BlackNurse-Angriff verwandelt einen einzelnen Laptop in eine große Server-Killer-Maschine

Wann immer wir von einem Distributed Denial of Service (DDoS) hören, denken wir, dass Tausende, wenn nicht Millionen von Zombie-Computern oder mit dem Internet verbundenen Geräten (wie der jüngste Fall von Dyn zeigt) effektiv große Datenpakete senden, um die betreffende Website oder den Dienst zum Absturz zu bringen. Es wird allgemein angenommen, dass DDoS-Tools oder Stresser, wie sie bekannt sind, Tausende von Zombies benötigen, um einen massiven Angriff durchzuführen, der eine DDoS-geschützte Website zum Absturz bringen kann. Neue Forschungen beweisen jedoch, dass ein neuer Angriff einen EINZELNEN Laptop verwendet, um einen massiven DDoS-Angriff durchzuführen, der einen hochgeschützten Server offline nehmen kann.

Sicherheitsforscher vom dänischen TDC Security Operations Center haben die neue Angriffstechnik BlackNurse genannt. Der BlackNurse-Angriff nutzt sehr begrenzte Ressourcen, um große Server offline zu nehmen, wenn sie durch bestimmte Firewalls von Cisco Systems und anderen Herstellern geschützt sind.

Der BlackNurse-Angriff erleichtert es Cyberkriminellen, einen einfachen Denial-of-Service-Angriff gegen eine Website durchzuführen, indem er nur 15 Megabit oder etwa 40.000 Pakete pro Sekunde verwendet, um die Internetverbindung von anfälligen Servern zu unterbrechen. Stellen Sie sich vor, was der BlackNurse-Angriff hätte anrichten können, wenn er beim jüngsten Dyn-Angriff eingesetzt worden wäre. Um die Dinge ins rechte Licht zu rücken: Die unbekannten Hacker, die am 21. Oktober das gesamte Internet im Mittleren Westen und im Osten der Vereinigten Staaten lahmlegten, verwendeten anscheinend IoT-Botnets und sendeten nutzlose Datenpakete mit 1 Terabyte pro Sekunde, um Chaos zu verursachen und Dienste wie Reddit, Twitter, Spotify usw. offline zu nehmen.

In einem Blogbeitrag, der am Mittwoch veröffentlicht wurde, schrieben die Forscher:

Der BlackNurse-Angriff erregte unsere Aufmerksamkeit, weil wir in unserer Anti-DDoS-Lösung festgestellt haben, dass, obwohl die Verkehrsgeschwindigkeit und die Pakete pro Sekunde sehr niedrig waren, dieser Angriff die Operationen unserer Kunden lahmlegen konnte. Dies galt sogar für Kunden mit großen Internet-Uplinks und großen Unternehmensfirewalls. Wir hatten erwartet, dass professionelle Firewall-Ausrüstung in der Lage wäre, den Angriff zu bewältigen.

Inhaltsverzeichnis

• Wie BlackNurse einen einzelnen Laptop verwendet, um einen massiven DDoS-Angriff durchzuführen
• Ängste vor dem BlackNurse-Angriff
• Maßnahmen gegen den BlackNurse-Angriff

Wie BlackNurse einen einzelnen Laptop verwendet, um einen massiven DDoS-Angriff durchzuführen

Die Forscher fanden heraus, dass der BlackNurse-Angriff das Nachrichtenloch des Internet Control Message Protocol (ICMP) nutzt, das Router und andere Netzwerkgeräte verwenden, um Fehlermeldungen zu senden und zu empfangen. Da es keinen Schutz oder keine Begrenzung für das Senden oder Empfangen solcher Nachrichten gibt, nutzt der BlackNurse-Angriff dies aus, indem er eine spezielle Art von ICMP-Paketen sendet – speziell Typ 3 ICMP-Pakete mit einem Code von 3, die die Hacker verwenden können, um unerwünschte Lasten auf CPUs und Servern, die durch Cisco und andere Unternehmensfirewalls geschützt sind, zu erzeugen.

Während ihrer Forschung fanden sie heraus, dass die angegriffenen Firewalls nach Erreichen eines Schwellenwerts von 15 Mbps bis 18 Mbps so viele Pakete fallen lassen, dass der Server offline geht.

Mit denselben ungültigen ICMP-Paketen führten die Forscher einen BlackNurse-Angriff mit einem EINZELNEN LAPTOP durch, indem sie nur 180 Mbps sendeten und einen Server zum Absturz brachten.

Es spielt keine Rolle, ob Sie eine 1 Gbit/s-Internetverbindung haben. Die Auswirkungen, die wir bei verschiedenen Firewalls sehen, sind typischerweise hohe CPU-Lasten. Wenn ein Angriff im Gange ist, können Benutzer vom [lokalen Netzwerk] aus keinen Verkehr mehr zum Internet senden/empfangen. Alle Firewalls, die wir gesehen haben, erholen sich, wenn der Angriff stoppt.

Ängste vor dem BlackNurse-Angriff

Das Besorgniserregende ist, dass die Forscher herausfanden, dass der BlackNurse-Angriff in der Wildnis verwendet wurde. Sie haben in den letzten zwei Jahren bereits etwa 95 solcher DDoS-Angriffe entdeckt. Der Bericht sagte nicht, ob die ICMP-Angriffe auf dem neu entdeckten BlackNurse-Angriff oder einem zuvor bekannten ICMP-Angriff basierten, der Typ 8-Pakete mit einem Code von 0 liefert.

Maßnahmen gegen den BlackNurse-Angriff

Laut Forschern von Netresec, einer Sicherheitsfirma, die mit TDC Security an der Forschung zusammengearbeitet hat, funktioniert der Angriff nur gegen Server, die Firewalls von Cisco Systems, Palo Alto Networks, SonicWall und Zyxel verwenden. Die Forscher haben in diesem Blogbeitrag die spezifischen Modelle aufgeführt, die anfällig für den BlackNurse-Angriff sind. Palo Alto Networks hat seine eigene

Einer der betroffenen Firewall-Hersteller, Palo Alto Networks, hat seine eigene Mitteilung herausgegeben, die berichtet, dass die Geräte des Unternehmens nur in „sehr spezifischen, nicht standardmäßigen Szenarien, die gegen bewährte Praktiken verstoßen“, anfällig sind.

Cisco betrachtet den BlackNurse-Angriff überraschenderweise nicht als Sicherheitsproblem, obwohl es nicht erklärt hat, warum. Das Sans Institute hat hier einen eigenen kurzen Bericht über den Angriff.