Sind jahrzehntealte DoS-Tools im Jahr 2021 immer noch relevant?


This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Die Antwort lautet überraschenderweise: Ja!

Nachdem sich Anonymous 2016 auflöste, durchlief die Bedrohungslandschaft in kürzester Zeit einen Wandel. Die einst tonangebende Gruppe für organisierte DoS-Angriffe (Denial-of-Service) mit ihren einfachen, GUI-basierten Tools gehörte der Vergangenheit an. Dafür begann das Zeitalter von DDoS-Angriffen (Distributed Denial of Service) und DDoS-as-a-Service, weil leistungsstarke neue IoT-Botnets wie Bashlite und Mirai ihren Einzug hielten.

Obwohl Anonymous nicht vollständig von der Bildfläche verschwand, ist sein digitaler Einfluss in den letzten fünf Jahren erheblich gesunken. Bis heute finden sich Anonymous-Konten in den gängigen Social-Media-Kanälen und Video-Plattformen. Sie verbreiten operative Propaganda, aber im Vergleich zu früher nur mit begrenzter Wirkung. Umso verblüffter stellte ich deshalb bei einer kürzlichen Anonymous-Aktion fest, dass die Gruppe, die immer noch PasteBin und GhostBin (zur Zentralisierung operativer Details) verwendet, ihre Zielgruppenliste aktualisiert hatte und die Verwendung von Memcached und anderen reflektierenden Angriffsvektoren vorschlug. Sie empfahlen antiquierte DoS-Tools wie LOIC, HOIC, ByteDOS und PyLoris – die alle fast 10 Jahre alt sind!

Tools aus der Vergangenheit

HOIC

Bei High Orbit Ion Cannon, oder kurz HOIC, handelt es sich um ein Tool für Belastungstests in Netzwerken, das mit LOIC in Verbindung steht. Beide werden für Denial-of-Service-Angriffe eingesetzt, die durch Anonymous bekannt wurden. Dieses Tool kann durch HTTP-Floods einen Denial-of-Service auslösen. Darüber hinaus verfügt HOIC über ein integriertes Scripting-System für „.hoic“-Dateien, die sogenannten „Booster“. Mit diesen Dateien kann ein Benutzer Gegenmaßnahmen für Anti-DDoS-Randomisierung ergreifen und das Ausmaß des Angriffs verstärken.

Obwohl der Ursprung des Benutzers nicht durch Verschleierungs- oder Anonymisierungsmethoden geschützt wird, kann der Benutzer mithilfe von „.hoic-Booster“-Skripten eine Liste von wechselnden Ziel-URLs, Verweisen, Benutzeragenten und Headern angeben. Dies bewirkt effektiv einen Denial-of-Service, weil mehrere Seiten auf derselben Website angegriffen werden. Dabei wird der Anschein erweckt, dass die Angriffe von verschiedenen Benutzern ausgehen.

Abbildung 1: HOIC

[Klicken Sie hier für den vollständigen Bericht: Quarterly Threat Intelligence Report]

ByteDOS

ByteDOS, das einst als zerstörerisches Tool galt, ist 2021 wieder angesagt. Es handelt sich um eine DoS-Applikation für Windows-Desktops. Die einfache, ausführbare Standalone-Datei erfordert keine Installation und verfügt über integrierte IP-Resolver-Funktionen, mit denen das Angriffstool die IP-Adressen von Domänennamen auflösen kann. Außerdem unterstützt das Tool zwei Angriffsvektoren, nämlich SYN Flood und ICMP Flood, sodass der Benutzer seinen bevorzugten Angriffsvektor auswählen kann. ByteDOS eignet sich zudem für Angriffe hinter Proxys, damit Angreifer ihren Ursprung und ihre Identität verbergen können. Das Tool ist bei Hacktivisten und Anonymous-Anhängern recht beliebt (seine Effektivität steigt beträchtlich, wenn es von mehreren Angreifern gleichzeitig in einer koordinierten Denial-of-Service-Attacke genutzt wird).

Abbildung 2: ByteDOS

PyLoris

Ein weiteres Tool, das als zerstörerisch galt, ist PyLoris. Es handelt sich um ein HTTP-DoS-Tool für „Low & Slow“-Angriffe. PyLoris ermöglicht es dem Angreifer, HTTP-Anfragen mit benutzerdefinierten Paket-Headern, Cookies, Paketgrößen, Timeouts und Zeilenumbrüchen (CRLF) zu erstellen. Das Ziel von PyLoris besteht darin, TCP-Verbindungen zwischen dem Angreifer und dem Server des Opfers möglichst lange offen zu halten, damit die Ressourcen des Connection Tables des Servers überlastet werden. Sind diese Ressourcen erschöpft, kann der Server keine neuen Verbindungen von legitimen Benutzern mehr annehmen. Das Ergebnis ist ein Denial-of-Service.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Abbildung 3: PyLoris

[Lesen Sie die neueste Ausgabe des „Hacker’s Almanac“: Series 1 – The Threat Actors]

Wie effektiv sind die alten Tools?

Die für diese Anonymous-Aktion vorgeschlagenen Tools und viele andere sind veraltet, haben aber kurioserweise in der Bedrohungslandschaft weiterhin ihren Platz. In einer Welt, in der IoT-Botnets und kostengünstige Angriffsdienste so leicht zu programmieren sind, mutet es seltsam an, wenn die Verwendung von Tools vorgeschlagen wird, die fast ein Jahrzehnt alt sind. Und obwohl diese Tools weniger bekannt sind, können sie trotzdem sehr effektiv sein, wenn sie gegen ahnungslose und ungeschützte Websites richtig eingesetzt werden. Das folgende Diagramm zeigt die Ereignisse, die im letzten Jahr mit LOIC-, HOIC-, HULK- und SlowLoris-Angriffen in Verbindung standen.

Abbildung 4: HOIC-, LOIC-, HULK- und SlowLoris-DoS-Ereignisse (Quelle: Radware)

Wie Sie sehen, sind diese Tools auch 2020/21 weiterhin von Bedeutung, aber nicht so beliebt oder effektiv wie früher. Gründe dafür sind die Weiterentwicklung der Bedrohungslandschaft und die Fortschritte bei der Abwehrtechnologie. Obwohl Anonymous nicht mehr so bedrohlich ist wie einst, können hier und da noch „einsame Wölfe“ oder Amateur-Hackergruppen auftauchen, die mit diesen Tools eine gewisse Bedrohung für schutzlose Opfer darstellen.

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center