Затянувшаяся гонка вооружений между преступниками, которые проводят распределенные атаки типа «отказ в обслуживании», и защитниками, которые пытаются их остановить, продолжается, поскольку первые используют «тревожные» новые методы, чтобы сделать свои онлайн-атаки более мощными и разрушительными, считают исследователи из сети доставки контента. Об этом в среду сообщил Cloudflare.
Обладая глобальной сетью, охватывающей более 300 городов в более чем 100 странах мира, Cloudflare имеет информацию об этих типах атак, которую разделяют лишь несколько других компаний. Компания заявила, что доставляет более 63 миллионов сетевых запросов в секунду и более 2 триллионов запросов доменов в день в часы пик. Среди услуг, которые предоставляет Cloudflare, есть защита от атак, которые обычно обозначаются аббревиатурой DDoS.
Тревожная эскалация
«В последние месяцы произошла тревожная эскалация изощренности DDoS-атак», — написали в среду исследователи Cloudflare Омер Йоахимик и Хорхе Пачеко. отчет об угрозе который резюмирует основные моменты во втором квартале этого года. «И даже самые масштабные и изощренные атаки, которые мы видели, могут длиться всего несколько минут или даже секунд, что не дает человеку достаточно времени, чтобы отреагировать».
DDoS-атаки работают, обрушивая на веб-сервер или другую онлайн-собственность больше трафика, чем может выдержать их инфраструктура. Цель состоит в том, чтобы вызвать отказ службы и, как следствие, отказать в обслуживании законным пользователям, пытающимся получить доступ к свойству. DDoSing похож на большую группу подростков, которые одновременно звонят в пиццерию. Поток нежелательных звонков занимает все доступные телефонные линии и истощает персонал, готовый ответить. Люди, пытающиеся разместить законные заказы, не могут пройти.
Традиционно DDoS-атаки не отличались особой сложностью. Во многих отношениях они мало чем отличаются от неандертальца, владеющего гигантской дубиной против врагов. Пещерный человек с самой большой дубиной обычно побеждает. Совсем недавно это начало меняться. В то время как Cloudflare, Microsoft и другие крупные компании разрабатывают новые меры по сдерживанию последствий DDoS-атак, злоумышленники, некоторые из которых связаны с российским правительством, разрабатывают новые способы противодействия этим средствам защиты.
Новые методы пытаются сделать две вещи: (1) скрыть вредоносность трафика, чтобы защитники не заблокировали его, и (2) создать все более крупные потоки трафика, которые могут сокрушить цели, даже если у них есть средства защиты от DDoS.
Эти методы включают в себя:
HTTP DDoS-атаки. В этих атаках используется стандартный протокол передачи гипертекста для переполнения веб-сайтов и шлюзов API на основе HTTP достаточным количеством запросов, чтобы исчерпать их вычислительные ресурсы. Службы защиты от DDoS-атак традиционно блокируют такие атаки, отделяя запросы злоумышленников от законных. Теперь злоумышленники сопротивляются, используя методы, которые усложняют различение вредоносного и безопасного трафика. Как объяснили исследователи:
За последние несколько месяцев мы наблюдаем тревожный всплеск высокорандомизированных и изощренных HTTP-атак DDoS. Похоже, что субъекты угроз, стоящие за этими атаками, намеренно спроектировали атаки, чтобы попытаться обойти системы смягчения последствий, очень точно имитируя поведение браузера, в некоторых случаях путем введения высокой степени рандомизации для различных свойств, таких как пользовательские агенты и Отпечатки пальцев JA3 назвать несколько. Ниже приведен пример такой атаки. Каждый другой цвет представляет собой другую функцию рандомизации.
Кроме того, во многих из этих атак создается впечатление, что злоумышленники стараются поддерживать относительно низкую скорость атаки в секунду, чтобы попытаться избежать обнаружения и скрыться среди законного трафика.
Этот уровень сложности ранее ассоциировался с субъектами угроз государственного уровня и спонсируемыми государством, и кажется, что эти возможности теперь находятся в распоряжении киберпреступников. Их операции уже нацелены на известные предприятия, такие как крупный VoIP провайдер, ведущая полупроводниковая компания и крупный поставщик платежных и кредитных карт, и это лишь некоторые из них.
