[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Dienstag und Mittwoch dieser Woche wurde der Sicherheitsexperte und -Journalist Brian Krebs mit seiner Website http://krebsonsecurity.com (Seite aktuell nicht erreichbar) Ziel des bisher größten DDoS-Angriffs in der Geschichte des Internets. Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

Auslöser für diesen Angriff war vermutlich ein Bericht über den israelischen Booter-/Stresser-Service vDos, der aktiv zur Aufdeckung und Verhaftung der Hintermänner geführt hatte (Seite derzeit nicht erreichbar).

Krebs' Anti-DDoS-Dienstleister Akamai, der laut Krebs seine Website bis dato kostenlos geschützt hatte, konnte dem Angriff nichts entgegensetzen und verzichtete in der Folge darauf, die Dienstleistung weiter zu erbringen. Brian Krebs hat nach eigener Aussage völliges Verständnis dafür, er habe schließlich in zwei Nächten mehr Kosten verursacht, als Akamai zuzumuten wäre.

Auf Heise.de wird auf die schiere Größe des dem Angriff zugrunde liegenden Botnets' hingewiesen. Die Existenz eines derartig großen Botnets war bisher völlig unbekannt.

 

[Jester]

Hier noch der Artikel von Tarnkappe, in dem die [automatischen] DDoS-Gegenangriffs-Möglichkeiten der USA angekündigt werden.

Mindestens seit 2013 wird beim US-Geheimdienst NSA ein neues System entwickelt, welches automatisch Denial-of-Service-Attacken (DDoS) beantworten kann. In der Dokumentation wird ein Fall vom 10. April 2012 gezeigt, bei dem ein Angriff aus dem Iran über Deutschland umgeleitet wurde, um den Ursprung des Angriffs zu verschleiern. Ziel der massiven DDoS-Attacke war das US-amerikanische Bankensystem in New York. Der Angriff wird nach Abschluss der Entwicklung von der NSA-Software „Cyber Cop“ in Echtzeit analysiert. Ein weiteres System, welches vom NDR nicht namentlich genannt wird, entscheidet dann automatisch, ob der vermutete Ursprung des Angriffs mit DDoS-Attacken überzogen werden soll.

 

[Novgorod]

@virtus: willst du damit behaupten, dass jede einzelne DNS-anfrage über die root-server läuft? ist dir klar, warum jeder ISP seine eigenen lokalen DNS-server hat? hast du meinen post überhaupt gelesen?
die überwältigende mehrheit der DNS-einträge (im sinne von domains mit dem meisten traffic) ist bei den ISPs gecachet und dieser cache wird sich nicht in luft auflösen, nur weil der root-server vorübergehend unerreichbar ist.. das einzige was dann nicht funktioniert sind unbekannte adressen und DNS-updates (was ich bereits gesagt habe) und damit kann man für die dauer des ausfalls gut leben, solange 99% des internets (nach traffic) weiterhin erreichbar bleibt.. größere ISPs könnten auch durchaus vollständige mirrors der root-server betreiben, die alle paar stunden (oder minuten) aktualisiert werden - dann gäbe es garkeine "unbekannte" adressen und ein ausfall der root-server würde dann nur noch die registrierung neuer domains und änderungen alter domains verhindern, was lediglich die leute ärgern würde, die gerade in dem moment eine neue seite launchen wollen..

 

[Jester]

Gerade hat Heise.de auch über den Angriff auf OVH berichtet, man vermutet, dass hier das gleiche IoT-Botnet am Werk war, wie bei Brian Krebs.

Mit bis zu 1,1 Tbps wurde dieser Angriff nun als der bisher stärkste Gemessene klassifiziert. Heise berichtet, dass der OVH-Gründer Octave Klaba die Gesamtkapazität des DDoS-Botnets auf ca. 1,5 Tbps schätzt, zudem solle der Verbund von Zombies ständig wachsen.

Kommentator "Kaufzwang" auf Heise formuliert treffend: "Welcome to the Internet of broken Things!".

User "PowerNorman" schreibt unter dem Titel "Cyberwaffentest, die zweite":

Da sich hier manche wundern, was der Sinn dieser Angriffe auf relativ unbedeutende Ziele ist: Das hat den gleichen Sinn wie eine Atombombe unterirdisch zu zünden - man testet, ob es geht. Und man zeigt anderen, dass man es kann.

Da hat jetzt also jemand eine Cyberwaffe, die 1,1Tbps auf ein Ziel loslassen kann. Würde das reichen, um militärisch relevante Ziele ausser Gefecht zu setzen...? Für manche vermutlich schon...

