Free

CatDDoS-Botnetz und DNSBomb-DDoS-Angriffstechniken auf dem Vormarsch

Die Bedrohungsakteure, die hinter dem CatDDoS-Malware-Botnet stehen, haben in den letzten drei Monaten über 80 Sicherheitslücken in verschiedenen Programmen ausgenutzt. Dadurch konnten sie Geräte infizieren und sie in ihr Botnetz einbinden, das Distributed-Denial-of-Service-(DDoS)-Angriffe durchführt.

THNNetzwerksicherheit
Lesezeit 2 Min.

Laut dem QiAnXin XLab-Team haben die CatDDoS-Gangs zahlreiche bekannte Schwachstellen ausgenutzt, um ihre Malware zu verbreiten. „Wir haben beobachtet, dass pro Tag oft mehr als 300 Ziele angegriffen wurden“, so die Experten. Die Schwachstellen betreffen eine Vielzahl von Geräten, darunter Router und Netzwerkgeräte von Anbietern wie Apache (ActiveMQ, Hadoop, Log4j und RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE und Zyxel.

CatDDoS, das Ende 2023 von QiAnXin und NSFOCUS erstmals dokumentiert wurde, ist eine Variante des Mirai-Botnetzes. Es kann DDoS-Angriffe über UDP, TCP und andere Methoden durchführen. Die Malware wurde erstmals im August 2023 entdeckt und erhielt ihren Namen aufgrund von Katzenverweisen im Quellcode und den Namen der Command-and-Control-Domänen (C2) wie „catddos.pirate“ und „password_meow“.

Die meisten Angriffe zielen auf China, gefolgt von den USA, Japan, Singapur, Frankreich, Kanada, Großbritannien, Bulgarien, Deutschland, den Niederlanden und Indien, so NSFOCUS im Oktober 2023. Laut XLab konzentrieren sich die Angriffe mehr auf die USA, Frankreich, Deutschland, Brasilien und China. Im Fokus sind vor allem Cloud-Service-Provider, das Bildungswesen, die wissenschaftliche Forschung, die Informationsübertragung, die öffentliche Verwaltung, das Bauwesen und andere Branchen.

Die Malware nutzt den ChaCha20-Algorithmus zur Verschlüsselung der Kommunikation mit dem C2-Server und verwendet eine OpenNIC-Domäne, um der Entdeckung zu entgehen. Diese Technik wurde zuvor von einem anderen Mirai-basierten DDoS-Botnet, Fodcha, verwendet. Interessanterweise verwendet CatDDoS denselben Schlüssel und denselben Nonce (Zähler) für den ChaCha20-Algorithmus wie drei andere DDoS-Botnets: hailBot, VapeBot und Woodman. Man vermutet, dass die ursprünglichen Entwickler der Malware ihre Arbeit im Dezember 2023 eingestellt haben, nachdem sie den Quellcode in einer speziellen Telegram-Gruppe zum Verkauf angeboten hatten.

„Durch den Verkauf oder die Weitergabe des Quellcodes entstanden nach der Schließung neue Varianten wie RebirthLTD, Komaru, Cecilio Network und andere“, so XLab. „Obwohl diese Varianten möglicherweise von verschiedenen Gruppen betrieben werden, gibt es kaum Unterschiede bei Code, Kommunikationsdesign, Zeichenketten und Entschlüsselungsmethoden.“

Sicherheitsanalysten demonstrieren DNSBomb

Die Offenlegung erfolgt nach der Veröffentlichung von Details zu einer neuen Denial-of-Service-Angriffstechnik namens DNSBomb (CVE-2024-33655). Diese Technik nutzt das Domain Name System (DNS) für Abfragen und Antworten aus und erreicht so einen Verstärkungsfaktor von 20.000. Der Angriff nutzt normale DNS-Funktionen wie Abfrageratenbegrenzungen, Zeitüberschreitungen und Einstellungen für die maximale Antwortgröße aus. Durch die Manipulation eines DNS-Servers und eines anfälligen, rekursiven DNS-Resolvers wird eine kurzfristige Flut von Antworten erzeugt.

„DNSBomb nutzt mehrere weit verbreitete DNS-Mechanismen aus, um DNS-Anfragen zu sammeln, die mit einer niedrigen Rate gesendet werden. Diese Anfragen werden zu sehr großen Antworten verstärkt und alle Antworten werden in einem kurzen, intensiven, periodisch pulsierenden Burst gebündelt, um simultan die Zielsysteme zu überlasten“, erklärt Xiang Li, Doktorand am NISL-Labor der Tsinghua-Universität.

Die Angriffsstrategie umfasst das Fälschen von IP-Adressen für mehrere DNS-Anfragen an eine vom Angreifer kontrollierte Domäne und das Zurückhalten von Antworten, um sie zu bündeln. DNSBomb zielt darauf ab, die Opfer mit periodischen Ausbrüchen von massiv verstärktem Datenverkehr zu überfluten. Dieses Vorgehen ist nur schwer zu entlarven.

Die Ergebnisse wurden kürzlich auf dem „45. IEEE Symposium on Security and Privacy“ in San Francisco und zuvor auf der GEEKCON 2023 in Shanghai im Oktober 2023 vorgestellt.

Das Internet Systems Consortium (ISC) erklärte, dass die von ihm entwickelte und gepflegte BIND-Software-Suite nicht anfällig für DNSBomb sei und dass die bestehenden Schutzmaßnahmen ausreichen, um sich vor den Risiken des Angriffs zu schützen.