ddos trends 2023

exploding security #13 - DDoS Reports 2023 - XDP und eBPF - Aiac und BlackArch

Ganymed ist der dritte und größte der vier Galileischen Monde des Gasplaneten Jupiter. Diese Woche hat sich JUICE auf den Weg dorthin gemacht. Leider hat die Mission eine achtjährige Anreise, das heißt, ich kann dir erst mit Exploding Security #429 berichten

sral

9 min read
exploding security #13 - DDoS Reports 2023 - XDP und eBPF - Aiac und BlackArch
Photo by Adrien Converse / Unsplash

Ganymed ist der dritte und größte der vier Galileischen Monde des Gasplaneten Jupiter. Der Eismond ist mit einem Durchmesser von 5262 km der größte Mond des Sonnensystems.
Diese Woche hat sich JUICE auf den Weg dorthin gemacht. Leider hat die Mission eine achtjährige Anreise, das heißt, ich kann dir erst mit exploding security #429 vom Ergebnis berichten … daher erst einmal Ausgabe #13.

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

BlackLotus

In ES#07 hatte ich dir von BlackLotus berichtet. Das BlackLotus UEFI Bootkit nutzt CVE-2022-21894, um sich tief ins System einzugraben.
Microsoft hat nun eine Anleitung zur Untersuchung von Angriffen in Bezug auf BlackLotus veröffentlicht. Wenn du den Verdacht hast, dass deine Systeme befallen sein könnten, empfehle ich dir diese Lektüre auf jeden Fall.

zahlenblock
Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Ende Februar veröffentlichte f5 (Nginx) die DDoS Attack Trends 2023. In den Bericht sind 3 Jahre DDoS Analysedaten eingeflossen. Der allgemeine Angriffstrend scheint 2022 leicht negativ gewesen zu sein (-9,7 %), wobei Q1/22 einen signifikanten Rückgang von -25 % zum Q4 2021 aufwies. Dies könnte auf den russischen Angriffskrieg zurückführen zu sein, denn dadurch haben sich auch im Digitalen die Fronten verschoben. Bei den Angriffsarten dominierten 2020/2021 noch Multi Vektor Attacken, diese wurden 2022 von Applikationsangriffen (Layer 7) förmlich überrollt (+165 %).

Quelle f5

Von der größten, tollsten und längsten DDoS Attacke würde ich dir gerne berichten, leider reicht es 2022 nicht für eine Clickbait Überschrift. Es gab laut f5 nur ein Maximum von 800 Gbit/s, was im Vergleich zum Jahr davor mit 1,39 Tbit/s einem Rückgang von 42,2 % gleichkommt.

Bei den betroffenen Unternehmen hat sich nicht viel geändert, hier sind nach wie vor Firmen im IT und Bankensektor beliebt, gefolgt von Regierungen. Am häufigsten waren Applikation Layer Attacken im Einsatz.

Schlussendlich empfiehlt f5 die Nutzung von Scrubbing-Diensten oder DDoS-Schutzmaßnahmen auf Providerebene. Mit Hinblick auf die NoName067(16) oder Killnet Angriffe der letzten Wochen und Monate, wäre das eine gute Investition gewesen.

Auf technischer Ebene lassen sich solche Attacken mit eBPF/XDP mitigieren, einen Einblick gibt es für dich weiter unten im Klassenzimmer.

DDoS Bericht für 2023 Q1

Ein kleiner Sprung in die Gegenwart. Cloudflare hat seinen Quartalsbericht für das laufende Jahr veröffentlicht. Der CDN Anbieter sieht einen Anstieg von 60 % der Ransom DDoS Aktivitäten im Vergleich zum letzten Q1, was einen Anteil von 16 % an der Gesamtmasse der DDoS Aktivitäten ausmacht.

