DDoS dla każdego

Badania z wykorzystaniem specjalnych informatycznych przynęt, tzw. honeypot, przeprowadzone przez specjalistów zajmujących się bezpieczeństwem pokazały, że do przygotowania ataków DDoS wystarczą niewielkie umiejętności.

Wykonana przez firmę Novetta analiza taktyki hakerów próbujących wykorzystać lukę w silniku wyszukiwarki Elasticsearch wykazała, że atak DDoS mogą przeprowadzić nawet, tzw. script-kiddies. Wyniki badania sugerują, że wystarczą bardzo niewielkie umiejętności, aby zbudować dużą infrastrukturę przeznaczoną do ataków DDoS.

Takie wnioski przedstawili analitycy z Novetta na podstawie danych zebranych za pomocą Delilah, oprogramowania open source do tworzenia przynęt na ataki DDoS. Oprogramowanie to zostało wykorzystane, aby lepiej zrozumieć sposoby działania cyberprzestępców próbujących wykorzystać luki w Elasticsearch. Okazało się, że większość atakujących nie ma wysokich umiejętności. Po prostu opracowano prostą metodę wykorzystania luki do stworzenia infrastruktury DDoS.

Zobacz również:

W silniku skryptowym Elasticsearch Groovy wykryto lukę w bezpieczeństwie, która umożliwia zdalne uruchomienie kodu na zawierających ją serwerach Elasticearch. Wkrótce po podaniu do publicznej wiadomości informacji o luce badacze zaobserwowali zmasowane skanowania w poszukiwaniu podatnych serwerów i próby wykorzystania tej luki. W efekcie włamano się do dużej liczby serwerów Elasticsearch, o czym Novetta również informowała w swoim raporcie. Luka została wykryta w lutym 2015 r., ale pewne wskazówki sugerują, że była aktywnie wykorzystywana od listopada 2014 r., a być może jeszcze wcześniej, nawet od lipca. Luka została załatana, ale administratorzy wielu serwerów Elasticsearch nie zainstalowali stosownej aktualizacji, więc wciąż są one podatne na atak.

Przeprowadzone analizy luki wykazały, że na zaatakowanych serwerach Elasticsearch instalowano dwa rodzaje szkodliwego oprogramowania: Elknot oraz BillGates. Są to narzędzia do przeprowadzania ataków DDoS, ale znacznie różnią się poziomem zaawansowania. Elknot to podstawowy atak DDoS, wykorzystując zbiór prostych komend generujących zmasowany ruch w kierunku wybranego celu. Z kolei BillGates to szkodnik o rozbudowanym kodzie, mający, obok funkcji DDoS, możliwość uruchamiania innych złośliwych programów. Może służyć jako tylna furtka do serwerów Elasticsearch. Ataki z jego wykorzystaniem charakteryzowały się dłuższym okresem trwania niż w przypadku Elknot, sam szkodnik potrafił również długo ukrywać się w zainfekowanym serwerze.

Serwery zarządzające (tzw. C&C, Command and Control), które atakujący wykorzystywali do komunikacji z zaatakowanymi serwerami Elasticsearch zawierały jeszcze jeden rodzaj szkodliwego oprogramowania, które mogło być (podobnie jak Elknot i BillGates) łatwo instalowane na dziurawych serwerach Elasticsearch. Wiele z przechowywanych na tych serwerach próbek to stare exploity, które mogą być wykorzystane przez atakujących do poruszania się wewnątrz sieci, w której działa zainfekowany serwer. Fakt, że do tej pory atakujący nie wykorzystali tej możliwości świadczy o tym, że kradzież danych nie jest motywem ich działań.

Co więcej, osoby stojące za atakiem wydają się posiadać umiejętności na poziomie script-kiddies, ponieważ wykorzystywane przez nie narzędzia są łatwe do zdobycia i można je bez problemu wdrożyć bez konieczności modyfikowania pod kątem specyfiki atakowanych celów. Co więcej, trwające nadal skanowania i ataki na podatne serwery Elasticsearch pokazują, jak łatwo każdy może przygotować infrastrukturę do ataku DDoS.

Większość serwerów wykorzystywanych w kampanii ataków na Elasticsearch ma adresy IP z chińskiej przestrzeni adresowej. Większość celów ataków DDoS prowadzonych z wykorzystaniem serwerów Elasticsearch również znajduje się w Chinach, ale atakowano także firmy w USA. Podczas trwania obserwacji z wykorzystaniem przynęt analitycy z Novetta zaobserwowali 384 ataki na 95 różnych adresów IP w Chinach oraz 133 ataki na 133 adresy IP zlokalizowane w USA. Najczęściej ataki przeprowadzano z wykorzystaniem takich komend, jak SYN Flood, UDP Flood oraz Ping Flood.

Od pojedynczych ataków do stałego zagrożenia

Z raportu opublikowanego pod koniec września 2015 r. przez Neustar wynika, że rośnie liczba oraz wielkość ataków DDoS. Jednocześnie bardzo szybko rośnie także liczba ataków o małej skali. Badacze ankietowali ponad 760 menedżerów IT z firm w Ameryce Północnej oraz regionu EMEA. Aż połowa badanych firm stała się celem ataku DDoS. Jednocześnie zaobserwowano, że z pojedynczych incydentów ta forma zagrożenia przybrała bardziej ciągłą formę. Aż 83% z zaatakowanych firm znalazło się na celowniku więcej niż raz, a 54% doświadczyło takich ataków sześciokrotnie.

Widać również, że ataki DDoS są coraz częściej wykorzystywane do ukrycia poważniejszych włamań. Aż 36% firm badanych przez Neustar zgłosiło, że po każdym ataku DDoS znajdowały niewykryte szkodliwe oprogramowanie. Z kolei jedna czwarta doświadczyła kradzieży danych lub prób kradzieży środków z rachunków bankowych.

Najczęściej firmowe działy IT same wykrywają ataki (80%), ale w niektórych przypadkach to klienci pierwsi zgłaszają problemu(18%). Czasem robią to również partnerzy biznesowi (13%). Większość ataków mieściła się w przedziale 1,0-4,9 Gbit/s (17%), natomiast ataków powyżej 100 Gbit/s było tylko 2%. Ponad połowa ataków trwała krócej, niż jeden dzień. Tylko 1% trwał ciągle przez tydzień lub dłużej. Neustar wspomina też w raporcie, że 60% ankietowanych firm wciąż używa sprzętu sieciowego, który nie jest przystosowany do radzenia sobie z atakami DDoS.


TOP 200