IT-beveiligingsleverancier A10 Networks heeft het nieuwe “DDoS Threat Intelligence Report” gepresenteerd. De resultaten laten zien welke tools hackers gebruiken voor DDoS-aanvallen en welke doelwitten ze aanvallen. Uit het onderzoek bleek dat IoT-apparaten steeds vaker worden misbruikt om doelwitten over de hele wereld aan te vallen met gesynchroniseerde aanvallen.
Het DDoS Threat Intelligence Report van A10 Networks onderzoekt het DDoS-aanvalslandschap in het eerste kwartaal van 2019 door te analyseren welke verschillende soorten apparaten en aanvallen worden gebruikt voor DDoS-aanvallen en waar ze vandaan komen. Hoewel cybercriminelen voor hun aanvallen vaak gebruik maken van gevestigde technologieën en internetprotocollen zoals het Network Time Protocol (NTP), Domain Name System resolvers (DNS) en het Simple Services Discovery Protocol (SSDP), maken ze ook steeds vaker gebruik van op CoAP gebaseerde hulpmiddelen (Constrained Application Protocol).
Volgens het rapport worden deze hulpmiddelen het vaakst gebruikt als onderdeel van reflective amplification-aanvallen, waarbij aanvallers een specifiek IP-adres imiteren en verzoeken om informatie naar onbeschermde servers sturen. Deze reageren op dergelijke verzoeken met langere antwoorden naar het IP-adres van het slachtoffer, waardoor de capaciteit van de doelserver wordt overbelast.
“DDoS-aanvallen nemen toe in frequentie, intensiteit en complexiteit,” aldus Rich Groves, directeur onderzoek en ontwikkeling bij A10 Networks. “Met malware geïnfecteerde systemen en kwetsbare servers zijn nog steeds de drijvende kracht achter massale aanvallen tegen onvoorbereide doelwitten. Het groeiende aantal ivd-apparaten die gebruik maken van protocollen zoals CoAP vertegenwoordigen een nieuw, snel groeiend aanvalsoppervlak dat een steeds belangrijkere rol zal spelen in toekomstige DDoS-aanvallen. Net als andere populaire DDoS-tools is CoAP inherent kwetsbaar voor IP-adres spoofing en packet amplificatie – twee belangrijke factoren die een DDoS-aanval kunnen verergeren.”
CoAP is een lichtgewicht machine-to-machine (M2M) protocol dat kan draaien op slimme apparaten met weinig geheugen en computermiddelen. Uit het rapport bleek dat meer dan 400.000 van de aanvalstools worden gebruikt bij aanvallen.
Types en herkomst
In het rapport werden in het eerste kwartaal van 2019 ongeveer 22,9 miljoen DDoS-tools gevonden. De meest voorkomende aanvalstools zijn DNS-resolvers, aanvalstools op basis van NTP, SSDP-gebaseerde tools, Simple Network Management Protocol (SNMP)-apparaten en Trivial File Transfer Protocol (TFTP)-apparaten.
De meest voorkomende landen van herkomst zijn China met 6 179 850 aanvalstools, gevolgd door de VS met 2 646 616 tools. Andere landen waar DDoS-aanvaltools vandaan komen – gerangschikt naar aantal tools – zijn Spanje, Rusland, Zuid-Korea, Italië en India.
“Om een effectieve strategie tegen DDoS-aanvallen te kunnen ontwikkelen, is het belangrijk om actuele informatie te hebben over de miljoenen DDoS-aanvaltools,” aldus Groves. “Met uitgebreide blacklists van verdachte IP-adressen kunnen organisaties beleidsregels opstellen om deze aanvalstools in geval van nood te blokkeren. Daarom analyseren we bij A10 Networks, net als onze DDoS-onderzoekspartners, forensische gegevens, hebben we toegang tot netwerken, traceren we botherderactiviteiten en speuren we het internet af naar handtekeningen van aanvalstools.”