2017 Akamai Q2 State of the Internet / Security-rapport: aantal DDoS-aanvallen gestegen na drie kwartalen van daling

Amsterdam — Het aantal DDoS- en webapplicatie-aanvallen is in het tweede kwartaal van 2017 gestegen na een aantal kwartalen van daling, zo blijkt uit het vandaag gepubliceerde Second Quarter, 2017 State of the Internet / Security Report van Akamai Technologies, Inc. (NASDAQ: AKAM). Medeverantwoordelijk voor deze stijging is de PBot DDoS-malware die weer aan de basis stond van de meest krachtige DDoS-aanval die dit kwartaal door Akamai is gesignaleerd. In Europa zijn de meeste webapplicatie-aanvallen afkomstig uit Nederland, wereldwijd bezet ons land een vierde plek.

In het geval van PBot werd oude PHP-code door de aanvallers gebruikt bij de grootste DDoS-aanval die door Akamai in het tweede kwartaal werd waargenomen. Het lukte de aanvallers om een mini-DDoS botnet te ontwikkelen dat in staat was om een DDoS-aanval van 75 gigabits per seconde (Gbps) uit te voeren. Interessant is dat hoewel het PBot-botnet was samengesteld uit een relatief laag aantal van 400 knooppunten, het botnet toch een significante hoeveelheid aanvallend verkeer wist te genereren.

Een andere oude bekende die terugkomt in de analyse van het Akamai Enterprise Threat Research Team is het gebruik van Domain Generation Algorithms (DGA) in de Command and Control (C&C)-infrastructuur. Hoewel al in 2008 voor het eerst geïntroduceerd met de Conficker-worm, blijft DGA een veelgebruikte communicatietechniek in de hedendaagse malware. Het Akamai-team ontdekte dat geïnfecteerde netwerken een DNS lookup rate hadden die ongeveer 15 keer hoger is dan bij een schoon netwerk. Dit kan verklaard worden door het feit dat de malware op geïnfecteerde netwerken willekeurig gegenereerde domeinen probeert te benaderen. Aangezien het merendeel van deze domeinen niet geregistreerd was, veroorzaakte het nogal wat ruis wanneer er geprobeerd werd deze allemaal te bereiken. Het analyseren van de verschillen tussen de gedragskenmerken van geïnfecteerde en schone netwerken is een belangrijke manier om malware-activiteit te identificeren.

Toen afgelopen september het Mirai-botnet werd ontdekt, was Akamai één van de eerste doelen. Het platform van het bedrijf bleef zich succesvol verdedigen tegen aanvallen vanuit het Mirai-botnet. De onderzoekers van Akamai hebben het inzicht dat het bedrijf heeft in Mirai gebruikt om verschillende aspecten van het botnet te onderzoeken, waarbij in het tweede kwartaal de focus vooral lag op de C&C-infrastructuur. Onderzoek van Akamai wijst er sterk op dat Mirai, net als vele andere botnets, bijdraagt aan het vermarkten van DDoS. Waar veel van de C&C-knooppunten van het botnet al ‘dedicated attacks’ lieten zien op geselecteerde IP-adressen, droegen andere C&C-knooppunten bij aan wat beschouwd kunnen worden als ‘pay-for-play’-aanvallen. Hierbij vielen Mirai C&C-knooppunten korte tijd IP-adressen aan, werden inactief, om vervolgens weer andere doelen aan te vallen.
“Aanvallers zijn constant op zoek naar zwakke plekken in de verdediging van organisaties. Hoe algemener de aard van een kwetsbaarheid, hoe effectiever het is om er misbruik van te maken en hoe meer energie en middelen hackers er aan zullen wijden,” zegt Martin McKeay, Akamai senior security advocate. “Events zoals de Mirai-botnet, de manier waarop WannaCry en Petya te werk gaan, de toename van het aantal aanvallen met SQL-injecties en de wederopstanding van PBot illustreren dat aanvallers niet alleen nieuwe tools inzetten, maar ook terugkeren naar oude tools die in het verleden hun effectiviteit hebben bewezen.”

Andere belangrijke uitkomsten van het rapport zijn:

Het aantal DDoS-aanvallen steeg in het tweede kwartaal met 28 procent vergeleken met het vorige kwartaal, na drie kwartalen waarin het aantal juist daalde.
DDoS-aanvallers zijn hardnekkiger dan ooit, waarbij een doel gemiddeld 32 keer wordt aangevallen in een kwartaal. Een gamingbedrijf werd zelfs 558 keer aangevallen, gemiddeld zo’n zes keer per dag.
Egypte kent met 32 procent van het wereldwijde totaal het hoogste aantal unieke IP-adressen dat gebruikt wordt in frequente DDoS-aanvallen. In het vorige kwartaal bezette de Verenigde Staten nog de eerste plek en stond Egypte niet eens in de top vijf.
Dit kwartaal werden minder devices gebruikt om een DDoS-aanval te lanceren. Het aantal IP-adressen betrokken bij volumetrische DDoS-aanvallen daalde met 98 procent van 595.000 tot 11.000.
De frequentie van aanvallen op webapplicaties steeg met vijf procent vergeleken met het vorige kwartaal en 28 procent vergeleken met het vorige jaar.
In meer dan de helft (51 procent) van de webapplicatie-aanvallen werden dit kwartaal SQL-injecties gebruikt – een stijging van 44 procent vergeleken met vorig kwartaal – goed voor bijna 185 miljoen alerts in het tweede kwartaal.

Het volledige State of the Internet / Security-rapport kan hier gratis worden gedownload. Afzonderlijke tabellen en grafieken zijn hier beschikbaar.

######

Methodologie
Het Akamai Second Quarter, 2017 State of the Internet / Security Report bevat aanvalgegevens afkomstig uit de wereldwijde infrastructuur van Akamai en de resultaten van onderzoeken uitgevoerd door verschillende teams binnen het bedrijf. Het rapport biedt een analyse van het huidige cloud security- en threatlandschap, en geeft inzicht in trends op basis van data van het Akamai Intelligent Platform. Bijdragen aan het State of the Internet / Security Report zijn afkomstig van security professionals van Akamai, waaronder het Security Intelligence Response Team (SIRT), de Threat Research Unit, Information Security en de Custom Analytics group.