Anzeige
Ein Botnetz breitet sich ungehemmt aus, obwohl dessen Schadsoftware bereits seit längerem bekannt ist.
Ein Botnetz breitet sich ungehemmt aus, obwohl dessen Schadsoftware bereits seit längerem bekannt ist. (Bild: Tigersecurity)

Netzangriffe: DDoS-Botnetz weitet sich ungebremst aus

Ein Botnetz breitet sich ungehemmt aus, obwohl dessen Schadsoftware bereits seit längerem bekannt ist.
Ein Botnetz breitet sich ungehemmt aus, obwohl dessen Schadsoftware bereits seit längerem bekannt ist. (Bild: Tigersecurity)

Ein kürzlich entdecktes Botnetz für DDoS-Angriffe breitet sich nach Angaben von Experten ungehemmt aus. Inzwischen seien auch Windows-Server gefährdet. Der Zweck der darüber gefahrenen Angriffe bleibt aber unklar.

Anzeige

Zunächst waren es hauptsächlich Linux-Server, die mit DDoS-Malware zu einem großen Botnetz zusammengeschlossen wurden. Inzwischen gibt es aber auch Windows-Server, die in das Netz integriert werden, das nach Angaben von Datenexperten bei Tigersecurity unaufhörlich wächst. Mittlerweile werden Angriffe mit bis zu 200 Gbps gemessen, durchschnittlich seien es 180 Gbps. Dieses Volumen sei deshalb bemerkenswert, weil dabei keine Verstärker genutzt worden seien. Tigersecurity nennt das Netz Operation Distributed Dragons.

Die Angreifer hatten zunächst Schwachstellen in Tomcat und Apache Struts sowie in Elastic Search genutzt, um die Malware auf Linux-Servern zu installieren. Während die Infektion recht leicht zu erkennen und zu beheben ist, ist die von den Angreifern genutzte Infrastruktur durchaus ausgefeilt. Über C&C-Server werden die infizierten Server gesteuert und können zahlreiche verschiedene Angriffe starten, darunter Flooding mit SYN-Paketen, über DNS oder UDP und über ICMP. Die Angreifer nutzen sogar übernommene Rechner als C&C-Server, etwa die einer Hotelkette in China oder sogar einen Server eines US-Unternehmens, das Maßnahmen gegen DDoS-Angriffe anbietet.

Adressbuch von angreifbaren Servern

Auf den C&C-Servern seien zusätzlich ein HTTP-Dateiserver sowie Microsofts Internet Information Services installiert. Darüber werde dann weitere Schadsoftware ausgeliefert. Außerdem laufe dort Microsofts Terminal Server, vermutlich um die C&C-Server zu steuern und zu verwalten. Auf den C&C-Servern entdeckten die Datenexperten außerdem Listen von funktionierenden 0Days sowie eine Liste von IP-Adressen von Servern samt gültigen Zugangsschlüsseln. Diese hatten die Angreifer offenbar über diverse Schwachstellen in SSH-Diensten ergaunert. Bemerkenswert sei auch der Einsatz der Verwaltungssoftware China Chopper. Es handle sich dabei um eine Web-basierte Shell für Linux und Windows-Rechner, die äußerst schwierig zu entdecken sei. Außerdem gebe es vier verschiedene Werkzeuge, mit denen die DDoS-Angriffe oder die übernommenen Rechner gesteuert werden können.

Die Verwendung dieser Software weise auch auf das Herkunftsland der Urheber des Botnetzes hin: China. Das geht auch aus einer Analyse der Gruppe Malware Must Die hervor. Allerdings sei es nahezu ausgeschlossen, dass die Angreifer im Auftrag der Regierung handelten, denn auch chinesische Behördenrechner seien Opfer der großangelegten Angriffe gewesen. Die meisten angegriffenen Rechner seien in Kanada zu verzeichnen, gefolgt von den Niederlanden, Ungarn und Deutschland.

Zweck noch ungewiss

Tigersecurity geht in seiner aktuellen Analyse davon aus, dass die Anzahl der gekaperten Rechner sowie die Intensität der Angriffe aus diesem einen Botnetz weiter zunehmen werden. Inzwischen sei auch die Windows-Variante der Angriffssoftware im Umlauf. Möglicherweise sind auch Heimrechner mit installiertem Windows Ziel der Angreifer geworden. Eine Variante für die ARM-Plattform gibt es bereits und sie wird vermutlich auf gehackten Routern genutzt.

Welchem Zweck die DDoS-Angriffe dienen, lässt sich gegenwärtig nicht erklären. Die angegriffenen Rechner kämen aus teils erheblich unterschiedlichen Unternehmenssparten und es lasse sich deshalb keine einheitliche Linie erkennen. Möglicherweise handeln die Angreifer im Auftrag von Kunden, die ihren Rivalen schaden wollen. Auch damit lässt sich offenbar inzwischen gutes Geld verdienen.


eye home zur Startseite
Moe479 23. Okt 2014

die frage was richtig und was falsch konfiguriert ist, ist eine frage des...

wirehack7 23. Okt 2014

Process Explorer und die laufenden Dienste anschauen. Das lustige ist, derzeit hat die...

AllDayPiano 23. Okt 2014

Was ist daran denn bitte passend? Du erfindest unzählige Eigenschaften zu einer...

nicoledos 22. Okt 2014

;) bei Botnetzen steht das eher für "Command and Control"

Kommentieren



Anzeige

  1. IT-Komponentenverantwortlich- e/r für Backupsysteme
    Landeshauptstadt München, München
  2. Systemadministrator (m/w)
    LF Europe (Germany) Services GmbH, Norderstedt bei Hamburg
  3. Solution Architect (m/w) Business Solutions Group Functions
    IKEA IT Germany GmbH, Wiesbaden (Wallau)
  4. Softwareentwickler (m/w) C++
    CST - Computer Simulation Technology AG, Darmstadt

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  2. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)
  3. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)

Weitere Angebote


Folgen Sie uns
       


  1. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  2. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  3. Overwatch im Test

    Superhelden ohne Sammelsucht

  4. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen

  5. Streit der Tech-Milliardäre

    Ebay-Gründer unterstützt Gawker im Streit mit Hulk Hogan

  6. Siri-Lautsprecher

    Apple setzt auf Horch und Guck

  7. Soylent-Flüssignahrung

    Die Freiheit, nicht ans Essen zu denken

  8. Fraunhofer IPMS

    Multispektralkamera benötigt nur ein Objektiv

  9. Transformer 3 (Pro)

    Asus zeigt Detachables mit Kaby Lake

  10. Delock DL-89456

    Netzwerkkarte für 2.5 und 5GbE



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

  1. Re: Kamera ist doch auch sinnvolk, wenn man...

    Nikolai | 16:13

  2. Hoffentlich schadet es dieser Hetzzeitung

    Phreeze | 16:12

  3. Re: Rundzellen?

    0mega42 | 16:12

  4. Re: Die Automobilindustrie am laufen halten...

    blockchainman | 16:12

  5. Re: Was für ein verstörender Artikel

    Moe479 | 16:12


  1. 15:57

  2. 15:15

  3. 14:00

  4. 13:28

  5. 13:08

  6. 12:54

  7. 12:02

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel