Статистика атак на веб-приложения: IV квартал 2017 года

  • Веб-приложения

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

В данном исследовании представлена статистика атак на веб-приложения за IV квартал 2017 года. Исходные данные были получены в ходе пилотных проектов по внедрению межсетевого экрана уровня приложений PT Application Firewall, а также по итогам работы PT AF для защиты веб-приложений компании Positive Technologies.

В отчете рассмотрены наиболее распространенные типы атак, цели атак, их источники, а также интенсивность и распределение во времени. Кроме того, приводится статистика по отдельным отраслям экономики. Исследование атак позволяет оценить текущие тенденции в области безопасности веб-приложений, выявить актуальные угрозы и выделить факторы, на которые прежде всего следует обратить внимание при разработке веб-приложения и построении системы защиты.

Для получения более достоверных результатов автоматизированный поиск уязвимостей с помощью специализированного ПО для сканирования веб-приложений (например, Acunetix) был исключен из исходных данных. Приведенные в отчете примеры атак были проверены вручную на предмет ложных срабатываний и являются достоверными.

Ресурсы Positive Technologies рассматриваются в совокупности с ресурсами компаний из сферы информационных технологий.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ

Практически 40% атак нацелены на доступ к данным

Каждая третья атака направлена на пользователей

Самые распространенные атаки
Самые распространенные атаки

34 629 максимальное число атак на одну компанию в сутки (из всех пилотных проектов)

Распределение атак по времени суток (по местному времени исследуемых организаций)
Распределение атак по времени суток (по местному времени исследуемых организаций)

Топ-5 источников атак по их количеству

Россия — 50,8%

США — 11,6%

Китай — 4,3%

Франция — 4,3%

Германия —2,5%

Среднее количество атак в день на одну компанию
Среднее количество атак в день на одну компанию

СТАТИСТИКА АТАК НА ВЕБ-ПРИЛОЖЕНИЯ

Типы атак

«Межсайтовое выполнение сценариев» и «Внедрение SQL-кода» в IV квартале 2017 года снова стали самыми распространенными атаками на веб-приложения, суммарно они составляют практически половину от всех атак. В отличие от предыдущего квартала «Межсайтовое выполнение сценариев» поднялось со второй строчки рейтинга на первую; в случае его успешной реализации злоумышленник может проводить атаки на клиентов веб-приложения, в том числе заражать их рабочие станции вредоносным ПО. Кроме того, практически в два раза выросла доля атак высокой степени риска «Удаленное выполнение кода и команд ОС», с помощью которых злоумышленник может получить полный контроль над сервером с веб-приложением. Данный тип атак занимает третье место в рейтинге. Распределение остальных атак в процентном соотношении поменялось незначительно по сравнению с исследованиями прошлых периодов.

Рисунок 1. Типы атак на веб-приложения
Рисунок 1. Типы атак на веб-приложения

Распределение атак по степени риска в соответствии с используемой в PT AF классификацией представлено на диаграмме ниже.

Рисунок 2. Распределение атак на веб-приложения по уровню риска
Рисунок 2. Распределение атак на веб-приложения по уровню риска

Рассмотрим статистику по атакам на веб-приложения для различных отраслей экономики. В IV квартале в выборку попали веб-приложения учреждений сфер здравоохранения и образования, банков и электронных торговых площадок, IT-компаний и госучреждений. Данные по атакам для одной и той же отрасли экономики могут отличаться от показателей предыдущих периодов в связи с тем, что пилотные проекты по внедрению PT AF в каждом квартале реализуются для разных веб-приложений.

Учреждения сферы здравоохранения

В этом квартале из всех исследованных веб-приложений сферы здравоохранения основная часть относится к электронным регистратурам для пациентов. Обычно посетители таких веб-ресурсов недостаточно осведомлены в вопросах ИБ, поэтому злоумышленники в первую очередь пытаются проводить атаки именно на них.

При атаках, направленных на удаленное выполнение кода и команд ОС или на подключение локальных файлов, злоумышленники не всегда пытаются получить доступ к ресурсам внутренней сети, нарушить работоспособность приложения или получить доступ к чувствительной информации. Существуют и более интересные сценарии эксплуатации уязвимостей, обнаруженных в ходе успешных атак на веб-ресурсы. Недавно на сайте электронной регистратуры Министерства здравоохранения Сахалинской области был обнаружен майнер криптовалюты Monero1 . Недокументированный скрипт предназначался для добычи криптовалюты с помощью мощностей компьютеров посетителей электронной регистратуры. Майнер работал, пока у пользователя в браузере была открыта страница с веб-сайтом, после ее закрытия процесс майнинга прекращался. Одним из возможных вариантов внедрения майнера является успешная атака на веб-приложение. Но при этом не исключено, что скрипт был добавлен недобросовестным системным администратором.

