PresseKat - Akamai: XOR DDoS Botnet startet täglich 20 DDoS-Angriffe von gekaperten Linux-Rechnern

Akamai: XOR DDoS Botnet startet täglich 20 DDoS-Angriffe von gekaperten Linux-Rechnern

ID: 1271338

(firmenpresse) - * Das XOR DDoS Botnet ist weiter gewachsen und kann jetzt Mega-DDoS-Attacken von mehr als 150 Gbit/s durchführen

* 90 Prozent der Angriffe zielen auf Unternehmen in Asien

* Ein neuer Sicherheitshinweis erläutert Details mehrerer kürzlich erfolgter Angriffe durch das XOR DDoS Botnet

München, 5. Oktober 2015 – Akamai Technologies (NASDAQ: AKAM), der führende Anbieter von Content-Delivery-Network (CDN)-Services, hat unterstützt durch sein Security Intelligence Response Team (SIRT, https://blogs.akamai.com/2015/09/test-post.html) einen neuen Sicherheitshinweis veröffentlicht. Angreifer haben ein Botnet aufgebaut, das auf Basis von XOR DDoS – eine Trojaner-Malware, mit der Linux-Systeme gekapert werden – Distributed-Denial-Of-Service (DDoS)-Angriffe von mehr als 150 Gbit/s ausführen kann. Der ausführliche Sicherheitshinweis sowie eine Analyse zur Abwehr der DDoS-Angriffe und Hinweise zum Löschen der Malware stehen zum Download bereit unter: www.stateoftheinternet.com/xorddos.

Die Trojaner-Malware XOR DDoS infiziert Linux-Systeme und instruiert sie per Fernsteuerung, DDoS-Attacken zu starten. Dazu verschaffen sich die Hacker zunächst per Brute-Force-Attacken Zugang zum Passwort der Secure-Shell-Services des Linux-Rechners. Sobald Angreifer die Login-Daten kennen, nutzen sie Root-Rechte und starten ein Bash Shell Script, das ein bösartiges Binärfile lädt und ausführt.

Die Analysen des Akamai SIRT zeigen, dass sich die von dem XOR DDoS Botnet stammenden DDoS-Angriffe von einem niedrigen einstelligen Gbit/s-Bereich bis hin zu einem extrem hohen Bereich von mehr als 150 Gbit/s erstrecken. Am häufigsten zielten die Attacken auf Onlinespiele, gefolgt von Bildungseinrichtungen. Das Botnet startet bis zu 20 Angriffe pro Tag, 90 Prozent davon erfolgen in Asien. In einem ausführlichen Bericht schildert Akamai Details zu mehreren Attacken, die das XOR DDoS Botnet am 22. und 23. August dieses Jahres durchführte – eine davon mit nahezu 179 GBit/s und die andere mit rund 109 GBit/s. Dabei kamen die Angriffsvektoren SYN und DNS Floods zum Einsatz.





In einigen Fällen – aber nicht immer – war die IP-Adresse des Bots gefälscht. Den Analysen zufolge wurde bei den Angriffen auf Kunden von Akamai ein Mix aus echten und gefälschten IP-Adressen verwendet. Die gefälschten IP-Adressen wurden so erzeugt, dass sie wie solche aus dem 24- oder dem 16-Bit-Adressraum des infizierten Hosts aussehen. Damit ISPs den manipulierten Datenverkehr nicht mit ihren per Unicast Reverse Path Forwarding (uRPF) geschützten Netzen blockieren, nutzen die Angreifer eine Technik, bei der nur das dritte oder vierte Oktett einer IP-Adresse geändert wird.

Akamai konnte typische Erkennungsmuster in den Angriffen, wie Initial TTL Value, TCP Window Size und TCP Header Options, ermitteln. Solche Payload-Signaturen können sich als wichtige Hilfe bei der DDoS-Abwehr erweisen. Der ausführliche Report erhält dazu nähere Informationen. Darüber hinaus bietet der Bericht auch speziell auf den vom Botnetz generierten SYN Flood Attack Traffic abgestimmte tcpdump filter.


So lässt sich die XOR DDoS Malware aufspüren und löschen

Es gibt zwei Möglichkeiten, um die Präsenz von XOR DDoS festzustellen. Das Vorhandensein des Botnets in einem Netzwerk lässt sich erstens über die Analyse der Kommunikation zwischen dem Bot und zentralen Command-and-Control-Servern (C2) ermitteln. Der Report enthält dazu Snort Rules. Um die Infektion eines Linux-Rechners mit Malware aufzuspüren, bietet der Bericht zweitens YARA Rules an, die nach den Mustern bekannter Zeichenketten in den Binaries suchen.

