DDoS-атаки посылают волны в океане Интернета, создаваемые творениями разных размеров - ботнетами. Некоторые из них питаются ближе к поверхности, но существует категория огромных глубоководных чудовищ, которые достаточно редки и одновременно настолько опасны, что их можно увидеть только один раз за долгое время.
В ноябре 2021 мы встретили и успешно нейтрализовали несколько атак исходящих от ботнета, который, похоже, не связан с хорошо известными или детально описанными, как варианты Mirai, Bashlite, Hajime или Brickerbot.
Хотя наши находки и напоминают издалека Mirai, мы полагаем, что данный (описываемый ниже) ботнет основан не только на распространении вредоносного кода под Linux, а на сочетании брутфорса паролей и эксплуатации уже исправленных CVE на непатченных устройствах для увеличения его размера. В любом случае, чтобы подтвердить, как именно устроен этот ботнет, нам был бы необходим образец устройства для анализа кода, что далеко за пределами нашей области знаний и умений.
В этот раз мы не будем давать никакого имени этому ботнету. Признаемся, мы не на 100% уверены, на что именно мы смотрим, каковы точные характеристики и насколько на самом деле велика эта вещь. Но есть некоторые цифры и, где это возможно, мы провели дополнительную разведку чтобы лучше понимать, с чем же мы имеем дело.
Давайте для начала взглянем на собранные нами данные, а выводы сделаем ближе к концу этого поста.
Первая атака: 8 ноября 2021 14 973 устройства с максимальной интенсивностью атаки в 961 Гбит/с и 88 млн пакетов в секунду. Эта двухминутная атака была первой в серии нападений, целившихся в домашнюю страницу qrator.net и ресурсы наших клиентов. Вектор атаки: амплификация DNS + "TCP random flood" (об этом чуть ниже).
Распределение отвечающих устройств из трафика этой атаки подразумевает, что мы рассматриваем ботнет, состоящий в основном из подключенных к Интернету камер видеонаблюдения, и некоторого количества маршрутизаторов, в первую очередь двух моделей роутеров Cisco, на которые приходится примерно 15-25% идентифицированных частей ботнета.
Вторая атака: 12 ноября 2021 Почти 10 000 устройств, первый чистый "TCP random flood".
Третья атака: 13 ноября 17 509 устройств, тот же "TCP random flood".
Четвертая атака - наш клиент Qiwi.com, 13 ноября 2021 Вторая по интенсивности атака с пиковыми значениями в 841,6 Гбит/с и 74 млн пакетов в секунду. Вектор атаки: амплификация DNS + "TCP random flood". "Всего" 8600 устройств.
Пятая и последняя атака: 20 ноября 2021 19 900 устройств.
С 20 ноября атаки прекратились, но мы предполагаем, что злоумышленники просто переключились на более удобные и уязвимые цели, вместо того, чтобы показывать бицепс поставщику средств защиты от DDoS-атак.
В первой и самой серьезной атаке было 14 973 устройства, принимавших участие в атаке с использованием амплификации и доведя значения до довольно высокого уровня. В конце концов, 1 терабит в секунду - это 1 терабит в секунду. Но в последней атаке мы смотрим уже на 19 900 устройств. И это плохие новости, учитывая скорость набора массы данным ботнетом.
Вектор атаки, используемый этим ботнетом, несколько необычен. То, что мы наблюдали, можно назвать "TCP random flood" (то есть флуд случайными данными внутри TCP-соединения), хотя нам не удалось найти ни одного описания или упоминания подобного типа атаки с помощью поиска. Что происходит: атакующие устройства устанавливают TCP-соединение с сервером-жертвой, а затем заполняют канал случайными данными, посылая большие пакеты размером под предел MTU.
По нашему опыту, это не очень распространенный вектор атаки, потому что более высокие значения битовой интенсивности могут быть получены использованием амплификации с большим фактором, а более высокая пакетная интенсивность может быть достигнута за счет уменьшения размера отправляемых пакетов. Этот метод более скрытен, нежели UDP-флуд или атака с использованием наименьших пакетов, принимая во внимание уже установленное TCP-соединение, но случайная полезная нагрузка (payload) вызвала наше любопытство. Технически это DDoS-атака прикладного уровня (L7), но…
Дело в том, что веб-серверы, как например самый популярный NGINX, довольно быстро анализируют часть полезной нагрузки и выдают ошибку HTTP 400, закрывая соединение.
Самая же веская причина, по которой атаки являются очень короткими, заключается в том, что, если взломанные устройства по-прежнему выполняют свою основную функцию, злоумышленник не хочет быть уж слишком заметным и "одалживать" железку на длительные периоды времени, что может вызвать подозрения владельца устройства - вполне возможно, что оно работает несколько "медленнее" при генерации мусорного трафика DDoS-атаки по сравнению с тем, когда оно этого не делает.
Хотя, учитывая тот факт, что амплификация по-прежнему более чем доступна для совершения атак через общедоступный Интернет, что означает огромный сопутствующий ущерб, возможно это еще не конец. Пока что мы наблюдаем что-то постоянное по размеру атакующей сил, но никто не знает, как этот зверь будет развиваться в будущем. Цифры в три раза больше тех, что мы видели здесь, немного дольше - вот вам и рекордное событие.
Комментарии (14)
Elsajalee
06.12.2021 20:25Камеры, роутеры... Напомнило известное
письмо-вымогатель
Здравствуйте!
У меня для вас очень плохие новости.
11.08.2019 — в этот день я взломал вашу операционную систему и получил полный доступ к вашей учетной записи [АДРЕС ЖЕРТВЫ].Конечно вы можете сменить пароль.. Но моя вредоносная программа перехватывает каждый раз, когда вы его меняете.
Как я это сделал:
В программном обеспечении роутера, через который вы выходили в интернет, была уязвимость.
Я просто взломал этот роутер и поместил на него свой вредоносный код.
Когда вы выходили в интернет, мой троян был установлен на ОС вашего устройства....
Я сделал скриншот сайтов для взрослых, на которых вы развлекаетесь (вы понимаете, о чем это, да?).
После этого я сделал скриншоты как вы весьма необычно себя удовлетворяете (используя камеру вашего устройства) и склеил их.
Получилось потрясающе! Это впечатлит любого, тем более ваших знакомых!
JerleShannara
07.12.2021 00:01При этом я даже не знал, что мой postmaster@ смотрит такие видео, и то, что у моего сервера вдруг выросла вебкамера и друзья.
apkotelnikov
06.12.2021 20:46Интересно каким образом было установлено количество устройств в ботнете. DNS amp спуфятся адреса на адрес жертвы и соурсы содержат адреса уязвимых DNS серверов. TCP random - тут вообще все адреса могут быть спуфленными.
Ad3pt
07.12.2021 03:20+1TCP random - тут вообще все адреса могут быть спуфленными.
Я так понял из статьи, что random данные приходят уже после установления соединения, так что адреса должны быть более-менее реальными
apkotelnikov
07.12.2021 12:02Тогда 600 Гб/с не соответствует истине. При самых скромных подсчетах чтобы отправить 600 Гб/с траффика надо установить более миллиона TCP соединений - 600 Гб/с / 65535 байт ( максимальный размер TCP window). Вариант с построением соединения и отправкой в нем out of state тоже не подойдет - в нем нет смысла, так как такая атака детектируется по заголовкам TCP да и толку от нее ноль - адреса вычисляются без проблем и дальше можно фильтровать по ним, очень неэффективный вариант атаки.
gonchik
07.12.2021 08:06Интересно, какая география устройств?
Как можно сделать так чтоб владельцы устройств, чаще и быстрее обновлялись и поможет ли это ?
Chuvi
07.12.2021 10:00Никак. Этого никак не сделать. Этими устройствами пользуются люди, в том числе к IT непричастные. Юрист, например, знает законы и как их интерпретировать, но не как обновлять прошивку на железках. Для большинства людей эти "коробочки" магия и тёмный лес.
Schicout
07.12.2021 10:29Правильнее было бы сказать - этими устройствами пользуются люди крайне редко к IT причастные. Навряд ли причастных наберётся хотя бы 1 %.
sirocco
08.12.2021 18:03Ой, ну не надо вот. Винда таки научилась заставлять себя обновлять, может кто-то умный и знает, как этого избежать, но мои родители, тёща, сестра негодуют себе тихонечко, а система обновляется. Аналогично про мобильники, попробуй не обнови, 20 сообщений в день с напоминанием об этом хочешь?
Так что всё можно.
Inskin
07.12.2021 12:12Так же, как и заставить производителей устройств выпускать новые прошивки для своих устройств хотя бы с устранениями уязвимостей не два-три раза и после просто забивать на поддержку, а в течение нескольких лет. То есть, практически никак. Ведь масса же роутеров с поддержкой стандарта N работают годами и многим пользователям нет никакого смысла переходить на современные роутеры с поддержкой АС, которые ещё и более дырявыми могут оказаться в погоне производителя за рынком. Так что тут имхо настолько комплексный вопрос, что менять надо очень много чего реально.
Ufo28
07.12.2021 19:09+2Никто эти прошивки обновлять не будет
Даже на телефонах люди бояться обновлять, по тому что это может что-то поменять или потребуется какая-то настройка, даже если это одну галочку поставить людям сложно выбрать, ставить или нет.
А роутер так никак о себе надоедливыми сообщениями не будет напоминать.
А если обновление будет автоматическое, то количество бэкдоров и ситуаций "ой, что-то пошло не так, мы всё исправили, для восстановления вашего роутера подпаяйте кабель к пинам COM-порта и залейтё вот этот файлик по tftp"
sirocco
09.12.2021 13:58А есть статистика, как часто роутеры превращаются в кирпич при обновлении заводской прошивкой?
DoMoVoY
Можно сделать запросы администраторам сетей, откуда эти устройства выходят в сеть о записях netflow/sflow. При их содействии можно найти точку управления ботнетом.
Или представить на голове белую шляпу, вскрыть эти устройства и локализовать зловредный код.