Рисунок 3. Типы атак на веб-приложения сферы здравоохранения
Рисунок 3. Типы атак на веб-приложения сферы здравоохранения

Образовательные учреждения

По нашим наблюдениям, веб-ресурсы образовательных учреждений чаще всего атакуют именно сами учащиеся. Их основная цель — с помощью атак «Выход за пределы назначенного каталога» и «Подключение локальных файлов» получить доступ к данным, которые могут улучшить их успеваемость, например к экзаменационным материалам. Кроме того, часть нарушителей полагает, что атаки «Внедрение SQL-кода» могут помочь им изменить текущие оценки в электронном дневнике, результаты экзаменов и списки на получение стипендий.

Рисунок 4. Типы атак на веб-приложения образовательных учреждений
Рисунок 4. Типы атак на веб-приложения образовательных учреждений

Банки и электронные торговые площадки

В этом квартале кроме веб-приложений банков были исследованы электронные торговые площадки, на которых проводятся аукционы, конкурсы, запросы котировок и предложений. Так как веб-ресурсы, на которых проводятся электронные торги, посещает огромное количество людей, злоумышленники стараются с помощью атак в первую очередь выявить уязвимость «Межсайтовое выполнение сценариев», а затем использовать ее для распространения вредоносного программного обеспечения среди посетителей и участников торгов. Кроме того, в ходе успешной атаки «Удаленное выполнение кода и команд ОС» злоумышленник может нарушить работоспособность электронной торговой площадки и сорвать запланированные аукционы. Для владельцев площадок подобные действия злоумышленника могут обернуться многочисленными жалобами от участников торгов и штрафами со стороны государственных регуляторов. Отдельно можно отметить, что особый интерес для злоумышленников при атаках на торговые площадки может представлять конкурсная документация участников торгов, составляющая коммерческую тайну (передача ее другим участникам торгов может привести к их необоснованному конкурентному преимуществу).

Рисунок 5. Типы атак на веб-приложения банков и электронных торговых площадок
Рисунок 5. Типы атак на веб-приложения банков и электронных торговых площадок

IT-компании

В сфере IT основным отличием от прошлых кварталов является значительное снижение доли атак «Межсайтовое выполнение сценариев». Это объясняется тем, что в этом квартале в выборку попали веб-приложения, которые не являются интересными мишенями для злоумышленников с точки зрения использования их в качестве платформы для распространения вредоносного ПО среди посетителей. Самая распространенная атака на приложения IT-компаний — «Внедрение SQL-кода». В качестве примера успешной атаки можно привести случай с крупным поставщиком услуг веб-хостинга и оператором дата-центров Hetzner2 . В ноябре 2017 года злоумышленники с помощью атак «Внедрение SQL-кода» смогли получить доступ к клиентским данным (включая имена, адреса и телефоны), доменным именам, FTP-паролям и сведениям о банковском счете (без данных кредитных карт).

Из интересных особенностей в этом квартале можно отметить рост числа атак Optionsbleed и пример успешного отражения атак ботнета на новостной веб-ресурс крупной IT-компании при помощи PT AF. Более подробно эти атаки будут рассмотрены далее.

Рисунок 6. Типы атак на веб-приложения IT-компаний
Рисунок 6. Типы атак на веб-приложения IT-компаний

Государственные учреждения

Наибольшая часть веб-приложений государственных учреждений используется для обработки персональных данных граждан России или в качестве информационных и новостных веб-ресурсов. Злоумышленники в первую очередь пытаются с помощью атак «Внедрение SQL-кода» и «Выход за пределы назначенного каталога» получить несанкционированный доступ к персональном данным и иной чувствительной информации. Кроме того, каждая пятая атака злоумышленников направлена на пользователей веб-приложения. Злоумышленники пользуются тем, что большинство пользователей таких веб-ресурсов недостаточно хорошо разбираются в информационных технологиях и информационной безопасности.

Рисунок 7. Типы атак на веб-приложения госучреждений
Рисунок 7. Типы атак на веб-приложения госучреждений

Среднее количество атак по отраслям

По среднему числу зарегистрированных событий в день в этом квартале на первом месте находятся веб-приложения банков и электронных торговых площадок. Такой значительный отрыв от остальных отраслей объясняется двумя основными факторами. Во-первых, успешные атаки на системы ДБО и их клиентов приносят прямую финансовую выгоду злоумышленникам. Во-вторых, информацию, полученную в результате компрометации электронных торговых площадок, можно выгодно продать другим участникам торгов и компаниям-конкурентам.

