Non-webprotocollen zoals DNS, RDP en SMB populair onder cybercriminelen

DNS als zwakke schakel

DNS blijft het meest aangevallen protocol, omdat het vaak als betrouwbaar wordt beschouwd. Aanvallers verbergen kwaadaardige activiteiten in DNS-verzoeken, waardoor ze traditionele beveiligingsmaatregelen zoals firewalls kunnen omzeilen. Dit stelt hen in staat om onopgemerkt command-and-control-verbindingen op te zetten of gegevens te stelen.

Brute-force-aanvallen op RDP en SMB

De toename van brute-force-aanvallen, met name via RDP en SMB, toont aan dat verouderde systemen met zwakke of standaardwachtwoorden nog steeds een groot risico vormen. Geautomatiseerde tools scannen open poorten om toegang te krijgen tot kwetsbare systemen.

Exploitatie van kwetsbaarheden in non-webprotocollen

Zowel oudere, niet-gepatchte als recentere kwetsbaarheden in non-webprotocollen worden actief misbruikt. Veel systemen bevatten nog altijd beveiligingslekken, waardoor aanvallers toegang krijgen tot DNS-, RDP- en SMB-protocollen. Dit vormt een risico voor laterale bewegingen, datadiefstal en ransomware.

Malware past non-webprotocollen toe

Geavanceerde malware, zoals Agent Tesla en LockBit-ransomware, integreert non-webprotocollen in hun aanvalsstrategieën. Gh0st RAT gebruikt DNS-tunneling voor surveillance en persistente command-and-control-kanalen, terwijl AsyncRAT en ValleyRAT obfuscatietechnieken toepassen om detectie te ontwijken.

Sectoren onder vuur

Geen enkele sector ontkomt aan aanvallen op non-webprotocollen. In de retailsector werd 62% van de non-webprotocolaanvallen waargenomen, met name tijdens drukke periodes zoals de zomervakantie en kerst. Aanvallers stelen klantgegevens, verspreiden ransomware en verstoren bedrijfsprocessen.

Technologiebedrijven worden vooral getroffen door DNS-gerichte aanvallen (78,5%). Cybercriminelen proberen code-repositories te infiltreren, intellectueel eigendom te stelen en cloudactiviteiten te verstoren.

Ook de financiële sector is een doelwit. Aanvallers misbruiken configuratiefouten in DHCP en SMB om datadiefstal en ransomwarecampagnes uit te voeren. Tools zoals Cobalt Strike worden vaak ingezet om protocollen te misbruiken.

Beveiligingsmaatregelen

Traditionele perimeterbeveiliging biedt onvoldoende bescherming tegen non-webprotocolaanvallen. Zscaler’s Zero Trust Firewall biedt oplossingen zoals:

• DNS-beveiliging en tunnelingpreventie: inspectie van al het DNS-verkeer, inclusief versleutelde HTTPS-verbindingen, om kwaadaardige query’s en tunnelingpogingen te blokkeren.
• Geïntegreerd inbraakpreventiesysteem (IPS): realtime bescherming tegen non-webdreigingen, waaronder exploits via RDP en SMB.
• Detectie van anonimiseringstools: identificatie en verstoring van verkeer via Tor, Chisel en Psiphon.
• Uitgebreide segmentatie: afdwinging van least privilege-toegang om laterale bewegingen te beperken.

Non-webprotocollen zoals DNS, SMB en RDP blijven favoriete doelwitten voor aanvallers. Traditionele beveiliging is niet afdoende tegen deze evoluerende dreigingen. Een zero trust-benadering kan deze risico’s beperken voordat schade ontstaat.

Het volledige ThreatLabz 2025 Protocol Attack Surface Report is hier te downloaden.