В сентябре этого года на сайт KrebsOnSecurity.com была произведена DDOS-атака большого объема и необычной природы. Атака не удалась благодаря работе команды Akamai, компании, которая обеспечивает защиту этого сайта. По данным Akamai, эта атака почти вдвое превосходила по объему самую крупную атаку до этого зарегистрированную компанией

Атака началась утром 20 сентября, и первоначально оценивалась в 665 Gbps, впоследствии в процессе анализа оказалось, что объем атаки несколько меньше – 620 Gbps. Такой объем – это во много раз больше, чем требуется для того, чтобы «уложить» большинство сайтов в интернете.

Как удалось провести такую атаку: ботнет из IoT устройств

По данным Akamai, наибольшая атака, которая ранее регистрировалась компанией, была объемом в 363 Gbps. Однако глобальная разница между этими атаками заключается в источнике трафика. Предыдущая рекордная атака в 363 Gbps была сгенерирована достаточно небольшим ботнетом, с помощью широко известных методов усиления, которые позволяют увеличить трафик, поступающий к «жертве», хотя исходное количество атакующих устройств относительно невелико.

В таких атаках используются проверенные методы, такие как «DNS-отражение». Используя неконтролируемые DNS-сервера в интернете, злоумышленники создают большой трафик.

В идеале DNS-сервера обрабатывают запросы только с доверенных машин. Однако техника DNS-отражения полагается на миллионы роутеров класса «для дома», которые также являются DNS-серверами, зачастую неправильно сконфигурированы и принимают такие запросы со всего интернета. Злоумышленники «подделывают» DNS-запросы к этим устройствам таким образом, чтобы казалось, что запрос исходит от «жертвы» атаки. Таким образом, ответ от устройства будет направлен на адрес «жертвы».

Есть также известный метод усиления такой атаки, который позволяет сделать ответ, направляемый на «жертву», гораздо больше по объему, чем изначально посланный запрос. В этом случае используется расширение DNS-протокола, допускающее большие DNS-сообщения. Изначальный запрос от атакующей системы может быть всего лишь 100 байт, в то время как ответ от устройства, направляемый на «жертву», может быть в 60-70 раз больше.

Поскольку злоумышленники обращаются к сотням подобных устройств по всему миру, сеть «жертвы» быстро оказывается поражена огромным количеством DNS-трафика.

В противоположность этим техникам усиления и отражения сентябрьская атака была запущена с очень большого ботнета без использования этих техник.

В большой доле использовались устаревшие методы атаки, которые требуют легитимного соединения между атакующим устройством и «жертвой», включая такие методы, как SYN-, GET- и POST-флуд.

Однако была и одна важная новация. Наибольшая часть этого трафика была сфальсифицирована так, чтобы выглядеть как пакеты общей инкапсуляции маршрутизации (GRE) – коммуникационного протокола, предназначенного для установления прямых соединений «точка-точка» между сетевыми узлами. GRE позволяет двум узлам делиться между собой данными, которыми они не могут поделиться через публичную сеть.

Подобная атака через GRE очень необычна. Дело в том, что источник GRE-трафика не может быть подделан так же легко, как злоумышленники поступают с DNS-трафиком. Тоже самое касается и устаревших методов атаки, упомянутых выше. Это позволяет предположить, что эта рекордная по объему атака была запущена с очень большого числа взломанных систем, исчисляемых сотнями тысяч.

В мире, очевидно, появился ботнет немыслимых ранее масштабов, и судя по географии запросов – распределенный по всему миру.

Некоторые свидетельства говорят о том, что в этой атаке было задействовано большое количество взломанных устройств, принадлежащих к «интернету вещей» — простейшие роутеры, IP-камеры и цифровые рекордеры, которые имеют доступ в интернет и защищены слабыми или несменяемыми паролями.

Как показано в последнем отчете Flashpoint, угроза от IoT-ботнетов появилась благодаря множеству вредоносных программ – Lizkebab, BASHLITE, Torlus, gagfyt. Исходный код этих вредоносов стал известен в 2015 году, и с тех пор стал «родителем» множества подвариантов.

Ботнеты захватывают новые устройства сканируя устройства, чтобы найти возможность установить в них вредоносный код. Существуют две основные модели такого сканирования. Первый вариант – когда боты сканируют порты telnet-серверов и пытаются подобрать логин-пароль брутфорсом, чтобы получить доступ к устройству.

Второй вариант, который становится все более распространенным, предполагает использование внешних сканирующих устройств, в частности сканирование может вестись с серверов, управляющих ботнетом. Эта модель позволяет добавить больше возможных методов заражения, включая брутфорс SSH-серверов и использование известных слабых мест в безопасности различных конкретных устройств.

Стоит отметить, что, похоже, сайт KrebsOnSecurity.com был выбран целью атаки из-за участия владельца сайта в преследовании сервиса «DDOS на заказ» vDOS, что привело к аресту двух людей, считающихся его основателями. Этот вывод сделан на основании того, что некоторые из POST-запросов атаки содержали строку «freeapplej4ck» — отсылку к нику одного из совладельцев vDOS.

Все это говорит о том, что со временем такие атаки гигантского масштаба могут стать нормой.