Wouter Hoeffnagel - 24 augustus 2017

Aantal DDoS-aanvallen stijgt na drie kwartalen van daling

Het aantal DDoS- en webapplicatie-aanvallen is in het tweede kwartaal van 2017 gestegen na een aantal kwartalen van daling. Medeverantwoordelijk voor deze stijging is de PBot DDoS-malware, die opnieuw aan de basis stond van de meest krachtige DDoS-aanval die dit kwartaal door Akamai is gesignaleerd. In Europa zijn de meeste webapplicatie-aanvallen afkomstig uit Nederland, wereldwijd bezet ons land een vierde plek.

Dit blijkt uit het Second Quarter, 2017 State of the Internet / Security Report van Akamai Technologies. In het geval van PBot werd oude PHP-code door de aanvallers gebruikt bij de grootste DDoS-aanval die door Akamai in het tweede kwartaal werd waargenomen. Het lukte de aanvallers om een mini-DDoS botnet te ontwikkelen dat in staat was om een DDoS-aanval van 75 gigabits per seconde (Gbps) uit te voeren. Opvallend is dat hoewel het PBot-botnet was samengesteld uit een relatief laag aantal van 400 knooppunten, het botnet toch een significante hoeveelheid aanvallend verkeer wist te genereren.

Domain Generation Algorithms

Een andere oude bekende die terugkomt in de analyse van het Akamai Enterprise Threat Research Team is het gebruik van Domain Generation Algorithms (DGA) in de Command and Control (C&C)-infrastructuur. Hoewel al in 2008 voor het eerst geïntroduceerd met de Conficker-worm, blijft DGA een veelgebruikte communicatietechniek in de hedendaagse malware.

Het Akamai-team ontdekte dat geïnfecteerde netwerken een DNS lookup rate hadden die ongeveer 15 keer hoger is dan bij een schoon netwerk. Dit kan verklaard worden door het feit dat de malware op geïnfecteerde netwerken willekeurig gegenereerde domeinen probeert te benaderen. Aangezien het merendeel van deze domeinen niet geregistreerd was, veroorzaakte het nogal wat ruis wanneer er geprobeerd werd deze allemaal te bereiken. Het analyseren van de verschillen tussen de gedragskenmerken van geïnfecteerde en schone netwerken is een belangrijke manier om malware-activiteit te identificeren.

Mirai-botnet

Toen afgelopen september het Mirai-botnet werd ontdekt, was Akamai één van de eerste doelen. De onderzoekers van Akamai hebben het inzicht dat het bedrijf heeft in Mirai gebruikt om verschillende aspecten van het botnet te onderzoeken, waarbij in het tweede kwartaal de focus vooral lag op de C&C-infrastructuur. Onderzoek van Akamai wijst er sterk op dat Mirai, net als vele andere botnets, bijdraagt aan het vermarkten van DDoS. Waar veel van de C&C-knooppunten van het botnet al ‘dedicated attacks’ lieten zien op geselecteerde IP-adressen, droegen andere C&C-knooppunten bij aan wat beschouwd kunnen worden als ‘pay-for-play’-aanvallen. Hierbij vielen Mirai C&C-knooppunten korte tijd IP-adressen aan, werden inactief, om vervolgens weer andere doelen aan te vallen.

“Aanvallers zijn constant op zoek naar zwakke plekken in de verdediging van organisaties. Hoe algemener de aard van een kwetsbaarheid, hoe effectiever het is om er misbruik van te maken en hoe meer energie en middelen hackers er aan zullen wijden,” zegt Martin McKeay, Akamai senior security advocate. “Events zoals de Mirai-botnet, de manier waarop WannaCry en Petya te werk gaan, de toename van het aantal aanvallen met SQL-injecties en de wederopstanding van PBot illustreren dat aanvallers niet alleen nieuwe tools inzetten, maar ook terugkeren naar oude tools die in het verleden hun effectiviteit hebben bewezen.”

Andere resultaten

Andere belangrijke uitkomsten van het rapport zijn:

  • Het aantal DDoS-aanvallen steeg in het tweede kwartaal met 28 procent vergeleken met het vorige kwartaal, na drie kwartalen waarin het aantal juist daalde.
  • DDoS-aanvallers zijn hardnekkiger dan ooit, waarbij een doel gemiddeld 32 keer wordt aangevallen in een kwartaal. Een gamingbedrijf werd zelfs 558 keer aangevallen, gemiddeld zo’n zes keer per dag.
  • Egypte kent met 32 procent van het wereldwijde totaal het hoogste aantal unieke IP-adressen dat gebruikt wordt in frequente DDoS-aanvallen. In het vorige kwartaal bezette de Verenigde Staten nog de eerste plek en stond Egypte niet eens in de top vijf.
  • Dit kwartaal werden minder devices gebruikt om een DDoS-aanval te lanceren. Het aantal IP-adressen betrokken bij volumetrische DDoS-aanvallen daalde met 98 procent van 595.000 tot 11.000.
  • De frequentie van aanvallen op webapplicaties steeg met vijf procent vergeleken met het vorige kwartaal en 28 procent vergeleken met het vorige jaar.
  • In meer dan de helft (51 procent) van de webapplicatie-aanvallen werden dit kwartaal SQL-injecties gebruikt – een stijging van 44 procent vergeleken met vorig kwartaal – goed voor bijna 185 miljoen alerts in het tweede kwartaal.

Het State of the Internet / Security-rapport kan gratis worden gedownload.

Axians 12/11/2024 t/m 26/11/2024 BN+BW