Definition Ransom-DdoS-Angriff (RDDoS): Cyberkriminelle verknüpfen eine DDoS-Attacke mit einer Lösegeldforderung. Teilweise wird die Lösegeldforderung im Vorfeld gestellt und mit einer DDoS Attacke gedroht. Manche Angreifer starten zuerst einen DDoS Angriff und verlangen Geld für das Einstellen des Selbigen. Der Vorteil gegenüber gängiger Ransomware ist, dass kein Zugang zum System notwendig ist.

Ziele

Die Top 4 Ziele der DDoS Attacken sind laut Cloudflare Israel, die Vereinigten Staaten, Kanada und die Türkei gewesen.

Der größte Anteil des DDoS Traffic wurde in China (17,90 %) und Singapur (17,30 %) verortet. Auf den Plätzen folgen die USA und Finnland. Der neue NATO-Staat ist nicht nur in dieser Statistik zu finden. Fast 83 % des gesamten Datenverkehrs nach Finnland war Angriffsverkehr auf Layer 3/4, China folgt dicht dahinter mit 68 % und Singapur mit 49 %.

Quelle Cloudflare

Kraft

Die meisten Angriffe dauerten nicht mehr als 10 Minuten (86 %) und waren nicht größer als 500 Mbit/s. Dennoch sollte erwähnt werden, dass große Angriffe mit 10–100 Gbit/s oder mehr als 100 Gbit/s zunehmen.
Der Anstieg von hyper-volumetrischen Angriffen ist vermutlich auf das Umschwenken zu Cloudprovidern zurückzuführen. Cloudflare berichtet, dass Angreifer nicht mehr auf IoT Geräte setzen, sondern High Performance Botnetze auf virtuellen privaten Servern (VPS) aufbauen.

1. SPSS DDoS Attacken waren mit einem Anstieg von 1564 % im Quartalsvergleich der absolute Gewinner. SPSS steht für Statistical Package für Social Sciences und hat mit CVE-2021-22731 und CVE-2021-38153 Sicherheitslücken im Sentinel RMS License Manager Service. Diese erlauben es DDoS Reflection Attacken auszuführen.

Definition SPSS DDoS Attacke: Ein Angreifer sende präparierte Lizenzanfragen an den Sentinel RMS License Manager Service. Dieser generiert eine Antwort, die größer als die Anfrage ist und sendet dies an das Opfer.

2. 958 % Wachstum verzeichneten DNS-Amplifikation-DDoS Angriffe im ersten Quartal 2023. Dabei werden Schwachstellen in der Infrastruktur des Domain Name System (DNS) ausgenutzt, um große Mengen Traffic zu erzeugen (Verstärkung)

3. Ebenfalls aufs Treppchen haben es GRE-basierte DDoS Attacken mit einem Anstieg von 835 % geschafft. Hier wird mit dem Generic Routing Encapsulation (GRE)-Protokoll mit Junk Traffic geflutet.

Quelle Cloudflare

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Ransomware News

Auch diese Woche gab es wieder einige Ransomwareangriffe, Ziel scheinen vermehrt Schiffsbauer gewesen zu sein.

Lürssen-Werft

  • Angriffsart: Ransomware
  • Angreifer: Unbekannt

Flensburger Schiffbau-Gesellschaft

  • Angriffsart: Ransomware
  • Angreifer: BianLian

NOBISKRUG YACHTS

  • Angriffsart: Ransomware
  • Angreifer: BianLian

SAF HOLLAND

  • Angriffsart: Ransomware
  • Angreifer: BlackCat/ALPHV

Einhaus- Gruppe

  • Angriffsart: Ransomware
  • Angreifer: Royal

Rheinmetall

  • Angriffsart: Unbekannt
  • Angreifer: Unbekannt

The Kodi Foundation

Das Forum (MyBB) des bekannten Mediacenters wurde gehackt. Die Angreifer konnten die komplette Datenbank mit Passwörtern kopieren. Der Zugriff soll am 16. und 21. Februar 2023 über einen Admin-Account stattgefunden haben.
Ein Datensatz mit 400 000 Nutzern wurde bereits bei Have I been pwned eingespielt. Du kannst also überprüfen, ob du dabei bist oder nicht.

