGEN

USA 13.996 4.558.664.071

Kanada 659 261.733.710

Großbritannien 538 25.930.858

Australien 93 11.042.026

Dänemark 49 21.818.410

Irland 37 3.133.283

Indien 17 2.589.683

China 12 243.448

Deutschland 12 997.701

Südafrika 11 2.121.635

Abbildung 2: Diese Tabelle zeigt die wichtigsten IP-Quellen während des Vorfalls nach Standort an, einschließlich der Anzahl der pro Standort protokollierten Anfragen


Wie auch bei anderen Anti-DDoS-Produkten auf dem Markt funktioniert die Ratensteuerung von Akamai am besten, wenn sie richtig eingestellt und konfiguriert ist. In diesem Fall arbeitete der betreffende Kunde mit Akamai im Vorfeld zusammen, um Regeln zu entwickeln, die seinen individuellen Anforderungen entsprachen.

DENIAL OF SERVICE ÜBER VERTEILTEN FEHLERCODE:Als das SIRT seine Arbeit beendet und das SOCC alles unter Kontrolle hatte, erkannten alle Beteiligten, dass der Vorfall überhaupt kein Angriff war.

Eine frühere Analyse, die durch zusätzliche SIRT-Studien gestützt wurde, kam zu dem Schluss, dass das hohe Trafficvolumen an die URL des Kunden durch ein verrücktspielendes Tool, das normalerweise solide funktioniert, ausgelöst wurde.

Dieses Tool sendete auch nach dem Filtern des Traffics durch das SOOC weiterhin Anfragen an die URL. Bei den nachfolgenden Anfragen wurde jedoch nichts an den Headern geändert (z. B. der User Agent), was bei der Umgehung von schadens-begrenzenden Maßnahmen hilfreich gewesen wäre. Somit wurde nachgewiesen, dass es sich bei diesem Vorfall nicht um einen schädlichen Angriff handelte.

Diese Schlussfolgerung wurde später vom Kunden sowie vom Anbieter des Tools bestätigt. Innerhalb weniger Stunden wurde die Fehlerbehebung in allen betroffenen Systemen durchgeführt.

GELERNTE LEKTIONEN:Einerseits sind alle beim SOCC eingehenden Vorfälle für die dort rund um die Uhr eingesetzten Teams wichtig. Andererseits ist es nicht bei jedem Vorfall so kompliziert, die Gründe herauszufinden und darauf zu reagieren.

In diesem Fall wurde der Vorfall zwar von einer anderen Abteilung bei Akamai gemeldet, was aber nicht bedeutet, dass er für die SOCC-Mitarbeiter keine unmittelbare Priorität hatte. Durch die Zusammenarbeit mit den SIRT-Forschern konnte das SOCC das Problem schnell lösen.

Wenn es bei diesem Vorfall eine Lektion gibt, dann diese: Es müssen unbedingt starke Sicherheitsmechanismen eingesetzt werden – und zwar am besten, bevor etwas passiert, wie bei diesem Fall, bei dem der Kunde die Steuerelemente genau an die Anforderungen seines Unternehmens angepasst und konfiguriert hat.


MEHR BOTS, MEHR PROBLEMEFortschrittliche verteilte Computerumgebungen haben das Leben für Unternehmen und Verbraucher etwas einfacher gemacht, gleichzeitig aber auch neue Angriffsvektoren geschaffen. Eine der häufigsten Bedrohungen für Netzwerke und Anwendungen sind Bots. Die Forschungsarbeiten von Akamai zeigen, dass diese schädlichen Bots nicht nur ständig weiterentwickelt werden, sondern dass diejenigen, die sie entwickeln, aktiv nach Umgehungsmethoden suchen und dabei sogar Entwickler mit einzigartigem Marken- und anbieterspezifischem Know-how anheuern.

Informationen dazu, wie Bots funktionieren und wie man sich dagegen verteidigen kann, sind ein Kernelement in Ihrem Sicherheitsmodell. Ein wichtiger Aspekt besteht darin, die Funktionsweise typischer Abwehr- und Umgehungsmaßnahmen für Bots sowie die Auswirkungen auf das jeweilige Geschäfts- und Risikomodell Ihres Unternehmens zu verstehen.

