Schutz vor WireX-Botnet-DDoS-Angriffen
Es sieht so aus, als ob das Mirai-Botnet Konkurrenz bekommen könnte. Und sein Name ist WireX.
Google hat vor kurzem etwa 300 Apps aus seinem Play Store entfernt, nachdem Forscher herausgefunden hatten, dass die fraglichen Apps heimlich Android-Geräte kapern, um den Datenverkehr für groß angelegte DDoS-Angriffe (Distributed Denial of Service) gegen mehrere Content Delivery Networks (CDNs) und Inhaltsanbieter zu nutzen.
Laut einem Team von Forschern von Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru und anderen Organisationen ist das WireX-Botnet dafür verantwortlich.
Akamai-Forscher entdeckten WireX zum ersten Mal, als es benutzt wurde, um einen seiner Kunden, ein multinationales Unternehmen des Gastgewerbes, anzugreifen, indem Datenverkehr von Hunderttausenden von IP-Adressen gesendet wurde.
"Das WireX-Botnet besteht hauptsächlich aus Android-Geräten, auf denen bösartige Anwendungen ausgeführt werden, und ist darauf ausgelegt, DDoS-Datenverkehr zu erzeugen. Das Botnet wird manchmal mit Lösegeldforderungen an Ziele in Verbindung gebracht", schrieb Cloudflare in einem Blogbeitrag.
WireX nutzte die gekaperten Geräte, um die volumetrischen DDoS-Angriffe auf der Anwendungsebene zu starten, so Cloudflare. Der von den Angriffsknoten erzeugte Datenverkehr bestand in erster Linie aus HTTP-GET-Anfragen, obwohl einige Varianten anscheinend auch POST-Anfragen stellen konnten. Mit anderen Worten: Das Botnet erzeugt Datenverkehr, der gültigen Anfragen von allgemeinen HTTP-Clients und Webbrowsern ähnelt.
Zu den fraglichen schädlichen Anwendungen gehörten Medien- und Videoplayer, Klingeltöne und andere Tools wie Speichermanager. Laut Gizmodo enthielten die schändlichen Apps versteckte Malware, die ein Android-Gerät zur Teilnahme an einem DDoS-Angriff nutzen konnte, solange das Gerät eingeschaltet war.
Es ist unklar, wie viele Geräte infiziert wurden - ein Forscher sagte gegenüber KrebsOnSecurity, dass WireX mindestens 70.000 Geräte infiziert hat, merkte aber an, dass diese Schätzung konservativ ist. Es wird vermutet, dass Geräte aus mehr als 100 Ländern an den Angriffen beteiligt waren.
"Siebzigtausend war eine sichere Wette, denn dieses Botnetz macht es möglich, dass Ihr Gerät in den Angriffsprotokollen mit drei oder vier oder sogar fünf verschiedenen Internetadressen auftaucht, wenn Sie auf der Autobahn unterwegs sind und Ihr Telefon gerade eine Website angreift", sagte Akamai Senior Engineer Chad Seaman in einem Interview mit KrebsOnSecurity. "Wir haben Angriffe gesehen, die von infizierten Geräten in über 100 Ländern ausgingen. Es kam von überall her."
Schutz von Mobilfunknetzen vor bewaffneten Smartphones
WireX zeigt, ähnlich wie sein Vorgänger Mirai, wie wichtig es ist, Ihr Netzwerk und Ihre Anwendungen vor Angriffen zu schützen. Groß angelegte Angriffe können von überall her kommen, sogar von einem Botnet, das Zehntausende von Android-Geräten umfasst. Da diese Arten von Angriffen immer häufiger, raffinierter und umfangreicher werden, müssen Unternehmen über Lösungen verfügen, um sie zu stoppen, bevor sie die Gelegenheit haben, Schaden anzurichten.
WireX ist insofern einzigartig, als es eine neue Bedrohung einführt: Bewaffnete Smartphones, d.h. Milliarden von Endpunkten, die reif für eine Infektion sind und schädliche Agenten über ein mobiles Netzwerk verbreiten können.
Traditionell sind Mobilfunk- und Dienstanbieternetze gegen DDoS-Angriffe geschützt, die über das Internet eindringen. Viele kritische Komponenten bleiben jedoch ungeschützt, weil man davon ausgeht, dass die Angriffe am Internetrand gestoppt werden. Angriffe wie WireX ändern dieses Paradigma.
"WireX beweist, dass Angriffe auch von innerhalb eines mobilen Netzwerks ausgehen können, und dass ein paar tausend infizierte Hosts das Gehirn eines mobilen Netzwerks beeinträchtigen können", so Yasir Liaqatullah, Director of Product Management bei A10. "Diese infizierten Smartphones werden schließlich beginnen, die kritischen Komponenten von mobilen Netzwerken anzugreifen, und die potenziellen Auswirkungen davon könnten enorm sein."
