Die Ransomware Wannacry beherrscht derzeit die Schlagzeilen. Doch Akamais vierteljährlicher SOTI-Security-Report (State of the Internet) macht regelmäßig klar, dass es noch zahlreiche weitere Bedrohungen gibt. So hatten es laut dem aktuellen Report Mirai/DNS-basierte Angriffe („Mirai Water Torture“) im ersten Quartal 2017 auf den Finanzdienstleistungssektor abgesehen. Im Vergleich zum Vorjahresquartal seien zudem die Angriffe auf Web-Anwendungen um 35 Prozent angestiegen. Der SOTI-Bericht basiert auf Daten aus der Akamai Intelligent Platform und liefert jedes Quartal eine Analyse der Cloud-Sicherheits- und Bedrohungslage.

„Wenn wir etwas aus der Analyse des ersten Quartals 2017 schließen können, dann, dass die Risiken in Bezug auf das Internet und die betroffenen Branchen unverändert hoch bleiben und sich die Bedrohungslage stetig weiterentwickelt“, so Martin McKeay, Senior Security Advocate und Senior Editor des Reports. „Die Anwendungsszenarien von Botnet-Angriffen, etwa durch Mirai, wurden kontinuierlich verfeinert und geändert. Angreifer nutzen immer häufiger Schwachstellen im Internet der Dinge aus, um ihre Attacken mit DDoS-Botnets und -Malware durchzuführen.“

Allerdings wäre es laut McKeay naiv zu glauben, Mirai sei die einzige Bedrohung: „Mit der Veröffentlichung des Quellcodes können beliebige Komponenten von Mirai in andere Botnetze integriert werden. Abgesehen von Mirai deutet außerdem vieles darauf hin, dass sich Botnets wie Billgates, Elknot und Xor an das veränderte Umfeld angepasst haben.“

Die wichtigsten Erkenntnisse aus dem aktuellen Report:

  • „Mirai Water Torture“-DNS-Angriffe (in Mirai-Malware integrierte DNS Query Floods) haben Organisationen im Finanzdienstleistungsbereich ins Visier genommen. Der Großteil der betroffenen DNS-Server erhielt während der Angriffe Queries mit gleichmäßiger Rate. Eine Ausnahme stellte jedoch ein Angriff vom 15.1.17 dar, als bei einem von drei DNS-Servern Angriffs-Traffic von 14 Mpps verzeichnet wurde. Im Rahmen solcher Angriffe werden die Ressourcen der Zieldomäne überlastet, indem in großer Zahl zufällig generierte Domänennamen abgefragt werden, was letztendlich zu Denial-of-Service-Ausfällen führt.
  • Reflection-Angriffe sind weiterhin die am häufigsten verwendeten DDoS-Angriffsvektoren: Im ersten Quartal 2017 waren allein 57 Prozent aller abgewehrten Attacken Reflection-Angriffe. SSDP-Reflektoren (Simple Service Discovery Protocol) waren dabei die meistverwendete Angriffsquelle.
  • Der neue Reflection-Angriffsvektor Connectionless Lightweight Directory Access Protocol (CLDAP) wurde entdeckt und wird weiter beobachtet. Er generiert mit DNS-Reflection vergleichbare DDoS-Angriffe, bei denen der Traffic 1 GBit/s übersteigt.
  • Mit einem weiteren erheblichen Zuwachs von 57 Prozent im Vergleich zum ersten Quartal 2016 sind die USA nach wie vor das Land, in dem die meisten Angriffe auf Web-Anwendungen registriert wurden.
  • Die drei am häufigsten verwendeten Angriffsvektoren für Angriffe auf Web-Anwendungen im ersten Quartal 2017 waren SQLi, LFI und XSS.

Der vollständige Bericht steht zum Download bereit unter content.akamai.com/am-en-pg8854-q1-17-soti-security.html

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.