Цифри зростають: зареєстрована атака в 620 Gbps



У вересні цього року на сайті KrebsOnSecurity.com була здійснена DDOS-атака великого об'єму і незвичайної природи. Атака не вдалася завдяки роботі команди Akamai, компанії, яка забезпечує захист цього сайту. За даними Akamai, ця атака майже вдвічі перевершувала за обсягом найбільшу атаку до цього зареєстровану компанією

Атака почалася вранці 20 вересня, і спочатку оцінювалася в 665 Gbps, згодом у процесі аналізу виявилося, що обсяг атаки дещо менше – 620 Gbps. Такий обсяг – це в багато разів більше, ніж потрібно для того, щоб «укласти» більшість сайтів в інтернеті.

Як вдалося провести таку атаку: ботнет з IoT пристроїв

За даними Akamai, найбільша атака, яка раніше реєструвалася компанією, була обсягом 363 Gbps. Однак глобальна різниця між цими атаками полягає в джерелі трафіку. Попередня рекордна атака 363 Gbps було сформовано досить невеликим ботнетом, з допомогою широко відомих методів посилення, які дозволяють збільшити трафік, що надходить до «жертви», хоча вихідна кількість атакуючих пристроїв відносно невелика.

В таких атаках використовуються перевірені методи, такі як «DNS-відображення». Використовуючи неконтрольовані DNS-сервера в інтернеті, зловмисники створюють великий трафік.

В ідеалі DNS-сервера обробляють запити тільки з довірених машин. Однак техніка DNS-відображення покладається на мільйони роутерів класу «для дому», які також є DNS-серверами, часто неправильно сконфігуровані і приймають такі запити зі всього інтернету. Зловмисники підробляють» DNS-запити до цих пристроїв таким чином, щоб здавалося, що запит виходить від «жертви» атаки. Таким чином, відповідь пристрою буде направлений на адресу «жертви».

Є також відомий метод посилення такої атаки, який дозволяє зробити відповідь, що направляється на «жертву», набагато більше за обсягом, ніж спочатку надісланий запит. У цьому випадку використовується розширення DNS-протоколу, допускає великі DNS-повідомлення. Початковий запит від атакуючої системи може бути всього лише 100 байт, в той час як відповідь пристрою, що направляється на «жертву», може бути в 60-70 разів більше.

Оскільки зловмисники звертаються до сотням подібних пристроїв по всьому світу, мережа «жертви» швидко виявляється вражена величезним кількістю DNS-трафіку.

На противагу цим технікам посилення і відображення вереснева атака була запущена з дуже великого ботнету без використання цих технік.

У великій частці використовувалися застарілі методи атаки, які вимагають легітимного з'єднання між атакуючим пристроєм і «жертвою», включаючи такі методи, як SYN-, GET і POST-флуд.

Однак була й одна важлива новація. Найбільша частина цього трафіку була сфальсифікована так, щоб виглядати як пакети загальною інкапсуляції маршрутизації (GRE) – комунікаційного протоколу, призначеного для встановлення прямих з'єднань «точка-точка» між мережевими вузлами. GRE дозволяє двом вузлів ділитися між собою даними, якими вони не можуть поділитися через публічну мережу.

Подібна атака через GRE дуже незвичайна. Справа в тому, що джерело GRE-трафіку не може бути підроблений так само легко, як зловмисники надходять з DNS-трафіком. Теж саме стосується і застарілих методів атаки, згаданих вище. Це дозволяє припустити, що ця рекордна за обсягом атака була запущена з дуже великого числа зламаних систем, що обчислюються сотнями тисяч.

У світі, очевидно, з'явився ботнет небачених раніше масштабів, і судячи з географії запитів – розподілений по всьому світу.

Деякі дані говорять про те, що в цій атаці було задіяно велику кількість зламаних пристроїв, що належать до «інтернету речей» — найпростіші роутери, IP-камери і цифрові рекордери, які мають доступ в інтернет і захищені слабкими або незмінними паролями.

Як показано в останньому звіті Flashpoint, загроза від IoT-ботнетів з'явилася завдяки безлічі шкідливих програм – Lizkebab, BASHLITE, Torlus, gagfyt. Вихідний код цих шкідників став відомий в 2015 році, і з тих пір став «батьком» багатьох підваріантів.

Ботнети захоплюють нові пристрої скануючи пристрої, щоб знайти можливість встановити в них шкідливий код. Існують дві основні моделі такого сканування. Перший варіант – коли боти сканують порти telnet серверів і намагаються підібрати логін-пароль брутфорсом, щоб отримати доступ до пристрою.

Другий варіант, який стає все більш поширеним, передбачає використання зовнішніх скануючих пристроїв, зокрема сканування може вестися з серверів, керуючих ботнетом. Ця модель дозволяє додати більше можливих методів зараження, включаючи брутфорс SSH-серверів і використання відомих слабких місць в безпеці різних конкретних пристроїв.

Варто відзначити, що, схоже, сайт KrebsOnSecurity.com був обраний метою атаки з-за участі власника сайту в переслідуванні сервісу «DDOS на замовлення» vDOS, що призвело до арешту двох людей, що вважаються його засновниками. Цей висновок зроблено на підставі того, що деякі з POST-запитів атаки містили рядок «freeapplej4ck» — відсилання до ніку одного із співвласників vDOS.

Все це говорить про те, що з часом такі атаки гігантського масштабу можуть стати нормою.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.