Een DDoS-aanval (distributed-denial-of-service) is een soort cyberaanval die wordt gebruikt om het normale verkeer van een site of service met verzoeken te verstoren. De aanval treft verschillende platforms, waaronder websites en videogames.
Bij een DDoS-aanval ervaart de serverinfrastructuur waarop een online service vertrouwt onverwacht verkeer, waardoor deze offline wordt gedwongen.
Sinds de eerste denial of service-aanval in 1974 zijn DDoS-aanvallen het belangrijkste type cyberaanval geworden. In dit artikel wordt onderzocht hoe aanvallers die een DDoS gebruiken, geavanceerder zijn geworden, en hoe ze de risico's van hun aanvallen kunnen verkleinen.
Hoe werkt een DDoS?
Netwerken van machines die met internet zijn verbonden, kunnen worden gebruikt om DDoS-aanvallen uit te voeren. De soorten machines die worden gebruikt bij een DDoS-aanval omvatten computers. De verzameling apparaten die voor een DDoS wordt gebruikt, worden botnets genoemd.
DDoS-aanvallers gebruiken malware om controle over de apparaten te krijgen, zodat ze aanvallen op afstand kunnen richten. Het is moeilijk om onderscheid te maken tussen een botnet en een normaal apparaat, aangezien systemen botnets doorgaans herkennen als legitieme internetapparaten.
Hier zijn de soorten manieren waarop DDoS-aanvallen kunnen worden uitgevoerd en hoe ze u kunnen beïnvloeden.
1. Windows Remote Desktop Protocol
Windows Remote Desktop Protocol (RDP) wordt gebruikt om computers via netwerken te verbinden. Het propriety-protocol van Microsoft heeft het voor mensen gemakkelijk gemaakt om computers via netwerken te verbinden.
Onderzoek door Netscout laat zien dat Windows RDP is gebruikt om DDoS-aanvallen te versterken en nieuwe vectoren te exploiteren. User Diagram Protocol (UDP) was een belangrijk onderdeel dat door aanvallers werd gebruikt om DDoS-aanvallen met de servers uit te voeren.
UDP is een communicatieprotocol dat wordt gebruikt voor tijdgevoelige transmissies zoals spraak en video's. De snelheid is gebaseerd op het feit dat er formeel geen verbinding tot stand wordt gebracht voordat gegevens worden overgedragen. Dit heeft verschillende nadelen, waaronder pakketten die tijdens het transport verloren gaan en kwetsbaarheden voor DDoS-aanvallen.
Hoewel niet alle RDP-servers werden misbruikt, gebruikten cybercriminelen Windows RDP om junkverkeer voor hun DDoS-aanvallen te bouncen en te versterken. Aanvallers maakten gebruik van systemen waarop RDP-authenticatie was ingeschakeld op UDP-poort 3389 bovenop de standaard TCP-poort 3389. Aanvallers stuurden UDP-pakketten naar de UDP-poorten van RDP-servers voordat ze werden gereflecteerd op gerichte apparaten.
2. Jenkins-servers
Jenkins is een open-source server die wordt gebruikt om softwareontwikkelingstaken te automatiseren. Een Jenkins-server kan worden gebruikt om een verscheidenheid aan kritieke softwareontwikkelingstaken uit te voeren, waaronder bouwen, testen, implementeren en continue integratie.
Er werd een kwetsbaarheid geïdentificeerd die het mogelijk maakte om DDoS-aanvallen met Jenkins te lanceren. Terwijl de bug werd verholpen, wierp de kwetsbaarheid licht op enkele van de DDoS-risico's die verband houden met bugs in servers.
Als u een openbare Jenkins-instantie uitvoert, update dan wekelijks naar 2.204.2 LTS of naar 2.219+. Oudere versies kunnen een doelwit zijn voor denial-of-service-aanvallen. Zie SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
- Jenkins (@jenkinsci) 13 februari 2020
Beveiligingsonderzoekers ontdekten dat een aanvaller het Jenkins UDP-detectieprotocol (op UDP-poort 33848) kon gebruiken om DDoS-aanvallen te versterken, waardoor het verkeer van de server naar het beoogde doelwit werd teruggestuurd. Aanvallers kunnen dan de kwetsbare servers van Jenkin gebruiken om het verkeer tot wel 100 keer te vergroten.
De bug maakte het ook waarschijnlijker dat de servers werden misleid om continue pakketten naar elkaar te sturen. Dit kan leiden tot oneindige lussen en crashes.
