[datensicherheit.de, 24.04.2019] Bald wöchentlich hört man von Cyberangriffen, die die Privatsphäre von Nutzern offenlegen oder ganze Webseiten lahmlegen. So geschehen vor kurzem in China. Dort schlossen sich die mobilen Nutzer des meist genutzten Instant-Messaging-Dienstes Tencent QQ unwissentlich zusammen, um eine Webseite innerhalb weniger Stunden mit 70 Millionen Anfragen zu überfluten.

DDoS-Angriff über eine populäres HTML5-Feature

Möglich machte dies ein DDoS-Angriff. Er benutzte dabei ein populäres HTML5-Feature, den <a>-Tag-Ping, um die User dazu zu bringen, sich unbeabsichtigt an dem großen DDoS-Angriff zu beteiligen. Der Angriff beruhte dabei nicht auf einer Schwachstelle im Sicherheitssystem der Webseite; in diesem Fall wandelten die Angreifer eine legitime Funktion in ein Angriffswerkzeug um. Dieser Fall zeigt die Verwundbarkeit von Webseiten – der DDoS-Angriff hätte auch mit anderen Webbrowsern durchgeführt werden können und kann das auch zukünftig, wenn Web-Architekten und IT-Administratoren ihre Sicherheitsmassnahmen nicht entsprechend anpassen.

Die Sicherheitsanalysten von Imperva, die den Angriff untersucht haben, sind davon überzeugt, dass es nicht bei diesem Einzelfall bleibt, sondern diese Art der DDoS-Angriffe weiter zunehmen werden. Imperva erforscht daher unaufhörlich in ihrem Content Delivery Network (CDN) DDoS-Angriffe jeder Art, um Gegenmaßnahmen zu entwickeln und den Angreifern immer einen Schritt voraus zu sein.

Dem Ping-Befehl auf der Spur

Ping ist ein Befehl in HTML5. Er listet URLs, die benachrichtigt werden sollen, wenn der User einem Hyperlink folgt. Klickt er auf diesen, wird eine POST-Anfrage mit dem Text „ping“ an die im Attribut angegebenen URLs gesendet. Die Anfrage enthält auch die Überschriften „ping-from“, „ping-to“ und einen Inhaltstyp „text/ping“. Das Attribut ermöglicht Website-Besitzern, die Klicks auf einen Link zu verfolgen.

Benachrichtigungsdienste mit Ping sind nicht neu. Die Pingback-Funktion im beliebten WordPress CMS benachrichtigt einen Website-Besitzer, wenn ein Link angeklickt wird. Angreifer haben Pingbacks verwendet, um DDoS-Angriffe durchzuführen, indem sie Millionen von Anfragen an anfällige WordPress-Instanzen geschickt haben, um diese zu zwingen, die Pingback-Anfragen auf die Ziel-Website umzuleiten.

Betroffen von diesem aktuellen DDoS-Angriff waren rund 4.000 Benutzer-IPs, die meisten aus China. Sie erzeugten während des vierstündigen Angriffs einen Spitzenwert von 7.500 Anfragen pro Sekunde (RPS) und insgesamt 70 Millionen Anfragen. Die Sicherheitsanalysten von Imperva gehen davon aus, dass der Mastermind dabei die Benutzer der beliebten chinesischen Chat-App WeChat über Social Engineering und Malvertising (bösartige Werbung) dazu brachte, den QQBrowser zu öffnen. Ihn haben die meisten Chinesen als Standard-Browser für ihr Smartphone installiert.

So gelang der DDoS-Angriff mit Ping

1. Der Angreifer injizierte eine bösartige Werbeanzeige, die eine verdächtige Website lädt.
2. Der Link zur legitimen Website mit der bösartigen Werbung wird in einem hochfrequentierten WeChat-Gruppenchat gepostet.
3. Die Nutzer der Chatgruppe besuchen die Website mit der bösartigen Werbung.
4. Jetzt wird der JavaScript-Code ausgeführt und erzeugt einen Link mit dem Attribut „ping“, auf welchen der Benutzer klickt.
5. Daraufhin wird eine HTTP-Ping-Anfrage erzeugt und vom Browser des legitimen Benutzers an die Zieldomäne gesendet.

Die Folge für zukünftige DDos-Angriffe auf Google Chrome oder Apple Safari

Dieses Mal hat der DDos-Angriff „nur“ WeChat-Anwender getroffen. Ping-Angriffe lassen sich aber auch auf andere Webbrowser ausweiten. Grund: Stand heute lassen sich in den neueren Versionen von Google Chrome, Apples Safari und Opera die Hyperlink-Auditierung, bekannt als Ping, nicht mehr vom User deaktivieren.

