Затянувшаяся гонка вооружений между преступниками, которые проводят распределенные атаки типа «отказ в обслуживании», и защитниками, которые пытаются их остановить, продолжается, поскольку первые используют «тревожные» новые методы, чтобы сделать свои онлайн-атаки более мощными и разрушительными, считают исследователи из сети доставки контента. Об этом в среду сообщил Cloudflare.
Обладая глобальной сетью, охватывающей более 300 городов в более чем 100 странах мира, Cloudflare имеет информацию об этих типах атак, которую разделяют лишь несколько других компаний. Компания заявила, что доставляет более 63 миллионов сетевых запросов в секунду и более 2 триллионов запросов доменов в день в часы пик. Среди услуг, которые предоставляет Cloudflare, есть защита от атак, которые обычно обозначаются аббревиатурой DDoS.
Тревожная эскалация
«В последние месяцы произошла тревожная эскалация изощренности DDoS-атак», — написали в среду исследователи Cloudflare Омер Йоахимик и Хорхе Пачеко. отчет об угрозе который резюмирует основные моменты во втором квартале этого года. «И даже самые масштабные и изощренные атаки, которые мы видели, могут длиться всего несколько минут или даже секунд, что не дает человеку достаточно времени, чтобы отреагировать».
DDoS-атаки работают, обрушивая на веб-сервер или другую онлайн-собственность больше трафика, чем может выдержать их инфраструктура. Цель состоит в том, чтобы вызвать отказ службы и, как следствие, отказать в обслуживании законным пользователям, пытающимся получить доступ к свойству. DDoSing похож на большую группу подростков, которые одновременно звонят в пиццерию. Поток нежелательных звонков занимает все доступные телефонные линии и истощает персонал, готовый ответить. Люди, пытающиеся разместить законные заказы, не могут пройти.
Традиционно DDoS-атаки не отличались особой сложностью. Во многих отношениях они мало чем отличаются от неандертальца, владеющего гигантской дубиной против врагов. Пещерный человек с самой большой дубиной обычно побеждает. Совсем недавно это начало меняться. В то время как Cloudflare, Microsoft и другие крупные компании разрабатывают новые меры по сдерживанию последствий DDoS-атак, злоумышленники, некоторые из которых связаны с российским правительством, разрабатывают новые способы противодействия этим средствам защиты.
Новые методы пытаются сделать две вещи: (1) скрыть вредоносность трафика, чтобы защитники не заблокировали его, и (2) создать все более крупные потоки трафика, которые могут сокрушить цели, даже если у них есть средства защиты от DDoS.
Эти методы включают в себя:
HTTP DDoS-атаки. В этих атаках используется стандартный протокол передачи гипертекста для переполнения веб-сайтов и шлюзов API на основе HTTP достаточным количеством запросов, чтобы исчерпать их вычислительные ресурсы. Службы защиты от DDoS-атак традиционно блокируют такие атаки, отделяя запросы злоумышленников от законных. Теперь злоумышленники сопротивляются, используя методы, которые усложняют различение вредоносного и безопасного трафика. Как объяснили исследователи:
За последние несколько месяцев мы наблюдаем тревожный всплеск высокорандомизированных и изощренных HTTP-атак DDoS. Похоже, что субъекты угроз, стоящие за этими атаками, намеренно спроектировали атаки, чтобы попытаться обойти системы смягчения последствий, очень точно имитируя поведение браузера, в некоторых случаях путем введения высокой степени рандомизации для различных свойств, таких как пользовательские агенты и Отпечатки пальцев JA3 назвать несколько. Ниже приведен пример такой атаки. Каждый другой цвет представляет собой другую функцию рандомизации.
Рандомизированные HTTP DDoS-атаки
Облачная вспышка
Кроме того, во многих из этих атак создается впечатление, что злоумышленники стараются поддерживать относительно низкую скорость атаки в секунду, чтобы попытаться избежать обнаружения и скрыться среди законного трафика.
Этот уровень сложности ранее ассоциировался с субъектами угроз государственного уровня и спонсируемыми государством, и кажется, что эти возможности теперь находятся в распоряжении киберпреступников. Их операции уже нацелены на известные предприятия, такие как крупный VoIP провайдер, ведущая полупроводниковая компания и крупный поставщик платежных и кредитных карт, и это лишь некоторые из них.
