DDoS на російські банки. Хронологія атаки

9 листопада великий російський банк зафіксував атаку на свій основний публічний web-сайт. Події співпали за часом з великою кількістю політичних медійних подій, пов'язаних з підведенням підсумків виборів президента США.

У цей момент фахівці нашої компанії проводили зовнішній пентест інфраструктури банку (йшов перший день робіт). Банк був попереджений про можливий вплив проведених робіт на продуктивні системи, тому саме з зовнішнім пентестом і були пов'язані перші припущення про причини спостережуваних труднощів у роботі web-сайту.

Досить швидко стало зрозуміло, що це зовнішня атака. Фахівці банку почали боротьбу за підтримку працездатності сайту. «Інфосистеми Джет» вислали на допомогу фахівцям фінансової організації інженера для спільного відбиття атаки.

За підсумками аналізу подій ІБ і журналів web-серверів була зафіксована наступна хронологія подій.

Протягом 8 листопада зловмисниками проводилися спроби експлуатації вразливостей, пов'язаних з обробкою скриптами web-сайту параметрів запитів (спроби формування запитів, що призводять до порушення роботи програм). Йшло вивчення жертви, шукалися способи створити специфічну атаку, яка б гарантовано вивела саме сайт банку з ладу. Істотного впливу на доступність сайту це не зробило. Судячи з усього, нічого цікавого зловмисники не змогли знайти і вирішили діяти «грубою силою».

9 листопада з півночі і приблизно до шести годин ранку атака велася з допомогою нізькорівневої флуду малої потужності (до 10 Мбіт/с). Використовувалася давня атака syn flood, спрямована на вичерпання ресурсів web-серверів. Локальна система захисту від DDoS успішно відбивала цю невелику атаку.

Фахівці банку з власного досвіду знали, що далі може піти набагато більш сильний удар. Хакери, по суті, видали себе заздалегідь і дозволили банку підсилити свою оборону. Почалася підготовка до відбиття більш потужних і високочастотних атак, зокрема, була активована захист на каналах оператора зв'язку. Ці дії виявилися дуже своєчасними.

У першій половині 9 листопада оператор зв'язку, канали якого були обрані основними, успішно відбивав атаки потужністю до 350 Мбіт/с. Системи банку самі б з такими навантаженнями не впоралися.

Оцінивши серйозність атаки, банк почав екстрено підключатися до одного з російських хмарних сервісів по захисту від DDoS. Це вдалося зробити до кінця дня. Загроза була донесена до керівництва фінансової організації, що дозволило максимально прискорити процес.

Системи банку та звіти провайдера давали зрозуміти, що зловмисники бачать неефективність проведених атак і перебирають різні варіанти. Були випробувані різні види: як низькорівневі та прості (icmp flood, syn flood, spoofed syn flood), так і рівня додатків. Велика частина їх була спрямована на вичерпання доступних ресурсів web-серверів.

Аналіз IP-адрес атакуючих показував, що вони здебільшого не належать до числа відомих проксі-серверів або вихідних нод анонімної мережі TOR, не визначаються як будь-які публічні сервіси, тобто використовувався ботнет в основному на реальних пристроях. Це і специфіка проведених атак дозволяє погодитися з аналітиками, які стверджують, що в атаці бере участь частина знаменитого ботнету Mirai. Вихідний код складових ботнету нещодавно був викладений в мережу, тому ми припускаємо, що це не оригінальний ботнет, а вже новий, меншого масштабу, але також складається з зламаних IoT-пристроїв, в тому числі домашніх відеореєстраторів.

На жаль, зловмисники змогли в результаті намацати слабке місце в захисті банку. Ні провайдер, ані сервіс захисту від DDoS не змогли якісно розділити легітимний і шкідливий зашифрований трафік (HTTPS). Атакуючий зрозумів це і направив основний потік атаки на даний вектор. Заражені системи просто заходили на сайт HTTPS з великою інтенсивністю. Так як криптографія вимагає багато обчислювальних ресурсів, системи банку не впоралися з навантаженням. Сайт «ліг». Клієнти не могли зайти на головну сторінку, скористатися інтернет-банком.

Можливо, банку міг би допомогти WAF (спеціалізований міжмережевий екран для захисту web). Він навіть був встановлений, але його не встигли ввести в експлуатацію і сайт банку не було до нього приєднаний.

Фінансової організації довелося екстрено адаптувати інфраструктуру сайту до атаки: шифрування було винесено на окремі вузли підвищеної потужності, на частині сторінок сайту довелося відключити HTTPS взагалі (там, де не обробляються конфіденційні дані). Ці заходи дозволили виправити ситуацію, але все ж кілька годин сайт працював зі збоями.

Крім явної шкоди DDoS-атака створила підвищене навантаження на інфраструктуру банку (ферми віртуалізації, канали зв'язку і проміжне мережеве обладнання), що призвело до деградації продуктивності і проблем у роботі ряду систем, які не відносилися прямо до сайту.

Необхідно віддати належне команді, яка протистоїть атаці. Фахівці без сну і відпочинку відбивали все нові хвилі. Порівняно невеликої шкоди банку атака завдала саме завдяки моментальної реакції інженерів і підтримки керівництва. Рішення, на які у звичайних умовах банківської бюрократії йдуть місяці, приймалися і реалізовувалися кризовим штабом за лічені хвилини.

P. S. 11 листопада атаці піддався ще один наш клієнт, банк далеко не з першої десятки. Однозначно сказати, що це частина тієї ж атаки, не можна, але в цілому її профіль дуже схожий.

Автори: Андрій Янкін, керівник відділу консалтингу Центру інформаційної безпеки компанії «Інфосистеми Джет» та Сергій Павленко, начальник відділу інженерної підтримки та сервісу Центру інформаційної безпеки компанії «Інфосистеми Джет».
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.