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Legion

Nein, nicht die Serie, sondern der Python-basierte Credential Harvester war diese Woche bei Cado Security Thema. Legion wird über Telegram vertrieben und bietet folgende Dienste an:

  • Erkennung anfälliger SMTP-Server
  • Durchführung von Remote Code Execution (RCE)
  • Ausnutzung anfälliger Versionen von Apache Servern
  • Brute-Forcing von cPanel und WebHost Managern (PHP)
  • Interaktion mit der Shodan-API
  • Missbrauch von AWS-Diensten

Zusätzlich zu AWS Diensten versucht das Tool PHP Exploitation und Zugangsdaten aus bekannten Diensten wie Stripe/Paypal, Twilio, Mailgun, Clicksend, Nexmo und Mailjet herauszutragen, dabei setzt es auf schlecht konfigurierte Server und sucht nach Pfaden, die eigentlich nicht öffentlich sein sollten.

Neben diesen von anderen Tools bekannten Methoden hat Legion Kapazitäten für SMS Hijacking mit an Bord. Diese beschränken sich allerdings auf US-Netze. Die Legion Scripte scheinen auf das Verteilen von Spam via SMS und SMTP ausgelegt zu sein. Letztere werden mithilfe von Shodan gesucht und kompromittiert.

Eine ähnliche Schadsoftware tauchte bereits im Dezember 2022 unter dem Namen AndroxGh0st auf. Auch wenn das Python Script für die Researcher neu war, scheint es schon eine Weile zu existieren, selbst auf YouTube lassen sich Anleitungen dazu finden, der Telegram Kanal hat ca. 100o Mitglieder.

Schützen kannst du dich gegen solche Schadsoftware durch eine regelmäßige Review- und Updatepolitik und sicher konfigurierte Server. Zugangsdaten sollten nicht im Webverzeichnis gespeichert werden.

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Was ist XDP/eBPF

Der erweiterte Paketfilter eBPF ist eine Technik, um Code auf Kernel-Level auszuführen. Dazu wird eine virtuelle Maschine (VM) auf Kernelebene ausgeführt, die es erlaubt, die Netzwerkkommunikation zu überwachen, zu filtern und zu manipulieren.

Das eXpress Data Path (XDP) Framework ist eine Technologie, die es erlaubt, Datenpakete auf dem Netzwerkkarten-Treiber-Level direkt zu bearbeiten, noch bevor sie vom Betriebssystem verarbeitet werden. XDP wird innerhalb der eBPF Anwendung ausgeführt, dadurch ist eine deutliche Erhöhung der Paketverarbeitungsgeschwindigkeit möglich. Die Kombination von XDP und eBPF erlaubt unter anderem eine Verarbeitung von Paketfilterregeln in Echtzeit. Unterschieden wird in drei verschiedene XDP Arten:

  • Generisches XDP - XDP-Programme werden als Teil des normalen Netzwerkpfads in den Kernel geladen.
  • Natives XDP - Das XDP-Programm wird vom Netzwerkkartentreiber als Teil seines anfänglichen Empfangspfads geladen.
  • Offloaded XDP - Das XDP-Programm wird direkt auf die Netzwerkkarte geladen und ohne Verwendung der CPU ausgeführt.

Mit den empfangenen Paketen können folgende Operationen ausgeführt werden:

  • XDP_PASS - Das Paket wird zur Verarbeitung an den normalen Netzwerk-Stack weitergegeben
  • XDP_DROP - Paket wird gedroppt, das geschieht bereits auf der frühsten RX-Stufe des Treibers
  • XDP_TX - Leitet das Paket an dieselbe Netzschnittstelle weiter, die es empfangen hat.
  • XDP_REDIRECT - Umgeht den normalen Netzwerk-Stack und leitet das Paket über eine andere Netzwerkkarte um.
  • XDP_ABORTED - Rückgabewert, den ein eBPF-Programm im Falle eines eBPF-Programmfehlers zurückgibt (Paket wird gedroppt)

DDoS Mitigation oder Firewalling mit XDP/eBPF

Wozu soll das alles nun gut sein?

