Was ist ein Multi-Vektor-API-Angriff?

Da die Angreifer immer raffinierter werden, hat sich eine einzigartige Entwicklung bei den API-Angriffen ergeben. Die Angreifer gehen über die traditionellen Angriffe der Vergangenheit hinaus und werden immer kreativer, indem sie komplexe, botbasierte Angriffe mit einer Mischung aus verschiedenen Techniken kombinieren. Angreifer zielen auf APIs mit Multi-Vektor-Angriffen oder orchestrierten Angriffen, die mehrere Phasen umfassen, mehrere Techniken nutzen und Umgehungstaktiken beinhalten. Oft erfüllen diese Multi-Vektor-Angriffe einen doppelten Zweck: Sie lenken die Sicherheit ab und zielen gleichzeitig genau auf ein bestimmtes Ziel.

So sehen wir beispielsweise, dass API-Angreifer verschiedene Botnets für die Erkundung nutzen, Systeme mit DDoS überlasten, um sie abzulenken, und dabei verschiedene Erkundungs- und Ausbeutungsversuche in das Rauschen einflechten. In der Erkundungsphase sehen wir häufig, dass Angreifer Botnets mit Tausenden von rotierenden IP-Adressen nutzen, um anfällige APIs zu untersuchen und zu entdecken. Dank der großen Anzahl von IPs können sie ihre Erkundungsversuche durchführen und sich dabei in den legitimen Datenverkehr einmischen. Wenn sie eine Schwachstelle ausfindig machen, nutzen sie die Botnets, um das Sicherheitsteam mit Warnungen zu überhäufen, während sie verschiedene Techniken anwenden, um die Schwachstelle auszunutzen.

Traditionelle Lösungen vs. Multi-Vektor-Angriffe

Dieses neue Angriffsmuster übersteigt die Möglichkeiten herkömmlicher Sicherheitslösungen wie herkömmliche Web Application Firewalls (WAFs) sowie eigenständige Lösungen für API-Überwachung, Bot-Management oder DDoS. Moderne API-Angreifer sind den WAFs der alten Schule einen Schritt voraus. Sie wissen, wo die Stolperdrähte und Erkennungsschwellen für Lösungen zur DDoS-Abwehr und Bot-Erkennung liegen. Darüber hinaus haben diese Lösungen aufgrund der geringen oder fehlenden Sichtbarkeit von Angriffen Schwierigkeiten, diese langwierigen Angriffe mit mehreren Vektoren zu erkennen. Herkömmliche Sicherheitstools sind nicht in der Lage, den Kontext und die Verbindungen zwischen all diesen miteinander verknüpften Ereignissen zu erkennen. Was früher eine erfolgreiche Verteidigungsstrategie war, nämlich Tools, die nur eine einzige Variante eines automatisierten Angriffs blockieren, reicht heute nicht mehr aus.

Einblick in einen Multi-Vektor-API-Angriff

Unsere Bedrohungsjäger beobachten immer häufiger hochentwickelte Angriffe mit mehreren Vektoren, die die Verteidigungsmaßnahmen durchdringen, indem sie knapp unterhalb der Erkennungsschwellen bleiben. Dann wandeln sie sich. Dann machen sie einen weiteren Schritt. Dann wandeln sie sich wieder. Bei jedem dieser Schritte werden andere Tricks angewandt, um durch die Ritzen eines Verteidigungssystems zu schlüpfen, das für eine andere Art von Angriff ausgelegt ist.

In den meisten Fällen liegt das Problem nicht darin, dass die Angreifer eine neuartige Umgehungstechnik oder eine Zero-Day-Schwachstelle verwenden. Das Problem liegt in der Regel bei den einzelnen Sicherheitstools, die nur einen Teil des gesamten Angriffs erkennen können.

So arbeiteten wir beispielsweise kürzlich mit einem globalen Unternehmen zusammen, das Videospiele entwickelt. Dieses Unternehmen war mit einem Angreifer konfrontiert, der mit Hilfe eines Botnets ein neues Videospiel identifizierte, das in einem Versuchsbereich entwickelt wurde. Der Angreifer nutzte dann das Botnet, um das Produkt unbemerkt zu erforschen und schließlich Schwachstellen in den APIs des Spiels zu finden.

Monate später, als das Spiel veröffentlicht wurde, kam der Angreifer zurück und führte einen groß angelegten Kontoübernahmeangriff durch.Dieses Angriffsmuster sehen wir häufig. Angreifer verwenden Bots, um DDoS-Angriffe im großen Stil auszuführen, um den Fokus des Sicherheitsteams auf einen bestimmten Vorfall zu lenken, während sie den eigentlichen Angriff unbemerkt durchführen.

Während die Sicherheitsorganisation auf einen vermeintlichen Brute-Force- und Account-Takeover-Angriff reagierte, gab es einen viel geringeren und langsameren Ausbeutungsversuch, der auf die in der früheren Erkundungsphase entdeckten anfälligen APIs abzielte.Die Angreifer änderten ihre Taktiken und Techniken und versuchten, die Tatsache zu verschleiern, dass ihr eigentliches Ziel darin bestand, die anfälligen Authentifizierungs-APIs auszunutzen.

Dieser und andere Angriffe zeigen einen neuen Grad an Raffinesse in Bezug auf die mehrstufige Automatisierung dieser langfristigen Angriffe. Die Angreifer automatisieren eine Reihe von Schritten, indem sie eine Reihe von IPs für die anfängliche Erkundung verwenden, bei der sie nach anfälligen Endpunkten suchen. Wenn sie dann weiter eskalieren, wechseln sie für den nächsten Schritt zu einer anderen Gruppe von IPs und dann zu einer anderen Gruppe von IPs für die letzten Ausnutzungsschritte oder verschiedene Befehls- und Steuerungsaktivitäten.

Wie A10 Networks bei Multi-Vektor-Angriffen hilft

ThreatX von A10 Networks wurde entwickelt, um mit dieser neuen Welt umzugehen. Das Ziel besteht nicht darin, einfach alle einzelnen Funktionen zu aktivieren. Das Ziel ist es, die besten Erkennungsstrategien in einer einzigen Verteidigungsstrategie zu vereinen, die diese sich verändernden Angriffsvektoren bemerkt, sie als das erkennt, was sie sind, und Angriffe stoppt, die andere übersehen.

Andere Lösungen bieten nicht genügend Transparenz, um die gesamte Risikolandschaft zu überblicken und die Kundenwerte zu schützen. ThreatX integriert die Risikostärke über mehrere Angriffsarten, über mehrere Toolchain-Varianten, über wechselnde IPs und über die Dauer. Wir bemerken alles, was der Angreifer tut, selbst wenn es zu diesem Zeitpunkt harmlos erscheint.

Im Fall des oben genannten Spieleherstellers konnten wir TLS-Signaturen und IP-Fingerabdrücke identifizieren und dann alle gesammelten Daten miteinander in Beziehung setzen, obwohl die Angreifer Anonymisierer einsetzten und die User-Agent-Informationen und andere wichtige Merkmale der IPs drehten. Am Ende konnten wir bis zu 14 verschiedene Elemente des IP-Fingerabdrucks verfolgen und so den Einsatz zusätzlicher Anonymisierungstechniken erkennen. Im Gegenzug konnten wir sowohl die Ablenkungstaktik als auch die auf die anfälligen APIs abzielenden Verhaltensweisen identifizieren. Letztendlich haben wir die Angreifer verfolgt, korreliert und dann sofort blockiert, und als die Angreifer durch weitere IPs rotierten, wurden auch diese IPs blockiert.