Barracuda: Cyberkriminelle setzen zunehmend auf Automatisierungstools
Automatisierte Cyberangriffe auf Web-Anwendungen
Barracuda analysierte eine zweimonatige Datenstichprobe zu Angriffen auf Web-Anwendungen, die Barracuda abgewehrt hat, und stellte dabei eine massive Anzahl automatisierter Angriffe fest. Tiefere Einblicke in die Untersuchung gibt Dr. Klaus Gheri, General Manager Network Security bei Barracuda, im nachfolgenden Gastkommentar.
Fast 20 Prozent der entdeckten Angriffe waren Fuzzing-Attacken, bei denen Cyberkriminelle mit Automatisierung versuchen, Anwendungsschwachstellen zu finden und auszunutzen. Injection-Angriffe folgten mit etwa zwölf Prozent, wobei die meisten Angreifer hierbei automatisierte Tools wie sqlmap verwendeten, um in die Anwendungen einzudringen.
Bei vielen dieser Angriffe handelte es sich um Attacken auf Skript-Kiddie-Niveau, bei denen keine Erkundung stattfindet, um die Angriffe zu individualisieren. Bots, die sich als Google-Bot oder Ähnliches ausgeben, lagen mit etwas mehr als zwölf Prozent der analysierten Angriffe auf Web-Anwendungen knapp dahinter. DDoS-Angriffe auf Anwendungen (Distributed Denial of Service) waren überraschend weit verbreitet und machten mehr als neun Prozent der analysierten Stichprobe aus. Ein kleiner Teil der Attacken (knapp ein Prozent) stammt von Bots, welche die Administratoren blockiert haben.
Methoden automatisierte Angriffe
Automatisierte Angriffe nutzen Bots, um Schwachstellen in Web-Anwendungen auszunutzen. Diese Angriffe reichen von gefälschten Bots, die sich als Google-Bots ausgeben, um der Entdeckung zu entgehen, bis hin zu DDoS-Angriffen auf Anwendungen, die versuchen, eine Website zum Absturz zu bringen, indem sie die Anwendung auf subtile Weise überlasten.
Obwohl der Bot-Verkehr ein schnell wachsendes Problem darstellt, bedeutet dies nicht, dass Cyberkriminelle von ihren alten Methoden abrücken. Ein Großteil der von Barracuda analysierten Angriffe waren klassische Web-App-Angriffe wie Injection-Attacken und Cross-Site Scripting (XSS). Der meiste Angriffsverkehr stammt von Aufklärungs- oder Fuzzing-Tools, die zum Sondieren von Anwendungen im Einsatz sind.
Injection-Angriffe sind aktuell die Top-Attacke in der OWASP Top 10, einer Liste der kritischsten Sicherheitsrisiken, und waren bisher in jeder Ausgabe seit der ersten Liste vertreten. Es gibt keine Anzeichen dafür, dass diese Angriffe verschwinden, da sie relativ einfach auszuführen sind und den Cyberkriminellen große Gewinne bescheren können. XSS-Attacken waren ebenfalls sehr beliebt und standen an dritter Stelle der häufigsten Angriffe in dieser Kategorie.
Ein erheblicher Teil des analysierten Angriffsverkehrs zielte auf WordPress- oder PHP-Schwachstellen ab. Einige dieser Angriffe richteten sich jedoch auch gegen Nicht-PHP- oder Nicht-WP-Seiten, was den Schluss zulässt, dass einige Angreifer Script-Kiddies sind. Doch diese Angreifer werden wahrscheinlich bald lernen, eine bessere Erkundung durchzuführen, bevor sie die Angriffe ausführen.
Request-Smuggling-Angriffe waren in der Vergangenheit auf ein vernachlässigbares Maß zurückgegangen, bis man kürzlich HTTP-Desync-Angriffe aufdeckte. Seitdem sind Smuggling-Angriffe in großem Stil zurückgekehrt. Request-Smuggling-Angriffe nutzen die Unfähigkeit des Servers aus, auf sichere Weise mit Anomalien in verschiedenen Aspekten einer HTTP-Anfrage umzugehen. Die Untersuchung von Barracuda ergab, dass mehr als 60 Prozent der Smuggling-Angriffe einen ungültigen Header verwendeten. Ein Drittel verwendete eine mehrfache Content-Länge, drei Prozent hatten eine fehlerhafte Content-Länge.
Bei den meisten Angriffen, die Barracuda gegen JSON-APIs beobachtete, erfolgte ein Test der Randbedingungen. Bei 95 Prozent dieser Arten von Angriffen wurde der maximale Zahlenwert (Max Number Value) und bei fast vier Prozent dieser Attacken die maximale Zahlenlänge (Max Value Length) überschritten. Die Analyse verzeichnete auch andere Angriffsversuche im Datenverkehr (XSS- und SQL-Injection-Angriffe), doch das Volumen dieser Angriffsarten war in der Stichprobe sehr gering bis vernachlässigbar. Es ist zu erwarten, dass dies im Laufe des nächsten Jahres zunehmen wird.
Angriffe, die auf Datenlecks abzielten, konzentrierten sich in erster Linie darauf, sensible Informationen wie Kreditkartennummern auszuspähen. Visa war mit mehr als drei Vierteln dieser Angriffe der Schwerpunkt. Mit großem Abstand folgten JCB mit mehr als 20 Prozent sowie Mastercard, Diners Club und American Express mit deutlich geringerem Anteil.
- Automatisierte Cyberangriffe auf Web-Anwendungen
- Sicherheitsstatus der Verschlüsselung
Lesen Sie mehr zum Thema
