Home Blogs 重点黑客行动主义:您的网站是否面临风险? – Edgio
Applications

重点黑客行动主义:您的网站是否面临风险? – Edgio

About The Author

Outline

作者:Tom Gorup和Andrew Johnson

您可能已经注意到,自以色列/哈马斯战争开始以来,网络攻击在新闻头条中的频率急剧上升。 从网站篡改到DDoS攻击,再到来自全球黑客攻击的数据泄露,我们都看到了这种情况 。 他们不愿意跨越任何边界和边界。

虽然对像《耶路撒冷邮报》这样的高度公共网站的更值得注意的攻击 成为新闻头条,但我们注意到的一个有趣的趋势是对不太明显的目标进行一对多的网站篡改。 我们所说的”一对多”是指以单个资源为目标的攻击,以危害多个网站。 我们所见过的许多攻击,声称与中东冲突利益相关,它们都位于单个IP背后, 这导致我们假设许多威胁行为者(TA)正在获得对单个易受攻击的资源或应用程序的访问权限,从而允许他们操纵位于该代理后面或该服务器上的任何站点。 我们所看到的这种模式下的大多数攻击都利用了托管提供商的优势。 我们考虑这些机会主义的攻击,因此没有人从潜在目标名单中剔除,互联网是他们的目标。

威胁行为者网络错误系统在多个网站篡改后灵活调整,所有这些都在一个IP上

在过去的两个星期里,我们一直在分析黑客论坛中公开宣布的网站篡改,我们发现这些都有点意外,当然也很有趣。 例如,在过去两周黑客攻击报告的4,069次站点篡改攻击中,我们发现目标域为3,480个,但仅限于1,426个唯一IP地址。 更进一步,我们发现只有大约271个唯一的ASN (自治系统编号)与相同的目标列表相关联。

这些统计数据对黑客攻击的目标类型进行了大量分析。 如果你仍然想知道,如果你自己的网站是在风险…那么它是! 您可能会认为,流量较低的站点太小,无法卷入这场战争,但现实情况是,攻击者正在利用每一个机会,以黑客行动主义的名义在某人的站点上张贴自己的国旗。 虽然我们不能谈论每一个TA的动机,它很可能有一些愿望,以获得信誉,并激发自豪感,因为他们张贴到一个房间充满个人等待庆祝他们的成功。 让我们通过几个示例来说明我们的假设。

威胁执行者:SanRei.

在此示例中,我们来看看名为SanRei的TA。 此人针对23个唯一IP地址和15个ASN中的69个唯一域。 SanRei的目标中有72%位于单个托管提供商的ASN内。

此外,在分析九个域后,我们发现多个网站包含相同的文本/副本,但具有不同的图形,页面布局和主题。 这些网站显然是相互关联的。 是否TA创建和控制的网站,他们后来玷污和吹嘘在一个电报频道,是很难证明,但它肯定是一个很强的可能性。

内容非常相似的网站,托管在同一个IP上,后来声称被毁了SanRai。

威胁者:./辉煌

接下来,我们检查一个名为./ billiant的TA的工作,我们发现这个个体针对1,112个唯一的域,跨越229个唯一的IP地址和61个ASN。 70%的./billiant目标域在Universitas Gadjah Mada的ASN内。 似乎./ Brilliant在一个应用程序中发现了一个漏洞,该应用程序在*。web.ugm.ac.id上托管多个单独的博客。

Successful attacks were highly concentrated on a single ASN

从表面价值来看,./辉煌看起来像他们破坏了700多个网站,但很可能的现实是,他们弹出一个,并利用这种访问来操纵许多单独的博客。 相当成功的一对多妥协。

威胁执行者:AnonCyber504_ID

这些黑客不仅针对虚假网站和博客,合法的商业网站也在他们的目标列表中。 Threat Actor AnonCyber504_ID针对37个唯一IP地址和16个ASN的60个唯一域。 AnonCyber504的目标中有46%位于一个托管提供商的ASN内,许多似乎属于合法企业。

Message left by AnonCyber504 on legitimate business websites

虽然我们所调查的有污渍的网站都不属于财富500强公司,但这里的重点是黑客和其他TA似乎是不分青红皂白地针对网站,无论是大型还是小型,政府还是私营企业。

结论

我们相信您以前听说过大多数这类攻击,但我们可以采取哪些措施来保护他们的网站免受一对多黑客攻击?

多因素身份验证
您是否厌倦了在建议列表中看到这一点? 有一句谚语:”当你厌倦了说它时,人们开始听到它。” 在这种情况下,请确保您对所有有权访问您的Web资源和管理面板的帐户实施MFA。

端点保护
我们知道,您的端点保护推广项目可能在六个月前就停止了。 将其重新启动,是时候将其作为优先事项了。 这将大大减少您的安全工作负载。

增补程序管理增补程序
是一项吃力不讨好的任务,并且永远运行,但这是极其必要的。 您认为这些一对多攻击是如何发生的? 花时间制定一个好的程序,你会在长远感谢你自己。

Web应用程序和API保护
正如我们前面提到的,修补是很难的,但是当您利用一个好的Web Application Firewall (WAF)时,尤其是一个具有内置DDoS保护,API安全, 以及爬虫程序管理,您将能够更轻松地呼吸,因为您可以在发现漏洞和部署修补程序之间保持保护,并具有虚拟修补等功能。

保护您的所有网站
虽然大多数成熟的组织都有很多这样的保护措施,但黑客组织最近开展的活动强调了保护您的所有Web资产的重要性,而不仅仅是保护您的”皇冠上的宝石”网站。

用户教育
这句话创造了这么多的恶心,但我们认为它是完全被低估了。 如果这些一对多妥协中的大多数是从网络钓鱼攻击开始的,我们也不会感到意外。 花时间确保您的团队了解为什么所有这些安全控制都是必要的。 这里的关键是确保它的及时性,相关性和吸引力。 难以使其参与? 联系我们;我们的团队有大量的想法可供帮助。

要了解有关Edgio屡获殊荣的Web应用程序和API保护(WAAP)解决方案的更多信息 ,请立即联系我们的安全专家。