作者:汤姆·戈鲁普和安德鲁·约翰逊
您可能已经注意到,自以色列/哈马斯战争爆发以来,头条新闻中的网络攻击频率急剧上升。 从网站篡改到DDoS攻击,再到来自世界各地黑客活动者的数据泄露,我们都看到了大量增长。 没有他们不愿意跨越的边界或边界。
虽然对高度公共网站(如耶路撒冷邮报)的更引人注目的攻击成为新闻头条新闻,但我们注意到一个有趣的趋势是对不太明显的目标进行一对多站点篡改。 我们所说的”一对多”是指针对单个资源的攻击,从而危及许多网站。 我们看到的许多攻击声称与中东冲突利益有关,它们都位于单个IP之后,这导致我们假设其中许多威胁参与者(TA)正在获得对单个易受攻击的资源或应用程序的访问权限,从而允许他们操纵位于该代理后面或该服务器上的任何站点。 我们看到的大多数遵循这种模式的攻击都利用了托管提供商。 我们认为这些机会主义攻击不会将任何人从潜在目标名单中删除,因特网是他们的目标。
在过去的两个星期里,我们一直在分析黑客论坛公开宣布的网站篡改,我们发现这是有点意想不到的,当然很有趣。 例如,在过去两周黑客活动者报告的4,069次网站篡改攻击中,我们发现有3,480个唯一的目标域,但仅限于1,426个唯一的IP地址。 再进一步,我们只发现与相同目标列表关联的271个唯一ASN (自治系统编号)。
这些统计数据表明大量的目标类型这些黑客主义者正在追求. 如果你仍然想知道你自己的网站是否有风险…好吧! 您可能会认为,流量较少的网站太小,无法卷入这场战争,但现实是攻击者正在抓住一切机会,以黑客主义的名义在某人的网站上张贴旗帜。 虽然我们不能谈论每个人TA的动机,但当他们张贴到一个挤满等待庆祝成功的人的房间时,大多数人很可能希望获得信誉和激发自豪感。 让我们来看几个例子来说明我们的假设。
威胁演员:SanRei
在本例中,让我们看看名为SanRei的TA。 这位用户针对的是来自23个唯一IP地址和15个ASN的69个唯一域。 SanRei 72%的目标位于单个托管提供商的ASN内。
此外,在分析了九个域名后,我们发现一些网站包含相同的文本/副本,但图形,页面布局和主题不同。 这些网站显然是相关的。 电讯管理局是否创建和控制了这些网站,他们后来在电讯频道上诋毁和吹嘘,这是很难证明,但这肯定是一个很强的可能性。
内容非常相似的网站,托管在同一个IP上,后来声称被SanRai玷污。
威胁演员:./Brilliant
接下来检查一个名为./ Brilliant的TA的工作,我们发现这个人在229个唯一的IP地址和61个ASN上针对1,112个唯一的域。./ Brilliant目标域中的百分之七十是在Universitas Gadjah Mada的ASN中。./ Brilliant似乎在一个应用程序中发现了一个漏洞,该应用程序在*. web.ugm.ac.id上托管了许多个人博客
从表面上看,./ Brilliant看起来好像破坏了700多个网站,但可能的现实是他们弹出了一个,并利用这种访问权限操纵了许多个人博客。
威胁演员:AnonCyber504_ID
这些黑客活动者不仅针对虚假网站和博客,合法的商业网站也在他们的目标列表中。 威胁攻击者AnonCyber504_ID针对37个唯一IP地址和16个ASN的60个唯一域。 46%的AnonCyber504目标位于一个托管提供商的ASN内,许多目标似乎属于合法企业。
虽然我们检查过的被毁网站中没有一个属于财富500强公司,但这里的要点是黑客活动者和其他TA似乎不分青红皂白地瞄准网站,不管是大型还是小型,政府还是私营企业。
结论
我们确信您之前听说过其中的大多数,但您可以做些什么来保护他们的网站免受一对多黑客攻击?
多重身份验证
您是否厌倦了在推荐列表中看到这一点? 有一句俗话说:”当你厌倦了说话,人们就开始听到了。” 在这种情况下,请确保您已在所有具有Web资源和管理面板访问权限的帐户上强制执行MFA。
端点保护
我们知道您的端点保护部署项目可能在六个月前中断。 将其重新旋转,是时候将其作为优先事项了。 这可以大大降低您的安全工作负载。
修补程序管理
修补程序是一项毫无益处的任务,它永远可以运行,但它是极其必要的。 您认为这些一对多攻击是如何发生的? 花点时间来制定一个好的计划,从长远来看,您会感谢自己。
Web应用程序和API保护
正如我们前面提到的,修补很难,但如果您利用良好的Web应用程序防火墙(WAF),尤其是云交付的防火墙(具有内置DDoS保护,API安全和爬虫程序管理),您将能够更轻松地知道,在发现漏洞和部署修补程序这段时间内,您可以通过虚拟修补等功能保持保护。
保护您的所有站点
虽然大多数成熟的组织都有许多这些安全措施,但黑客活动家最近开展的活动强调了保护您所有Web资产的重要性,而不仅仅是保护您的”皇冠宝石”站点。
用户教育
这个短语制造了这么多的恶心,但我们认为它完全被低估了。 如果这些一对多妥协中的大多数都是从钓鱼攻击开始的,这也不会让我们感到惊讶。 花点时间确保您的团队了解为什么所有这些安全控制都是必要的。 这里的关键是确保它及时,相关和吸引人。 难以使其具有吸引力? 伸出援手;我们的团队有大量的想法可供帮助。
要了解更多关于Edgio屡获殊荣的Web应用程序和API保护(WAAP)解决方案的信息,请立即联系我们的安全专家。