Von: Tom Gorup & Andrew Johnson
Sie haben wahrscheinlich bemerkt, dass die Häufigkeit von Cyberangriffen in Schlagzeilen seit Beginn des Krieges zwischen Israel und Hamas drastisch zugenommen hat. Wir haben eine enorme Zunahme von Seiten-Defacement über DDoS-Angriffe bis hin zur Datenextraktion von Hacktivisten auf der ganzen Welt erlebt. Es gab weder Grenzen noch Grenzen, die sie nicht überqueren wollen.
Während bemerkenswertere Angriffe auf öffentlich zugängliche Websites wie die Jerusalem Post Schlagzeilen machen, ist ein interessanter Trend, den wir feststellen konnten, dass die Website-Verwerfungen auf weniger sichtbare Ziele um eins zu viele geht. Unter „One-to-Many“ verstehen wir Angriffe, die auf eine einzige Ressource abzielen und viele Websites gefährden. Viele der Angriffe, die wir gesehen haben und die behaupten, mit Konflikten im Nahen Osten in Verbindung zu stehen, sitzen hinter einzelnen IP-Adressen, was uns zu der Hypothese führte, dass viele dieser Bedrohungsakteure (TA) Zugriff auf eine einzige anfällige Ressource oder Anwendung erhalten, die es ihnen ermöglicht, jede Website zu manipulieren, die sich hinter diesem Proxy oder auf diesem Server befindet. Die meisten Angriffe, die diesem Muster folgen, haben Hosting-Anbieter ausgenutzt. Wir betrachten diese opportunistischen Angriffe und nehmen folglich niemanden von der Liste der potenziellen Ziele, das Internet ist ihr Ziel.
In den letzten zwei Wochen haben wir öffentlich angekündigte Website-Defacements in Hacker-Foren analysiert, und was wir fanden, war etwas unerwartet und sicherlich interessant. Von den 4.069 von Hacktivisten in den letzten zwei Wochen gemeldeten Site-Defacement-Angriffen fanden wir beispielsweise 3.480 eindeutige Domains, die auf 1.426 eindeutige IP-Adressen beschränkt sind. Um einen Schritt weiter zu gehen, fanden wir nur etwa 271 eindeutige ASN (Autonome Systemnummern), die mit derselben Zielliste verknüpft sind.
Diese Statistiken sprechen Bände über die Arten von Zielen, die diese Hacktivisten verfolgen. Wenn Sie sich immer noch fragen, ob Ihre eigene Website gefährdet ist… nun ja, das ist es! Man könnte denken, dass weniger stark frequentierte Websites zu klein sind, um in diesen Krieg verwickelt zu werden, aber die Realität ist, dass Angreifer jede Gelegenheit nutzen, ihre Flagge im Namen des Hacktivismus auf der Website eines anderen zu platzieren. Obwohl wir nicht auf die Motive jeder einzelnen TA eingehen können, haben die meisten wahrscheinlich den Wunsch, Glaubwürdigkeit zu erlangen und Stolz zu wecken, wenn sie in einem Raum voller Personen posten, die darauf warten, ihre Erfolge zu feiern. Lassen Sie uns einige Beispiele durchgehen, um unsere Hypothese zu veranschaulichen.
Bedrohung: SanRei
Sehen wir uns in diesem Beispiel eine TA an, die den Namen SanRei trägt. Diese Person richtete sich an 69 eindeutige Domänen mit 23 eindeutigen IP-Adressen und 15 ASNs 72 % der Ziele von SanRei liegen in der ASN eines einzelnen Hosting-Anbieters.
Nach der Analyse von neun Domains fanden wir heraus, dass mehrere der Sites denselben Text/dieselbe Kopie enthielten, jedoch unterschiedliche Grafiken, Seitenlayouts und Themen enthielten. Die Seiten scheinen auf jeden Fall verwandt zu sein. Ob die TA die Standorte erstellt und kontrolliert hat, die sie später in einem Telegramm-Kanal entstellt und damit prahlt haben, ist schwer zu beweisen, aber es ist sicherlich eine starke Möglichkeit.
Websites mit sehr ähnlichen Inhalten, die auf derselben IP gehostet wurden, behaupteten später, von SanRai entstellt zu werden.