Эксплуатация серверов с непропатченным ПО: Другим распространенным методом является использование серверов с неисправленным программным обеспечением для систем совместной работы Mitel MiCollab и MiVoice Business Express, которые действуют как шлюз для передачи телефонных сообщений УАТС в Интернет и наоборот. Уязвимость, отслеживаемая как CVE-2022-26143, связана с UDP-портом, не прошедшим проверку подлинности, который неисправленное программное обеспечение предоставляет общедоступному Интернету. Заполняя уязвимую систему запросами, которые, как кажется, исходят от жертвы, система, в свою очередь, забрасывает жертву полезной нагрузкой, которую можно в 4 миллиарда раз больше. Этот метод усиления работает путем выдачи так называемой команды отладки «startblast», которая имитирует шквал обращений к тестовым системам.
«В результате для каждого тестового вызова эмитенту отправляются два пакета UDP, что позволяет злоумышленнику направить этот трафик на любой IP-адрес и номер порта для усиления DDoS-атаки», — пишут исследователи Cloudflare. «Несмотря на уязвимость, уязвимы только несколько тысяч таких устройств, что ограничивает потенциальный масштаб атаки, а атаки должны выполняться последовательно, то есть каждое устройство может запускать только одну атаку за раз».
Отмывание DNSатэкс. Это была третья техника DDoS, которая стала популярной в прошлом квартале. Как ресурс, который переводит доменные имена в IP-адреса, система доменных имен имеет решающее значение для передачи данных из одного места в другое. Заполняя инфраструктуру DNS цели большим количеством поисковых запросов, чем у нее есть ресурсы для обработки, злоумышленники уже давно могут сделать целевые службы недоступными.
Этот тип атаки может иметь разрушительные последствия для всего Интернета, о чем мир узнал в 2016 году, когда относительно небольшая сеть зараженных маршрутизаторов и других устройств исчерпала ресурсы DNS-провайдера Dyn. В результате Twitter, GitHub, сеть PlayStation и сотни других объектов, которые полагались на Dyn. зашел в тупик.
Теперь, когда защитники лучше фильтруют вредоносные DNS-запросы, злоумышленники начали использовать атаки с отмыванием DNS. Исследователи Cloudflare объяснили:
При атаке с отмыванием DNS злоумышленник будет запрашивать поддомены домена, которым управляет DNS-сервер жертвы. Префикс, определяющий поддомен, выбирается случайным образом и никогда не используется более одного или двух раз в такой атаке. Из-за элемента рандомизации рекурсивные DNS-серверы никогда не будут иметь кэшированный ответ и должны будут перенаправить запрос на полномочный DNS-сервер жертвы. Авторитетный DNS-сервер затем подвергается бомбардировке таким количеством запросов, что он не может обслуживать законные запросы или даже полностью выходит из строя.
Иллюстрация DDoS-атаки с отмыванием DNS
Облачная вспышка
С точки зрения защиты, администраторы DNS не могут заблокировать источник атаки, поскольку источник включает надежные рекурсивные DNS-серверы, такие как Google 8.8.8.8 и Cloudflare 1.1.1.1. Администраторы также не могут заблокировать все запросы к атакуемому домену, потому что это допустимый домен, к которому они хотят сохранить доступ для законных запросов.
Вышеуказанные факторы затрудняют отличить законные запросы от вредоносных. Крупное азиатское финансовое учреждение и североамериканский DNS-провайдер являются одними из недавних жертв таких атак. Ниже приведен пример такой атаки.
Пример DDoS-атаки с отмыванием DNS
Облачная вспышка
Ботнеты виртуальных машин. Последней технологией, которую исследователи определили как находящуюся на подъеме, было использование ботнетов виртуальных машин. Вместо того, чтобы полагаться на зараженные маршрутизаторы и другие устройства, подключенные к Интернету, злоумышленники используют виртуальные машины или виртуальные частные серверы. Вычислительные ресурсы и пропускная способность этих ботнетов превосходят возможности более традиционных ботнетов по доставке «гиперобъемных» DDoS-атак.
В отчете, опубликованном в среду, говорится, что такой ботнет был ответственен за проведение атаки на 71 миллион запросов ранее в этом году, что сделало его одним из крупнейших DDoS-атак за всю историю.
Иллюстрация ботнета IoT по сравнению с ботнетом виртуальной машины.
Реальность
В прошлом квартале веб-сайты, посвященные криптовалюте, были самой большой целью DDoS, за ними следовали сайты с играми и азартными играми, а также маркетинговые и рекламные сайты. США были крупнейшим источником DDoS-атак, за ними следуют Китай и Германия. Учитывая больший размер рынка этих стран, следует, что на них также будет приходиться больше DDoS-атак. По словам исследователей, при устранении такой предвзятости основными источниками были Мозамбик, Египет и Финляндия. Почти пятая часть всего HTTP-трафика, исходящего с IP-адресов Мозамбика, была частью DDoS-атак.
