В сентябре этого года на сайт KrebsOnSecurity.com была произведена DDOS-атака большого объема и необычной природы. Атака не удалась благодаря работе команды Akamai, компании, которая обеспечивает защиту этого сайта. По данным Akamai, эта атака почти вдвое превосходила по объему самую крупную атаку до этого зарегистрированную компанией

Атака началась утром 20 сентября, и первоначально оценивалась в 665 Gbps, впоследствии в процессе анализа оказалось, что объем атаки несколько меньше – 620 Gbps. Такой объем – это во много раз больше, чем требуется для того, чтобы «уложить» большинство сайтов в интернете.

Как удалось провести такую атаку: ботнет из IoT устройств

По данным Akamai, наибольшая атака, которая ранее регистрировалась компанией, была объемом в 363 Gbps. Однако глобальная разница между этими атаками заключается в источнике трафика. Предыдущая рекордная атака в 363 Gbps была сгенерирована достаточно небольшим ботнетом, с помощью широко известных методов усиления, которые позволяют увеличить трафик, поступающий к «жертве», хотя исходное количество атакующих устройств относительно невелико.

В таких атаках используются проверенные методы, такие как «DNS-отражение». Используя неконтролируемые DNS-сервера в интернете, злоумышленники создают большой трафик.

В идеале DNS-сервера обрабатывают запросы только с доверенных машин. Однако техника DNS-отражения полагается на миллионы роутеров класса «для дома», которые также являются DNS-серверами, зачастую неправильно сконфигурированы и принимают такие запросы со всего интернета. Злоумышленники «подделывают» DNS-запросы к этим устройствам таким образом, чтобы казалось, что запрос исходит от «жертвы» атаки. Таким образом, ответ от устройства будет направлен на адрес «жертвы».

Есть также известный метод усиления такой атаки, который позволяет сделать ответ, направляемый на «жертву», гораздо больше по объему, чем изначально посланный запрос. В этом случае используется расширение DNS-протокола, допускающее большие DNS-сообщения. Изначальный запрос от атакующей системы может быть всего лишь 100 байт, в то время как ответ от устройства, направляемый на «жертву», может быть в 60-70 раз больше.

Поскольку злоумышленники обращаются к сотням подобных устройств по всему миру, сеть «жертвы» быстро оказывается поражена огромным количеством DNS-трафика.

В противоположность этим техникам усиления и отражения сентябрьская атака была запущена с очень большого ботнета без использования этих техник.

В большой доле использовались устаревшие методы атаки, которые требуют легитимного соединения между атакующим устройством и «жертвой», включая такие методы, как SYN-, GET- и POST-флуд.

Однако была и одна важная новация. Наибольшая часть этого трафика была сфальсифицирована так, чтобы выглядеть как пакеты общей инкапсуляции маршрутизации (GRE) – коммуникационного протокола, предназначенного для установления прямых соединений «точка-точка» между сетевыми узлами. GRE позволяет двум узлам делиться между собой данными, которыми они не могут поделиться через публичную сеть.

Подобная атака через GRE очень необычна. Дело в том, что источник GRE-трафика не может быть подделан так же легко, как злоумышленники поступают с DNS-трафиком. Тоже самое касается и устаревших методов атаки, упомянутых выше. Это позволяет предположить, что эта рекордная по объему атака была запущена с очень большого числа взломанных систем, исчисляемых сотнями тысяч.

В мире, очевидно, появился ботнет немыслимых ранее масштабов, и судя по географии запросов – распределенный по всему миру.

Некоторые свидетельства говорят о том, что в этой атаке было задействовано большое количество взломанных устройств, принадлежащих к «интернету вещей» — простейшие роутеры, IP-камеры и цифровые рекордеры, которые имеют доступ в интернет и защищены слабыми или несменяемыми паролями.

Как показано в последнем отчете Flashpoint, угроза от IoT-ботнетов появилась благодаря множеству вредоносных программ – Lizkebab, BASHLITE, Torlus, gagfyt. Исходный код этих вредоносов стал известен в 2015 году, и с тех пор стал «родителем» множества подвариантов.

Ботнеты захватывают новые устройства сканируя устройства, чтобы найти возможность установить в них вредоносный код. Существуют две основные модели такого сканирования. Первый вариант – когда боты сканируют порты telnet-серверов и пытаются подобрать логин-пароль брутфорсом, чтобы получить доступ к устройству.

