Woche 44: Mit Würmern gegen DDoS

DDoS-Attacken haben in Westeuropa zugenommen. Das ist dem aktuellen DDoS Intelligence Report von Kaspersky Lab zum dritten Quartal 2016 zu entnehmen. Im dritten Quartal waren Deutschland, Frankreich und Italien wieder unter den Top 10 der am stärksten attackierten Länder weltweit. Zum ersten Mal seit einem Jahr, wie Kaspersky schreibt.

Zugleich steige auch die Anzahl Command-and-Control-Server in Westeuropa – insbesondere in Grossbritannien, Frankreich und den Niederlanden. Diese Server steuern die Botnetze, die Cyberkriminelle für DDoS-Attacken verwenden.

Diese Bots sind mehrheitlich Linux-Systeme. Knapp vier Fünftel der Attacken laufen unter Linux gemäss dem Report über vernetzte Geräte aus dem Internet der Dinge. Kaspersky geht davon aus, dass die Prozentzahl aufgrund der Veröffentlichung des Mirai-Tools, das spezifisch solche Geräte anvisiert, noch weiter steigen wird.

Die durchschnittlichen Folgekosten betragen laut Mitteilung etwa 100’000 Euro – bei kleineren Unternehmen! Bei Grossunternehmen rechnet der Sicherheitsexperte mit Kosten in Höhe von 1,5 Millionen Euro.

Eine (kleine) Sorge weniger

Das englischsprachige Forum Hackforums.net ist ein regelrechter Basar mit Tools und Dienstleistungen für Cyberkriminelle. Eine Produktgruppe wird künftig jedoch nicht mehr angeboten. Wie Brian Krebs in seinem Security-Blog schreibt, schloss Administrator Jesse LaBrocca die Server-Stress-Testing-Sektion (SST) des Forums.

In dem Subforum boten manche sogenannte Booter und Stresser als Dienstleistungen an. Derartige Dienste sollten eigentlich die Stabilität von Servern testen. Doch können sie auch für DDoS-Attacken genutzt werden, um Websites lahmzulegen. Auf dem Forum seien Dutzende derartige Angebote zu finden.

Mit dem Verbot dieser Werkzeuge verliert das Forum eine lukrative Einnahmequelle. Laut dem Blogeintrag müssen Forumnutzer 25 US-Dollar zahlen, um ein Angebot online zu stellen. Für 60 Dollar wird der Beitrag festgepinnt und zuoberst im Forum dargestellt. Werbeeinnahmen brachten weitere 200 Dollar pro Woche ein.

Krebs stellt LaBrocca und sein Forum in dem Blogeintrag jedoch gewiss nicht auf ein Podest. Zwar seien viele der Nutzer im Grunde genommen gute Menschen, zitiert er Allison Nixon, Director of Security bei Flashpoint. Doch wimmelt das Forum auch ohne den SST-Bereich noch vor problematischen Angeboten.

So könne man etwa sogenannte Girl Slaves kaufen. Forumnutzer verkaufen den Zugang zu Rechnern von jugendlichen Mädchen. Die Kunden nutzen den Zugang, um die Mädchen zu erpressen oder heimlich auf Webcams zuzugreifen. Erst kürzlich wurde gemäss dem Blog ein jugendlicher Forumnutzer in den USA für einen solchen Fall verhaftet.

Ein Wurm nimmt den Kampf mit Mirai auf

In der Regel will man keine Würmer auf seinem System. Die Schadprogramme dringen in ein System ein und können anschliessend Veränderungen daran vornehmen. Ein Entwickler, der sich selbst Leo Linsky nennt, hat nun auf der Programmiererplattform Github einen Wurm veröffentlicht, der aus der Rolle fällt, wie The Register berichtet.

Der Wurm wurde entwickelt, um DDoS-Attacken abzuschwächen. Linskys Wurm ist ein sogennanter Nematode. Ein Wurm, der einen anderen Wurm oder ein Virus entfernen soll. Linskys Wurm bleibt jedoch seiner Natur treu. Der Eindringling behebt zwar das Problem. Er tut dies jedoch indem er Schaden anrichtet.

Nachdem er in ein vernetztes und ungeschütztes Gerät eingedrungen ist, ändert er die Einstellungen des Netzwerkprotokolls Telnet. Dies versperrt Mirai und anderer Malware den Zugang – aber auch den Administratoren.

Linsky betont, dass es sich hierbei lediglich um ein rein akademisches Projekt handelt. Ein Machbarkeitsnachweis, der zeigen soll, wie man mit Würmern gegen Mirai vorgehen könne. Sein Wurm solle nur in geschlossenen Systemen verwendet werden. Wie The Register schreibt, würde man etwa in den USA, Grossbritannien und Australien zudem gegen das Gesetz verstossen, sollte man einen derartigen Wurm einsetzen – auch wenn dies mit guten Absichten geschieht.

Und Spam-Mail-Kampagnen werden politisch

Der Wahlkampf in den USA steht kurz bevor. Die Sicherheitsexperten von Proofpoint nahmen dies zum Anlass und untersuchten Spam-Mail-Kampagnen nach politischen Botschaften. Zu diesem Zweck analysierten sie die Betreffzeilen und zählten, wie oft die Präsidentschaftskandidaten Donald Trump, Hillary Clinton oder beide erwähnt wurden.

Im Vergleich zum Sommer 2016 zeigt sich eine deutliche Veränderung, wie das Unternehmen mitteilt. Vergangenen Oktober wurde Trump zwar neun Mal häufiger erwähnt als Clinton. Im Juli hatte Trump die Nase jedoch um den Faktor 45 vorn. Im Juli erwähnten 96 Prozent der Spam-Mails nur Trump im Betreff. Die Anzahl Spam-Mails, die beide erwähnen, stiegen seit Juli um 6 Prozent. So kamen im Oktober in rund 17 Prozent der analysierten Mails beide Namen vor.

Einen Zusammenhang zwischen den Entwicklungen und dem Kampagnenverlauf will das Unternehmen nicht vermuten. Doch zeigen sich gemäss Mitteilung deutliche Korrelationen. Der Republican National Convention etwa fand im Juli statt – als die Nennungen des republikanischen Kandidaten Trump ihren Höhepunkt erreichten.

Den Verlauf von Clintons Kampagne könne man auch am Spam-Mail-Verkehr ablesen. Bessere Umfrageergebnisse führten jeweils zu mehr Spam-Mails mit Clinton im Betreff. Eine Vorhersage, wer Präsident werden wird, wollten die Sicherheitsexperten jedoch nicht abgeben.