Akamai Technologies, Anbieter von Content-Delivery-Network (CDN)-Services, hat unterstützt durch sein Security Intelligence Response Team (SIRT) einen neuen Sicherheitshinweis veröffentlicht. Angreifer haben ein Botnet aufgebaut, das auf Basis von XOR DDoS – eine Trojaner-Malware, mit der Linux-Systeme gekapert werden – Distributed-Denial-Of-Service (DDoS)-Angriffe von mehr als 150 Gbit/s ausführen kann. Der ausführliche Sicherheitshinweis sowie eine Analyse zur Abwehr der DDoS-Angriffe und Hinweise zum Löschen der Malware stehen zum Download bereit unter: www.stateoftheinternet.com/xorddos.

 

Die Trojaner-Malware XOR DDoS infiziert Linux-Systeme und instruiert sie per Fernsteuerung, DDoS-Attacken zu starten. Dazu verschaffen sich die Hacker zunächst per Brute-Force-Attacken Zugang zum Passwort der Secure-Shell-Services des Linux-Rechners. Sobald Angreifer die Login-Daten kennen, nutzen sie Root-Rechte und starten ein Bash Shell Script, das ein bösartiges Binärfile lädt und ausführt.

 

Die Analysen des Sicherheitsteams zeigen, dass sich die von dem XOR DDoS Botnet stammenden DDoS-Angriffe von einem niedrigen einstelligen Gbit/s-Bereich bis hin zu einem extrem hohen Bereich von mehr als 150 Gbit/s erstrecken. Am häufigsten zielten die Attacken auf Onlinespiele, gefolgt von Bildungseinrichtungen. Das Botnet startet bis zu 20 Angriffe pro Tag, 90 Prozent davon erfolgen in Asien. In einem ausführlichen Bericht schildert Akamai Details zu mehreren Attacken, die das XOR DDoS Botnet am 22. und 23. August dieses Jahres durchführte – eine davon mit nahezu 179 GBit/s und die andere mit rund 109 GBit/s. Dabei kamen die Angriffsvektoren SYN und DNS Floods zum Einsatz. "Im letzten Jahr ist das XOR DDoS Botnet weiter gewachsen und ist jetzt in der Lage, sehr große DDoS-Abgriffe auszuführen", sagt Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai. "XOR DDoS ist ein Beispiel dafür, wie Angreifer ihre Ziele ändern. Sie errichten jetzt Botnetze mit gekaperten Linux-Systemen und starten mit diesen DDoS-Angriffe. Das geschieht heute weit häufiger als früher, als Windows-Rechner die primären Ziele von DDoS-Malware waren."

 

 

In einigen Fällen – aber nicht immer – war die IP-Adresse des Bots gefälscht. Den Analysen zufolge wurde bei den Angriffen auf Kunden von Akamai ein Mix aus echten und gefälschten IP-Adressen verwendet. Die gefälschten IP-Adressen wurden so erzeugt, dass sie wie solche aus dem 24- oder dem 16-Bit-Adressraum des infizierten Hosts aussehen. Damit ISPs den manipulierten Datenverkehr nicht mit ihren per Unicast Reverse Path Forwarding (uRPF) geschützten Netzen blockieren, nutzen die Angreifer eine Technik, bei der nur das dritte oder vierte Oktett einer IP-Adresse geändert wird.

 

Die Experten konnten typische Erkennungsmuster in den Angriffen, wie Initial TTL Value, TCP Window Size und TCP Header Options, ermitteln. Solche Payload-Signaturen können sich als wichtige Hilfe bei der DDoS-Abwehr erweisen. Der ausführliche Report erhält dazu nähere Informationen. Darüber hinaus bietet der Bericht auch speziell auf den vom Botnetz generierten SYN Flood Attack Traffic abgestimmte tcpdump filter.

 

 

Es gibt zwei Möglichkeiten, um die Präsenz von XOR DDoS festzustellen. Das Vorhandensein des Botnets in einem Netzwerk lässt sich erstens über die Analyse der Kommunikation zwischen dem Bot und zentralen Command-and-Control-Servern (C2) ermitteln. Der Report enthält dazu Snort Rules. Um die Infektion eines Linux-Rechners mit Malware aufzuspüren, bietet der Bericht zweitens YARA Rules an, die nach den Mustern bekannter Zeichenketten in den Binaries suchen.

 

XOR DDoS ist persistent – selbst, wenn die bösartigen Files gelöscht werden, sorgen bestimmte Prozesse dafür, dass sich XOR DDoS neu installiert. Um die Malware tatsächlich zu löschen, ist ein vierstufiges Verfahren erforderlich, das der Report ausführlich erläutert:

 

1. Die bösartigen Files in zwei Directories aufspüren

 

2. Die für die Persistenz der eigentlichen Malware verantwortlichen Prozesse identifizieren

 

3. Diese Prozesse löschen

 

4. Die bösartigen Files löschen.

 

Siehe auch:

https://blogs.akamai.com/2015/09/test-post.html

http://www.stateoftheinternet.com/xorddos