Wenn ein Großteil des Traffics zu Ihrem Onlineunternehmen von Bots stammt, führt dies zu einem erheblichen Dominoeffekt.

BRANCHEGESAMTER

BOT-TRAFFIC ANFRAGEN INSGESAMT

(BOTS UND HTTP)ANFRAGEPROZENTSATZ

(BOTS/HTTP)

Medien und Entertainment

6.385.268.181 94.607.069.792 6,75 %

Bildungswesen 126.485.194 2.920.230.414 4,33 %

Hotel- und Reisebranche

17.213.912.273 403.734.977.420 4,26 %

Sonstiges 1.070.980.172 25.252.564.668 4,24 %

Einzelhandel 107.301.948.091 2.768.895.396.390 3,88 %

Fertigungsindustrie 1.398.829.764 41.430.063.364 3,38 %

Immobilien 130.157.772 4.006.237.916 3,25 %

Konsumgüter 2.737.855.414 103.710.648.491 2,64 %

Öffentlicher Sektor

3.185.738.438 138.246.823.219 2,30 %

Software-as-a-Service

1.624.107.871 77.066.649.310 2,11 %

Pharmaindustrie/Gesundheitswesen

307.249.702 15.373.210.108 2,00 %

Abbildung 3: Branchenaufschlüsselung des Bot-Traffics im Akamai-Netzwerk nach Anfrageprozentsatz für bekannte nicht schädliche und bekannte schädliche Bots


Dieser Dominoeffekt hat Einfluss auf mehrere Risiken, die mit Bot-Traffic verbunden sind, wie Performanceprobleme (z. B. langsame Websites und frustrierte Kunden) und steigende IT-Ausgaben. Darüber hinaus gibt es markenbezogene Risiken wie Bots, die Ihre Website auf Bestände, Preisdaten oder Inhalte durchforsten. Aber das ist noch nicht alles: Außerdem gibt es noch die Bots, die für DDoS-Angriffe, Werbebetrug, Suchmaschinen-Spamming und Credential Stuffing verantwortlich sind, um nur einige zu nennen.

Bekannte nicht schädliche Bots scannen öffentlich verfügbare Inhalte und werden von legitimen Unternehmen betrieben, wobei dies normalerweise im User Agent Header identifiziert wird, einschließlich einer URL zur entsprechenden Website.

Wir teilen bekannte nicht schädliche Bots in die folgenden Hauptkategorien ein:

• CRAWLER FÜR SUCHMASCHINEN: Web-Suchmaschinen werden für eine Vielzahl von Zwecken eingesetzt, von globalen Suchmaschinen (z. B. Google, Bing) bis hin zu gezielteren wie z. B. Job-Suchmaschinen, Medien und Unterhaltung, Handels-Suchmaschinen oder Suchmaschinen für akademische und Forschungszwecke (Publikationen, Zitatsuche, semantische Analyse).

• WEBARCHIVE: Regelmäßiges Scannen des Internets und Aufzeichnung der Inhalte in durchsuchbaren indizierten Datenbanken.

• SUCHMASCHINENOPTIMIERUNG, AUDIENCE ANALYTICS UND MARKETINGSERVICE: Nutzung von Websites und Social Media für Inhalte, die Kunden Markteinblicke wie Positionierung, Erwähnungen und andere Referenzen bieten.

• STANDORTÜBERWACHUNGSSERVICES: Automatisierte Tools, die den Zustand, die Verfügbarkeit und die Performance einer Website unter großer Belastung überwachen.

• CONTENT-AGGREGATOREN: Bots in dieser Kategorie scannen mehrere Quellen im Internet, z. B. Nachrichten, Trends, Produktaktualisierungen, Preisänderungen, Aktienangebote usw.

Viele Unternehmen haben Partner, die Bots verwenden, um ihre Website auf aktuelle Änderungen an Produktangeboten oder dynamischen Anzeigenlisten zu überprüfen. Diese Methode wird häufig in der Gastronomie und in der Reisebranche genutzt. Diese „guten“ Bots sind aber oft sehr ressourcenintensiv und verursachen Spitzenlasten auf der Website des Unternehmens.


Die meisten Bot-Verteidigungssysteme möchten ein Ziel erreichen: Schädlichen Bot-Traffic blockieren und gleichzeitig sowohl Menschen als auch guten Bots den Zugriff auf die Website gewähren. Weiterhin muss die Bot-Verteidigung bekannte nicht schädliche von schädlichen Bots trennen und sicherstellen können, dass die bekannten „guten“ Bots festgelegte Regeln und andere Beschränkungen einhalten.

Der Umgang mit Bots ist nicht einfach. Neben möglichen Erkennungsproblemen können Standardschutzmaßnahmen wie Blacklists kaum mit der Entwicklung Schritt halten.

UMGEHUNGSMASSNAHMEN:Um eine Erkennung zu vermeiden, werden bei den Bots, die Ihre Website angreifen, verschiedene Tricks und Taktiken angewendet. Die grundlegendste Umgehungsmaßnahme ist die Änderung des User Agent oder anderer HTTP-Header-Werte. Damit kann der Bot die Identität häufig verwendeter Browser, Apps oder sogar bekannter nicht schädlicher Bots annehmen.

Bots ändern auch die verwendeten IP-Adressen, um ihren Ursprung zu verbergen, oder verwenden mehrere IP-Adressen. Geänderte IP-Adressen dienen auch zur Umgehung von Ratenbeschränkungen, da der Bot eine langsame und unauffällige Vorgehensweise verfolgt, bei der mehrere IP-Adressen stündlich eine geringe Anzahl von Anfragen senden.

Abbildung 4: Die Auswirkungen von Bots variieren je nach Unternehmen stark und müssen jeweils unterschiedlich bewertet werden


Andere Methoden zur Umgehung von Ratenbeschränkungen umfassen die Verwendung von mobilen und API-Endpoints sowie ständige Änderungen von IP-Adressen über Proxys, VPNs und Tor.

Einige Bots manipulieren die Browsereigenschaften, indem sie bekannte Fingerabdruckeigenschaften vortäuschen, die häufig in der Whitelist enthalten sind. Außerdem können Bots auch Cookies manipulieren, um eine Erkennung zu umgehen, z. B., indem Cookies verworfen oder gute Cookies gesammelt und anschließend wiedergegeben werden.

EIN ANGRIFF AUF MEHREREN EBENEN:In letzter Zeit fand bei mehreren Kunden von Akamai ein Bot-Angriff statt, der auf mehrere Branchen abzielte. Der Angreifer nutzte Tausende von IP-Adressen und verschiedene Umgehungsmethoden bei mehreren Kunden. Eine der herausragendsten Umgehungsmethoden war brandneu und wurde in großem Maßstab eingesetzt. Diese Herausforderung wurde jedoch von unseren Technikern schnell bewältigt.

Aus Forschungsperspektive war dieser Angriff auf mehrere Branchen sehr interessant, da aufgezeigt wurde, wie leistungsfähig die Einblicke von Akamai in die Internet-Sicherheit sind. Dadurch konnte eine Lösung entwickelt werden, bei der keine zukünftigen Probleme mit Fingerabdruckkollisionen oder falschen Identifizierungen bei nicht bösartigen Bots auftreten.

Abbildung 5: Typische Umgehungstaktiken mit Zuordnung zu den jeweiligen logischen Verteidigungsmechanismen, skaliert nach Schwierigkeitsgrad für den angreifenden Bot


EIN BEISPIEL AUS DEM EINZELHANDEL:Im Einzelhandelssektor werden Bots verwendet, um Artikel automatisch zu kaufen. Dabei werden häufig Kampagnen, Artikel in limitierter Auflage und Werbeveranstaltungen genutzt. Der Bot-Eigentümer verkauft diese Artikel dann mit einem erheblichen Aufschlag weiter, da sich durch die Masseneinkäufe in vielen Fällen die Seltenheit dieser Artikel erhöht hat.