 

[Pleitgengeier]

Der Punkt ist weder die Story um Brian Krebs, noch die Geschehnisse um vDos. Hier geht es darum, dass gerade das größte Botnet der Welt offen in Erscheinung getreten ist. Die 665 Gbps waren ein Angriff _ohne_ Reflection, d.h. die Potenz ist geschätzt bis zu Faktor 70 (!) höher - das ist eine Hausnummer, über die man erstmal eine Sekunde nachdenken muss.

Ich weiß nicht ob man das so einfach Skalieren kann, diese Bandbreite muss von Servern erst mal geliefert werden.

Taktisch gesehen war es sicher nicht allzu klug, sich mit dem Angriff auf Krebs' Website zu offenbaren. Ein unvorbereiteter Treffer mit diesem Ding an der richtigen Stelle hätte womoglich schlimme Folgen gehabt

Darum vermute ich mal, dass dieses Ding eher der Erpressung oder Abschreckung als der Störung dienen soll - nur so macht dieser "virtuelle Atomtest" Sinn

 

[Jester]

@Pleitgengeier:
Yup, deswegen "bis zu" - meine Sachkenntnis reicht hier nicht aus, das reell zu bewerten.
Es wäre aber auch schnuckelig, wenn jemand anderes da virtuelle Atomtests veranstaltet und das vDos in die Schuhe schiebt... eine sehr gute Gelegenheit, just sayin'

[Nachtrag] Der Verbreitungsvektor ist so uninteressant, dass ich die Idee des APT freiwillig aufgebe ^^

[UPDATE]
Laut The Register wurde am Wochenende bekannt, dass das Botnet auf der Mirai Malware (voller Source Code Leak) beruht, die auf IoT Linux Systeme spezialisiert ist.

Laut einer Malware-Analyse seien die Geräte über Brute-Forcing von Telnet-Servern mit einer Liste von lediglich 62 "grauenhaft schwachen" Zugangsdaten kompromittiert worden, die zum Großteil mit den Geräten als Default ausgeliefert und nie geändert wurden.

 

[sia]

Würde ja jetzt gerne sagen "mit Linux wäre das nicht passiert™", allerdings sind hier extrem dumme Hersteller von Geräten mit Linux am Werk.

Jungs, lasst euch das eine Lehre sein, benutzt einen Passwortmanager! Und Telnet im Jahre 2016 ist auch schon etwas schwach, wenn man dropbear mit ein paar Optimierungen auf <200kB Größe bekommt.

Danke für die Malware, mal schauen, ob das auch auf nicht-embedded-Geräten funktioniert.

 

[HoneyBadger]

Jungs, lasst euch das eine Lehre sein, benutzt einen Passwortmanager!

Ich nutze beispielsweise einen PWM. Die jeweiligen PWs sind alle per Generator erzeugt und sollten ausreichenden Schutz bieten. Allerdings frage ich mich manchmal, was ich mache, wenn mal jemand den PWM kompromittieren sollte? Dann wäre man u.U. so richtig am Arsch....

 

[sia]

Dann hat man zumindest eine Liste von Passwörtern, die man ändern muss.

Hatte ich auch schon – die Wahrscheinlichkeit einer Kompromittierung war weniger als 0,1% – man hatte eine verschlüsselte Kopie der DB ohne Keyfile, ich war mir aber nicht sicher, ob mein Passwort auch abgegriffen war –, dennoch habe ich ca. 400 Passwörter geändert.

 

[HoneyBadger]

... dennoch habe ich ca. 400 Passwörter geändert.

Per Batch?

 

[sia]

Das wäre echt mal ne geile Idee. Python-Script, was sich bei dem jeweiligen Dienst oder Gerät einloggt und das Passwort ändert.

Da werde ich mich asap dran machen, steht ab sofort auf der ToDo

 

[Jester]

Ein interessanter Gedankengang zu den Ereignissen:

1. Brian Krebs d0xxt vDos Betreiber
2. DDoS auf Krebs' Website (IoT, Flood Typ GRE, generic routing encapsulation)
3. OVH wird mit über 1 Tbps über das IoT geddos'ed, aber: Angriffstyp tcp/ack, tcp/ack+psh, tcp/syn Warum plötzlich ein anderer Ansatz?
4. Hintergrund OVH (Wikipedia)

Wie ich schon weiter oben gesagt habe, ist der Verbreitungsvektor des Mirai-Botnets so plump, dass ich ihn mittlerweile nicht mehr als APT einschätze.

Wenn man jetzt mal den Bogen spannt und vermutet, dass der Angriff auf Krebs tatsächlich eine Art Rache von vDos oder Assoziierten war, zum großen Teil über OVH lief und jemand Drittes dann gezeigt hat, wie man so etwas beantworten kann? DAS wäre ein sinnvoller "Atomtest".

0,02 €