Merkwürdiger SSL-Angriff auf zahlreiche Websites

Rund 300 Websites, darunter die der CIA, des Anonymisierungsdienstes Tor, der Suchmaschine Yahoo und des Payment-Dienstes PayPal, stehen derzeit unter einem merkwürdigen Angriff. Die Webserver werden dabei mit zahlreichen rechenintensiven SSL-Anfragen "bombardiert".

Die Angreifer, die bereits seit einigen Tagen aktiv zu sein scheinen, stellen zahlreiche Webserver-Anfragen über den SSL-Verschlüsselung anbietenden HTTPS-Port. SSL-verschlüsselte Verbindungen, die normalerweise für die Übertragung vertraulicher Daten genutzt werden, verbrauchen auf dem Server mehr Ressourcen als unverschlüsselte Verbindungen. Außer dem Verbindungsaufbau und dem Senden einiger offenbar sinnloser Daten unternehmen die Angreifer, infizierte "Zombie"-PCs, nichts. Sie fragen keine Ressourcen vom Webserver ab. Sicherheitsexperten haben noch keine Erklärung für das Verhaltensmuster, das nicht zu den Charakteristika eines normalen DDoS-Angriffs passt. Es scheint nicht das Ziel der Angreifer zu sein, die Seiten durch Überlastung aus dem Netz zu befördern, auch wenn dies bei schwächerer Hardware in Einzelfällen vorkommen kann. Die Experten überlegen, ob dieses Verhalten womöglich eine Art Tarnung ist, um die Bots wie "normale" Clients aussehen zu lassen, wissen aber nicht, wieso der Betreiber dafür einen derartigen Aufwand betreiben sollte.

Sicherheitsforscher vermuten, dass das kürzlich runderneuerte Pushdo-Botnet hinter den Angriffen steckt. Die Dimension der Angriff ist durchaus ernstzunehmend. Laut Sicherheitsexperte Steven Adair ist "eine unerwartete Traffic-Zunahme von einigen Millionen Anfragen, die sich auf einige Hunderttausend IP-Adressen verteilen", wahrscheinlich. "Dies könnte ein ernstes Problem sein, wenn man normalerweise nur einige Hundert oder Tausend Anfragen am Tag hat oder wenn man keine unbegrenzte Bandbreite hat," so Adair.

Hilfreiche Abwehrstrategien sind derzeit noch Mangelware. Als Sofortmaßnahme empfehlen Experten einen Wechsel der IP-Adresse. Sie fordern jeden, der effektivere Strategien findet, auf, sich zu melden.

(via Shadowserver Foundation, thx!)

(Bild via clccool @ DeviantArt, thx!)

Annika Kremer am Freitag, 29.01.2010 23:50 Uhr

tags Tags: pushdo botnet

Weitere interessante News

16 Reaktionen zu dieser Nachricht

NeWsOfTzzz am 30.01.2010 17:03:25

Ich kann zumindestens schonmal auflösen, wie der Typ an die Domains gekommen ist: http://www.google.ru/#hl=ru&source=hp&q=inurl%3Ahttps%3A%2F%2F&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=inurl%3Ahttps%3A%2F%2F&fp=ebd8b510abb6050d Es muss nicht unbedingt Google gewese ...
iammaac am 30.01.2010 13:13:05

Darunter die der CIA? Komische Sache. ...
CircleJerk am 30.01.2010 12:54:38

Ist wahrscheinlich "nur" ein Test :confused: ...
ottaku am 30.01.2010 12:43:10

Viellicht sollte das auch ein regulärer DDoS werden und der Angreifer hat die Ziele unterschätzt :confused:. Aber naja... ich hab keine Ahnung davon, deswegen ist mir recht schnuppe. Was mich aber wundert ist, dass es neuartig ist den SSL für den Angriff zu verwenden. Ich mein..., ist doch logi ...
Shodan_v2-3 am 30.01.2010 06:04:04

hey psst keine Details verraten ;-) Soll doch keiner wissen, dass man nur ein paar Profis auf den C&C Server der nächsten Woche ansetzen muss (schwer zu finden ist der nicht, wenn es hunderttausend Zombies auch schaffen.. immer dem Gehirnen nach :D). Ne Woche Zeit sollte reichen und das Botnet geh� ...

weitere Kommentare lesen Nachricht kommentieren

Fotostrecke

Merkwürdiger SSL-Angriff auf zahlreiche Websites

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...