🔗 🌔 🤽🏿 Tipo de negação de serviço: como o DDoS está progredindo Ⓜ️ 🀄️ 🌆

Bom e velho DDoS ... Todos os anos analisamos como esse segmento de crimes cibernéticos está mudando e, de acordo com os resultados do último e do início deste ano, vemos que o número desses ataques aumentou mais de 1,5 vezes. Durante esse período, os atacantes aumentaram significativamente o poder dos ataques e mudaram de tática. Além disso, o DDoS se tornou ainda mais acessível: a julgar pela quantidade de ataques a recursos educacionais e vários "diários eletrônicos" aumentou recentemente, os hackers de escolas estão descobrindo cada vez mais o mundo do DDoS. Neste post, falaremos sobre os ataques DDoS que gravamos em 2019 e no início de 2020, e como o DDoS mudou recentemente.

Rápido e poderoso

Os hackers aceleraram. Os ataques de baixa potência que duram vários dias agora não são interessantes para eles. Por exemplo, o ataque mais longo do período do relatório durou cerca de um dia (um ano antes, os atacantes “torturaram” o servidor por 11 dias e 16 horas).

Obviamente, os atacantes não afrouxaram o controle - em contraste com a duração, o poder dos ataques DDoS aumentou. O ataque mais poderoso do período passado foi realizado com uma intensidade de 405 Gbit / s. Obviamente, isso é um pouco menor do que o ataque recorde do modelo de 2018 (450 Gbit / s) para a rede Rostelecom, mas, em média, os indicadores de energia DDoS ainda aumentaram. A mudança nas táticas dos hackers pode ser explicada pelo fato de que, durante o ataque, as redes de bots, que são um ativo valioso, podem ser reveladas pelos defensores. Depois de neutralizar o ataque, os dados do endereço da botnet ficam disponíveis para outros operadores como parte da troca de informações, e a botnet não é mais adequada. Se você atacar rapidamente a vítima com uma poderosa onda de solicitações, o serviço anti-DDoS simplesmente não terá tempo para preencher a lista negra.

DDoS Technologies - Arsenal Novo

Para realizar sprints com explosões de tráfego espúrio, você precisa de uma boa base técnica. E, recentemente, os atacantes bombearam bem. Chamamos a atenção para o surgimento de novos amplificadores poderosos, que começaram a ser usados ativamente em ataques DDoS.

Em primeiro lugar, esse é o protocolo Apple Remote Desktop baseado em UDP (porta UDP 3283), cujo fator de amplificação é 35,5: 1 (dados Netscout). O Apple Remote Desktop é um aplicativo de administração remota da estação de trabalho macOS. O ARMS (Serviço de Gerenciamento Remoto da Apple) acessa uma porta UDP que está sempre aberta nas estações de trabalho executando o macOS quando o modo Gerenciamento Remoto está ativado, mesmo que entre em conflito com as configurações de segurança do firewall. Hoje, mais de 16 mil computadores executando o macOS com uma porta UDP aberta estão registrados na rede global.

Além disso, os cibercriminosos usam ativamente o protocolo de descoberta de dispositivo WS-Discovery (Web Services Dynamic Discovery) usado em soluções de IoT. Seu fator de amplificação é de 500: 1. Como o Apple Remote Desktop, o WS-Discovery transmite pacotes usando o protocolo baseado em UDP, que permite aos hackers usar a falsificação de pacotes (falsificação de endereço IP). O BinaryEdge contabilizou cerca de 630 mil dispositivos com esta vulnerabilidade na Internet (dados de setembro de 2019). Aproveite - eu não quero!

Não se esqueça de uma das principais ferramentas para DDoS - botnets de dispositivos IoT. O ataque inteligente mais poderoso registrado por nós foi em 2019: 178 Mpps atingiram uma das empresas de apostas. Os atacantes usavam um botnet de 8 mil dispositivos reais: roteadores domésticos, câmeras e outras IoTs, além de telefones celulares. Eu não gostaria de ~~diminuir a~~ pressão, mas há uma sensação clara de que o 5G e o IPv6 nos trarão novos "registros".

Tipos de ataque mais populares

Em geral, o método mais popular de ataques DDoS ainda é o UDP flood - cerca de 32% do volume total de ataques. No segundo e terceiro lugares - inundação SYN (27,4%) e ataques com pacotes fragmentados (14,2%). Não muito longe dos líderes estão os ataques de amplificação do DNS (13,2%).

Os invasores também estão experimentando os protocolos atualmente raramente usados - 16 (CHAOS) e 111 (IPX sobre IP). No entanto, esses ataques provavelmente são uma exceção: esses protocolos não são usados pelos clientes na vida real e podem ser facilmente detectados e descartados quando os ataques são suprimidos.