Oft wird XDP/eBPF beim Firewalling oder DDoS Schutz verwendet. Bei einem DDoS Schutz kommt etwa die oben erwähnte Funktion XDP_DROP zum Einsatz. Beim Firewalling kann mit XDP Netzwerkverkehr bereinigt und mit XDP_TX an ein Ziel weitergeleitet werden.

Neben dieser Paketfilterung, kann XDP/eBPF auch für Lastverteilung genutzt werden, indem es Pakete auf verschiedene Netze verteilt. Auch zum Monitoring ist es geeignet, indem es Statistiken zu den übertragenen Paketen erfasst und sozusagen die Netzwerkleistung misst. Die einfachste Variante XDP Traffic zu analysieren ist wohl xdpdump. Das Programm ist Teil der xdp-tools.

Solltest du je noch tiefer eintauchen wollen, empfehle ich dir das Referenzhandbuch von Cilium oder die Webseite von eBPF. Speziell für XDP findest du auf GitHub ein Hands-On Tutorial.

4-stündiger Kurs über TLS – Security

In 30 Lektionen zeigt dir dieser Kurs, wie TLS es ermöglicht, sicher über das Internet zu kommunizieren. Perfekt für regnerische Apriltage.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

aiac

ChatGPT macht vor Infrastructure as Code nicht halt. Firefly hat mit aiac ein Tool veröffentlicht, welches dir auf der Kommandozeile Vorlagen, Konfigurationen oder Abfragen generiert. Ein OpenAI API Schlüssel benötigst du auf jeden Fall, um Befehle wie aiac get terraform for AWS EC2 abzusetzen. Großer Vorteil des Tools ist sicherlich der direkte Einsatz von ChatGPT auf der Kommandozeile, aber auch die feste Einbindung der Abfragen, was dir die Formulierung von Prompts erspart.

BlackArch Linux

Es muss nicht immer Kali Linux sein, auch wenn die Distribution sicher zu den beliebtesten Distributionen von Red-, Blue- oder Purpelteams zählt, gibt es mit BlackArch Linux eine gute Alternative. Wie der Name schon sagt, basiert das System auf Arch Linux. Das neue ISO Release, BlackArch Linux 2023.04.01, beinhaltet über 2800 Tools und baut auf den neuen 6.2 Kernel.

SysInternals Suite

Für Windows Administratoren und Co sind die Sysinternal Tools seit Jahren unverzichtbar. Diese Woche wurden einige Programme der Suite aktualisiert. Sysmon v14.16, PsExec v2.43, TCPView v4.19 und Process Explorer v17.04 haben Updates erhalten. Die Sammlung beinhaltet ca. 60 Tools, um Windows etwas genauer auf den Zahn zu fühlen. Eine bessere Werkzeugsammlung für Windows wirst du da draußen vermutlich nicht finden.

endladung

Passwortkunst: danielmck.33 hat geleakte Passwörter in den Bildgenerator DALL-E geworfen.

“Password123” visualizes real passwords that have been leaked on the dark web over the past decade from some of the most notorious data breaches, including those of Facebook in 2021 and Collection #1 in 2019. Each password was run unedited, and without additional guidance, through the text-to-image ai DALL-E 2. The film offers a rare glimpse into user habits and highlights keyboard patterns from as simple as “QWERTY” to as complex as “OBAFGKM” — a stellar classification system for astronomers. The names of loved ones, pets, memorable dates, sports teams, and places were among the most common, while random strings of letters and numbers turned out to be serial codes written on the side of mass-produced office printers.

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.