böse Bots angreifen

Threat Spotlight: Wenn böse Bots angreifen

Druckfreundlich, PDF & E-Mail

Die Weihnachtseinkaufssaison macht E-Commerce-Webseiten zu einem beliebten Ziel für Cyberkriminelle. Sie setzen Bots ein, um DDoS-Angriffe (Distributed Denial of Service) auszulösen, betrügerische Einkäufe zu tätigen und nach Schwachstellen zu suchen, die sie ausnutzen können.

Mitte November testeten Barracuda-Forscher das Programm Barracuda Advanced Bot Protection vor einer Webanwendung. Die Anzahl der Bots, die sie in nur wenigen Tagen entdeckten, war überwältigend: Es gab Millionen von Angriffen, die von mehreren Tausend verschiedenen IP-Adressen aus eingingen.

Betrachtet man die Tageszeit, so stellten die Barracuda-Forscher fest, dass Bots nicht einfach bis mitten in der Nacht warten, um anzugreifen. Im Vereinigten Königreich beispielsweise erreicht die Bot-Aktivität in der Mitte des Vormittags ihren Höhepunkt und fällt erst gegen 17:00 Uhr wieder ab. Das könnte darauf hindeuten, dass Cyberkriminelle (alias „Bot-Herder“) einem regulären Arbeitstag folgen.

Böse Bots

Im Folgenden werden die Trends, die Barracuda-Forscher über die Art und Weise, wie Cyberkriminelle gute User-Agents spoofen, sowie die neuen Muster für diese Art von Angriffen näher beleuchtet.

Bedrohung im Fokus

Böse Bot-Persona – Böse Bot-Personas bezeichnen Bots, die aufgrund ihres Verhaltensmusters als schädlich identifiziert wurden. Böse Bots werden nach User-Agent klassifiziert, aber einige User-Agents sind gut. Der GoogleBot zum Beispiel, der Webseiten durchsucht und zu Suchrankings hinzufügt, ist gut und sollte nicht blockiert werden. Google hat viele verschiedene User-Agents:

Google Bots

Das Problem ist, dass Bots diese bekannten guten User-Agents spoofen, weshalb man genauer hinsehen muss, um sie zu unterscheiden. Um einen Bot als schädlich oder böse zu identifizieren, wenn der User-Agent vorgibt, eine gute Suchmaschine zu sein, setzen Barracuda-Forscher unter anderem folgende Methoden ein:

  1. Einschleusen von Fallstricken wie versteckte URLs und JS Challenges. Bots folgen Links und reagieren auf JS Challenges ganz anders als Menschen.
  2. Verwendung von rDNS (Reverse DNS Lookup), um zu überprüfen, ob ein Bot tatsächlich von der angegebenen Quelle stammt.
  3. Es wird überprüft, ob der Client versucht, auf URLs zuzugreifen, die von gängigen Anwendungen für Fingerprinting-Angriffe verwendet werden.
  4. Sollten diese Methoden nicht zum Erfolg führen, führen die Forscher weitere Analysen mit Hilfe des maschinellen Lernens durch.

Die Details

Betrachtet man die wichtigsten bösen Bot-Personas, so zeigen die von Barracuda Experten gesammelten Daten eine Zunahme der folgenden schlechten Bot-Personas: HeadlessChrome, yerbasoftware und M12bot vor neueren Browsern wie Microsoft Edge.

BÖSE Bot-Personas – November 2020

Bot-Persona/User-Agent Prozentualer Anteil des Bad Bot Traffic
Nicht-Standard User-Agent/Böswilliger Benutzer 72,00 %
Headless Chrome 5,00 %
Safari 2,50 %
Edge 1,80 %
SemRush Bot 1,50 %

Der Nicht-Standard User-Agent/böswillige Benutzer umfasst die folgenden Kategorien:

  • Bots, die vorgeben, ein bestimmter Browser zu sein, aber eine nicht standardisierte Zeichenfolge verwenden
  • Bots, die vorgeben, eine bestimmte Software zu sein, aber eine nicht-standardmäßige Zeichenfolge verwenden
  • Bots, die vorgeben, ein bestimmter Browser zu sein, aber aufgrund eines ungewöhnlichen Browsing-Musters oder anderer Bot-Prüfungen erfasst werden
  • Bots, die vorgeben, ein „guter“ Bot zu sein, aber mit rDNS-Suchen entlarvt werden

Bei der Analyse, welcher ISP (Internet System Provider) oder ASN (Autonomous System Number) die Quelle der bösen Bot-Aktivität ist, stellten die Forscher fest, dass sowohl die Subnetzbereiche von indischen Mobilfunkanbietern als auch einige der großen öffentlichen Cloud-Anbieter in diesem Mix vertreten sind. Dies zeigt, dass die Quellen der Bots durchaus international sein können, auch wenn dies vom Bot und dem Standort, auf den er abzielt, abhängt.

BAD Bot ISP Quellen – November 2020

ISP ASN-Name Prozentsatz
Airtel BHARTI Airtel Ltd. 34,96 %
Microsoft Corporation MICROSOFT-CORP-MSN-AS-BLOCK 22,00 %
Tata Teleservices ISP Tata Teledienste ISP AS 9,80 %
Amazon.com AMAZON-AES 8,23 %
Google Cloud GOOGLE 7,64 %
Amazon.com AMAZON-02 7,29 %
MEO Servicos de comunicacoes E multimedia S.A. 6,45 %
Limestone Networks LIMESTONENETWORKS 3,63 %

So schützen Sie sich vor Bot-Angriffen

Da die Weihnachtseinkaufssaison nun in vollem Gange ist, sollten E-Commerce-Teams die folgenden Schritte unternehmen, um ihre Anwendungen vor bösen Bots zu schützen:

  • Installieren Sie eine Web Application Firewall oder eine WAF-as-a-Service-Lösung und stellen Sie sicher, dass sie korrekt konfiguriert ist.
  • Stellen Sie sicher, dass diese Anwendungssicherheitslösungen Bot-Schutz enthalten, damit sie fortschrittliche automatisierte Angriffe effektiv erkennen können.
  • Schalten Sie den Credential-Stuffing-Schutz ein, um die Übernahme von Konten zu verhindern

Schützen Sie Ihre Anwendungen mit einer einfachen Plattform.

Nach oben scrollen
Twittern
Teilen
Teilen