Wie wir gezeigt haben, setzen die Bot-Eigentümer Umgehungstaktiken ein, wenn Abwehrmaßnahmen erkannt werden. Die Bot-Eigentümer wollen den Verteidigungsmaßnahmen immer einen Schritt voraus sein, weshalb sie einen Ressourcenpool unterhalten. Wenn alles andere scheitert, sind sie bereit, gutes Geld für die Entwicklung neuer Umgehungstechniken auszugeben.

Wir haben ein Stellenangebot von einem Bot-Eigentümer gefunden, der bereit ist, einem Entwickler 15.000 USD für die „Erstellung eines Brute-Force-Programms“ für den Kauf von Artikeln im Internet zu zahlen. In der Stellenanzeige wird speziell ein Freiberufler gesucht, der Erfahrung mit der Umgehung von Akamai-Sicherheitsmaßnahmen hat.


Weiterhin wird gefordert, dass der Entwickler Erfahrung mit der Erstellung von Bots für bekannte Sportbekleidungsmarken hat. Der Bot selbst muss über eine Reihe von Umgehungsfunktionen verfügen, darunter Anti-Bot-Umgehung, Cookieerstellung, Webscraping, API-Sniffing, reCAPTCHA-Umgehungen oder reCAPTCHA-Cookie-Import.

Der Anbieter hatte zum Zeitpunkt der Erstellung dieses Screenshots bereits über drei Dutzend ähnliche Stellenangebote veröffentlicht, wobei er bereit war, mehr als 10.000 USD für 28 Mitarbeiter auszugeben. Viele der Jobs richteten sich an Codierungsspezialisten und alle hatten zum Ziel, Bot-Verteidigungsmaßnahmen zu

Abbildung 6: Beispiel für eine Stellenausschreibung für einen erfahrenen Angreifer mit unternehmensspezifischem Wissen


umgehen. Bei ähnlichen Anzeigen wurde nur ein Bruchteil dieser Summe geboten (in einem Fall 500 USD), aber in diesen Fällen gab es nur wenig oder gar kein Interesse von den freiberuflichen Entwicklern auf der Website.

In einer weiteren Anzeige wurden maximal drei Entwicklern 2.000 USD mit einem Monatshonorar von 1.000 USD für die Entwicklung von Bots für den Einzelhandel mit verschiedenen Umgehungsmethoden geboten. Auch hier sollten die gesuchten Entwickler Erfahrung bei der Umgehung der Akamai-Sicherheitsmaßnahmen auf Einzelhandels-Websites mitbringen.

WICHTIGSTE ERKENNTNISSEBots sind kein vorübergehendes Phänomen. Aufgrund der immer einfacheren Automatisierung bieten Bots sowohl große Geschäftschancen als auch erhöhte Risiken. Im Hinblick auf diese beiden Aspekte müssen Bots sorgfältig verwaltet statt ignoriert oder vollständig blockiert werden. Unternehmen sollten sich bemühen, zwischen Bots zu unterscheiden, die für ihre Website von Vorteil sind (z. B. Crawler für Suchmaschinen, Aggregatoren usw.), und Bots, die sich negativ auf das Unternehmen und seine Kunden auswirken.

Ein wichtiger Vorteil bei der Handhabung von Bots sind Einblicke in die zugehörigen Abläufe und Aktionen. Bei bekannten nicht schädlichen Bots können dadurch sowohl ihre legitimen Ursprünge und Eigenschaften als auch Personifikationstrends identifiziert werden. Bei schädlichen Bots ermöglichen umfassende Einblicke eine fundierte Threat Intelligence sowie die Fähigkeit, komplexe Operatoren abzuwehren, die umfangreiche Kampagnen ausführen.


AusblickEine der wichtigsten Regeln für die Sicherheit ist „Kenne deine Umgebung“. Damit Sie bemerken, dass etwas Ungewöhnliches passiert, ist ein grundlegendes Verständnis der Netzwerknorm unabdingbar. Dies gestaltet sich jedoch mit jedem Tag schwieriger, da neue Tools, neue Technologien und gewaltige Veränderungen im Netzwerk eingeführt werden, um geschäftliche Anforderungen zu erfüllen. Und doch dürfen Unternehmen nicht den Kopf in den Sand stecken.

