BlackNurse: Die Cyberattacke, die den Betrieb mit einem Schlag lahmlegt

29. November 2016

1 Min. Lesezeit

Wissenschaftler sind auf einen neuen DDoS-Angriff gestoßen, der ein komplettes Netzwerk zum Erliegen bringen kann. Und das von nur einem einzigen Laptop aus. Was Sie jetzt über “BlackNurse” wissen sollten.

BlackNurse: Die Cyberattacke, die den Betrieb mit einem Schlag lahmlegt (Desktop)

Eine neue Cyberattacke treibt ihr Unwesen. Ihr Name: BlackNurse. Im Normalfall sind DDoS-Attacken auf eine große Anzahl an Endgeräten und IP-Adressen angewiesen, um ein Netzwerk in die Knie zu zwingen. Und dennoch: Anstatt die gebündelte Power von hunderten Geräten zu missbrauchen, um ein Netzwerk zu bombardieren, benötigt BlackNurse nur ein einziges, um erheblichen Schaden zu verursachen.

Forscher des dänischen Netzbetreibers TDC entdeckten diesen neuen Weg eine DDoS-Attacke zu fahren und verrieten in einem PDF Report:

„Auf die BlackNurse Attacke wurden wir aufmerksam, als wir bei unserer Anti-DDoS-Lösung feststellen mussten, dass es diese Attacke schaffte, selbst trotz geringer Traffic-Geschwindigkeit und geringer PPS, den Betrieb unserer Kunden zu lähmen. Dies betraf auch unsere Kunden, die mit großen Uplinks und Unternehmens-Firewalls ausgerüstet waren. Dabei hatten wir eigentlich erwartet, dass professionelle Firewalls imstande seien, mit diesem Angriff fertig zu werden.“

BlackNurse funktioniert, indem eine Internet Control Message Protocol (IMCP) Fehlermeldung (Type 3 Code 3 Pakete) gesendet wird, welche dann den Prozessor einer Firewall überfordert. Die Effektivität der Attacke hängt von der Internetgeschwindigkeit ab. Bereits ein angreifender Notebook mit einer Bandbreite von 15-18 Mbit/s kann für Schaden sorgen.

Was darüber hinaus besorgniserregend ist, ist die Tatsache, dass BlackNurse weitaus wirkungsvoller ist als die weitreichenden DDoS Attacken, die im Oktober Dyn’s DNS Server bezwangen. Die Sicherheitsfirma Netresec veröffentlichte ein Statement, in dem es heißt, dass BlackNurse ein ähnliches Schädigungspotential habe, dafür aber nur eine Verbindung mit einer Geschwindigkeit von rund 21 Mbps, anstelle von 1Tbps, benötige.

Der Report von TDC enthält spezifische Instruktionen und Vorgaben wie man BlackNurse Attacken erkennen könne. Die Security Community reagierte umgehend mit einem Proof-of-Concept Code auf GitHub auf die Nachricht. Dieser ermöglicht es, selbst zu testen, ob man für BlackNurse anfällig ist oder nicht.

Nach aktuellem Stand sind Firewalls von den Herstellern Palo Alto Networks, Cisco, Dell und Fortinet betroffen. WatchGuard, Check Point, Juniper und FRITZ!Box-Router sind es zum jetzigen Kenntnisstand nicht.

Was jedoch jeder tun kann und sollte: bestehenden Sicherheitsvorkehrungen weiter auspolstern und alles aus dem rausholen, was zur Verfügung steht.

Wenn Sie wissen wollen, wie Sie Ihr Unternehmen so sicher wie möglich aufstellen können, verfolgen Sie hier unsere Artikel zum Thema IT-Sicherheit und laden Sie sich hier kostenlos den Cybersecurity Guide herunter. HP-Geräte sind zudem auf Basis mit den neuesten Sicherheitsfeatures ausgestattet – sei es, wenn Sie die HP Secure Managed Print Services oder Windows 10 auf HP Notebooks nutzen.

Cyber Security eBook