Рисунок 8. Среднее число атак в день по отраслям
Рисунок 8. Среднее число атак в день по отраслям

Примеры атак

При анализе результатов пилотного проекта для одной IT-компании был обнаружен ряд атак, направленных на эксплуатацию недавно опубликованных уязвимостей в CMSплатформе WordPress. Дальнейшее исследование показало, что данные атаки, вероятнее всего, производились при помощи ботнета из более чем 300 устройств. В течение суток было отправлено около 400 HTTP-запросов, при этом злоумышленники старались максимально скрыть свои действия, и с одного узла, входящего в ботнет, отправлялось не более двух запросов.

Рисунок 9. Атаки на веб-приложение на базе CMS WordPress 17–18 декабря (интерфейс PT AF)
Рисунок 9. Атаки на веб-приложение на базе CMS WordPress 17–18 декабря (интерфейс PT AF)
Рисунок 10. IP-адреса узлов, входящих в ботнет (интерфейс PT AF)
Рисунок 10. IP-адреса узлов, входящих в ботнет (интерфейс PT AF)
Рисунок 11. Запрос для эксплуатации уязвимости в CMS WordPress (интерфейс PT AF)
Рисунок 11. Запрос для эксплуатации уязвимости в CMS WordPress (интерфейс PT AF)
Рисунок 12. Запрос для эксплуатации уязвимости в CMS WordPress (интерфейс PT AF)
Рисунок 12. Запрос для эксплуатации уязвимости в CMS WordPress (интерфейс PT AF)

В ходе другого пилотного проекта была обнаружена цепочка атак, направленных на дефейс веб-приложения. Злоумышленники в течение суток пытались обойти механизмы защиты PT AF и успешно завершить атаку с помощью общедоступного эксплойта3.

Рисунок 13. Атаки, направленные на дефейс веб-приложения 25 декабря (интерфейс PT AF)
Рисунок 13. Атаки, направленные на дефейс веб-приложения 25 декабря (интерфейс PT AF)
Рисунок 14. Перечень атак, направленных на дефейс веб-приложения (интерфейс PT AF)
Рисунок 14. Перечень атак, направленных на дефейс веб-приложения (интерфейс PT AF)
Рисунок 15. Запрос для эксплуатации уязвимости, направленной на дефейс веб-ресурса (интерфейс PT AF)
Рисунок 15. Запрос для эксплуатации уязвимости, направленной на дефейс веб-ресурса (интерфейс PT AF)
Рисунок 16. Запрос для эксплуатации уязвимости, направленной на дефейс веб-ресурса (интерфейс PT AF)
Рисунок 16. Запрос для эксплуатации уязвимости, направленной на дефейс веб-ресурса (интерфейс PT AF)

В итоге атака злоумышленников успехом не увенчалась, и подменить содержимое атакуемого веб-ресурса не удалось. Однако не все владельцы заботятся о безопасности своих веб-приложений. По результатам расследования инцидента, связанного с данной атакой, были найдены веб-сайты с измененной стартовой страницей (черный фон с названием хакерской группировки). Кроме того, злоумышленники добавляли в HTML-код музыкальное сопровождение, которое включалось при открытии страницы в браузере.

Рисунок 17. Стартовая страница веб-приложения после дефейса
Рисунок 17. Стартовая страница веб-приложения после дефейса

В прошлом квартале мы писали о том, что PT AF успешно зарегистрировал первые попытки эксплуатации уязвимости CVE-2017-9798, известной как Optionsbleed, через три часа после публикации информации о ее деталях. В этом квартале количество атак данного типа значительно увеличилось: Optionsbleed входит в десятку самых распространенных атак, зарегистрированных в ходе наших пилотных проектов.

Рисунок 18. Запрос в рамках атаки Optionsbleed (интерфейс PT AF)
Рисунок 18. Запрос в рамках атаки Optionsbleed (интерфейс PT AF)
Рисунок 19. Количество атак Optionsbleed в течение 10 дней (интерфейс PT AF)
Рисунок 19. Количество атак Optionsbleed в течение 10 дней (интерфейс PT AF)

Наибольшее количество атак Optionsbleed зафиксировано на веб-ресурсы нескольких ITкомпаний, организующих системы совместного хостинга, так как данная атака актуальна только для такой конфигурации.

Злоумышленники не только продолжают активно следить за публикациями о новых уязвимостях, но и создают целые ботнеты, чтобы успешно и скрытно эксплуатировать уязвимости в веб-ресурсах. Основные мишени злоумышленников — некорректно сконфигурированные системы или веб-ресурсы, для компонентов которых не установлены последние обновления.

Источники атак

Статистика количества атак для всех исследуемых веб-приложений по сравнению с прошлыми периодами не изменилась. Практически половина атак на веб-ресурсы производится с российских IP-адресов. Это объясняется тем, что основная часть пилотных проектов по внедрению PT AF проводилась для российских компаний. В топ-5 источников атак, помимо России, входят США, Китай, Франция и Германия.