3. Protocol voor dynamische detectie van webservices (WS-DD)
Web Services Dynamic Discovery (WS-DD) Protocol is een multicast-detectieprotocol dat wordt gebruikt voor het lokaliseren van services of apparaten op een lokaal netwerk. Videobewaking en afdrukken zijn enkele voorbeelden van activiteiten waarvoor WS-DD wordt gebruikt.
Verwant: Microsoft probeert DDoS-aanvallen op Xbox Live te voorkomen
Uit onderzoek blijkt dat cybercriminelen WS-DD hebben gebruikt als een UDP-amplificatietechniek. In 2019 voerden aanvallers meer dan 130 DDoS-aanvallen uit met het protocol, waarbij ze meer dan 630.000 apparaten gebruikten om de DDoS-aanvallen te versterken. Naarmate het gebruik van IoT-apparaten (Internet of Things) toeneemt, kunnen dit soort aanvalsvectoren een grotere zorg worden.
4. DDoS-kwetsbaarheden op 5G
5G belooft de snelheid en het reactievermogen van draadloze netwerken te verbeteren. Het 5e generatie mobiele netwerk verbindt mensen en hun apparaten als nooit tevoren, met betere bandbreedte en geavanceerde antennetechnologie.
Door een toename van het aantal aangesloten apparaten kan het risico op DDoS-aanvallen echter toenemen.
A3:… Een voorbeeld van een nieuw niveau van gevaar zou zelfs zijn voor organisaties die zelf geen 5G gebruiken - toegenomen omvang van DDoS-aanvallen... De "goeden" zijn niet de enigen die de grotere beschikbare middelen kunnen benutten bandbreedte ...#BIZTALKS#CyberSecurity#InfoSec#Veiligheid# 5G
- Joseph Steinberg (@JosephSteinberg) 21 oktober 2020
Naarmate de omvang van het IoT-apparaatnetwerk toeneemt met de introductie van 5G, kan het aanvalsoppervlak voor DDoS-aanvallen groter worden. Er bestaan veel kwetsbare en onbeschermde IoT-apparaten.
Het is onvermijdelijk dat er in de beginfase van de implementatie veel beveiligingsverbeteringen moeten worden doorgevoerd voor een nieuw netwerk zoals 5G. Het gecombineerd kwetsbaarheden van IoT-apparaten en de nieuwe beveiligingsstructuur van 5G-netwerken kan 5G-apparaten een gemakkelijk doelwit maken voor creatieve cybercriminelen.
Cybercriminelen zullen 5G waarschijnlijk gebruiken om hun DDoS-aanvalsbandbreedte uit te breiden. De extra bandbreedte kan de impact van volumetrische aanvallen vergroten, waarbij bandbreedte wordt gebruikt om de bandbreedte van het doelwit te verzadigen.
5. ACK DDoS met pulserende golven
Webinfrastructuurbedrijf Cloudflare zag een DDoS-aanval die verkeer in pulserende golven stuurt, vergelijkbaar met het ritme van een trommel. De makers van de aanval hebben er misschien voor gekozen om de minder conventionele methode te gebruiken om verkeer te verzenden om beveiligingssystemen te misleiden.
De wereldwijd verspreide aanval duurde twee dagen, waarbij knooppunten werden gebruikt om evenveel pakketten met gelijke snelheden te verzenden. De creativiteit was echter niet genoeg. Er werden meer dan 700 aanvallen gedetecteerd en gecontroleerd.
6. Multi-vector aanvallen
Bij multi-vectoraanvallen wordt een combinatie van verschillende technieken gebruikt om aanvallen uit te voeren op meerdere aanvalsvectoren van het netwerk, de applicatie en de gegevenslagen.
In de afgelopen jaren zijn multi-vector aanvallen populairder geworden omdat hackers nieuwe manieren vinden om platforms aan te vallen. Multi-vectoraanvallen kunnen buitengewoon moeilijk te verdedigen zijn, omdat het moeilijk kan zijn om middelen voor te bereiden om te reageren op veelzijdige aanvallen.
Naarmate er meer protocollen op internet worden geïmplementeerd, zullen de aanvalsvectoren die cybercriminelen kunnen gebruiken, toenemen. Door de wereldwijde vooruitgang in hardware en software ontstaan nieuwe kansen voor cybercriminelen om te experimenteren met nieuwe aanvallen. BitTorrent, HTML en TFTP behoren tot de meest gebruikte aanvalsvectoren.
