Sysbus
ArtikelSecurity

Blick in den Abgrund: Die Botnet-Landschaft als sozialer Graph

gcg

Diese Menschen leben von DDoS. Und damit sind nicht diese ganzen Lösegeldforderungen über 250 Dollar gemeint. Das sind höchstwahrscheinlich Kriminelle, die damit beauftragt werden, einen Wettbewerber wegen einer Geschäftsfehde auszuschalten. Die Angriffe, auf die Bezug genommen wird, sind komplexe multifaktorielle Kampagnen, die Tage oder Monate dauern können und sich gegen einige der größten Internetseiten richten, die unsere Dienste nutzen.

  1. Scriptkiddies, die es persönlich machen

Wenn man sich die Ränder des Originalbildes anschaut, wird man merken, dass sich in den Außenbereichen kleine Vorfälle von Angriffen befinden. Diese Vorfälle bestehen häufig aus einem einzelnen Gerät, das angreift und die direkte Konfrontation mit seinem Ziel sucht.

Die Vermutung liegt nahe, dass es sich um einzelne Angreifer handelt, die DoS-Angriffstools nutzen. Die meisten sind Scriptkiddies, die Internetseiten nur wegen des Adrenalins angreifen. Andere Angriffe werden von persönlichem Groll oder politischen Motiven befeuert.

Bild6

Häufig sind das Angriffe gegen Nachrichtenseiten, politische Blogs, Menschenrechtsorganisationen und Webseiten religiöser Einrichtungen. Was auch immer der Fall sein mag, viele dieser gepaarten Punkte verbergen eine Menge Drama. Es ist faszinierend, wie zwei Pixel die Katharsis eines wilden Streites darstellen – so wild, dass eine der beiden Parteien zu illegalen Tools für Cyberattacken greift, um den Gegner zum Schweigen zu bringen.

Wie ein Blick auf das Bild verrät, sind solche Angriffe ziemlich häufig. So häufig, dass Google vor kurzem sein Project Shield ausgeweitet hat. Diese Initiative soll besonders gegen diese Art Angriff schützen, nämlich gegen Angriffe auf die Meinungsfreiheit und nicht nur gegen Server.

Mehr als nur ein schönes Bild

Durch diese Analyse sollte die Komplexität der DDoS-Landschaft illustriert werden. Dennoch ist es alles andere als schön, bei der täglichen Arbeit die Beziehungen zwischen unterschiedlichen Angriffsgeräten zu beobachten.

Am Bild kann man deutlich erkennen, wie stark der Angriff ist, der von einer begrenzten Anzahl von kompromittierten IPs ausgeht, also von infizierten Geräten, die immer wieder für bösartige Handlungen benutzt werden. Das Verfolgen dieser kompromittierten IPs erlaubt es, lernfähige Abwehrstrategien zu entwerfen, die bei Wiederholungstätern schneller anschlagen.

Solche Regeln werden unter anderem für die Früherkennung von sich entwickelnden DDoS-Ereignissen eingesetzt, die auf dem Aufbau von Verkehr von verdächtigen Quellen basieren. Sie sind auch wegen ihrer Fähigkeit nützlich, Zero-Day-Bedrohungen zu identifizieren, indem sie eingehend die Aktivität von Botnet-Geräten überwachen. Heute verfolgt Imperva ständig hunderttausende kompromittierte IPs, was die Datenbank bei jedem entschärften Angriff wachsen lässt.

Ähnliche Beiträge:

  1. Imperva erweitert sein globales Incapsula-Netzwerk, um die Performance zu steigern und Angriffe schneller zu entschärfen
  2. CCTV-Botnets im eigenen Hinterhof
  3. Wie man einen 470 Gbps DDoS-Angriff abwehrt und dabei die Ruhe bewahrt
  4. Unsichere IoT-Geräte, eine Einladung zu DDoS-Angriffen

Das könnte dir auch gefallen

Ipswitch Failover – neues MOVEit-Modul zur Ausfallsicherung

gg

Im Test: Einfache und anwenderfreundliche Zwei-Faktor-Authentifizierung mit Airlock 2FA

gg

Neue Service-Plattform von Greenbone

gg