Эксплуатация серверов с непропатченным ПО: Другим распространенным методом является использование серверов с неисправленным программным обеспечением для систем совместной работы Mitel MiCollab и MiVoice Business Express, которые действуют как шлюз для передачи телефонных сообщений УАТС в Интернет и наоборот. Уязвимость, отслеживаемая как CVE-2022-26143, связана с UDP-портом, не прошедшим проверку подлинности, который неисправленное программное обеспечение предоставляет общедоступному Интернету. Заполняя уязвимую систему запросами, которые, как кажется, исходят от жертвы, система, в свою очередь, забрасывает жертву полезной нагрузкой, которую можно в 4 миллиарда раз больше. Этот метод усиления работает путем выдачи так называемой команды отладки «startblast», которая имитирует шквал обращений к тестовым системам.
«В результате для каждого тестового вызова эмитенту отправляются два пакета UDP, что позволяет злоумышленнику направить этот трафик на любой IP-адрес и номер порта для усиления DDoS-атаки», — пишут исследователи Cloudflare. «Несмотря на уязвимость, уязвимы только несколько тысяч таких устройств, что ограничивает потенциальный масштаб атаки, а атаки должны выполняться последовательно, то есть каждое устройство может запускать только одну атаку за раз».
Отмывание DNS атэкс. Это была третья техника DDoS, которая стала популярной в прошлом квартале. Как ресурс, который переводит доменные имена в IP-адреса, система доменных имен имеет решающее значение для передачи данных из одного места в другое. Заполняя инфраструктуру DNS цели большим количеством поисковых запросов, чем у нее есть ресурсы для обработки, злоумышленники уже давно могут сделать целевые службы недоступными.
Этот тип атаки может иметь разрушительные последствия для всего Интернета, о чем мир узнал в 2016 году, когда относительно небольшая сеть зараженных маршрутизаторов и других устройств исчерпала ресурсы DNS-провайдера Dyn. В результате Twitter, GitHub, сеть PlayStation и сотни других объектов, которые полагались на Dyn. зашел в тупик.
Теперь, когда защитники лучше фильтруют вредоносные DNS-запросы, злоумышленники начали использовать атаки с отмыванием DNS. Исследователи Cloudflare объяснили:
При атаке с отмыванием DNS злоумышленник будет запрашивать поддомены домена, которым управляет DNS-сервер жертвы. Префикс, определяющий поддомен, выбирается случайным образом и никогда не используется более одного или двух раз в такой атаке. Из-за элемента рандомизации рекурсивные DNS-серверы никогда не будут иметь кэшированный ответ и должны будут перенаправить запрос на полномочный DNS-сервер жертвы. Авторитетный DNS-сервер затем подвергается бомбардировке таким количеством запросов, что он не может обслуживать законные запросы или даже полностью выходит из строя.
С точки зрения защиты, администраторы DNS не могут заблокировать источник атаки, поскольку источник включает надежные рекурсивные DNS-серверы, такие как Google 8.8.8.8 и Cloudflare 1.1.1.1. Администраторы также не могут заблокировать все запросы к атакуемому домену, потому что это допустимый домен, к которому они хотят сохранить доступ для законных запросов.
Вышеуказанные факторы затрудняют отличить законные запросы от вредоносных. Крупное азиатское финансовое учреждение и североамериканский DNS-провайдер являются одними из недавних жертв таких атак. Ниже приведен пример такой атаки.
Ботнеты виртуальных машин. Последней технологией, которую исследователи определили как находящуюся на подъеме, было использование ботнетов виртуальных машин. Вместо того, чтобы полагаться на зараженные маршрутизаторы и другие устройства, подключенные к Интернету, злоумышленники используют виртуальные машины или виртуальные частные серверы. Вычислительные ресурсы и пропускная способность этих ботнетов превосходят возможности более традиционных ботнетов по доставке «гиперобъемных» DDoS-атак.
В отчете, опубликованном в среду, говорится, что такой ботнет был ответственен за проведение атаки на 71 миллион запросов ранее в этом году, что сделало его одним из крупнейших DDoS-атак за всю историю.
Реальность
В прошлом квартале веб-сайты, посвященные криптовалюте, были самой большой целью DDoS, за ними следовали сайты с играми и азартными играми, а также маркетинговые и рекламные сайты. США были крупнейшим источником DDoS-атак, за ними следуют Китай и Германия. Учитывая больший размер рынка этих стран, следует, что на них также будет приходиться больше DDoS-атак. По словам исследователей, при устранении такой предвзятости основными источниками были Мозамбик, Египет и Финляндия. Почти пятая часть всего HTTP-трафика, исходящего с IP-адресов Мозамбика, была частью DDoS-атак.
2023-07-19 20:02:38
1689807291
#Злоумышленники #находят #новые #способы #доставки #DDoSатак #тревожной #изощренностью #Ars #Technica