Bedrohungsakteur: ./BRILLANT
Als Nächstes betrachten wir die Arbeit einer TA, die den Namen ./BRILLIANT trägt, und stellen fest, dass diese einzelne zielgerichtete 1.112 eindeutige Domains in 229 eindeutigen IP-Adressen und 61 ASNs gefunden hat. Siebzig Prozent der ./BRILLANTEN Zieldomänen befinden sich im ASN der Universitas Gadjah Mada. Es scheint wahrscheinlich, dass ./BRILLIANT eine Schwachstelle in einer einzelnen App gefunden hat, die eine Reihe von einzelnen Blogs auf *.Web.ugm.ac.id. hostet
Im Face Value sieht ./BRILLIANT so aus, als hätten sie mehr als 700 Websites kompromittiert, aber die wahrscheinliche Realität ist, dass sie eine haben und diesen Zugang genutzt haben, um viele einzelne Blogs zu manipulieren. Ein recht erfolgreicher One-to-Many-Kompromiss.
Bedrohung: AnonCyber504_ID
Diese Hacktivisten haben nicht nur gefälschte Websites und Blogs ins Visier genommen, sondern auch legitime geschäftliche Websites stehen auf ihrer Liste. Threat Actor AnonCyber504_ID zielte auf 60 eindeutige Domains mit 37 eindeutigen IP-Adressen und 16 ASNs ab Sechsundvierzig Prozent der AnonCyber504-Ziele liegen innerhalb der ASN eines Hosting-Anbieters, und viele scheinen legitimen Unternehmen zuzugehören.
Obwohl keine der von uns untersuchten beschädigten Websites einem Fortune-500-Unternehmen angehört, geht es hier darum, dass Hacktivisten und andere technische Hilfe scheinbar wahllos auf Websites abzielen, egal ob groß oder klein, staatliche oder private Unternehmen.
Schlussfolgerung
Wir sind uns sicher, dass Sie schon von den meisten davon gehört haben, aber was kann man tun, um ihre Website vor 1:n-Angriffen zu schützen?
Multi-Faktor-Authentifizierung
Haben Sie es satt, dies auf der Liste der Empfehlungen zu sehen? Es gibt ein Sprichwort: „Wenn du es satt hast, es zu sagen, fangen die Leute an, es zu hören.“ Stellen Sie in diesem Fall sicher, dass Sie MFA für alle Konten mit Zugriff auf Ihre Webressourcen und Administratorbereiche durchsetzen.
Endpoint Protection
Wir wissen, dass Sie möglicherweise ein Projekt zur Einführung von Endpoint Protection haben, das vor sechs Monaten zum Stillstand gekommen ist. Drehen Sie es wieder hoch, es ist Zeit, es zu einer Priorität zu machen. Das kann einen großen Beitrag zur Reduzierung Ihrer Sicherheitslast leisten.
Patchmanagement
Patching ist eine undankbare Aufgabe und läuft für immer, ist aber äußerst notwendig. Wie finden diese 1:n-Angriffe Ihrer Meinung nach statt? Nehmen Sie sich die Zeit, ein gutes Programm zu entwickeln. Auf lange Sicht werden Sie sich bedanken.
Web-Anwendungs- und API-Schutz
Wie bereits erwähnt, ist das Patching schwierig, aber wenn Sie eine gute Web Application Firewall (WAF) nutzen, insbesondere eine Cloud-basierte Firewall mit integriertem DDoS-Schutz, API-Sicherheit und Bot-Management, können Sie leichter atmen, da Sie wissen, dass Sie zwischen der Entdeckung einer Schwachstelle und dem Rollout eines Patches geschützt bleiben können, mit Funktionen wie virtuellem Patching.
Schutz all Ihrer Websites
Obwohl die meisten ausgereiften Unternehmen viele dieser Sicherheitsvorkehrungen haben, unterstreichen die jüngsten Aktivitäten von Hacktivisten, wie wichtig es ist, all Ihre Web-Assets zu schützen, nicht nur Ihre „Kronjuwelen“-Websites.
Benutzerschulung
dieser Satz verursacht so viel Übelkeit, aber wir denken, dass er völlig unterschätzt wird. Es würde uns nicht überraschen, wenn ein Großteil dieser 1:n-Kompromisse mit einem Phishing-Angriff begann. Nehmen Sie sich die Zeit, um sicherzustellen, dass Ihr Team versteht, warum all diese Sicherheitskontrollen notwendig sind. Der Schlüssel dabei ist, sicherzustellen, dass es zeitnah, relevant und ansprechend ist. Haben Sie Schwierigkeiten, es zu motivieren? Erreichen Sie sich; unser Team hat eine Menge Ideen, die Ihnen helfen können.
Wenn Sie mehr über die preisgekrönte WAAP-Lösung (Web Application and API Protection) von Edgio erfahren möchten, wenden Sie sich noch heute an einen unserer Sicherheitsexperten.