Vrijdag zagen we het begin van een DDoS-tijdperk dat je mijlenver kon zien aankomen. Een IoT-botnet spande DNS-servers van Dyn voor zijn karretje om internetdiensten als Netflix en Spotify en websites als Reddit en Wired plat te leggen.

 

In onze regio hadden we vooral last van de DDoS-aanval op Amazons clouddienst AWS. Die host namelijk een heleboel diensten in West-Europa, bijvoorbeeld de front-end van Netflix. Ook enkele nieuwssites en Twitter ondervonden vrijdag haperingen door de aanvallen. De VS werd het hardst getroffen en diensten als PayPal en Spotify gingen (deels) onderuit.

 

maxresdefault1 IoT Vrijdag: DDoS-aanval veroorzaakt door IoT apparaten

 

IoT en Dyn

De aanval werd uitgevoerd op Dyn. Dat bedrijf levert DNS-diensten voor diverse grote sites. Je kent het bedrijf wellicht van de voorheen gratis dienst DynDNS waarmee thuisgebruikers een dynamisch IP-adres aan hun domein konden koppelen. De overgenomen servers overstelpten DNS-servers met lookup-requests, waardoor uiteenlopende diensten, van GitHub tot PSN, begonnen te haperen of helemaal neer gingen. De hele attack was te volgen op de live Fortinet Threat map waar 24 uur per dag live gekeken kan worden wat er aan aanvallen op de hele wereld gebeurd. (klik hier)

 

Er werd even gedacht dat Dyn was gehackt, maar de verantwoordelijke bleek een externe DDoS. Niet geheel verwonderlijk voor mensen die IT-nieuws een beetje volgen werd deze uitgevoerd via een Mirai-botnet. Deze malware verovert internetverbonden apparaten als camera’s, digitale videorecorders en wat het maar te pakken kan krijgen, inclusief industriële hardware.

 

DNS Water Torture

Het probleem wordt verergerd door methodes om het werk van DDoS-beschermers moeilijker te maken. Diensten als CloudFlare cachen bijvoorbeeld webcontent om zo aan een vloedgolf van requests te voldoen. Serververzoeken van dezelfde oorsprong worden zo naar een cache geleid in plaats van de oorspronkelijke webserver. Dat werkt met een DNS-reflection-aanval – op die manier werd enkele jaren geleden onder meer ING neergehaald – maar niet met deze methode.

 

De aanval van vrijdag ging onder meer met behulp van een zogenoemde DNS Water Torture-aanval, waar F5 onlangs over schreef toen het netwerkbedrijf onderzoek deed naar Mirai. De bot hoeft in dit scenario een stuk minder queries uit te voeren, omdat hij het de overgenomen DNS-server laat doen. De bot stuurt requests naar een recursor met een willekeurige string aan de domeinnaam. De recursor wordt op dat moment de aanvaller.

 

DNS-server plat

Die server stuurt een domeinvraag naar een authoratative nameserver. Deze DNS-server reageert normaal gesproken met een verwijzing naar het juiste IP-adres. Een hoop verzoeken van een recursor leidt tot overbelasting. Als de nameserver niet meer reageert vanwege de aanvragen, wordt de volgende nameserver van het doelwit aangevallen – tot de DNS-loopup plat komt te liggen en domeinnamen niet meer worden geresolved.

 

Voorkomen is overduidelijk te laat, maar kunnen we nog genezen?

Er wordt nu al druk gespeculeerd over wie er achter de enorme aanval zit. Zijn het hacktivisten, staatshackers of verveelde pubers? Dat laatste kan ook nog, want de drempel om een aanval als deze uit te voeren is heel laag. Je hebt niet zo gek veel technische kennis nodig om Mirai voor je karretje te spannen en een enorme DDoS-aanval tegen een specifieke dienst op te zetten. Een DNS-provider op de korrel nemen had een escalerend effect, waardoor een hele serie diensten en sites onderuit ging.

