Мы как-то рассказывали о ситуации с DDoS-атаками и изменениях в поведении хакеров. Их атаки становятся не только более мощными, но и более изощрёнными. Обсудим перспективные средства борьбы и как специалисты по ИБ пресекают подобную деятельность.
Быстрее, шире, сильнее
В январе участники Всемирного экономического форума в Давосе заявили — мир ожидает идеальный кибершторм, вызванный повышенной активностью ботнетов. И уже в первом квартале 2023 года произошла крупнейшая DDoS-атака в истории. Её мощность превысила 71 млн запросов в секунду [до этого момента, рекордная цифра равнялась 46 млн].
В то же время ботнеты становятся более изощренными. В прошлом году инженеры из компании по кибербезопасности Mandiant обнаружили сеть UNC3524, которая служила инструментом корпоративного шпионажа. Разработчики зловреда успешно скрывали свою деятельность на протяжении 18 месяцев. Хотя обычно ИБ-специалисты замечают масштабную вредоносную активность в течение двадцати дней. Авторы UNC3524 летали ниже радаров, так как ставили бэкдоры исключительно на слабозащищенные пользовательские устройства — без антивирусов и комплексных политик безопасности.
Все более частыми и опасными становятся кибератаки на базе искусственного интеллекта (ИИ) и машинного обучения (МО). Такого рода ботнеты адаптируются к патчам уязвимостей и эффективнее управляют ходом атаки. Примером может быть DDoS-атака на фриланс-биржу TaskRabbit. Разработчикам площадки пришлось приостановить работу сайта, чтобы перенастроить системы безопасности.
Клин клином
К борьбе с ботнетами подключаются облачные провайдеры. Помимо необходимого инструментария, они предоставляют клиентам статистические данные об адресах, с которых ранее велись DDoS-атаки. Подобные базы знаний позволяют оперативно обнаруживать заражённые устройства и отключать их от сети. Но такие решения не всегда эффективны против комплексных ботнетов с интеллектуальными возможностями.
Поскольку злоумышленники берут на вооружение системы ИИ, специалисты по ИБ предпочитают следовать концепции fight fire with fire. Чтобы противостоять ботнет-атакам, они разрабатывают модели машинного обучения, идентифицирующие вредоносную активность в сети. Например, разработчики зловредов скрывают адреса управляющих северов, но ML-модели, способны проанализировать DNS-запросы и выявить потенциально вредоносные.
К сожалению, существующие state of the art системы в большинстве своем не могут проводить подобный анализ на лету. Однако в середине марта испанские инженеры представили новую модель для анализа сигнатур трафика. Она выносит вердикт за секунду.
Модель разбивает входящий трафик на короткие отрезки и выделяет потоки — отдельные коммуникации между двумя устройствами. Затем система фиксирует четыре признака: а) номер порта источника, б) номер порта приемника, в) число пакетов, пересылаемых за временной интервал, г) количество переданных байтов. Каждый из этих параметров можно быстро определить и посчитать.
Далее, второй модуль системы классифицирует спектр подключений на основе собранных параметров. В качестве классификатора итальянские инженеры выбрали деревья решений из-за их производительности. Плюс — их можно быстро переобучить на основе сигнатур модифицированных ботнетов. Первые тесты показали, что система способна работать в условиях перегруженной сети при потерях 10% пакетов.
Как отключают ботнеты
Механизмы киберзащиты на базе систем ИИ позволяют обезопасить корпоративные сети от зловредной деятельности ботнетов. Но защитить интернет-пространство наверняка можно только, если остановить работу ботнета. Этим занимаются спецслужбы совместно с профильными специалистами по информационной безопасности и инженерами из исследовательских институтов.
Например, в июне прошлого года американские специалисты ликвидировали сеть RSOCS, которая маскировалась под прокси-сервис. Злоумышленники заражали IoT-устройства, Android-девайсы, компьютеры Raspberry Pi, а затем продавали доступ к их ресурсам по подписке — в основном для проведения DDoS-атак. Операция длилась с 2017 года. Спецслужбы провели «контрольную закупку» — приобрели доступ к сервису и обнаружили 325 тыс. зараженных устройств в сети. Со временем им удалось идентифицировать его внутреннюю инфраструктуру.
Впрочем, иногда ботнеты «приходят в негодность» из-за ошибок самих злоумышленников. Так случилось с сетью KmsdBot. Как оказалось, к зловреда не было системы проверки ошибок в управляющих командах. В одной из них оператор допустил опечатку — не поставил пробел между URL и номером порта — что привело к падению всей системы.
!bigdata www.bitcoin.com443 / 30 3 3 100 Что интересно, ранее ликвидированные сети ботов иногда возвращаются в строй. В январе 2021 года правоохранительные органы заявили, что обезвредили Emotet — «самое опасное вредоносное ПО» по мнению Европола. Ботнет занимался кражей данных с заражённых устройств. Но уже в ноябре того же года сеть снова заработала, увеличив число заражённых девайсов в три раза.
О чем еще мы пишем в нашем корпоративном блоге: