NETSCOUT Threat Intelligence Report: Achtung! Cyberkriminelle konzentrieren sich verstärkt auf Ihre gesamte Konnektivitätskette!

von

Lesezeit: Minuten ( Wörter)

Angriffe auf VPNs und die Konnektivitätskette nehmen zu

Der Threat Intelligence Report von NETSCOUT beschäftigt sich mit der Anzahl von Cyberattacken auf die Konnektivitätskette im ersten Halbjahr 2021. In diesem Zeitraum wurden etwa 46.000 solcher Angriffe registriert. Dies stellt eine deutliche Steigerung der Aktivitäten von Cyberkriminellen im Vergleich zum selben Zeitraum im Vorjahr dar. Besonders im Fokus stehen Angriffe auf VPNs. Rund 41.000 der 46.000 Angriffe fallen laut der Studie von NETSCOUT in diese Kategorie.

Warum sind Angriffe auf VPNs und andere Infrastrukturelemente so gefährlich?

Angriffe auf die Infrastruktur der Netzwerke und die Verbindungen unterscheiden sich deutlich von direkten Attacken auf einzelne Netzwerke. Gelingt ein solcher Angriff, dann ist die gesamte Verbindungskette in diesem Sektor bedroht beziehungsweise unterbrochen. Was für die Wirtschaft die Lieferketten mit Lkw oder Containerschiffe sind, sind für die Infrastruktur des Internets die DNS-Server, Internet-Knotenpunkte und VPNs. Ausfälle in diesem Bereich haben weitreichende Konsequenzen.

In einem solchen Fall sind nämlich alle Nutzer eines solchen Dienstes von den Aktivitäten der Cyberkriminellen betroffen. Diese sind zwar nicht das direkte Ziel, jedoch sind die Kollateralschäden bewusst von den Angreifern herbeigeführt. Gleichzeitig unterbricht eine solche Attacke die Verbindung zu den Online-Ressourcen. Dies unterbindet nicht nur die Verfügbarkeit von beispielsweise Cloud-Services, sondern schränkt auch die Möglichkeit von IT-Sicherheitsteams ein, auf diese Angriffe zu regieren. Diese nutzen nämlich ebenfalls die Verbindungen über VPNs und andere Infrastrukturelemente und wenn diese nicht funktionieren, ist eine schnelle Reaktion nicht möglich.

Was sind die Ziele von Attacken auf die Konnektivitätskette?

Diese Aktivitäten der Cyberkriminellen zielen in erster Linie darauf ab, die entsprechenden Dienste zu blockieren. Eine erfolgreiche Attacke betrifft dann Hunderttausende oder sogar Millionen von Internetnutzern. Die eigentliche Unterbrechung des Services ist dabei nur der erste Teil des Angriffs. In der Folge kommt es zu Erpressungen. Die Hacker drohen damit, die Angriffe auszuweiten oder die Blockierung des Dienstes aufrechtzuerhalten, falls das Opfer die Forderungen nicht erfüllt. Außerdem geben die Angreifer einen sehr engen Zeitrahmen für die Erfüllung der Erpressung vor. Dies erhöht die Chance, dass das Opfer auf die Forderung eingeht, aus Angst, dass keine ausreichend schnelle Reaktion auf die Angriffe möglich ist. Die Hacker fordern in der Regel eine hohe Geldsumme, die über eine Kryptowährung wie Bitcoin zahlbar ist. Cyberkriminelle nutzen primär Bitcoin und andere digitale Zahlungsmittel, da Transaktionen über diese Kryptowährungen für die Ermittler nicht nachvollziehbar sind.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Welche Methoden nutzen die Hacker bei den Angriffen auf VPNs und andere Bereiche der Infrastruktur?

Bei Angriffen auf Bereiche der Infrastruktur wie VPNs oder Internet-Exchanges greifen die Hacker vor allem auf DDoS-Attacken zurück. Diese Distributed-Denial-of-Service Attacken überlasten einen bestimmten Punkt mit einer übermäßigen Anzahl von Anfragen. DNS-Server beispielsweise sind dafür ausgelegt, eine hohe Anzahl von Anfragen anzunehmen und zu beantworten. Überschreiten diese Anfragen jedoch das Maximum, wofür das System ausgelegt ist, kommt es zu einer Überlastung. Dies äußert sich zunächst in einer deutlich gesteigerten Reaktionszeit, bevor das System unter den Anfragen einbricht. Dann ist der Service nicht mehr erreichbar. Ein einfacher Reset und Neustart ist nicht zielführend, solange der DDoS-Angriff weiterhin aktiv ist. Denn dann bricht der DNS-Server unter den weiterhin eintreffenden Angriffen erneut zusammen.

Aus diesem Grund sind Bot-Netze ein wichtiger Bestandteil der Aktivitäten von Cyberkriminellen. Um diese Menge an Anfragen zu generieren, sind enorm viele individuelle Systeme notwendig. Über eine solche eigene Infrastruktur verfügen die Hacker in der Regel nicht. Vielmehr setzen die Hacker gekaperte Rechner für die DDoS-Attacken ein. Ein Bot-Netz besteht aus Computersystemen aus der ganzen Welt, die über Malware mit einer Schadsoftware infiltriert sind. Die Hacker kontrollieren das gesamte Bot-Netz zentral und starten DDoS-Attacken über Befehle an die gekaperten Rechner. Dies macht auch eine Abwehr dieser Angriffe so schwer, denn die Attacke stammt weder von einem einzigen System noch von einer einheitlichen IP-Range. Auf den ersten Blick handelt es sich um wahllose Zugriffe, die keinen Zusammenhang haben. NETSCOUT berichtet im Threat Intelligence Report, dass die maximale Angriffsbandbreite im ersten Halbjahr 2021 bei 307 Gbps lag.

Eine weitere beliebte Methode der Hacker, die auch der Threat Intelligence Report von NETSCOUT erwähnt, ist der DNS Amplification Angriff. Sie ähnelt der DDoS-Attacke und findet ebenfalls mithilfe von Bot-Netzen statt. Das Besondere ist, dass in diesem Fall die Anfragen besonders lange Antworten provozieren. So gibt es DNS-Anfragen mit einer Länge von 60 Bytes, die eine Antwort von 3000 Bytes auslösen. Hier wird vom Verstärkungsfaktor gesprochen. Dieser hat bei DNS Amplification Angriffen einen Faktor von 50 bis 100. Was das für den Traffic bedeutet, lässt sich an einem Beispiel verdeutlichen. Generieren die Hacker einen Datenstrom von 200 Megabit pro Sekunde, dann lässt sich bei einem Verstärkungsfaktor von 50 daraus eine Last von 10 Gigabits pro Sekunde erzeugen.

Teil des DNS Amplification Angriffs ist außerdem das IP-Spoofing. Beim IP-Spoofing fälschen die Hacker ihre eigene IP-Adresse, so dass die Antwort an ein anderes Ziel gelangt. Dadurch leiten die Angreifer die Antworten des DNS-Servers auf eine bestimmte IP-Adresse um. Hierbei handelt es sich um das eigentliche Ziel des Angriffs. An diesem Punkt kommt es dann zu einer Überlastung des Netzwerks beziehungsweise der Internetverbindung. Eine Überlastung des DNS-Servers ist dann nur ein zusätzlicher Kollateralschaden.

Ebenfalls zur Kategorie der Denial-of-Service Attacken gehören die SYN-Floods. Diese nutzen Hacker bei Angriffen auf Internet-Knotenpunkte. Die SYN-Flood-Attacke nutzt das TCP-Transportprotokoll. Speziell geht es um eine Schwäche im TCP-Protokoll beziehungsweise um die Art und Weise, wie hier eine Verbindung zustande kommt. Das TCP-Protokoll nutzt einen Drei-Wege-Handschlag, um den Verbindungsaufbau zu bestätigen. Der Client, also in diesem Fall der Angreifer, initiiert diesen Prozess mit einer sogenannten SYN-Anfrage. Es folgt eine Bestätigung das SYN-Paket seitens des Servers mit einer ACK-Antwort. Der dritte Teil einer regulären Anfrage ist nun, dass der Client den Empfang des ACK-Pakets vom Server ebenfalls bestätigt. Damit ist die Verbindung etabliert. Die von Hackern manipulierten Systeme senden jedoch niemals das ACK-Paket. Bei anfälligen Systemen wartet der Server nun auf diesen dritten Teil der Verbindungsbestätigung. Hacker nutzen nun wiederum Bot-Netze, um eine Vielzahl dieser manipulierten SYN-Anfragen zu senden. Dies führt dazu, dass der attackierte Server Unmengen von halboffenen Verbindungen parkt, was zu einer Überlastung führt. Der Server ist für reguläre Anfragen nicht mehr verfügbar und alle Dienste auf dem Server, wie etwa ein Webserver, sind nicht mehr erreichbar.

Auch hierbei gibt es wieder eine Amplification beziehungsweise Reflection Version mit dem IP-Spoofing. Hierbei nutzen die Hacker eine Vielzahl von Servern, an die sie die SYN-Anfragen senden. Dies ist unauffällig und überwindet sogar Sicherheitsmethoden, die gegen SYN-Flood-Attacken eingerichtet sind. Die ACK-Antworten senden die Server hingegen nicht an den tatsächlichen Absender, sondern wiederum an eine einzige IP-Adresse, die von den Cyberkriminellen über Spoofing ausgewählt wurde. An diesem Punkt kommt es nun zu einer massiven Last, da eine große Anzahl an ACK-Paketen der unterschiedlichen Server eintreffen. Dies führt zu einer Überlastung des Netzwerks beziehungsweise des Servers, so dass die Internetverbindung und die Dienste ausfallen.

Mit welchen Maßnahmen lassen sich Angriffe auf die Konnektivitätskette verhindern?

Um sich gegen solche raffinierten Aktivitäten der Cyberkriminellen zu wehren, sind spezielle Maßnahmen notwendig. Es handelt sich bei den Angriffen schließlich nicht direkt um illegale Aktivitäten. Für sich gesehen ist jede Aktion, wie etwa die Anfrage bei einem DNS-Server, eine legitime Aktion, die in dieser oder ähnlicher Form tausendfach pro Sekunde vorkommt. Ebenfalls kommt direkt keine Schadsoftware zum Einsatz, wie etwa ein Trojaner oder Ransomware, die Virenscanner erkennen.

Vielmehr sind Maßnahmen notwendig, die sich direkt mit den Anfragen sowie deren Mustern beschäftigen. So gibt es intelligente Firewall-Lösungen, die in der Lage sind, verdächtige Angriffsmuster zu erkennen. In diesen Fällen lassen sich dann gefährliche Anfragen identifizieren, bevor sie die Konnektivitätskette infolge eines DDoS-Angriffs blockieren. Eine weitere Möglichkeit, um auf die Aktivitäten der Cyberkriminellen zu reagieren, sind Proxyserver. Diese sind zwischen dem eigentlichen Dienst und der Internetverbindung zwischengeschaltet, so dass der gesamte Traffic sowie auch die Anfragen zunächst über den Proxyserver laufen. Im Falle eines DDoS-Angriffs fängt der Proxy die Attacke ab, während der eigentliche Dienst geschützt ist.

Eine Methode gegen das IP-Spoofing sind Paketfilter. Diese Filter kontrollieren eingehende Pakete am Gateway. Geben ankommende Pakete eine Quelladresse eines innenliegenden Rechners an, dann verhindert der Paketfilter die Weiterleitung, denn dies ist ein deutliches Anzeichen für IP-Spoofing und Aktivitäten von Cyberkriminellen. So lassen sich Angriffe auf VPNs zum Teil verhindern.

Die SYN-Flood-Attacken lassen sich serverseitig durch die Implementierung des Recycelns von halboffenen TCP-Verbindungen eindämmen. Der Server beendet dann automatisch die ältesten Verbindungen, bei denen er noch auf eine Antwort wartet. Gleichzeitig ist die maximale Zahl von halboffenen Verbindungen eingeschränkt. Somit laufen SYN-Flood-Attacken ins Leere und beeinflussen nicht mehr die Erreichbarkeit der Konnektivitätskette.

Fazit

Angriffe auf VPNs und andere Bereiche der Konnektivitätskette haben in jüngerer Vergangenheit deutlich zugenommen, das geht aus dem Threat Intelligence Report von NETSCOUT deutlich hervor. Auch hier deuten die Aktivitäten der Cyberkriminellen darauf hin, dass die Hacker immer raffinierter vorgehen. Hinter den Angriffen auf VPNs, DNS-Server und andere Bereiche der Infrastruktur steckt eine hohe kriminelle Energie. Das Ziel der Angreifer ist es häufig, die Betreiber dieser Infrastruktureinrichtungen zu erpressen. Abwehrmaßnahmen gegen Angriffe auf die Konnektivitätskette sind meist präventiv. Systeme lassen sich schützen, wenn die Betreiber die entsprechenden Vorkehrungen treffen. Dazu gehören neben den richtigen Konfigurationen von Firewalls und Paketfiltern auch der Einsatz intelligenter Lösungen für die Angriffsfrüherkennung. Auf diese Weise lassen sich Angriffe auf VPNs, DNS-Server, Internet-Knotenpunkte und ähnliche Aktivitäten der Cyberkriminellen detektieren, bevor die Systeme von einer DDoS-Attacke betroffen sind.

Sind Angreifer in Ihrem Netzwerk unterwegs? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück