Данный тип флуда уже был известен как Layer 7 HTTP-флуд, при этом специалисты считали, что организовать подобную атаку весьма непросто. Тем не менее, неизвестным (пока) злоумышленникам это удалось благодаря внедрению соответствующего JavaSript в рекламу. Так удалось получить постоянный и очень сильный поток трафика, который направлялся на целевой сайт. Всего был зафиксировано более 4,5 миллиардов запросов за сутки.
При этом количество IP-адресов, задействованных в атаке, достигло 650000. В основном использовался китайский трафик, примерно 98% атакующих IP относились к этому региону. Максимальное количество запросов поступило со смартфонов — около 72%. Потом 23% запросов поступило с десктопных ПК, и 5% — с планшетов. В числе браузеров, участвующих в атаке, оказались Safari, Chrome, Xiaomi’s MIUI и Tencent QQBrowser.
По словам специалистов, в этих браузерах использовались iframe с рекламой со внедренным зловредом — JavaScript. В CloudFlare считают, что атаки подобного типа необходимо внимательно изучить, поскольку высока вероятность повторения именно такого типа атак уже в ближайшем будущем. А защититься от них очень нелегко.
Комментарии (9)
roboq6
05.10.2015 08:12+2Вот к чему приводят проприетарные Javascript скрипты!
У FSF есть хорошая статья на эту тему:
www.gnu.org/philosophy/javascript-trap.ru.html
Мы смеемся над наивными пользователями, которые запускают программы скачанные с подозрительных сайтов, а сами делаем практически тоже самое. Да, есть песочница. Но этот пример показывает, что даже исправная песочница отнюдь не панацея. Да, вреда нам не причинили, зато наш компьютер использовался для причинения вреда, причем без нашего на то согласия. Песочница защищяет нас от Интернета, а вот Интернет от нас она уже не защищяет.
Nikelandjelo
09.10.2015 08:49А причем тут проприетарные джаваскрипты? Если исходник такого кода, который посылает запросы, будет лежать на гитхабе, то это что-нибудь поменяет?
roboq6
09.10.2015 08:52Разумеется поменяет! Запускать (или допускать в баннерную систему) malware мало кто захочет. И именно открытость кода позволит понять, что это malware.
Nikelandjelo
09.10.2015 09:10Конечно допускать malware в систему никто не хочет. Но открытость не поможет этому. Джаваскрипт и так открытым передаётся. Проблема распознавания автоматически что делает код гораздо сложнее и я уверен инженеры в компаниях работают над этим. А ещё надо как-то убедится, что скрипт в баннере всегда будет одним и тем же(если он внешний), что тоже я не представляю как можно сделать.
roboq6
09.10.2015 09:22>Джаваскрипт и так открытым передаётся
Сразу видно, что Вы не читали Javascript Trap. Он передается в обусфицированном виде.
>Проблема распознавания автоматически что делает код гораздо сложнее
Не понял, распознавание чего?
> А ещё надо как-то убедится, что скрипт в баннере всегда будет одним и тем же
С точки зрения баннерной сети это решается легко. Хочешь опубликовать рекламу с Javascript? Шли на проверку модераторам (или антивирусу анализирующему исходники, как вариант), они проверят твой код на зловредность и сохранят его если всё ОК. Если захочешь обновить код, то ты должен заново подавать код на проверку. И да, в каждом таком баннере будет ссылка на исходный код, так что пользователи при желании и наличии нужных знаний смогут проверить код самостоятельно. А если баннерная сеть будет пренебрегать такими мерами, то она станет изгоем, люди будут считаться ее источником заразы и банить с помощью специализированных блокировщиков рекламы, которые убирают назойливую рекламу и рекламу неблагонадежных баннерных сетей. Возможно в некоторых странах такая сеть сможет даже схлопотать крупный штраф.Nikelandjelo
09.10.2015 20:52> Сразу видно, что Вы не читали Javascript Trap. Он передается в обусфицированном виде.
Не обязательно читать javascript trap, чтобы знать, что передача обфусцированного кода на клиент — это стандарт в индустрии. И я не понял, как предложенное Столманом ссылка на исходник поможет избавится от malware. Я написал malware, обфусцировал, добавил ссылку и лицензию на какой-нибудь левую библиотеку и отправил клиенту. Вы предлагаете как-то пытаться сравнить обфусцированную версию с исходниками левой библиотеки? И как же вы будете это делать?
> Не понял, распознавание чего?
Распознование malware имея js код.
> они проверят твой код на зловредность и сохранят его если всё ОК
Рекламные сети работают не так. Скрипты часто сидят на серверах рекламодателей и те не хотят их отдавать баннерным системам, чтобы они их проксировали. Тут вопрос доверия, кто сказал, что баннерная система не изменит твой скрипт? То, что вы предлагаете это конечно красиво, но нереально. В индустрии баннерной рекламы существуют десятки/сотни компаний и все с друг другом активно взаимодействуют. Вот пример как выглядит мир баннерной рекламы сегодня: www.slideshare.net/tkawaja/luma-display-ad-tech-landscape-2010-1231 (ну или пару лет назад).roboq6
10.10.2015 05:58> Вы предлагаете как-то пытаться сравнить обфусцированную версию с исходниками левой библиотеки? И как же вы будете это делать?
А зачем вообще принимать обфусцированную версию?
>Рекламные сети работают не так.
>То, что вы предлагаете это конечно красиво, но нереально.
Значит тем хуже для рекламных сетей, еще один повод использоват AdBlock и компанию.
Хотя подозреваю, что если правоохранительные органы будут накладывать огромные штрафы на каждый случай обнаружения malware в рекламе, то рекламные сети найдут какой-нибудь способ борьбы с заразой.
porutchik
Пора строить свой Великий Антикитайский Файрвол :)