This post is also available in:
Englisch 
Französisch 
Italienisch 
Portugiesisch, Brasilien 
Spanisch 
Russisch
Die Antwort lautet überraschenderweise: Ja!
Nachdem sich Anonymous 2016 auflöste, durchlief die Bedrohungslandschaft in kürzester Zeit einen Wandel. Die einst tonangebende Gruppe für organisierte DoS-Angriffe (Denial-of-Service) mit ihren einfachen, GUI-basierten Tools gehörte der Vergangenheit an. Dafür begann das Zeitalter von DDoS-Angriffen (Distributed Denial of Service) und DDoS-as-a-Service, weil leistungsstarke neue IoT-Botnets wie Bashlite und Mirai ihren Einzug hielten.
Obwohl Anonymous nicht vollständig von der Bildfläche verschwand, ist sein digitaler Einfluss in den letzten fünf Jahren erheblich gesunken. Bis heute finden sich Anonymous-Konten in den gängigen Social-Media-Kanälen und Video-Plattformen. Sie verbreiten operative Propaganda, aber im Vergleich zu früher nur mit begrenzter Wirkung. Umso verblüffter stellte ich deshalb bei einer kürzlichen Anonymous-Aktion fest, dass die Gruppe, die immer noch PasteBin und GhostBin (zur Zentralisierung operativer Details) verwendet, ihre Zielgruppenliste aktualisiert hatte und die Verwendung von Memcached und anderen reflektierenden Angriffsvektoren vorschlug. Sie empfahlen antiquierte DoS-Tools wie LOIC, HOIC, ByteDOS und PyLoris – die alle fast 10 Jahre alt sind!
Tools aus der Vergangenheit
HOIC
Bei High Orbit Ion Cannon, oder kurz HOIC, handelt es sich um ein Tool für Belastungstests in Netzwerken, das mit LOIC in Verbindung steht. Beide werden für Denial-of-Service-Angriffe eingesetzt, die durch Anonymous bekannt wurden. Dieses Tool kann durch HTTP-Floods einen Denial-of-Service auslösen. Darüber hinaus verfügt HOIC über ein integriertes Scripting-System für „.hoic“-Dateien, die sogenannten „Booster“. Mit diesen Dateien kann ein Benutzer Gegenmaßnahmen für Anti-DDoS-Randomisierung ergreifen und das Ausmaß des Angriffs verstärken.
Obwohl der Ursprung des Benutzers nicht durch Verschleierungs- oder Anonymisierungsmethoden geschützt wird, kann der Benutzer mithilfe von „.hoic-Booster“-Skripten eine Liste von wechselnden Ziel-URLs, Verweisen, Benutzeragenten und Headern angeben. Dies bewirkt effektiv einen Denial-of-Service, weil mehrere Seiten auf derselben Website angegriffen werden. Dabei wird der Anschein erweckt, dass die Angriffe von verschiedenen Benutzern ausgehen.
Abbildung 1: HOIC
[Klicken Sie hier für den vollständigen Bericht: Quarterly Threat Intelligence Report]
ByteDOS
ByteDOS, das einst als zerstörerisches Tool galt, ist 2021 wieder angesagt. Es handelt sich um eine DoS-Applikation für Windows-Desktops. Die einfache, ausführbare Standalone-Datei erfordert keine Installation und verfügt über integrierte IP-Resolver-Funktionen, mit denen das Angriffstool die IP-Adressen von Domänennamen auflösen kann. Außerdem unterstützt das Tool zwei Angriffsvektoren, nämlich SYN Flood und ICMP Flood, sodass der Benutzer seinen bevorzugten Angriffsvektor auswählen kann. ByteDOS eignet sich zudem für Angriffe hinter Proxys, damit Angreifer ihren Ursprung und ihre Identität verbergen können. Das Tool ist bei Hacktivisten und Anonymous-Anhängern recht beliebt (seine Effektivität steigt beträchtlich, wenn es von mehreren Angreifern gleichzeitig in einer koordinierten Denial-of-Service-Attacke genutzt wird).
Abbildung 2: ByteDOS
PyLoris
Ein weiteres Tool, das als zerstörerisch galt, ist PyLoris. Es handelt sich um ein HTTP-DoS-Tool für „Low & Slow“-Angriffe. PyLoris ermöglicht es dem Angreifer, HTTP-Anfragen mit benutzerdefinierten Paket-Headern, Cookies, Paketgrößen, Timeouts und Zeilenumbrüchen (CRLF) zu erstellen. Das Ziel von PyLoris besteht darin, TCP-Verbindungen zwischen dem Angreifer und dem Server des Opfers möglichst lange offen zu halten, damit die Ressourcen des Connection Tables des Servers überlastet werden. Sind diese Ressourcen erschöpft, kann der Server keine neuen Verbindungen von legitimen Benutzern mehr annehmen. Das Ergebnis ist ein Denial-of-Service.
Abbildung 3: PyLoris
[Lesen Sie die neueste Ausgabe des „Hacker’s Almanac“: Series 1 – The Threat Actors]
Wie effektiv sind die alten Tools?
Die für diese Anonymous-Aktion vorgeschlagenen Tools und viele andere sind veraltet, haben aber kurioserweise in der Bedrohungslandschaft weiterhin ihren Platz. In einer Welt, in der IoT-Botnets und kostengünstige Angriffsdienste so leicht zu programmieren sind, mutet es seltsam an, wenn die Verwendung von Tools vorgeschlagen wird, die fast ein Jahrzehnt alt sind. Und obwohl diese Tools weniger bekannt sind, können sie trotzdem sehr effektiv sein, wenn sie gegen ahnungslose und ungeschützte Websites richtig eingesetzt werden. Das folgende Diagramm zeigt die Ereignisse, die im letzten Jahr mit LOIC-, HOIC-, HULK- und SlowLoris-Angriffen in Verbindung standen.
Abbildung 4: HOIC-, LOIC-, HULK- und SlowLoris-DoS-Ereignisse (Quelle: Radware)
Wie Sie sehen, sind diese Tools auch 2020/21 weiterhin von Bedeutung, aber nicht so beliebt oder effektiv wie früher. Gründe dafür sind die Weiterentwicklung der Bedrohungslandschaft und die Fortschritte bei der Abwehrtechnologie. Obwohl Anonymous nicht mehr so bedrohlich ist wie einst, können hier und da noch „einsame Wölfe“ oder Amateur-Hackergruppen auftauchen, die mit diesen Tools eine gewisse Bedrohung für schutzlose Opfer darstellen.
