Het delen van informatie is een belangrijke factor in de verdediging tegen cyberdreigingen. Dit is de voornaamste conclusie uit het State of the Internet / Security: Carrier Insights Report for Spring 2018 van Akamai Technologies. In het rapport is data geanalyseerd van meer dan 14 biljoen DNS-verzoeken die Akamai tussen september 2017 en februari 2018 heeft verzameld via netwerken van communicatie service providers (CSP) over de hele wereld.
Nominum, de provider van DNS-based cloud solutions die in 2017 werd overgenomen door Akamai, gebruikt al meer dan 19 jaar DNS-data om zijn bescherming tegen cyberaanvallen zoals DDoS, ransomware, trojans en botnets te verbeteren. Het Carrier Insight Report van Akamai bouwt voort op de expertise van Nominum en toont aan hoe effectief op DNS gebaseerde beveiliging is die is verrijkt met data van andere beveiligingslagen. Bij een gelaagde beveiligingsaanpak worden verschillende beveiligingsoplossingen gebruikt om gezamenlijk de data van een organisatie te beschermen.
“Het ontbreken van een totaaloverzicht van aanvallen op individuele systemen maakt het lastig om voorbereid te zijn op huidige dreigingen”, zegt Yuriy Yuzifovich, Director of Data Science, Threat Intelligence van Akamai. “Het is van cruciaal belang om te communiceren met verschillende platformen bij het vergaren van kennis via meerdere teams, systemen en datasets. Wij geloven dat de DNS-verzoeken die onze dienst biedt een strategische component voor beveiligingsteams zijn. Hiermee krijgen ze de juiste data voor een goed inzicht in dreigingen.”
Bestrijding van het Mirai-botnet: samenwerking is cruciaal
De samenwerking tussen de verschillende teams van Akamai speelde een belangrijke rol bij de ontdekking van Mirai command & control (C&C) domeinen om toekomstige Mirai-detectie te verbeteren. Het Security Intelligence and Response Team (SIRT) van Akamai volgt Mirai sinds het ontstaan en gebruikt honeypots om Mirai-communicatie te detecteren en C&C servers te identificeren.
Eind januari 2018 deelden SIRT en teams van Nominum een lijst van meer dan 500 verdachte Mirai C&C domeinen. Het doel hiervan was om te achterhalen of deze lijst door middel van DNS-data en kunstmatige intelligentie kon worden aangepast en of toekomstige Mirai-detectie hiermee kon worden verbeterd. Door middel van een gelaagde analyse konden Akamai-teams de Mirai C&C dataset veranderen om zo een connectie te ontdekken tussen Mirai-botnets en verspreiders van de Petya ransomware.
Uit deze analyse kwam naar voren dat IoT-botnets een evolutie hadden doorgemaakt, van enkel het lanceren van DDoS-aanvallen naar meer geavanceerde activiteiten zoals de verspreiding van ransomware en cryptomining. Het is moeilijk om IoT-botnets te detecteren omdat er voor de meeste gebruikers maar weinig signalen zijn waaruit ze kunnen opmaken dat ze aangevallen worden. Toch werd het dankzij deze analyse mogelijk tientallen nieuwe C&C domeinen te vinden en te blokkeren en zo de activiteiten van het botnet te controleren.
Javascript Cryptominers: een duister bedrijfsmodel
De groei van de publieke adoptie van cryptovaluta komt tot uitdrukking in een flinke groei van de hoeveelheid cryptomining malware en van het aantal apparaten dat hiermee is geïnfecteerd.
Akamai vond twee verschillende bedrijfsmodellen voor cryptomining op grote schaal. Het eerste model gebruikt de rekenkracht van geïnfecteerde apparaten om cryptovalutatokens te delven. Het tweede model gebruikt embedded code van een content website om apparaten die de website bezoeken aan het werk te zetten voor de cryptominer. Akamai heeft dit tweede bedrijfsmodel uitvoerig geanalyseerd omdat het een nieuwe beveiligingsuitdaging vormt voor gebruikers en eigenaren van websites. Na het analyseren van de domeinen van cryptominers was Akamai in staat om de kosten, zowel voor rekenkracht als financieel gewin, van deze activiteit te bepalen. Een interessante bevinding is dat cryptomining een haalbaar alternatief is voor advertentieopbrengsten om websites te bekostigen.
Veranderende dreigingen: nieuw doel voor malware en exploits
Cyberbeveiliging is constant in beweging. Onderzoekers hebben gezien dat hackers oude technieken hergebruiken in het huidige digitale landschap. In de zes maanden dat Akamai haar data verzamelde, liet een aantal prominente malware campagnes en exploits opvallende veranderingen zien in de manier waarop ze werkten:
- Het Web Proxy Auto-Discovery (WPAD) protocol werd tussen 24 november en 14 december 2017 gebruikt om Windows-systemen bloot te stellen aan Man-in-the-Middle-aanvallen. WPAD wordt gebruikt binnen beschermde netwerken (LAN’s) en maakt computers kwetsbaar voor aanvallen wanneer ze op het internet zijn aangesloten.
- Malware-ontwikkelaars verplaatsen hun aandacht naar het verzamelen van social media logins en financiële informatie. Terdot, onderdeel van het Zeus-botnet, creëert een lokale proxy en stelt hackers in staat om cyberspionage in te zetten en fake news te promoten in de browser van het slachtoffer.
- Het Lopai-botnet is een voorbeeld van de ontwikkeling van flexibelere tools door botnet-auteurs. Deze mobiele malware richt zich voornamelijk op Android-apparaten en gebruikt een modulaire aanpak waardoor auteurs updates met nieuwe functionaliteiten kunnen ontwikkelen.
Het volledige rapport State of the Internet / Security Carrier Insights Report Spring 2018 is ook beschikbaar als download.