Рисунок 20. Доли атак по их источнику
Рисунок 20. Доли атак по их источнику

Динамика атак

По результатам анализа статистической информации за IV квартал года можно оценить распределение атак по времени. Динамика атак проанализирована на материале пилотного проекта по внедрению PT AF, который длился практически весь квартал (80 дней, начиная со 2 октября 2017 года). За основу для построения диаграммы были взяты 10 наиболее распространенных типов атак; для каждого типа атак было посчитано их количество в сутки. Полученное распределение позволяет оценить, какие атаки выделяются из общего потока по количеству отправленных нарушителями запросов.

Рисунок 21. Количество атак в сутки по типам
Рисунок 21. Количество атак в сутки по типам

По среднему количеству атак со значительным отрывом лидирует «Внедрение SQL-кода» — вторая по распространенности атака в этом квартале. В отдельные дни количество атак данного типа превышало 250. Для исследуемого веб-приложения можно отметить незначительное количество атак «Межсайтовое выполнение сценариев»: из-за особенностей веб-приложения и ограниченного числа посетителей атаки на пользователей не представляют для злоумышленников интереса.

Количество атак высокой степени риска «Внедрение SQL-кода» и «Подключение локальных файлов» оставалось стабильным на протяжении всего квартала и редко превышало порог в 100 атак в сутки. Подобная динамика объясняется тем, что для успешной реализации таких атак нарушителю необходимо подобрать некорректно фильтруемые символы либо имена сценариев, каталогов и файлов, поэтому одна атака может длиться несколько суток и разбиваться на множество попыток, которые детектируются PT AF в виде одной корреляционной цепочки.

Среднее количество атак других типов не превышает двух десятков в сутки.

Аналогичным образом можно рассмотреть распределение суточного количества атак по дням недели.

Рисунок 22. Распределение атак по дням недели
Рисунок 22. Распределение атак по дням недели

В среднем число атак в сутки варьировалось от 200 до 300 и крайне редко опускалось ниже 100. Отмечен спад активности злоумышленников к концу недели, но при этом отдельные пиковые значения по атакам зафиксированы не только в рабочие дни организации, но и в выходные. Максимальное количество зафиксированных атак в день для исследуемого веб-приложения составило 683.

Динамику атак можно оценить не только по дням недели, но и по времени суток. При построении диаграммы учитывалось местное время организации.

Рисунок 23. Распределение атак по времени суток
Рисунок 23. Распределение атак по времени суток

В IV квартале подтвердились общие закономерности, которые мы отмечали в течение года. Как и в прошлые периоды, наблюдается незначительное увеличение интенсивности атак в дневные и вечерние часы. При организации защиты веб-приложений необходимо учитывать, что злоумышленники могут атаковать в любое время дня и ночи, что подтверждается распределением на графике отдельных пиковых значений. В дневные и вечерние часы большая часть атак направлена на пользователей веб-ресурсов, которые в это время особенно активны. Что касается атак в ночные и утренние часы, то злоумышленники проводят их с расчетом, что службы безопасности компаний не смогут своевременно обнаружить атаку и отреагировать должным образом. Эффективным средством для круглосуточного обнаружения и предотвращения атак является межсетевой экран уровня приложений.

ВЫВОДЫ

IV квартал 2017 года подтвердил основные тенденции, которые мы отмечали в предыдущих исследованиях по анализу атак на веб-приложения:

  • абсолютно любое веб-приложение вне зависимости от функциональных особенностей может стать мишенью для злоумышленников;
  • большинство атак направлено на доступ к чувствительной информации и на пользователей веб-приложений;
  • у хакеров нет выходных, праздников, отпусков и фиксированного рабочего дня, атаки на веб-приложения производятся в любой день недели в любое время суток;
  • после публикации информации о новой уязвимости злоумышленники в кратчайшие сроки разрабатывают эксплойты и начинают тестировать их на веб-приложениях;
  • для автоматизации атак нарушители могут использовать не только общедоступные готовые эксплойты и утилиты, но и целые ботнеты.

Для минимизации последствий атак необходимо своевременно обновлять программное обеспечение компонентов веб-приложений, регулярно проводить анализ защищенности веб-приложений методом белого ящика (с анализом исходного кода), в том числе с использованием автоматизированных средств, а также использовать превентивные средства защиты, такие как межсетевой экран уровня приложений, для обнаружения и предотвращения атак на веб-ресурсы.

  1. securitylab.ru/news/490849.php
  2. hetzner.co.za/news/konsoleh-database-compromise/
  3. indoxploit.or.id/2017/12/joomla-component-comfoxcontact.html