💂♂️🛡️ Slimme inzichten over de anatomie van een DDoS-dreiging @Impervahttps://t.co/OgpF0d0d0g & de opkomst van multi-vector #DDoS aanvallen op ondernemingen (📽️#video@ A10Networks) #IoT#Cybersecurity#Onzekerheid#Cloudsec#CISO#Gegevenslek#Botnet#Malware#Ransonmware#SMM#SEOpic.twitter.com/zecdoDe291
- Benson M | Boven en buiten data (@Benson_Mwaura) 12 september 2018
7. Botnets die Android-apparaten beïnvloeden
Een nieuw botnet gebruikt Android-apparaten om DDoS-aanvallen uit te voeren. Het botnet, Matryosh, gebruikt een opdrachtregelhulpprogramma, Android Debug Bridge (ADB), in de Android Software Development Kit (SDK) van Google om aanvallen uit te voeren. Met ADB kunnen ontwikkelaars opdrachten op afstand uitvoeren op apparaten.
ADB is niet geverifieerd. Dit betekent dat een aanvaller het kan misbruiken door de Debug Bridge op een Android-apparaat in te schakelen. Wat erger is, is dat veel producten zijn geleverd met Debug Bridge ingeschakeld. Dergelijke apparaten kunnen gemakkelijk op afstand worden benaderd en er is schadelijke software op geïnstalleerd om DDoS-aanvallen uit te voeren.
Wanneer Matryosh op een apparaat wordt uitgevoerd, krijgt het een TOR-proxy om zijn activiteit te verbergen. Dit kan het voor antivirussoftwaresystemen veel moeilijker maken om schadelijke software en aanvallen te identificeren.
Verwant: Wat is een botnet en maakt uw computer er deel van uit?
De risico's van DDoS-aanvallen verminderen
Met een goede voorbereiding kunnen de risico's van DDoS-aanvallen sterk worden verkleind. Cloudtechnologie, reactieplannen en begrip van waarschuwingssignalen zijn enkele van de belangrijkste factoren die bepalen of de risico's van DDoS-aanvallen werkelijkheid worden.
Cloudgebaseerde serviceproviders
DDoS-preventie kan worden uitbesteed aan serviceproviders in de cloud. Hoewel dit op korte termijn duur kan zijn, biedt het voordelen die de kosten op lange termijn kunnen verlagen. Cloud heeft meestal meer bandbreedtebronnen dan privénetwerken. Bovendien is het voor aanvallers moeilijker om hun beoogde bestemming te bereiken via cloudgebaseerde applicaties vanwege de bredere toewijzing van middelen en zeer geavanceerde firewalls.
Waarschuwingssignalen voor DDoS-aanvallen
Het is belangrijk om een goed begrip te hebben van de rode vlaggen die op een DDoS-aanval kunnen duiden. Dit kan het gemakkelijker maken om snel oplossingen te implementeren om de risico's van verliezen die een aanval kan veroorzaken te verkleinen. Het afsluiten van websites, de vertraging van netwerken en een aanzienlijke vermindering van de kwaliteit van de gebruikerservaring zijn enkele van de meest voorkomende tekenen van een aanval.
DDoS-reactieplan
Een DDoS-responsplan is nodig om een goede verdedigingsstrategie te implementeren. Het plan moet gebaseerd zijn op een grondige veiligheidsbeoordeling. Een DDoS-responsplan moet worden gedetailleerd en met precisie worden uitgevoerd. Het plan moet details bevatten van het responsteam, contacten, meldingsprocedures, escalatieprocedures en een systeemchecklist.
Pas je aan en overwin
Cybercriminelen evolueren voortdurend terwijl ze nieuwe manieren zoeken om systemen te exploiteren voor persoonlijk gewin. Naarmate nieuwe technologieën worden geïntroduceerd, zullen onvermijdelijk meer aanvalsvectoren worden gecreëerd, wat kansen biedt om creatieve DDoS-methoden te implementeren.
We moeten niet alleen extra maatregelen nemen om ons te beschermen tegen aanvallen van eeuwenoude leeftijd kwetsbaarheden, maar we moeten ook de risico's aanpakken die gepaard gaan met een nieuw tijdperk van meer divers en geavanceerd technologieën.
Hoe beïnvloeden deze zes nieuwe soorten DDoS uw online veiligheid?
- Technologie verklaard
- Veiligheid
- Malware
- DDoS
- Botnet
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.