Für Imperva ein klarer Aufruf an Web-Architekten und Sicherheitsprofis, von vornherein alle Web-Anfragen, die „Ping-To“ und/oder „Ping-From“ HTTP-Header auf den Edge-Geräten (Firewall, WAF, etc.) enthalten, zu blockieren. Das verhindert, dass die Ping-Anfragen jemals auf den Server gelangen. Imperva hat DDoS Protection zum Schutze der Kunden-Websites dahingehend bereits aktualisiert.

Weitere Informationen zum Thema:

Imperva
The Ping is the Thing: Popular HTML5 Feature Used to Trick Chinese Mobile Users into Joining Latest DDoS Attack

datensicherheit.de, 30.0.1.2019
DDoS-as-a-Service: Webstresser-User im Visier der Ermittlungsbehörden

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017

datensicherheit.de, 27.03.2018
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent

[datensicherheit.de, 08.12.2011] Die Webseiten-Beschreibungssprache HTML5 wird wohl mit zahlreichen Neuerungen aufwarten, auf die Entwickler und Administratoren schon lange gewartet haben. Laut TREND MICRO gibt es indes eine „Kehrseite der Medaille“, denn HTML5 biete auch Cyber-Kriminellen völlig neue Möglichkeiten. Eine nicht zu unterschätzende Bedrohung, die mit HTML5 entstehe, seien „Botnetze im Browser“. TREND MICRO hat nach eigenen Angaben das Infektionsszenario durchgespielt und analysiert, für welche Zwecke Online-Gangster diesen neuen Angriffsweg missbrauchen könnten.
Angreifer seien mit HTML5 in der Lage, ein Botnetz zu erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniere, warnt TREND MICRO. Es laufe vorwiegend im Hauptspeicher und berühre daher die Festplatte kaum. Dies mache es für Antivirenprogramme, die mit Signaturdateien arbeiten, schwierig, das Botnetz zu erkennen. Da der bösartige Code als „JavaScript“ implementiert sei, das sich technisch gesehen mit wenig Mühe verschleiern lasse, täten sich auch solche Sicherheitslösungen schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Zu nennen seien hier die sogenannten „Intrusion-Detection-Systeme“ (IDS), die mit Signaturen arbeiten. Zudem könne der bösartige Code wegen seiner Einbettung im Browser auch die meisten Firewalls mühelos passieren.
Einmal erfolgreich in das System eines Anwenders eingedrungen, stehe den Online-Kriminellen ein ganzes Waffenarsenal zur Verfügung:

• DDoS-Attacken: Tausende von Anfragen könnten ohne Wissen des Nutzers an eine Ziel-Website geschickt und diese dadurch lahmgelegt werden.
• Spamming: Unzureichend gesicherte Kontaktseiten von Websites ließen sich zur Erzeugung von Spam-Nachrichten missbrauchen.
• Bitcoin-Generierung: Die infizierten Rechner ließen sich als Generatoren zur Berechnung von Bitcoins, der beliebtesten Währung des cyber-kriminellen Untergrunds, zweckentfremden.
• Phishing: Mittels „Tabnabbing“ könne das Botnetz Registerkarten („Tabs“) im Browser des Anwenders kapern und ihr Aussehen beliebig gestalten. Dadurch sei es möglich, dem ahnungslosen Anwender jedes Mal, wenn er auf die infizierte Registerkarte klickt, eine Eingabeaufforderung zu einem von ihm genutzten Webdienst vorzutäuschen. Gibt er seine Zugangsdaten ein, fielen seine Webdienst-Konten in die Hände der Kriminellen.
• Netzspionage: Das Botnetz sei in der Lage, im Netzwerk des Opfers nach Sicherheitslücken zu forschen und die Ports zu scannen.
• Netzwerke als Proxy: Mit dem Botnetz könnten die Kriminellen im Cyber-Untergrund Angriffswege verschleiern und Attacken über die infizierten Netzwerke leiten; der Ursprung der Angriffe sei dadurch kaum noch auszumachen.
• Verbreitung: Die Cyber-Kriminellen könnten in das Botnetz zusätzlich eine Wurmkomponente einfügen, die sich dann auf angreifbaren Websites verbreite.

Experten von TREND MICRO gehen davon aus, dass diese doch bemerkenswerten Möglichkeiten für Angreifer bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware könnten diese neuen Angriffsvektoren nicht abwehren, doch gebe es zwei kostenlose Tools, die einen sehr guten Schutz böten:

• „NoScript“: Das unter Fachleuten bereits gut bekannte Browser-Plug-In schränkr die Funktionsweise von „JavaScript“ und anderen Plug-Ins auf nicht vertrauenswürdigen Seiten ein.
• BrowserGuard: TREND MICROs eigenes Tool umfasse eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehörten unter anderem fortschrittliche heuristische Techniken.

Weitere Informationen zum Thema:

blog.trendmicro.de
HTML5 – Die größten Gefahren / Originalartikel von Robert McArdle, Senior Threat Researcher

NoScript
The NoScript Firefox extension provides extra protection…

TREND MICRO
Browser Guard 2011