automatisierte Angriffe

Threat Spotlight: Automatisierte Angriffe auf Webanwendungen

Druckfreundlich, PDF & E-Mail

Cyberkriminalität ist zu einem großen Geschäft geworden, und Betrüger setzen zunehmend auf Bots und Automatisierung zur Steigerung der Effizienz und Effektivität ihrer Angriffe sowie zur Umgehung gängiger Sicherheitslösungen.

Im Dezember werteten Forscher von Barracuda eine Stichprobe von Daten zu Angriffen auf Web-Anwendungen aus, die innerhalb eines Zeitraums von zwei Monaten von Barracuda-Systemen blockiert wurden. Automatisierte Angriffe machten dabei einen massiven Anteil am Gesamtvolumen aus. In den fünf Top-Kategorien der häufigsten Angriffe dominierten Angriffe, die mit automatisierten Tools durchgeführt wurden.

5 häufigsten Arten von Angriffen auf Web-Anwendungen

Bei knapp 20 % der abgefangenen Angriffe handelte es sich um Fuzzing-Angriffe, bei denen die Schwachstellen von Anwendungen mithilfe automatisierter Tools identifiziert und ausgenutzt werden. An zweiter Stelle lagen Injektionsangriffe mit einem Anteil von etwa 12 %. Auch hier kamen in einer Mehrzahl der Fälle automatisierte Tools wie sqlmap zum Einsatz. Bei vielen dieser Angriffe handelte es sich um eher stümperhafte Versuche auf Scriptkiddie-Niveau ohne vorheriges Auskundschaften des Angriffsziels.

Bots, die sich als Google-Bot oder Ähnliches ausgeben, lagen mit knapp über 12 % der analysierten Angriffe auf Web-Anwendungen an dritter Stelle. DDoS-Angriffe (Distributed Denial of Service) auf Anwendungen machten mit über 9 % regionsübergreifend einen überraschend hohen Anteil an der von Barracuda analysierten Stichprobe aus. Ein vergleichsweise geringer Anteil der Angriffe (weniger als 2 %) ging auf Bots zurück, die von Website-Administratoren blockiert wurden.

Im Folgenden werden die Trends näher beleuchtet, die die Forscher von Barracuda in Bezug auf Angriffe auf Web-Anwendungen und den Einsatz automatisierter Angriffe aufdeckten.

Bedrohung im Fokus

Automatisierte Angriffe – Bei automatisierten Angriffen werden Bots eingesetzt, um Sicherheitslücken in Web-Anwendungen auszunutzen. Diese Angriffe reichen von schädlichen Bots, die sich als Google-Bots ausgeben, um Sicherheitslösungen zu umgehen, bis hin zu DDoS-Angriffen mit dem Ziel, durch Überlastung der Anwendung eine Website zum Abstürzen zu bringen.

Bot-Angriffe werden zunehmend zum Problem – das bedeutet jedoch nicht, dass Cyberkriminelle sich von ihren altbewährten Favoriten verabschieden. Bei einem beträchtlichen Teil der von Barracuda analysierten Angriffe handelte es sich um Klassiker wie Injektionsangriffe (12 %) oder Cross-Site-Scripting (XSS) (1 %). Die Angriffe gingen hauptsächlich von Reconnaissance- oder Fuzzing-Tools aus, die zum Auskundschaften von Anwendungen eingesetzt werden (siehe oben).

Injektionsangriffe stehen ganz oben auf der Liste der aktuellen OWASP Top 10 und waren bislang in jeder Ausgabe vertreten. Angesichts der relativen Einfachheit der Ausführung und der Aussicht auf hohe Profite für Cyberkriminelle dürfte sich daran in absehbarer Zukunft wenig ändern. Cross-Site-Scripting-Angriffe (XSS) erfreuten sich als dritthäufigster Angriff in dieser Kategorie ebenfalls relativ hoher Beliebtheit.

traditionelle Angriffe auf Web-Anwendungen

Die Details

Ein beträchtlicher Anteil der analysierten Angriffsversuche (6,1 % bzw. 1,05 %) richtete sich gezielt auf WordPress- oder PHP-Sicherheitslücken (in der Regel die phpMyAdmin-Seiten). Etliche dieser Angriffe wurden aber auch auf Nicht-PHP- oder Nicht-WP-Sites verübt, was die Vermutung nahelegt, dass es sich bei den Angreifern teilweise um Scriptkiddies handelt. Allerdings ist davon auszugehen, dass auch diese Angreifer schnell dazulernen und künftig ihre Angriffsziele gründlicher im Voraus analysieren werden.

