Forscher von Darktrace haben ShadowV2 analysiert, eine DDoS-Plattform, die systematisch falsch konfigurierte Docker-Umgebungen aus dem Internet kompromittiert und den Zugang im Modell DDoS-as-a-Service vermarktet. Bemerkenswert ist der gezielte Einsatz moderner DevOps-Tools: Die Täter missbrauchen GitHub Codespaces als Steuerinfrastruktur, versteckt hinter Cloudflare, und minimieren durch dynamische Build-Prozesse ihren signaturbasierten Footprint.
Plattform statt Botnet: Steuerung über GitHub Codespaces und Rollenmodell
Anstelle klassischer C2-Server betreiben die Angreifer einen Python-basierten Steuerungsdienst, nach Analysen in GitHub Codespaces gehostet und durch Cloudflare abgeschirmt. Eine Fehlkonfiguration ermöglichte Einblick in API-Dokumentation und Endpunkte. Mehrstufige Authentifizierung, Rollen und Attacken-spezifische Limits deuten auf eine kommerzielle Plattform: Kunden mieten Zugriff und starten eigenständig DDoS-Kampagnen.
Angriffsweg: vom offenen Docker-Socket zur laufenden Workload
Die Infektion beginnt mit einem in Codespaces gehosteten Python-Skript, das das Docker-API automatisiert anspricht und offen erreichbare Docker-Daemons ins Visier nimmt, inklusive Instanzen in AWS. Statt vorgefertigte Images aus öffentlichen Registern zu ziehen, erstellen die Täter einen „Setup“-Container, installieren Tools nach und bauen daraus ein maßgeschneidertes Image, das als Produktiv-Container ausgerollt wird. Dieser Build-Ansatz reduziert statische Indicators of Compromise und erschwert herkömmliche Blocklisten.
Angriffswerkzeug: Go-Binary, FastHTTP und HTTP/2-Angriffstechniken
Im Container läuft ein in Go entwickelter Angriffsprozessor, der mit mehreren Threads und anpassbaren HTTP-Clients auf Basis von FastHTTP (Valyala) hochvolumige HTTP-Floods erzeugt. Zum Bypass gehören u. a. HTTP/2 Rapid Reset (CVE-2023-44487), das Spoofing von Forwarding-Headern mit zufälligen IPs sowie Techniken gegen Cloudflare Under Attack Mode (UAM). Zwei Varianten gelangten am 25. Juni und 30. Juli zu VirusTotal; initiale Erkennungsraten waren gering.
Monetarisierung: API-gesteuerte Kampagnen ohne zentrales Botnet
Kern des Geschäftsmodells ist ein Kunden-API, über das Auftraggeber bereits kompromittierte Hosts einspeisen, die für konkrete Angriffe aktiviert werden. Das unterläuft das klassische Botnet-Paradigma, bei dem Operatoren eine feste, zentral verwaltete Zombienetz-Struktur vorhalten. ShadowV2 liefert stattdessen eine flexible Plattform zur On-Demand-Zusammenstellung von Angriffsnetzen.
Detection-Strategie: Verhaltensanalytik in Cloud- und CI/CD-Umgebungen
Da statische IOCs wenig tragen, ist eine verhaltensbasierte Erkennung entscheidend: untypische Docker-API-Aufrufe, automatisierte Build/Run-Sequenzen, persistente ausgehende Verbindungen zu temporären Hosts, sprunghafter Egress sowie das plötzliche Auftreten leistungsstarker HTTP-Clients in Containern. Ähnliche Muster waren in Kampagnen wie Kinsing und TeamTNT zu beobachten; Internet-Scanner listen weiterhin tausende exponierte Docker-Endpunkte. Die Relevanz der Technik unterstreichen Branchenberichte zu HTTP/2 Rapid Reset: 2023 dokumentierten Cloudflare und Google DDoS-Spitzen im Bereich von hunderten Millionen Anfragen pro Sekunde – ein Hinweis auf die Skalierbarkeit moderner L7-Angriffe.
Härtung und Gegenmaßnahmen: Docker-Setup, Egress-Kontrolle und Perimeter
– Docker absichern: Offenen TCP-Socket deaktivieren, UNIX-Socket bevorzugen, TLS und verpflichtende Authentifizierung aktivieren. Zugriff über Security Groups und VPC ACLs strikt einschränken, insbesondere in AWS.
– Least Privilege durchsetzen: Unveränderliche Images, Signaturen und Integritätskontrollen nutzen. Build- und Run-Ereignisse sowie Zugriffe auf Docker/Containerd zentral auditieren.
– Anomalien alarmieren: Alerts auf „Setup“-Container, atypische Build-Kommandos, ungewöhnliche Volume/Network-Flags und auffällige Prozessstarts (Go-Binaries, FastHTTP-Clients) konfigurieren.
– Egress begrenzen: Ausgangsverkehr auf Subnetz/VPC-Ebene einschränken, authentifizierende Proxys einsetzen, HTTP/2-Telemetrie (z. B. Rapid-Reset-Pattern) überwachen.
– Perimeter-Schutz: Rate Limiting, L7-Schutz gegen HTTP-Floods, strikte Header-Validierung (inkl. X-Forwarded-For) und erweiterte Client-Prüfungen aktivieren.
– Angriffsfläche prüfen: Regelmäßiges External Attack Surface Management auf Docker, Kubelet, Prometheus, Redis und weitere häufig missbrauchte Dienste.
Organisationen sollten den Missbrauch von DevOps-Tools als DDoS-Plattform einkalkulieren. Prioritäten sind die konsequente Absicherung des Docker-API, die Umstellung auf Behavior Analytics in Cloud-/CI/CD-Pipelines und eine restriktive Egress-Policy. Ein kontinuierlicher Audit offen exponierter Dienste und automatisiertes Monitoring des Docker-API versetzen Teams in die Lage, die nächste Iteration plattformisierter Botnetze frühzeitig zu erkennen und abzuwehren.
