DDoS Botnet Clients starten Integration von Apache Killer-exploit

2013-12-28  |  Comebuy News

Die neueste Version von einer verteilten Denial-of-Service (DDoS) Bot namens Armageddon einen relativ neuen Exploit bekannt als Apache Killer integriert, sagte DDoS Mitigation Anbieter Arbor Networks am Dienstag.

Comebuy Verwandte Artikel: Denial-of-Service-Angriffe auf dem Vormarsch sind, Anti-DDoS-Anbieter ReportLargest DDoS-Attacke bisher erreichte in diesem Jahr 45 Gbit/s, sagt CompanyHow zu erkennen und durchkreuzen DDoS AttacksData Zentrum Anti-DDoS-Paket vom Fass vor Angreifern, ArborDDoS Start auf IPv6-Netzwerken

Apache Killer-Exploit wurde im August 2011 veröffentlicht. Es nutzt eine Schwachstelle im Apache Webserver senden einen speziell gestalteten "Range" HTTP-Header eine Denial-of-Service-Bedingung auslösen.

Der Angriff ist besonders gefährlich, weil es erfolgreich von einem einzigen Computer ausgeführt werden kann und die gesamte gezielte Maschine neu gestartet werden, um daraus wiederherstellen muss.

"Der töten Apache Angriff missbraucht das HTTP-Protokoll verlangt, dass der Ziel-Webserver den angeforderten URL in eine Vielzahl von einzelnen Chunks oder Bytebereiche, Inhalt zurückgeben", sagte Arbor Forschungsanalytiker Jeff Edwards in einem Blog-Post am Dienstag. "Dies kann eine überraschend hohe Last auf dem Zielserver führen."

Die Sicherheitsanfälligkeit ausgenutzt werden, wenn Apache Killer als CVE-2011-3192 identifiziert und in Apache HTTPD 2.2.20, gepatcht wurde eine Woche nach der Exploit veröffentlicht wurde. Apache 2.2.21 enthält eine verbesserte Lösung.

Dies ist das erste Mal als Arbor Forscher haben diesen Exploit integriert wird ein DDoS-Botnet-Client, der aktiv von Angreifern, verwendet wird Edwards sagte.

Armageddon ist eine russische Malware-Familie exklusiv, DDoS-Angriffe zu starten. Weil es als ein Toolkit in unterirdischen Foren verkauft wird, gibt es im Internet mehrere Armageddon-powered Botnets.

Abgesehen von den Apache Killer-Exploit enthält die neueste Version von Armageddon auch andere Anwendungsschicht DDoS-Techniken, die beliebte Internet Forum wie vBulletin oder PhpBB Zielplattformen, aber diese sind nicht besonders bahnbrechende, Edwards sagte per e-Mail.

Arbor Forscher haben das anhand der Armageddon-Botnets sicher kommunizieren mit ihren Befehl und Steuerung von Servern und festgestellt, dass in mindestens einem Fall ein Armageddon-Botnet verwendet wurde, um politisch motivierte DDoS Angriffe mit Bezug zu den Wahlen in Russland Verschlüsselungsschema geknackt.

Andere Denial-of-Service-Exploits wie Slowloris, begann als Proof-of-Concept-Beispiele und wurden später in DDoS-Bots, integriert, so Apache Killer könnte eine ähnliche Verabschiedung zu sehen, sagte Edwards.

Der Sicherheitsexperte konnte nicht abschätzen, wie viele Apache Webserver für die Apache Killer-Exploit zu dieser Zeit noch anfällig sind, aber sagte, er nicht überrascht wäre, wenn es einen erheblichen Teil davon ist.

Systemadministratoren sollten ihren Apache-Server auf die neueste Version aktualisieren oder implementieren bekanntes Werk Arounds. "Es gibt ein Update für das Apache Mod_security-Modul, das versucht, diese Art von Angriff Filter Anfragen mit 'Range'-Header zu lösen, die zu groß sind", sagte Edwards. "Hingegen liegt die Schwierigkeit bei der Festlegung eines akzeptablen Bereichs für 'zu groß'."

« Back