Toename aantal DDoS-aanvallen na periode van daling - Akamai

Na een aantal kwartalen van daling is het aantal DDoS- en webapplicatie-aanvallen in het tweede kwartaal van 2017 gestegen. Dat blijkt uit het Second Quarter, 2017 State of the Internet / Security Report van Akamai Technologies. Medeverantwoordelijk voor deze stijging is de PBot DDoS-malware die weer aan de basis stond van de meest krachtige DDoS-aanval die dit kwartaal door Akamai is gesignaleerd. In Europa zijn de meeste webapplicatie-aanvallen afkomstig uit Nederland, wereldwijd bezet Nederland een vierde plek.

In het geval van PBot werd oude PHP-code door de aanvallers gebruikt bij de grootste DDoS-aanval die door Akamai in het tweede kwartaal werd waargenomen. Het lukte de aanvallers om een mini-DDoS botnet te ontwikkelen dat in staat was om een DDoS-aanval van 75 gigabits per seconde (Gbps) uit te voeren. Interessant is dat hoewel het PBot-botnet was samengesteld uit een relatief laag aantal van 400 knooppunten, het botnet toch een significante hoeveelheid aanvallend verkeer wist te genereren.  

Akamai meldt ook de terugkomst van het gebruik van Domain Generation Algorithms (DGA) in de Command and Control (C&C)-infrastructuur. Hoewel al in 2008 voor het eerst geïntroduceerd met de Conficker-worm, blijft DGA een veelgebruikte communicatietechniek in de hedendaagse malware. Het Akamai-team ontdekte dat geïnfecteerde netwerken een DNS lookup rate hadden die ongeveer 15 keer hoger is dan bij een schoon netwerk.  

Akamai bij eerste doelen Mirai-botnet

Toen afgelopen september het Mirai-botnet werd ontdekt, was Akamai één van de eerste doelen. Het platform van het bedrijf bleef zich succesvol verdedigen tegen aanvallen vanuit het Mirai-botnet. De onderzoekers van Akamai hebben het inzicht dat het bedrijf heeft in Mirai gebruikt om verschillende aspecten van het botnet te onderzoeken, waarbij in het tweede kwartaal de focus vooral lag op de C&C-infrastructuur. Onderzoek van Akamai wijst er sterk op dat Mirai, net als vele andere botnets, bijdraagt aan het vermarkten van DDoS. Waar veel van de C&C-knooppunten van het botnet al ‘dedicated attacks’ lieten zien op geselecteerde IP-adressen, droegen andere C&C-knooppunten bij aan wat beschouwd kunnen worden als ‘pay-for-play’-aanvallen. Hierbij vielen Mirai C&C-knooppunten korte tijd IP-adressen aan, werden inactief, om vervolgens weer andere doelen aan te vallen. 

Andere uitkomsten van het rapport zijn:

• Het aantal DDoS-aanvallen steeg in het tweede kwartaal met 28 procent vergeleken met het vorige kwartaal, na drie kwartalen waarin het aantal juist daalde. 
• DDoS-aanvallers zijn hardnekkiger dan ooit, waarbij een doel gemiddeld 32 keer wordt aangevallen in een kwartaal. Een gamingbedrijf werd zelfs 558 keer aangevallen, gemiddeld zo’n zes keer per dag.
• Egypte kent met 32 procent van het wereldwijde totaal het hoogste aantal unieke IP-adressen dat gebruikt wordt in frequente DDoS-aanvallen. In het vorige kwartaal bezette de Verenigde Staten nog de eerste plek en stond Egypte niet eens in de top vijf. 
• Dit kwartaal werden minder devices gebruikt om een DDoS-aanval te lanceren. Het aantal IP-adressen betrokken bij volumetrische DDoS-aanvallen daalde met 98 procent van 595.000 tot 11.000.
• De frequentie van aanvallen op webapplicaties steeg met vijf procent vergeleken met het vorige kwartaal en 28 procent vergeleken met het vorige jaar. 
• In meer dan de helft (51 procent) van de webapplicatie-aanvallen werden dit kwartaal SQL-injecties gebruikt – een stijging van 44 procent vergeleken met vorig kwartaal – goed voor bijna 185 miljoen alerts in het tweede kwartaal.