Angriffe wie WireX machen deutlich, dass Service Provider ihre wichtigsten Ressourcen an allen Fronten schützen müssen - nicht nur vor Angriffen von außen, sondern auch von innen.
Um Angriffe wie WireX zu bekämpfen, benötigen Dienstanbieter und Mobilfunknetzbetreiber eine intelligente, skalierbare DDoS-Abwehrlösung zwischen Smartphones und der mobilen Netzinfrastruktur, sowohl der internen als auch der externen. Um dieser anspruchsvollen Art von Angriffen zu begegnen, benötigt eine moderne DDoS-Lösung Intelligenz, um die sich verändernde Natur eines polymorphen Angriffs zu verstehen, der die Fähigkeit hat, Signaturen und unterschiedliche Header zu ändern, wie die von WireX gestarteten.
Ein leistungsstarker, skalierbarer und intelligenter Schutz vor DDoS-Bedrohungen im Mobilfunknetz hilft Dienstanbietern, sich gegen diese Milliarden von bewaffneten Endpunkten zu verteidigen und versetzt sie in die Lage, Online-Bedrohungen und Multi-Vektor-Angriffe zu erkennen, daraus zu lernen und vor allem zu stoppen.
A10 kann vor WireX-DDoS-Angriffen schützen
A10 bietet einen mehrschichtigen Ansatz, um sicherzustellen, dass die gesamte Infrastruktur von Dienstanbietern und Mobilfunkbetreibern - sowohl innerhalb als auch außerhalb - vor Bedrohungen geschützt ist.
So verfügt A10 Thunder® Firewall (CFW) über integrierte Gi/SGi-Firewall-Funktionen, die die mobile Kerninfrastruktur und die Teilnehmer vor Multi-Vektor-Angriffen schützen und sicherstellen, dass die Anwendungen hochverfügbar, beschleunigt und sicher sind. Die Gi/SGi-Firewall bietet hochskalierbare, flexible und leistungsstarke Sicherheit an strategischen Stellen im Mobilfunknetz, insbesondere an der Gi/SGi-LAN-Schnittstelle zum Internet.
Die Gi/SGi-Firewall schützt nicht nur die Steuerungs- und Datenebene innerhalb eines Mobilfunknetzes, sondern bietet auch DDoS-Schutz für öffentliche und private NAT-IP-Pools, um sicherzustellen, dass die mobile Kerninfrastruktur und die Abonnenten vor DDoS-Angriffen geschützt sind. Die Lösung kann mehr als 30 IP-Paketanomalien mit IP-Blacklists erkennen, um Angriffe tiefgreifender und granularer abwehren zu können. Verbindungsratenbegrenzung und systemweite Verbindungslimits erkennen und blockieren schlechten Datenverkehr. Und die IPsec-Funktionalität für den mobilen Backhaul verhindert das Abhören von Daten und ermöglicht eine sichere Kommunikation über drahtlose und Wi-Fi-Netzwerke.
In der Zwischenzeit kann das A10 Thunder® Threat Protection System (TPS™), unsere Familie von Hochleistungs-DDoS-Schutzlösungen, von WireX ausgehende DDoS-Angriffe stoppen, um Anwendungen und Netzwerke vor Störungen zu schützen.
Thunder TPS kann polymorphe Angriffe abwehren, wie z. B. das Ändern von Angriffssignaturen und das Variieren von Headern, wie sie von WireX lanciert werden, was Intelligenz und eine umfangreiche Verwendung von RegExs erfordert. Thunder TPS kann polymorphe Angriffe besser abwehren als andere DDoS-Schutzlösungen, die sich auf statische Signaturen wie einen konstanten Header verlassen.
Gleichzeitig bietet Thunder TPS die branchenweit beste Skalierung mit bis zu 300 Gbps bei einer Rate von 440 Mpps. Und die 100 ms Mitigationsintervalle und die FPGA-basierte Verkehrsbeschleunigung entschärfen Angriffsvektoren, bevor sie die CPUs belasten. TPS nutzt mehr als drei Dutzend Intelligenzquellen, um bösartigen Datenverkehr zu blockieren, und eskaliert verdächtigen Datenverkehr anhand von mehr als 27 Verhaltensindikatoren, um einen Rückgang des legitimen Datenverkehrs zu vermeiden.
TPS ist die weltweit leistungsstärkste DDoS-Lösung zum Schutz vor Multi-Vektor-DDoS-Angriffen im Megabit- bis Terabit-Bereich, wie sie von WireX ausgelöst werden.
Um mehr zu erfahren, laden Sie unsere Datenblätter A10 Thunder TPS und A10 Thunder CFW herunter.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.