Nächstes DDoS-Botnetz schlägt in der neuen 650-Gbit/s-Klasse zu

Spätestens seit den Schlagzeilen über die Mirai-Botnetze zeichnete sich ab, dass die Abwehr von DDoS-Angriffen in der kommenden Zeit zu einer Herkulesaufgabe wird. Jetzt ist das nächste Botnetz aufgetaucht, das ebenfalls mit Rekord-Trommelfeuer auf seine Opfer losgeht. Seit der Freigabe der Mirai-Quellcodes ist man in der Security-Szene darauf eingestellt, dass zahlreiche Ableger in Erscheinung treten - was durchaus auch der Fall ist. Das nun aufgetauchte Botnetz hat mit der fraglichen Malware allerdings nichts zu tun, sondern ist ein komplett eigenständiges Werkzeug. Es wird von den Sicherheitsexperten unter der Bezeichnung 1337 (Leet) in den Datenbanken geführt.

Erstmals auffällig wurde die Infrastruktur in den Tagen vor Weihnachten, als das Security-Unternehmen Imperva bei einem Kunden damit beschäftigt war, einen größeren DDoS-Angriff abzuwehren. Hier prasselte ein Traffic von satten 650 Gigabit pro Sekunde auf die attackierten Server ein. Das ist die Dimension, die erstmals von Mirai erreicht wurde.

Analyse dauert an

Aktuell ist noch nicht viel über die Malware hinter dem Botnetz bekannt. Es gibt nicht einmal handfeste Fakten dazu, welche Geräte an den Attacken beteiligt sind. Klar wurde lediglich, dass der DDoS-Angriff nicht einzelne Server, sondern die Netzwerksysteme in einem Firmennetz zum Ziel hatte.

Auffällig ist dabei die Gestaltung der Payload. Die beim Angriff beteiligten Bots holen sich erst einmal selbst Inhalte von einigen Webservern ab und rühren diese nach einem Zufallsprinzip durcheinander. Die IP-Pakete werden dann mit diesem Mischmasch bestückt. Das soll es offenbar erschweren, mit automatisierten Filtern, die Pakete nach bestimmten Regeln einfach wegwerfen, die Wucht des Angriffs abzufedern.

Vorerst ist es inzwischen gelungen, die Datenströme in den Griff zu bekommen. Die Imperva-Experten wollen im Zuge der Veröffentlichung erster Erkenntnisse allerdings nicht nur vor dem 1337-Botnetz an sich warnen. Vielmehr, so hieß es, sei dessen Auftauchen ein Zeichen dafür, dass man sich für die kommenden Monate auf diverse weitere Attacken in der genannten Heftigkeit wappnen muss.