In unserem ersten Beitrag ging es um ein Beispiel für ein gutes Tool, das schädlich wurde. Möglicherweise kommt Ihnen dieses Thema von früheren „State of the Internet“-Sicherheitsberichten bekannt vor. Es ist nicht ungewöhnlich, dass ein neuer Partner eine Verbindung zu Ihren APIs herstellt und dabei vergisst, seine Anfragen richtig zu drosseln. Die Site-Crawler, die Suchmaschinen Informationen zuführen, sind gelegentlich eine Quelle für Netzwerkausfälle. Nicht alle Angriffe werden böswillig ausgeführt. Manchmal handelt es sich einfach nur um einen Fehler. Trotzdem können die Auswirkungen auf das Ziel äußerst negativ sein.

Dies steht im klaren Gegensatz zu den Tools, die es auf Ihr Netzwerk abgesehen haben. Nicht auf das Netzwerk eines bestimmten Händlers, nicht auf das Netzwerk einer Bank wie der Ihren, sondern vielmehr auf Ihre Umgebung und Ihre Systeme, um die getroffenen Abwehrmaßnahmen auszuschalten. Immer häufiger werden in den dunklen Ecken des Internets Tools beworben, für die gleichzeitig bestimmte Ziele aufgeführt werden. Damit erkennt der Käufer sofort, dass er Ihr Unternehmen damit angreifen kann.

Bei Akamai führt es zu gemischten Reaktionen, wenn wir sehen, dass Angreifer bei ihren Anzeigen unsere Technologie ins Auge fassen. Einerseits greifen sie uns damit an! Sie bemühen sich stärker, unsere Tools und Abwehrmaßnahmen zu überwinden, als sich um andere Entwicklungsarbeiten zu kümmern. Andererseits ist dies ein eindeutiger Nachweis dafür, dass wir die von ihnen gebauten Bots effektiv stoppen. Sie suchen nur deshalb nach diesen Fähigkeiten, weil unsere Technologie sie frustriert. Und paradoxerweise freuen wir uns auch darüber, zeigt es doch, dass wir unsere Sache gut machen.

Wenn Sie den Beitrag von Amanda Berlin zum Thema psychische Gesundheit weiter oben in diesem Bericht noch nicht gelesen haben, suchen Sie sich jetzt eine ruhige Ecke, um das nachzuholen. Kein Berufsweg ist stressfrei, aber der Weg eines Sicherheitsexperten scheint schwieriger zu sein als viele andere. Es lohnt sich, einige Minuten innezuhalten, um über Amandas Vorschläge nachzudenken und herauszufinden, ob sie für Sie oder Ihr Team relevant sein könnten.

Vielen Dank, dass Sie den „State of the Internet“-Sicherheitsbericht von Akamai gelesen haben.


Anhang A: MethodikDie im „State of the Internet“-Sicherheitsbericht verwendeten Daten stammen aus mehreren Lösungen von Akamai und lassen sich in zwei Hauptnetzwerke unterteilen. Zu diesen Lösungen gehören unter anderem die Kona Web Application Firewall (WAF), Prolexic DDoS-Schutz und Bot Manager Premier. Diese Systeme bilden ein komplexes Ökosystem, das zum Schutz der Kunden von Akamai entwickelt wurde. Aufgrund des Umfangs unserer Netzwerke können wir einen Großteil des gesamten Internettraffics sehen.

Das erste Netzwerk ist die Akamai Intelligent Edge Security Platform, ein Netzwerk aus über 200.000 Servern in Tausenden von Netzwerken weltweit. Im November 2018 stellte dieses Netzwerk eine tägliche Durchschnittsrate von über 50 Terabit pro Sekunde (Tbit/s) bereit. Anfang Dezember verursachten mehrere Patch- und Gaming-Veröffentlichungen fast 69 Tbit/s an Traffic über das Netzwerk von Akamai. Zum Schutz dieses Traffics wird die Kona WAF verwendet und Informationen zu den Angriffen werden in ein internes Tool namens Cloud Security Intelligence (CSI) eingespeist. Diese Daten werden in Petabyte pro Monat gemessen und verwendet, um Angriffe zu untersuchen, Trends zu verstehen und zusätzliche Informationen in die Lösungen von Akamai einzuspeisen.

