Zscaler ThreatLabz: cybercriminelen richten zich vaker op non-web protocollen zoals DNS en SMB
Aanvallers focussen zich niet alleen maar op het web. Volgens Zscaler ThreatLabz speelt de echte actie zich af onder de oppervlakte: cybercriminelen kapen namelijk steeds vaker non-web protocollen zoals DNS (Domain Name System), RDP (Remote Desktop Protocol) en SMB (Server Message Block). Het Zscaler ThreatLabz 2025 Protocol Attack Surface Report onthult dit tot op heden verborgen aanvalsoppervlak en laat zien hoe non-web protocollen steeds vaker worden gebruikt als exploitatiemiddel en welke sectoren hierdoor worden getroffen.
Van DNS tot malware: trends die het moderne aanvalsoppervlak vormgeven
Cybercriminelen gebruiken de protocollen die netwerken draaiende houden als wapen. Deze opkomende trend in aanvallen buiten het web laat zien hoe zelfs vertrouwde protocollen een beveiligingsrisico kunnen vormen.
DNS onder vuur
DNS blijft het meest aangevallen protocol om één simpele reden: het wordt te veel vertrouwd. DNS is een protocol dat domeinnamen koppelt aan IP-adressen. Door kwaadaardige activiteiten te verbergen in DNS-query's kunnen aanvallers traditionele beveiligingsmechanismen zoals firewalls omzeilen en onopgemerkte command-and-control (C2)-verbindingen opzetten of gegevens stelen.
Brute force slaat weer toe
De heropleving van brute force-aanvallen, met name op basis van RDP en SMB, bewijst dat verouderde systemen nog altijd een beveiligingsrisico vormen. Aanvallers gebruiken geautomatiseerde tools om open poorten te bombarderen die kwetsbaar zijn vanwege zwakke of standaard authenticatiegegevens.
Toenemende exploitatie van kwetsbaarheden in protocollen buiten het web
De exploitatie van kwetsbaarheden in protocollen buiten het web neemt toe. Zowel oudere, niet-gepatchte als recentere kwetsbaarheden worden aangevallen. Doordat veel systemen die met het internet verbonden zijn nog altijd kwetsbaarheden bevatten, krijgen aanvallers ook toegang tot zwakheden in DNS-, RDP- en SMB-protocollen. Dit vormt een aanzienlijk risico voor laterale verplaatsing, datadiefstal en ransomware.
Malware wordt steeds slimmer
Geavanceerde malwarevarianten zoals Agent Tesla en LockBit-ransomware integreren non-web protocollen in hun aanvalsstrategieën. Gh0st RAT laat zien hoe DNS-tunneling surveillance en persistente C2-kanalen mogelijk maakt. AsyncRAT en ValleyRAT breiden deze aanvallen verder uit door geavanceerde obfuscatietools te gebruiken die extra verwarring veroorzaken bij doelwitten.
De toename van protocolaanvallen
Geen enkele sector is immuun voor aanvallen op non-web protocollen. In de retailsector werd 62% van de non-web protocolaanvallen waargenomen. De afhankelijkheid van een omvangrijke toeleveringsketen en verouderde infrastructuur maakt deze sector een aantrekkelijk doelwit. Aanvallers zetten DNS-tunneling, brute force-methoden en malware in om klantgegevens te stelen, ransomware te verspreiden en de bedrijfsvoering te verstoren tijdens drukke periodes, zoals de zomervakantie of de aankomende kerstperiode.
Daarnaast werden technologiebedrijven getroffen door aanzienlijke DNS-gerichte aanvallen (78,5%). Cybercriminelen proberen code repositories te infiltreren, intellectueel eigendom te stelen en cloudgebaseerde activiteiten te verstoren. DNS-tunneling blijft het favoriete instrument voor data-exfiltratie en command-and-control-operaties in deze sector.
Ook de financiële sector is een waardevol doelwit. Aanvallers misbruiken configuratiefouten in Dynamic Host Configuration Protocol (DHCP) en SMB-protocollen om datadiefstalcampagnes te lanceren en ransomware te verspreiden. Tools zoals Cobalt Strike, een favoriet onder geavanceerde cybercriminelen, worden veelvuldig gebruikt om protocollen te misbruiken en de effectiviteit van aanvallen te vergroten.
Deze bevindingen schetsen een duidelijk beeld: cybercriminelen kiezen voor presicieaanvallen. Door hun tactieken af te stemmen op unieke kwetsbaarheden, zijn aanvallers in staat om organisaties lam te leggen en te profiteren van de chaos.
Beveiliging tegen non-webprotocollen
Met traditionele perimeterbeveiliging zijn organisaties kwetsbaar voor non-web protocolaanvallen. De Zscaler Zero Trust Firewall biedt de essentiële bescherming:
- DNS-beveiliging en tunnelingpreventie: de Zero Trust Firewall inspecteert al het DNS-verkeer, inclusief versleuteld HTTPS-verkeer, om kwaadaardige query’s, tunnelingpogingen en domein-gegenereerde algoritmen (DGA’s) te identificeren en te blokkeren die worden gebruikt om data-exfiltratie of command-and-control (C2)-operaties te faciliteren.
- Geïntegreerd inbraakpreventiesysteem (IPS): Advanced Zero Trust Firewall Cloud IPS Control biedt realtime bescherming tegen non-web dreigingen, waaronder protocolspecifieke exploits en pogingen tot laterale verplaatsing via RDP, SMB en vergelijkbare protocollen. Continue updates, ingebouwde protocolbeveiliging en Snort-compatibele signatures zorgen voor veerkracht tegen opkomende dreigingen.
- Detectie van anonimisering en tunneling: de Zero Trust Firewall identificeert en verstoort verkeer van tools zoals Tor, Chisel en Psiphon. Deze tools worden vaak gebruikt om verborgen communicatiekanalen te creëren en kwaadaardige activiteiten te maskeren.
- Uitgebreide segmentatie: de Zero Trust Firewall werkt op basis van zero trust-principes en dwingt least privilege-toegang af voor geauthenticeerde gebruikers, apparaten en applicaties. Geïntegreerde segmentatie tussen apps en gebruikers voorkomt ongeautoriseerde toegang, sluit veelvoorkomende laterale bewegingspaden af en beperkt de omvang van gecompromitteerde inloggegevens.
Non-web protocollen zoals DNS, SMB en RDP zijn steeds vaker favoriete doelwitten van aanvallers. Ze bieden verborgen paden voor datadiefstal en ransomware. Traditionele beveiligingsmaatregelen zijn niet opgewassen tegen deze evoluerende dreiging. Een zero trust-strategie kan deze hiaten dichten voordat het te laat is.
Download hier het volledige ThreatLabz 2025 Protocol Attack Surface Report.
Lees meer