Request-Schmuggel-Angriffe waren auf ein geringfügiges Maß zurückgegangen, bis vor Kurzem die HTTP-Desync-Angriffe aufgedeckt wurden. Seitdem sind die Schmuggel-Angriffe wieder im Aufwind. In der Analyse von Barracuda wurde bei über 60 % der Schmuggel-Angriffe ein ungültiger Header verwendet. Ein Drittel verwendete Inhalte unterschiedlicher Länge, und bei 3 % lagen fehlerhafte Inhaltslängen vor.

Schmuggel-Angriffe

Die Mehrzahl der analysierten Angriffe auf JSON-APIs diente zum Testen der Grenzbedingungen, also quasi zum Auskundschaften der APIs. Bei 95 % der Angriffe dieser Art wurde der Maximalwert überschritten, bei knapp 4 % die Maximalwertlänge. Forscher verzeichneten auch andere Angriffsversuche – XSS- und SQL-Injektion-Angriffe –, deren Volumen in der Stichprobe allerdings sehr gering bis vernachlässigbar war. Die Forscher rechnen im Laufe des nächsten Jahres mit einer Zunahme dieser Arten von Angriffen.

Bei den versuchten Datendiebstählen in der Stichprobe handelte es sich in erster Linie um Versuche, sensible Daten wie Kreditkartennummern, Sozialversicherungsnummern usw. zu klauen. Eine überwältigende Anzahl der Exfiltrationsversuche in der Stichprobe betraf Kreditkartennummern. Mehr als drei Viertel dieser Angriffe entfielen auf Visakarten. Mit großem Abstand folgten JCB mit einem Anteil von 20 % und Mastercard, Diners und American Express mit deutlich geringeren Anteilen.

versuchter Datenklau

Verschlüsselung: Aktueller Stand

Die Forscher von Barracuda nahmen auch die aktuelle Lage in Bezug auf Verschlüsselung unter die Lupe. Durch Verschlüsselung des Datenverkehrs lässt sich eine Vielzahl von Angriffen verhindern – insbesondere die sogenannten Man-in-the-Middle-Angriffe – und eine zusätzliche Schutzschicht zur Sicherung von Websites bereitstellen. Sie ist jedoch nicht gegen alle Angriffsarten wirksam.

Bei fast 92 % des Datenverkehrs, den die Forscher in einem zweimonatigen Zeitraum zwischen Oktober und Dezember 2020 analysierten, handelte es sich um HTTPS-Daten. Weniger als 10 % des Datenverkehrs wird über HTTP bereitgestellt. Dies ist als positives Zeichen zu werten, spricht es doch für ein steigendes Sicherheitsbewusstsein der Anwender und Anbieter in diesem Bereich.    

Die Präferenz der Browser-Anbieter für TLS1.3 als bevorzugtes Protokoll führt allmählich dazu, dass sich diese sichereren Protokolle zunehmend durchsetzen.

Die Forscher von Barracuda stellten fest, dass nur wenige Unternehmen das ältere SSLv3-Protokoll aktiviert haben, weil es als viel zu unsicher gilt. Selbst bei Unternehmen, die SSLv3 weiterhin nutzen, entfällt darauf nur ein sehr geringfügiger Anteil des gesamten Datenverkehrs. Das Gleiche gilt für TLS1.0 und TLS1.1, deren Anteil rapide abnimmt und in der Studie weniger als 1 % des analysierten Datenverkehrs betrug.