Das zweite große, von Akamai bereitgestellte Netzwerk ist die Prolexic-Plattform. Im Gegensatz zur verteilten Struktur der Intelligent Edge Security Platform wurden die Prolexic-Lösungen entwickelt: Sie können den gesamte Traffic eines Kundenunternehmens an die Rechenzentren von Akamai weiterleiten, wo der „gute“ Traffic vom schädlichen getrennt werden kann. Jedes Rechenzentrum wurde im Hinblick auf den physischen Standort, die Verbindungen zu vernetzten Hochgeschwindigkeitsnetzwerken und eine lange Liste weiterer Faktoren ausgewählt, damit unsere Kunden in jeder Region einen optimalen Service erhalten.

Im Beitrag „Der DDoS-Angriff, der keiner war“ wird die Art und das Volumen des Traffics aufgezeigt, den das Team bei Akamai erkennen kann, und erläutert, warum für die Lösung bestimmter Probleme mehrere Teams benötigt werden. Die Hauptanliegen wurden zwar mithilfe der Trafficaufzeichnungen aus der Prolexic-Lösung erkannt und gelöst, aber trotzdem war das Fachwissen mehrerer Teams erforderlich, um das Problem vollständig zu verstehen.

In „Mehr Bots, mehr Probleme“ wurden die Daten hauptsächlich aus der Bot Manager Premier-Lösung von Akamai erfasst. Dieses Tool basiert aber auf der Synthese mehrerer anderer Datensätze, z. B. Protokolle der Web Application Firewall und IP-Reputationstools. Darüber hinaus war eine umfassende Trafficanalyse erforderlich, um zu verstehen, wie der Angreifer den Traffic manipuliert hat, um eine Erkennung zu vermeiden. Das wichtigste Werkzeug in unserem Arsenal sind jedoch Erfahrung und menschliche Intelligenz, wie durch die zusätzlichen Untersuchungen zu den Einstellungspraktiken in diesem Bereich verdeutlicht.

Der „State of the Internet“-Sicherheitsbericht reflektiert die Analyse aller Teams bei Akamai und alle Beispiele beruhen auf dem Fachwissen unserer Mitarbeiter.


Quellen:

State of the Internet/Sicherheit – Das TeamBen Tang, Data Scientist Elad Shuster, Security Researcher, Senior Lead Chad Seaman, Security Intelligence Response Team, Senior II Larry Cashdollar, Security Intelligence Response Team, Senior II Moshe Zioni, Threat Research, Director Gabriel Bellas, Practice Manager, Global Services

RedaktionsteamMartin McKeay, Editorial Director Amanda Fakhreddine, Sr. Technical Writer, Managing Editor Steve Ragan, Sr. Technical Writer, Editor

GastautorAmanda Berlin, Mental Health Hackers*

KreativteamBenedikt Van Holt, Art Direction Brendan John O’Hara, Graphic Design Georgina Morales Hampe, Kylee McRae und Murali Venukumar, Project Management

* Die Ansichten von Amanda Berlin stimmen nicht unbedingt mit den Ansichten von Akamai Technologies überein, und der in diesem Dokument enthaltene Artikel sollte nicht als medizinischer Rat oder professionelle Beratung angesehen werden.

Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren. Akamai hält Angriffe und Bedrohungen fern und bietet im Vergleich zu anderen Anbietern besonders nutzernahe Entscheidungen, Anwendungen und Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @AkamaiDACH sowie @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Januar 2019

https://www.akamai.com/de/de

https://blogs.akamai.com/de

https://twitter.com/AkamaiDACH

https://twitter.com/Akamai

https://www.akamai.com/de/de/locations.jsp

Documents

DDoS- und Anwendungs- angriffe - akamai.com · State of the Internet-Sicherheitsericht u DDoS- und Anendunsanriffen: Band 5, Ausae 1 2 Mitteilung des Herausgebers Willkommen zur ersten