Sicherheit

Botnetz legt Web-Server lahm

von - 29.08.2011
Botnetz legt Web-Server lahm
Angreifer haben über ein Botnetz zahlreiche Angriffe auf Immobilien- und Lebensmittelportale verübt. Da Botnetze nicht einfach auszuschalten sind, wird mit einer Serie von weiteren Angriffen gerechnet.
Erst vor kurzem berichtete com!, wie Kriminelle über Botnetze die virtuelle Währung Bitcoins, generieren können. Über ein neues Modul in den Miner-Botnetzen haben sie jetzt sogar ganze Web-Sites stillgelegt. Opfer von derartigen Angriffen wurden laut dem Kasperky-Experten Tillmann Werner bisher 31 deutsche und 2 österreichische Sites. Dabei traf es offenbar nur Immobilienportale oder Portale aus der Lebensmittelbranche. Besonders lag der Fokus auf Pizza-Bestelldiensten. Das wohl bekannteste Opfer ist das Portal pizza.de. Um das System mutwillig zu überlasten, wurden während eines dreistündigen Angriffs rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten, gezählt.
Das Miner-Botnetz kommuniziert nicht über einen zentralen Server, sondern über gleichberechtigte Computer in einem Peer-to-Peer-Netz. Laut Tillmann Werner wurde in letzter Zeit in solche Rechner eine Datei namens „ddhttp.exe“ nachgeladen. Dabei handelt es ich um eine Variante des Bots für HTTP-Flooding-Angriffe. Damit konnten Web-Server durch massenhafte Abfrage zum Absturz gebracht werden. Ein Peer-to-Peer-Botnetz lässt sich nicht einfach abschalten. Deshalb ist über einen längeren Zeitraum mit Angriffen zu rechnen.
Zudem gab es kurz darauf auch UDP-Flooding-Attacken. Dazu wurde ein weiteres Modul zur mutwilligen Überlastung, dem sogenannten Distributed Denial of Service (DdoS), nachgeladen. Opferlisten werden von Programmen regelmäßig aus dem Botnetz bezogen. Sie enthält auch IP-Adressen von Dienstleistern, die Lösungen zur DdoS-Abwehr anbieten. Mehrere DdoS-Angriffe auf diese Firmen wurden bereits bestätigt. Demnach wurden schon mehrere Hunderttausend angreifende Systeme gezählt.
Warum die Angreifer über das Botnetz ausgerechnet finanziell eher unattraktive Opfer wie Pizza-Bestelldienste ausgesucht haben, ist noch völlig ungeklärt. Zwischenzeitlich wurden die Angriffe ausgesetzt, nach einigen Tagen dann nach Angaben von Betroffenen wieder aufgenommen.