Ganze 65 % des gesamten Datenverkehrs, der für diesen Bericht analysiert wurde, wurde mit TLS1.3 verschlüsselt, dem sichersten heute verfügbaren Protokoll. Etwa ein Drittel des HTTPS-Verkehrs läuft immer noch über TLS1.2 – Tendenz langsam sinkend.        

TLS1.3

Bei den Browsern lag Chrome mit einem Anteil von 47 % an der TLS1.3-Nutzung (basierend auf dem gemeldeten User Agent) vorne, gefolgt von Safari mit 34 %. Überraschend war, dass Edge mit 16 % vor Firefox an dritter Stelle lag. Firefox wurde für nur 3 % des Datenverkehrs über TLS1.3 verwendet. Für die Verdrängung von Firefox durch Edge gibt es vermutlich zwei Gründe:

  • die dominante Position von Chrome
  • die Tendenz bei Unternehmen, die Internet Explorer bevorzugten, zum Umstieg auf Edge          

Überraschender war der Trend bei TLS1.2. Hier entfällt über die Hälfte des Traffics auf Internet Explorer, während Chrome mit knapp unter 40 % an zweiter Stelle liegt. Im Vergleich dazu kommt Safari auf weniger als 10 %, und der Anteil von Firefox liegt sogar noch darunter.       

TLS1.2

Nach den Erkenntnissen der Forscher wurden automatische Updates für Chrome und Firefox recht häufig angewendet. In den meisten Fällen wurden Browser verwendet, die maximal zwei Versionen hinter der aktuell verfügbaren lagen.

Zwar arbeiten viele Menschen nach wie vor mit Internet Explorer – zumeist jedoch mit IE11, was immerhin von einem Trend in die richtige Richtung, nämlich hin zu aktuelleren und sichereren Browsern, zeugt.

Im Vergleich dazu wird TLS1.3 für den automatisierten Datenverkehr kaum verwendet; dieser läuft nach den Erkenntnissen der Forscher von Barracuda hauptsächlich über TLS1.2. Dies umfasst Site-Monitore, Bots und Tools wie Curl.

So schützen Sie sich vor automatisierten Angriffen

Wenn es um den Schutz vor neuartigen Angriffen geht, wie z. B. Bots und API-Angriffe, kann die schiere Anzahl der erforderlichen Lösungen manchmal eine Überforderung darstellen. Insofern ist positiv zu vermerken, dass diese Lösungen zunehmend in WAF-/WAF-as-a-Service-Lösungen konsolidiert werden, die auch als Web Application and API Protection Services (WAAP) bezeichnet werden.

So heißt es im WAF Magic Quadrant 2020 von Gartner:

Gartner definiert WAAP-Services als die Weiterentwicklung von Cloud-basierten WAF-Services. WAAP-Services kombinieren Cloud-basierte Bereitstellung von WAF nach dem as-a-Service-Konzept, Bot-Schutz, DDoS-Abwehr und API-Schutz mit einem Abonnementmodell.“

Für Unternehmen empfiehlt sich die Implementierung einer WAF-as-a-Service- oder WAAP-Lösung, die Bot-Abwehr, DDoS-Schutz, API-Sicherheit und Schutz vor Credential Stuffing umfasst. Entscheidend ist auch, dass sie richtig konfiguriert wird.

Eine wichtige Rolle spielt dabei die Aufklärung über aktuelle Bedrohungen und deren Weiterentwicklung. So informierte Barracuda kürzlich in einem Webinar (jetzt on demand verfügbar) über unsere Prognosen für die drei häufigsten Angriffsarten, vor denen Unternehmen ihre Web-Anwendungen in diesem Jahr schützen müssen: automatisierte Bot-Angriffe, Angriffe auf APIs und Angriffe auf Software-Lieferketten. Gegen diese neuartigen Angriffe gibt es noch kaum Schutzmechanismen. Zudem werden sie aufgrund mangelnden Risikobewusstseins – und teilweise auch aufgrund des Einsatzes von Schattenanwendungen ohne entsprechende Schutzmechanismen – eher durchgelassen.

On-Demand-Webinar: Prognosen zur Anwendungssicherheit für 2021

Nach oben scrollen
Twittern
Teilen
Teilen