Los ataques a aplicaciones internet dependen cada vez más de las herramientas automatizadas



Los atacantes a menudo utilizan la automatización en ataques fuzzing, ataques de inyección, bots falsos y ataques DDoS de aplicaciones.

Los ciberdelincuentes que se dirigen a aplicaciones website se han vuelto más dependientes de las herramientas automatizadas en sus ataques, informan los investigadores de Barracuda Networks que analizaron dos meses de datos de ataques.

Descubrieron que los cinco tipos de amenazas principales estaban dominados por ataques implementados con herramientas automatizadas. Los ataques fuzzing (19,46%) fueron los más frecuentes, seguidos de los ataques de inyección (12,07%), bots falsos (12,02%), denegación de servicio distribuida por aplicaciones (9,29%) y bots bloqueados (1,2%).

Los ataques automatizados dependen de los bots para aprovechar las vulnerabilidades en las aplicaciones net, y hay dos clases de atacantes que los utilizan. La mayor cantidad de tráfico proviene de atacantes que no intentan apuntar a un sitio world wide web específico, sino que implementan ataques automatizados a escala. Otro grupo más pequeño united states of america herramientas automatizadas para dirigirse a sitios net de comercio electrónico y otros sitios para generar ganancias.

Estas amenazas pueden adoptar la forma de bots falsos que se hacen pasar por bots de Google para evitar ser detectados, o pueden manifestarse como ataques DDoS de aplicaciones que intentan bloquear un sitio web sobrecargando silenciosamente una aplicación net. La mayor parte del tráfico de ataques provino de herramientas de reconocimiento o fuzzing que se utilizan para investigar errores en las aplicaciones.

«Por lo general, utiliza los ataques fuzzing como una forma de probar las aplicaciones y averiguar los límites de la aplicación, y luego utiliza esos resultados … para intentar romper la aplicación», dice Tushar Richabadas, gerente senior de internet marketing de productos de Aplicaciones y Cloud Stability y líder de esta investigación.

Un atacante puede intentar enviar una gran cantidad de parámetros en la URL para ver cómo se comporta una aplicación, explica. La aplicación puede arrojar un mistake y mostrar una página donde el atacante puede saber que united states una base de datos SQL. Sabiendo esto, podrían intentar un ataque de inyección SQL y ver si la aplicación no desinfecta algo correctamente, lo que podría ayudarlos a obtener acceso a la foundation de datos.

Un ataque fuzzing es típicamente un primer paso en un ataque, dice Richabadas. Con el conocimiento que obtienen del fuzzing, un atacante puede descubrir cómo avanzar. La mayoría de los ataques que los investigadores observaron contra las API JSON estaban probando las condiciones de los límites, tratando de confundir las API.

Los ataques de inyección, el segundo tipo más común de ataque automatizado, son una amenaza clásica conocida de aplicaciones website. La mayoría de los atacantes usaban herramientas automatizadas como sqlmap para intentar ingresar a las aplicaciones, y muchos de estos ataques eran «ruido de script a nivel de niños», el los investigadores escriben en una publicación de weblog.

Este «ruido» constituyó la mayor parte del tráfico de ataque analizado por los investigadores, señala Richabadas.

«Hay una pequeña cantidad de atacantes sofisticados que se dirigen a sitios específicos, pero son, hasta cierto punto, una excepción en los datos que vimos», explica. «Los más frecuentes son los atacantes menos hábiles que recién están comenzando … Ellos constituyen la abrumadora cantidad de tráfico».

Estos atacantes menos capacitados aprenden lentamente cómo funcionan las amenazas a medida que persisten, comienzan a especializarse y van en una de dos direcciones, continúa Richabadas. Algunos se convierten en cazarrecompensas de errores y siguen carreras de ciberseguridad de sombrero blanco algunos van en otra dirección y persiguen el ciberdelito, donde se dedican a crear herramientas de ataque ellos mismos, dice Richabadas.

Las organizaciones están mejorando su defensa contra bots falsos, el tercer tipo más común de ataque automatizado, pero estos bots son más frecuentes hoy que hace un año, agrega.

«La gente definitivamente se está dando cuenta de los problemas que están causando los bots», dice. La mayoría de las principales empresas de comercio electrónico, junto con las aerolíneas y las publicaciones de los medios, han comenzado a invertir en soluciones de gestión de bots. Los atacantes que emplean bots falsos probablemente buscan información de un sitio específico, pero no quieren ser reconocidos o detenidos, por lo que se disfrazan de bot.

Los ataques DDoS de aplicaciones fueron «sorprendentemente frecuentes», encontraron los investigadores. Estos son diferentes de los ataques DDoS volumétricos de los que se habla más, que generalmente están destinados a derribar un sitio y son fácilmente detectables debido a sus efectos.

«Cuando se trata de un ataque DDoS a una aplicación, es más sutil», explica Richabadas. «Intentarás encontrar una forma de sobrecargar los recursos del sitio sin que nadie se dé cuenta». Por ejemplo, un atacante intentará descargar un archivo muy grande, muy lentamente, o intentará sobrecargar la función de búsqueda de una aplicación. La aplicación que realiza todas estas transacciones se ralentizará sin un aumento detectable en el tráfico.

Los ataques DDoS de aplicaciones no son tan conocidos y la mayoría de las aplicaciones protegen contra ellos, por lo que estos incidentes suelen ser un objetivo, agrega. Los investigadores no pudieron concluir por qué estos ataques vieron un aumento en este tipo de amenaza.

Si bien los ataques automatizados no son nuevos en el panorama de las amenazas, los operadores detrás de ellos se están volviendo cada vez más diligentes, dice Richabadas. «La mayor parte de este tráfico (de ataque) que hemos visto es ruido y la señal está oculta», señala. «Los atacantes están adquiriendo más inteligencia y están eludiendo las medidas pretendiendo ser casi humanos, y así sucesivamente».

Kelly Sheridan es la editora de private de Dark Examining, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first