XOR DDoS ist persistent – selbst, wenn die bösartigen Files gelöscht werden, sorgen bestimmte Prozesse dafür, dass sich XOR DDoS neu installiert. Um die Malware tatsächlich zu löschen, ist ein vierstufiges Verfahren erforderlich, das der Report ausführlich erläutert:

1. Die bösartigen Files in zwei Directories aufspüren

2. Die für die Persistenz der eigentlichen Malware verantwortlichen Prozesse identifizieren

3. Diese Prozesse löschen

4. Die bösartigen Files löschen.

Akamai beobachtet kontinuierlich DDoS-Angriffe, bei denen XOR DDoS zum Einsatz kommt. Ausführliche Informationen zu der Bedrohung, dem Löschen der Malware und den Techniken zur Abwehr der Attacken gibt es in einem umfangreichen Report, der zum Download bereitsteht unter: www.stateoftheinternet.com/xorddos.

„Im letzten Jahr ist das XOR DDoS Botnet weiter gewachsen und ist jetzt in der Lage, sehr große DDoS-Abgriffe auszuführen“, sagt Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai. „XOR DDoS ist ein Beispiel dafür, wie Angreifer ihre Ziele ändern. Sie errichten jetzt Botnetze mit gekaperten Linux-Systemen und starten mit diesen DDoS-Angriffe. Das geschieht heute weit häufiger als früher, als Windows-Rechner die primären Ziele von DDoS-Malware waren.“


Ãœber das Akamai Security Intelligence Response Team (SIRT)

Das Akamai Security Intelligence Response Team (SIRT) befasst sich mit der Abwehr weltweiter Cyber-Risiken und Gefahren, führt Digital-Forensic- sowie Post-Event-Analysen durch und teilt die Ergebnisse mit der Security-Community, um proaktiv vor Bedrohungen und Angriffen schützen zu können. Darüber hinaus unterhält das Akamai SIRT enge Kontakte mit anderen weltweit tätigen Organisationen und trainiert die Professional-Services- und Customer-Care-Teams von Akamai, damit diese ein breites Spektrum von Angriffen erkennen und abwehren können. Die Analysen von Akamai SIRT tragen dazu bei, dass die Cloud-Security-Produkte von Akamai zu den branchenbesten gehören und einen wirksamen Schutz vor all den aktuellen Bedrohungen auf Applikationsebene bieten können, mit denen es Unternehmen zu tun haben.


Diese Presseinformation kann auch unter www.pr-com.de/akamai abgerufen werden.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:

Akamai ist der führende Anbieter von Content-Delivery-Network (CDN)-Services (https://www.akamai.com/us/en/cdn.jsp), die das Internet schnell, zuverlässig und sicher machen. Die leistungsstarken Lösungen von Akamai auf den Gebieten Web Performance, Mobile Performance, Cloud Security und Media Delivery revolutionieren die Art und Weise, wie Unternehmen das Nutzererlebnis von Webseiten, Web-Applikationen und Unterhaltungsangeboten für Privat- und Geschäftskunden optimieren können. Weitere Informationen zu den Akamai-Lösungen und wie das Team von Internetexperten Unternehmen dabei unterstützt, Innovationen schneller voranzutreiben, gibt es unter http://www.akamai.de, im Blog blogs.akamai.com oder auf Twitter unter (at)Akamai (https://twitter.com/Akamai).



PresseKontakt / Agentur:

Akamai Technologies GmbH
Karine Gourdon-Keller
Parkring 29
85748 Garching
Tel.: +49-89-94006-312
kgourdon(at)akamai.com
www.akamai.de

PR-COM GmbH
Markus Schaupp
Nußbaumstraße 12
80336 München
Tel.: +49-89-59997-804
Fax: +49-89-59997-999
markus.schaupp(at)pr-com.de
www.pr-com.de



drucken  als PDF  an Freund senden  Key-Systems und SKYWAY sind Aussteller auf der it-sa Dell lädt ein zur Solutions Tour 2015 in Zürich/Baden
Bereitgestellt von Benutzer: PR-COM
Datum: 05.10.2015 - 16:52 Uhr
Sprache: Deutsch
News-ID 1271338
Anzahl Zeichen: 6127

Kontakt-Informationen:
Ansprechpartner: Markus Schaupp
Stadt:

München


Telefon: +49 89 59997 804

Kategorie:

Internet


Meldungsart: Unternehmensinformation
Versandart: Veröffentlichung
Freigabedatum: 05.10.2015

Diese Pressemitteilung wurde bisher 0 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Akamai: XOR DDoS Botnet startet täglich 20 DDoS-Angriffe von gekaperten Linux-Rechnern"
steht unter der journalistisch-redaktionellen Verantwortung von

Akamai (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

So maximieren Unternehmen ihre mobile Performance ...

München, 13. Juni 2016 – Akamai (www.akamai.de), der führende Anbieter von Content-Delivery-Network (CDN)-Services (https://www.akamai.com/de/de/solutions/why-akamai/next-generation-cdn.jsp), nennt drei Best Practices, mit denen Unternehmen ihre ...

Alle Meldungen von Akamai