Pod ciężkim ostrzałem

Operatorzy sieciowi oraz firmy dostarczające zabezpieczenia potrafią coraz skuteczniej walczyć z atakami DDoS. Jednak cyberprzestępcy rozwijają swoje umiejętności i narzędzia, nie należy więc się spodziewać, że ten rodzaj zagrożenia stanie się mniejszym niż dotychczas problemem.

Z atakami DDoS mamy do czynienia od dobrych kilku lat. To wystarczający okres, żeby zaobserwować ciekawe trendy w tym obszarze. Ataki DDoS wykorzystujące technikę zwielokratniania (określaną również mianem odbicia) są wciąż popularne i osiągają bardzo duże rozmiary. Z technicznego punktu widzenie metoda odbicia nie jest niczym nowym, ale cyberprzestępcy odkrywają nowe sposoby i zasoby, żeby zwiększać możliwości botnetów. Według Kaspersky Lab największy zaobserwowany w 2015 r. atak oscylował w przedziale 450-500 Gbit/s. Prawdopodobnie nie jest to już rekordowy wynik. Według niepotwierdzonych informacji strona wyborcza Donalda Trumpa była celem kampanii, która sięgnęła 602 Gbit/s. Odpowiedzialność ze ten incydent wzięła na siebie grupa New World Hacking.

Przestępcy coraz częściej wykorzystują DNSSEC do przeprowadzania ataków. Ten protokół minimalizuje zagrożenie atakami typu DNS spoofing, ale poza informacjami dotyczącymi domeny standardowa odpowiedź DNSSEC zawiera również dodatkowe dane uwierzytelniające. To powoduje, że wielkość tej odpowiedzi to 4096 bajtów (w przypadku DNS odpowiedź ma wielkość 512 bajtów). Korzystają z tego przestępcy do zwielokrotniania wielkości ataku. Z reguły korzystają z domen .gov, ponieważ w USA w przypadku tych domen wymagany jest protokół DNSSEC.

Zobacz również:

Ataki na WordPressa

Atakujący chętnie wykorzystują popularny system zarządzania treściami WordPress do przeprowadzania kampanii DDoS. W tym przypadku wykorzystywana jest jedna z funkcji WordPressa – pingback. Rolą tej funkcji jest informowanie o autorze wpisu w przypadku umieszczenia odnośnika do tego wpisu na innej stronie również używającej WordPressa. Jeśli administrator tej strony włączył funkcję pingback, wszystkie odnośniki prowadzące do opublikowanego materiału będą powodowały wykonanie tej funkcji, przykładowo zostanie wysłanie żądanie XML-RPC do strony, na której znajduje się oryginalny tekst. Duża liczba żądań pingback wysłana do oryginalnej strony spowoduje atak DDoS. Ta funkcje WordPressa coraz mocniej przykuwa uwagę przestępców, ponieważ ułatwia przeprowadzanie ataków w warstwie aplikacji.

Włamanie do Linux Mint

Pod koniec lutego 2016 szef projektu Linux Mint, Clement Lefebvre, poinformował, że ktoś włamał się do ich infrastruktury, włączając w to oficjalną stronę WWW i forum, a następnie podmienił odnośniki prowadzące do właściwych obrazów ISO dystrybucji Linux Mint 17.3 Cinnamon własnymi adresami URL. Zmodyfikowane przez hakerów obrazy ISO zawierały szkodliwy kod służący do przeprowadzania ataków DDoS.

Ataki na speców od bezpieczeństwa

Jednym z ulubionych celów przestępców są firmy zajmujące się bezpieczeństwem, w szczególności te, które oferują zabezpieczenia przed atakami DDoS. Tego rodzaju zdarzenia nie wyrządzają istotnych szkód, ponieważ atakowane zasoby są dobrze chronione. Jednak stale dochodzi do takich incydentów. Prawdopodobnie przestępcy testują w ten sposób nowe narzędzia i metody, ale każdy kij ma dwa końce. Na podstawie tych ataków można przewidywać, w jakim kierunku będzie zmierzać światek DDoS. Okazuje się, że spada liczba ataków wykorzystujących efekt odbicia, ale jednocześnie rośnie ich wielkość i to aż czterokrotnie. To potwierdza ogólny trend wzrostu siły ataków. Z punktu widzenia atakujących jest to konieczne, żeby pokonać zabezpieczenia.

Rośnie natomiast liczba ataków w warstwie aplikacji. Można założyć, że ataków w warstwie danych będzie stopniowo coraz mniej, natomiast najczęściej będzie dochodzić do incydentów w warstwie aplikacji lub będą to ataki wielowarstwowe (połączenie ataków sprzętowych i w warstwie aplikacji).

Potężne ataki odbicia wykorzystujące protokół UDP pojawiły się kilka lat temu i wciąż są popularne wśród cyberprzestępców. Są bowiem relatywnie łatwe do przeprowadzenia, a z wykorzystaniem stosukowo małego botnetu można rozpętać bardzo duży atak. Ponieważ technika zwielokrotniania wykorzystuje pośredniczące, podatne serwery, źródło ataku jest trudne do wykrycia. Powstały już jednak narzędzia skutecznie zabezpieczające przed tym zagrożeniem, więc należy spodziewać się spadania liczby tego typu ataków. Jest to efekt wspólnego wysiłku operatorów sieciowych i firm zajmujących się zabezpieczeniami. Ruch UDP generowany w atakach udaje się skutecznie filtrować, więc stają się one mniej skuteczne.

Warstwa aplikacji

Aby przeprowadzić atak w warstwie aplikacji na serwisy internetowe, potrzebny jest duży botnet lub kilka bardzo wydajnych serwerów oraz łącza internetowe o dużej przepustowości, a także wiedza o podatnościach celu ataku. W przeciwnym razie taka wroga operacja będzie nieskuteczna. Jeśli atak w warstwie aplikacji jest przeprowadzany przez fachowców, trudno podjąć skuteczne środki zapobiegawcze bez zablokowania dostępu uprawnionym użytkownikom. Fałszywe zapytania są bardzo podobne do autentycznych.

Czarny rynek cały czas się rozwija i obecnie przeprowadzanie ataków w warstwie aplikacji jest wyraźne tańsze niż wcześniej. Co więcej, im popularniejsza staje się jakaś metoda ataków, tym więcej pojawia się do niej narzędzi i ataki stają się łatwiejsze do przeprowadzenia. To zjawisko jest jak śnieżna kula i może spodziewać się większej liczby ataków w warstwie aplikacji.


TOP 200