Wouter Hoeffnagel - 29 november 2017

Toename webapplicatie-aanvallen en veranderende aanvalsstrategieën

Het aantal aanvallen op webapplicaties blijft aanzienlijk toenemen. Nederland is na de VS en Rusland het derde land ter wereld is waar de meeste webapplicatie-aanvallen vandaan komen. Nader onderzoek van het Mirai botnet en de WireX malware-aanvallen door Akamai suggereert dat met name IoT- en Android devices gebruikt worden voor toekomstige botnet-legers. Ook is dat het aantal DDoS-aanvallen in het derde kwartaal toegenomen met 85% ten opzichte van het tweede kwartaal van 2017.

Dit blijkt uit het Third Quarter, 2017 State of the Internet / Security Report van Akamai Technologies. Het aantal webapplicatie-aanvallen nam in het derde kwartaal van 2017 met 69% toe ten opzichte dezelfde periode vorig jaar (Q3 2016). Vergeleken met het tweede kwartaal van 2017 was er sprake van een stijging van 30%. Het aantal aanvallen afkomstig uit de Verenigde Staten steeg in een jaar tijd met maar liefst 217%. Ten opzichte van het voorgaande kwartaal bedroeg deze stijging in het derde kwartaal van 2017 48%.

62% meer SQL-injecties

SQL injectie-aanvallen (SQLi) blijven populair en dragen bij aan de significante toename van webapplicatie-aanvallen. Het aantal SQLi-aanvallen steeg in het derde kwartaal van 2017 met 62% ten opzichte van het derde kwartaal van 2016 en met 19% ten opzichte van het voorgaande kwartaal. De stijging van webapplicatie-aanvallen – en injectie-aanvallen zoals SQLi in het bijzonder – is geen verrassing. De laatste versie van de OWASP Top 10 2017, die vorige week verscheen, bestempelde ‘injection’ al als belangrijkste kwetsbaarheid. Het was de eerste grote update van de OWASP Top 10 sinds 2013, toen ‘injectie’ eveneens op de eerste plaats stond.

Alarmerend zijn de uitkomsten van het nadere onderzoek naar het Mirai botnet en de ontdekking van het ontstaan van WireX-malware. Hoewel kleiner van omvang dan zijn voorgangers, was Mirai malware verantwoordelijk voor de grootste aanval in het derde kwartaal. De snelheid van deze aanval lag op 109 Gbps. De voortdurende Mirai-activiteit, gekoppeld met de komst van WireX dat de controle over Android devices overneemt, laat het potentiële aanbod voor botnet-legers zien.

Mirai-gebaseerde aanvallen houden voorlopig aan

“De verleiding van eenvoudige toegang tot slecht beveiligde eindpunten en de algemene beschikbaarheid van broncodes, wekken de verwachting dat Mirai-gebaseerde aanvallen voorlopig aan blijven houden,” zegt Martin McKeay, senior security advocate en senior editor van het rapport. “Onze ervaringen suggereren dat er iedere dag een nieuw leger van potentiële aanvallers online komt. Gecombineerd met de populariteit van Android-software en de groei van Internet of Things, versterkt dit in grote mate de risk/reward uitdaging van bedrijven.”

Andere belangrijke uitkomsten uit het rapport zijn:

  • Het gebruik van Fast Flux DNS door botnets is onderzocht en toont aan hoe aanvallers snel veranderende DNS-informatie gebruiken waardoor het lastiger wordt om botnets en malware te achterhalen en te stoppen.
  • Het aantal DDoS-aanvallen nam in het derde kwartaal met 85% toe ten opzichte van het tweede kwartaal van 2017, het gemiddeld aantal aanvallen per doel steeg met 13% tot 36.
  • Hoewel Duitsland het vorige kwartaal niet tot de top vijf van landen met de meeste bronnen van DDoS-aanvallen behoorde, kent dit land in het derde kwartaal het hoogste aantal IP-adressen dat betrokken is bij een aanval: 58.746 (22% van het totaal wereldwijd).
  • Egypte, vorig kwartaal met 44.198 nog leider als het gaat om het aantal DDoS-aanvallen, valt in het derde kwartaal buiten de top vijf.
  • Australië staat op een derde plek als het gaat om het aantal te verwerken webapplicatie-aanvallen (19.115.151), terwijl het land in het tweede kwartaal niet eens in de top tien stond.
  • Met de feestdagen in aantocht verwacht Akamai dat financiële en emotionele aspecten een grote rol zullen gaan spelen in de aanvalsdynamiek in het vierde kwartaal. Criminelen zullen gebruikmaken van het feit dat het laatste kwartaal van het jaar cruciaal is voor winkeliers, waardoor ze sneller geneigd zullen zijn om toe te geven aan afpersingspraktijken dan op andere momenten in het jaar, bijvoorbeeld wanneer er gedreigd wordt met een aanval tijdens Black Friday of Cyber Monday.

‘Basiscode van Mirai wordt nog steeds gebruikt’

“Zoals ook wordt opgemerkt in de Attack Spotlight, wordt de basiscode van Mirai nog steeds gebruikt en verder ontwikkeld,” zegt McKeay. “Bovendien worden aanvallers door het gebruik van technieken zoals Fast Flux DNS steeds beter in het verbergen van hun command and control-structuren. Het zal geen verrassing zijn wanneer we tijdens de feestdagen nieuwe aanvallen zien die IoT-devices en mobiele platforms als basis gebruiken.”

Het volledige State of the Internet / Security-rapport kan hier worden gedownload.

Axians 12/11/2024 t/m 26/11/2024 BN+BW