 

Startschot

Het maakt ook eigenlijk niet zoveel uit wie er achter de aanval zit en om welke reden, belangrijker is het hoe. De inzet van Mirai voor enorme DDoS-aanvallen was te verwachten en door het botnet te richten op infrastructuren of zelfs backbone-apparatuur wordt gedemonstreerd wat de mogelijkheden zijn van een IoT-botnet. Overigens werd voor deze aanval ongeveer twintig procent van de Mirai-capaciteit ingezet, zo meldt zustersite Networkworld. Dit is nog maar het begin, zo waarschuwde F5 in zijn analyse eerder deze maand:

Gezien de lage kosten voor het onderhouden van een IoT-DDoS-botnet en Gartners voorspelling dat er 20,8 miljard internetverbonden apparaten zijn in 20202, kunnen we aannemen dat de IoT-besmettingsvector verder groeit. We moeten er rekening mee houden dat DDoS-aanvallen van meer dan 1 Tbps gebruikelijker worden in de toekomst en zullen meer ‘DNS Water Torture’ en ‘GRE Floods’ zien.

 

Slechts twee weken na deze voorspelling is het eerste praktijkvoorbeeld al opgedoken. De aanval op de website van beveiligingsjournalist Brian Krebs ongeveer een maand geleden luidde het startschot voor dit nieuwe tijdperk van DDoS-aanvallen waar we nu in terechtkomen. Het verschijnen van de broncode van Mirai is een game-changer; eerder zagen we al dat er na het openbaren van de broncode van ZeuS allerlei nare varianten opdoken. Mirai-gebaseerde malware en nieuwe botnets zijn dan ook slechts een kwestie van tijd.

 

ddos-attack-iot IoT Vrijdag: DDoS-aanval veroorzaakt door IoT apparaten

 

Erfenis de komende jaren

De vraag is: wat nu? Er zijn verschillende plannen, onder meer vanuit de EU, om dan toch eindelijk de security van Internet of Things-apparaten hoger op de agenda te zetten. Zelfregulering vanuit de markt blijkt al tijden niet te werken. Het is namelijk features eerst, beveiliging later – voordat een concurrent een soortgelijk product op de markt brengt. Verder is security by design nog niet ingeburgerd en worden testomgevingen onvoldoende gesaneerd zodat backdoors en telnet-verbindingen in productie verschijnen.

 

Het probleem zit ‘m wat Mirai betreft niet eens in een ingewikkelde hoek. Het botnet verovert apparaten met een standaardwachtwoord. In veel gevallen zijn deze te wijzigen door gebruikers – hoewel ze soms in een vlaag van verstandsverbijstering door de fabrikant zijn hardcoded zijn in de firmware en niet te veranderen zijn – en er zijn verschillende methoden om te zien of je apparatuur door Mirai te veroveren is, bijvoorbeeld met deze scanner van Bullguard die kijkt of je apparatuur via Shodan te benaderen is.

 

Erger voor het beter wordt

Je kunt er gevoeglijk vanuit gaan dat Mirai-opvolgers naast dit laaghangende fruit gebruikmaken van securitygaten als openstaande telnet-verbindingen of andere toegevoegde backdoors en vervolgens pas uitkijken naar geavanceerdere exploits van bugs in de software. We kunnen daarom ook nog wel een paar evoluties tegemoetzien en het ligt voor de hand dat dit erger wordt voordat het beter wordt.

 

Want zelfs als er nu eindelijk actie wordt ondernomen, zitten we met legacy te kijken: miljoenen apparaten die niet bij te werken zijn met een push-update en een heleboel gebruikers die niet eens weten dat ze bijdragen aan de DDoS-capaciteit, laat staan dat ze een firmware-update toepassen – als die er al is. Om al deze redenen is het duidelijk dat de aanval van vrijdag demonstreert dat we ons in het tijdperk bevinden waar IT-beveiligers als jaren voor waarschuwen.

 

In onderstaand filmpje wordt de aanval uitgelegd door Watchguard CTO Corey Nachreiner.

 

 

Heeft u vragen of wilt u advies over dit onderwerp, aarzel niet en neem contact op met een van onze adviseurs.