Imperva deckt auf: DDoS-Angriff mit Ping-Befehl

Wenn Nutzer unwissentlich 70 Millionen Anfragen auf Webseiten auslösen

[datensicherheit.de, 24.04.2019] Bald wöchentlich hört man von Cyberangriffen, die die Privatsphäre von Nutzern offenlegen oder ganze Webseiten lahmlegen. So geschehen vor kurzem in China. Dort schlossen sich die mobilen Nutzer des meist genutzten Instant-Messaging-Dienstes Tencent QQ unwissentlich zusammen, um eine Webseite innerhalb weniger Stunden mit 70 Millionen Anfragen zu überfluten.

DDoS-Angriff über eine populäres HTML5-Feature

Möglich machte dies ein DDoS-Angriff. Er benutzte dabei ein populäres HTML5-Feature, den <a>-Tag-Ping, um die User dazu zu bringen, sich unbeabsichtigt an dem großen DDoS-Angriff zu beteiligen. Der Angriff beruhte dabei nicht auf einer Schwachstelle im Sicherheitssystem der Webseite; in diesem Fall wandelten die Angreifer eine legitime Funktion in ein Angriffswerkzeug um. Dieser Fall zeigt die Verwundbarkeit von Webseiten – der DDoS-Angriff hätte auch mit anderen Webbrowsern durchgeführt werden können und kann das auch zukünftig, wenn Web-Architekten und IT-Administratoren ihre Sicherheitsmassnahmen nicht entsprechend anpassen.

Die Sicherheitsanalysten von Imperva, die den Angriff untersucht haben, sind davon überzeugt, dass es nicht bei diesem Einzelfall bleibt, sondern diese Art der DDoS-Angriffe weiter zunehmen werden. Imperva erforscht daher unaufhörlich in ihrem Content Delivery Network (CDN) DDoS-Angriffe jeder Art, um Gegenmaßnahmen zu entwickeln und den Angreifern immer einen Schritt voraus zu sein.

Dem Ping-Befehl auf der Spur

Ping ist ein Befehl in HTML5. Er listet URLs, die benachrichtigt werden sollen, wenn der User einem Hyperlink folgt. Klickt er auf diesen, wird eine POST-Anfrage mit dem Text „ping“ an die im Attribut angegebenen URLs gesendet. Die Anfrage enthält auch die Überschriften „ping-from“, „ping-to“ und einen Inhaltstyp „text/ping“. Das Attribut ermöglicht Website-Besitzern, die Klicks auf einen Link zu verfolgen.

Benachrichtigungsdienste mit Ping sind nicht neu. Die Pingback-Funktion im beliebten WordPress CMS benachrichtigt einen Website-Besitzer, wenn ein Link angeklickt wird. Angreifer haben Pingbacks verwendet, um DDoS-Angriffe durchzuführen, indem sie Millionen von Anfragen an anfällige WordPress-Instanzen geschickt haben, um diese zu zwingen, die Pingback-Anfragen auf die Ziel-Website umzuleiten.

Betroffen von diesem aktuellen DDoS-Angriff waren rund 4.000 Benutzer-IPs, die meisten aus China. Sie erzeugten während des vierstündigen Angriffs einen Spitzenwert von 7.500 Anfragen pro Sekunde (RPS) und insgesamt 70 Millionen Anfragen. Die Sicherheitsanalysten von Imperva gehen davon aus, dass der Mastermind dabei die Benutzer der beliebten chinesischen Chat-App WeChat über Social Engineering und Malvertising (bösartige Werbung) dazu brachte, den QQBrowser zu öffnen. Ihn haben die meisten Chinesen als Standard-Browser für ihr Smartphone installiert.

So gelang der DDoS-Angriff mit Ping

1. Der Angreifer injizierte eine bösartige Werbeanzeige, die eine verdächtige Website lädt.
2. Der Link zur legitimen Website mit der bösartigen Werbung wird in einem hochfrequentierten WeChat-Gruppenchat gepostet.
3. Die Nutzer der Chatgruppe besuchen die Website mit der bösartigen Werbung.
4. Jetzt wird der JavaScript-Code ausgeführt und erzeugt einen Link mit dem Attribut „ping“, auf welchen der Benutzer klickt.
5. Daraufhin wird eine HTTP-Ping-Anfrage erzeugt und vom Browser des legitimen Benutzers an die Zieldomäne gesendet.

Die Folge für zukünftige DDos-Angriffe auf Google Chrome oder Apple Safari

Dieses Mal hat der DDos-Angriff „nur“ WeChat-Anwender getroffen. Ping-Angriffe lassen sich aber auch auf andere Webbrowser ausweiten. Grund: Stand heute lassen sich in den neueren Versionen von Google Chrome, Apples Safari und Opera die Hyperlink-Auditierung, bekannt als Ping, nicht mehr vom User deaktivieren.

Für Imperva ein klarer Aufruf an Web-Architekten und Sicherheitsprofis, von vornherein alle Web-Anfragen, die „Ping-To“ und/oder „Ping-From“ HTTP-Header auf den Edge-Geräten (Firewall, WAF, etc.) enthalten, zu blockieren. Das verhindert, dass die Ping-Anfragen jemals auf den Server gelangen. Imperva hat DDoS Protection zum Schutze der Kunden-Websites dahingehend bereits aktualisiert.

Weitere Informationen zum Thema:

Imperva
The Ping is the Thing: Popular HTML5 Feature Used to Trick Chinese Mobile Users into Joining Latest DDoS Attack

datensicherheit.de, 30.0.1.2019
DDoS-as-a-Service: Webstresser-User im Visier der Ermittlungsbehörden

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017

datensicherheit.de, 27.03.2018
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent