Der Mechanik massiver DDoS-Angriffe auf der Spur

DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska * / Florian Karlstetter

DDoS-Attacken auf der Spur: Dieser Bericht geht der Mechanik massiver DDoS-Angriffe auf den Grund und beleuchtet die wirksamsten Ansätze für Unternehmen zur Verteidigung der eigenen Cloud.
DDoS-Attacken auf der Spur: Dieser Bericht geht der Mechanik massiver DDoS-Angriffe auf den Grund und beleuchtet die wirksamsten Ansätze für Unternehmen zur Verteidigung der eigenen Cloud. (© tashatuvango - Fotolia.com)

DDoS-Attacken haben im Zuge der Cloud-Revolution an ihrer Intensität und Dauer zugenommen. Nicht nur bietet die Cloud keinen Schutz vor DDoS, sondern stellt vielmehr auf Grund der elastischen Skalierbarkeit ein Instrument zur Amplifizierung von DDoS-Attacken dar.

Im Januar 2015 standen Webserver des Auswärtigen Amts, des Bundestags und der Kanzlerin unter DDoS-Beschuss seitens einer prorussischen Hackergruppe. Ein Jahr zuvor musste sich der französische Hosting-Anbieter OVH gegen eine bis zu 350 Gbit/s starke, massive DDoS-Attacke verteidigen. Auch die Münchener Direktbank Fidor, wie auch Sony und Microsoft, können von DDoS ein Lied singen.

Beim SaaS-Anbieter Code Spaces führten wiederholte DDoS-Attacken zur Geschäftsaufgabe, und zwar trotz – oder gerade wegen (der unsachgemäßen) – Nutzung der AWS-Cloud (siehe Abschnitt „Eine ganzheitliche Strategie“).

Nach Angaben des Bundestags lagen die Schwierigkeiten der Abwehr darin begründet, dass die Angriffsmethoden sich fortlaufend geändert hätten. Die betroffenen Webseiten werden von der in Köln ansässigen Babiel GmbH gehostet und seien über den ebenfalls renommierten Netzwerksicherheitsanbieter Cloudflare ausgeliefert worden.

Heutige DDoS-Attacken stellen einen Bruch mit der Tradition der 90er Jahre dar: Sie sind massiv, abwechslungsreich und brutal. Konnte man in der Vergangenheit eine DDoS-Episode spätestens nach einigen Stunden Chaos zu den Akten legen, sehen sich die Betroffenen heute gut geplanten und sorgsam orchestrierten Feuerproben über verschiedene Angriffsvektoren ausgesetzt, die mehrere Wochen lange unnachgiebig anhalten.

Multi-Vektor-Angriffe adressieren abwechselnd verschiedene Schwächen der Infrastruktur und sind darauf ausgelegt, Geschäftsabläufe zu unterbrechen, Systeme zu destabilisieren, Firewalls außer Gefecht zu setzen und Sicherheitslücken offen zu legen. Angreifer setzen darauf, dass das IT-Fachpersonal des betroffenen Unternehmens unter DDoS-Beschuss eher Fehler macht als wenn nichts Außergewöhnliches vor sich hin geht. Sind die angegriffenen Systeme von einer Verwundbarkeit wie z.B. FREAK, BREACH oder Heartbleed ohnehin betroffen, ist es auch generell zu spät, um sie zu patchen oder abzuschirmen. Dasselbe betrifft ungesicherten administrativen Zugang zu der eigenen Cloud-Infrastruktur, eine Lektion, die Code Spaces erst auf die harte Tour lernen musste.

Der Fall von Cloud Spaces auf AWS

Laut dem Anbieter von Sicherheitsdiensten Skyfence erlangten Eindringlinge Zugang zur AWS-Infrastruktur von Code Spaces durch das Ausspähen von Administratorpasswörtern zur AWS-Konsole im Zuge einer Phishing-Attacke mit Lösegeld-Anforderungen in Begleitung von massivem DDoS. Als Code Spaces dann anfing, die eigene Cloud abzusichern, konnten die Angreifer mit administrativen Zugriffen via AWS-APIs wesentliche Teile der AWS-Infrastruktur – laufende Instanzen, Volumes, AMIs und Snapshots – einfach löschen. Cloud Spaces hat sämtliche Daten seiner Kunden verloren und damit seine Existenz beendet.

Eine entscheidende Ursache lag in der groben Fahrlässigkeit seitens der Administratoren: Es wurde auf den Einsatz von MFA-Authentifizierung verzichtet. Dabei hätte ein Tokengenerator – sogar die kostenlose mobile App AWS Virtual MFA – Phishing-Versuche zunichte machen können. Ein Backup der Daten außerhalb von AWS, sei es auf der Google Cloud Platform, auf Microsoft Azure oder in einem Off-site-Datencenter außerhalb der unmittelbaren Reichweite von AWS-Vandalisierungsskripten, sehr gute Aussichten auf eine erfolgreiche Notfallwiederherstellung.

Wie das Beispiel von Code Spaces zeigt, setzt eine effektive DDoS-Abwehr nicht nur ein gutes Verständnis der Anatomie einer amplifizierten DDoS-Attacke voraus, sondern vor allem auch eine durchdachte Vorbereitung.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43332166 / Risk Management)