Второй вариант, который становится все более распространенным, предполагает использование внешних сканирующих устройств, в частности сканирование может вестись с серверов, управляющих ботнетом. Эта модель позволяет добавить больше возможных методов заражения, включая брутфорс SSH-серверов и использование известных слабых мест в безопасности различных конкретных устройств.

Стоит отметить, что, похоже, сайт KrebsOnSecurity.com был выбран целью атаки из-за участия владельца сайта в преследовании сервиса «DDOS на заказ» vDOS, что привело к аресту двух людей, считающихся его основателями. Этот вывод сделан на основании того, что некоторые из POST-запросов атаки содержали строку «freeapplej4ck» — отсылку к нику одного из совладельцев vDOS.

Все это говорит о том, что со временем такие атаки гигантского масштаба могут стать нормой.
Поделиться с друзьями
-->

Комментарии (16)


  1. DrZlodberg
    05.10.2016 14:29
    -2

    Любопытно, можно ли такие ботнеты использовать для распределённого AI.
    И вдогонку — когда наконец кто-нибудь сумеет совместить бота с системой, которая будет автоматически учиться искать/использовать уязвимости для размножения и делиться инфой с другими. И чем всё это закончится…


    1. bat
      05.10.2016 14:55

      И чем всё это закончится…

      skynet?


      1. Pakos
        06.10.2016 09:22

        Samaritan


    1. lubezniy
      05.10.2016 17:27

      Если речь тупо о DNS/NTP amplification, то нет — это тупо работа по ограниченному набору запросов. Для чего-либо более серьёзного нужен полный контроль.


      1. DrZlodberg
        06.10.2016 08:21

        А разве там не полный? На сколько я понял по описанию — на них устанавливают свой код, т.е. контроль присутсвует.


        1. lubezniy
          06.10.2016 12:32

          Там разные варианты описаны. А эффект один — DDoS.


          1. DrZlodberg
            06.10.2016 12:55

            Ну эффект один просто потому, что именно этот эффект и является целевым. Собственно как раз речь о том, чтобы несколько разнообразить его.


  1. Jeditobe
    05.10.2016 14:56

    Так вот, что за «шум» в Dreamfall

    image


  1. centur
    05.10.2016 15:02
    +3

    Это рекордная для самого сайта krebsonsecurity.com.
    Вообще то вот тут есть более интересный твит (похоже что использовали такой же или тот же IoT botnet)



    1. simpleadmin
      05.10.2016 16:03

      При этом VAC OVH не справился с атакой и многие направления просто блокировались без фильтрации.


      1. robert_ayrapetyan
        05.10.2016 18:59

        Ага, OVH-овский VAC только и умеет что рубить обычный пользовательский траф, потеряли так несколько партнеров.


  1. dude_sam
    05.10.2016 15:45

    Вообще, если верить статье на Медузе, то Акамай в итоге отказался от обслуживания сайта и его, по доброй воле, под защиту забрал Гугл.


  1. gearbox
    05.10.2016 16:37

    Во первых уже было, во вторых в соседней (https://habrahabr.ru/company/pt/blog/311754/) статье
    >а затем французский хостинг-провайдер OVH испытал еще более мощный DDoS мощностью 1 Тб/с.


  1. rrrav
    05.10.2016 20:09

    DNS-сервера обрабатывают запросы только с доверенных машин

    не понял, вроде они с любых машин должны обрабатывать запросы?


    1. alexZzZzZzZ
      06.10.2016 11:51

      Зависит от типа. Например, dns встроенный в домашний роутер, не должен «светиться» наружу. Аналогично dns провайдера, по логике, обслуживает только клиентов этого провайдера.

      Общее доступные dns (yandex/google и т.п.), конечно, должны отвечать всем. Но их не так много.


  1. rrrav
    05.10.2016 20:16

    Некоторые свидетельства говорят о том, что в этой атаке было задействовано большое количество взломанных устройств, принадлежащих к «интернету вещей» — простейшие роутеры, IP-камеры и цифровые рекордеры, которые имеют доступ в интернет и защищены слабыми или несменяемыми паролями.

    Там, конечно, все примитивно, но по умолчанию вроде как WAN порт закрыт для админ доступа. Поэтому даже неизменный вариант «login: admin password: admin» не работает снаружи