Het aantal DDoS- en webapplicatie-aanvallen is in het tweede kwartaal van 2017 gestegen na een aantal kwartalen van daling. Dat vlijkt blijkt uit het vandaag gepubliceerde State of the Internet/ security report.
Medeverantwoordelijk voor deze stijging is de PBot DDoS-malware. In Europa zijn de meeste webapplicatie-aanvallen afkomstig uit Nederland. Wereldwijd bezet ons land een vierde plek.
Oude PHP-code
In het geval van PBot werd oude PHP-code door de aanvallers gebruikt bij de grootste DDoS-aanval in het tweede kwartaal. Het lukte de aanvallers om een mini-DDoS botnet te ontwikkelen dat in staat was om een DDoS-aanval van 75 gigabits per seconde (Gbps) uit te voeren.
Interessant is dat hoewel het PBot-botnet was samengesteld uit een relatief laag aantal van 400 knooppunten, het botnet toch een significante hoeveelheid aanvallend verkeer wist te genereren.
DGA
Een andere oude bekende die terugkomt is het gebruik van Domain Generation Algorithms (DGA) in de Command and Control (C&C)-infrastructuur. Hoewel al in 2008 voor het eerst geïntroduceerd met de Conficker-worm, blijft DGA een veelgebruikte communicatietechniek in de hedendaagse malware.
Geïnfecteerde netwerken hadden een DNS lookup rate die ongeveer 15 keer hoger is dan bij een schoon netwerk. Dit kan verklaard worden door het feit dat de malware op geïnfecteerde netwerken willekeurig gegenereerde domeinen probeert te benaderen.
Aangezien het merendeel van deze domeinen niet geregistreerd was, veroorzaakte het nogal wat ruis wanneer er geprobeerd werd deze allemaal te bereiken. Het analyseren van de verschillen tussen de gedragskenmerken van geïnfecteerde en schone netwerken is een belangrijke manier om malware-activiteit te identificeren.
Mirai
Toen afgelopen september het Mirai-botnet werd ontdekt, was het bedrijf Akamai, dat het onderzoek samenstelde, één van de eerste doelen. Het platform van het bedrijf bleef zich succesvol verdedigen tegen aanvallen vanuit het Mirai-botnet.
De onderzoekers hebben het inzicht dat het bedrijf heeft in Mirai gebruikt om verschillende aspecten van het botnet te onderzoeken. Daarbij lag in het tweede kwartaal de focus vooral op de C&C-infrastructuur.
Mirai zou, net als vele andere botnets, bijdragen aan het vermarkten van DDoS. Waar veel van de C&C-knooppunten van het botnet al ‘dedicated attacks’ lieten zien op geselecteerde IP-adressen, droegen andere C&C-knooppunten bij aan wat beschouwd kunnen worden als ‘pay-for-play’-aanvallen.
Hierbij vielen Mirai C&C-knooppunten korte tijd IP-adressen aan, werden inactief, om vervolgens weer andere doelen aan te vallen.
Andere belangrijke uitkomsten van het rapport zijn
- Het aantal DDoS-aanvallen steeg in het tweede kwartaal met 28 procent vergeleken met het vorige kwartaal, na drie kwartalen waarin het aantal juist daalde.
- DDoS-aanvallers zijn hardnekkiger dan ooit, waarbij een doel gemiddeld 32 keer wordt aangevallen in een kwartaal. Een gamingbedrijf werd zelfs 558 keer aangevallen, gemiddeld zo’n zes keer per dag.
- Egypte kent met 32 procent van het wereldwijde totaal het hoogste aantal unieke IP-adressen dat gebruikt wordt in frequente DDoS-aanvallen. In het vorige kwartaal bezette de Verenigde Staten nog de eerste plek en stond Egypte niet eens in de top vijf.
- Dit kwartaal werden minder devices gebruikt om een DDoS-aanval te lanceren. Het aantal IP-adressen betrokken bij volumetrische DDoS-aanvallen daalde met 98 procent van 595.000 tot 11.000.
- De frequentie van aanvallen op webapplicaties steeg met vijf procent vergeleken met het vorige kwartaal en 28 procent vergeleken met het vorige jaar.
- In meer dan de helft (51 procent) van de webapplicatie-aanvallen werden dit kwartaal SQL-injecties gebruikt – een stijging van 44 procent vergeleken met vorig kwartaal – goed voor bijna 185 miljoen alerts in het tweede kwartaal.