Entre os ataques incomuns do ano passado, podemos destacar o chamado "atentado a bomba". Eles são caracterizados por prender alvos no espaço de endereço da vítima e procurar os mais vulneráveis. Isso complica a detecção e a contração de tais ataques no modelo de proteção por IP, quando apenas endereços IP individuais são protegidos, e não toda a infraestrutura da Internet. O mais maciço dos “atentados a bomba” registrados por nós incluiu quase 3 mil alvos - cada endereço de todas as redes de um cliente foi tentado.

Recentemente, os atacantes começaram a combinar diferentes tipos de ataques. Um exemplo de um coquetel DDoS é a reflexão SYN + ACK. Nesse tipo de ataque, são usados recursos públicos de terceiros, para os quais um pacote SYN é enviado com um endereço falso de vítima como fonte. Servidores de terceiros respondem com um pacote SYN + ACK a uma vítima cuja pilha TCP sofre com o processamento de pacotes que chegam fora de qualquer sessão. Observamos uma situação em que ambas as partes - tanto a vítima quanto os recursos de terceiros costumavam refletir - eram nossos clientes. Para o primeiro, parecia reflexão SYN + ACK, para o segundo como inundação SYN.

Vítimas novas e antigas

Primeiras duas palavras sobre nossa metodologia. Como este estudo se baseia em dados de ataques contra clientes do serviço Rostelecom Anti-DDoS, ao determinar as indústrias mais atacadas, formamos duas fatias analíticas:

distribuição simples do número total de ataques registrados por setor,
aumento médio no número de ataques por cliente do setor. Este indicador elimina o possível erro associado a um aumento no número de clientes de um determinado setor (e, consequentemente, um aumento no número de ataques registrados).

Então, o que vimos?

Por setor

Como mencionado acima, o número de ataques DDoS está crescendo. Mesmo o fechamento de vários estressores significativos e, de fato, serviços para organizar DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com, etc.), não afeta essa dinâmica. O DDoS ainda é barato e fácil. O pico de ataques ocorreu em outubro de 2019, quando as lojas online estavam se preparando para a Black Friday. DDoS na época se tornou a mesma tradição de "descontos de até 90%". Ao mesmo tempo, grandes players do mercado são atacados usando ataques direcionados para vários vetores - com certeza.

A indústria de jogos continua sendo líder em DDoS: representou 34% do número total de ataques (contra 64% em 2018). Isso não significa que os hackers perderam o interesse nos jogos - o número de ataques ao segmento não diminuiu, mas devido ao surgimento de novas vítimas, a participação dessa indústria "corroeu".

No entanto, o eSports como um todo continua sendo um petisco. Protocolos de jogos usam UDP como um transporte. Isso permite não apenas substituir os endereços dos remetentes, mas também dificulta o rastreamento das sessões. Durante o período do relatório, observamos dois tipos principais de ataques DDoS no nível do aplicativo nos servidores de jogos. O primeiro atinge sua inacessibilidade enviando um grande número de pacotes que, para um serviço de proteção de terceiros, parecem legítimos. A proteção contra esses ataques baseia-se na criação de perfil de tráfego legítimo e em medidas como regexp e resposta a desafios.

O segundo tipo está associado à exploração de vulnerabilidades identificadas em protocolos e plataformas de jogos. Nesse caso, a proteção proativa requer uma classe diferente de dispositivos - firewall do aplicativo de jogos. Grandes hosts e fabricantes de jogos tentam proteger servidores incorporando várias verificações em seus programas clientes e associando-os a sistemas de proteção desenvolvidos de forma independente.

As empresas de telecomunicações ficaram em segundo lugar em popularidade, sua participação no volume total de ataques cresceu significativamente: de 10% para 31%. Como regra, esses são pequenos ISPs regionais, vários hosts e data centers que não têm recursos para repelir ataques poderosos, tornando-se uma vítima fácil para hackers.

Além das telecomunicações, os atacantes chamaram a atenção para instituições educacionais e o setor público. Anteriormente, sua participação no volume total de ataques DDoS era de 1% e 2%, respectivamente, mas ao longo do ano aumentou para 5% para cada um dos segmentos. Atribuímos isso à digitalização e ao lançamento de nossos próprios recursos da Internet, dos quais as atividades dessas organizações dependem cada vez mais, especialmente durante o período de auto-isolamento.

Em outros setores sem alterações significativas:

Ataques por cliente

O aumento médio no número de ataques por cliente acelerou significativamente. Se em 2018 era de 21%, de acordo com os resultados de 2019 e o início de 2020, chegava a 58%. O maior aumento no número de ataques por cliente foi demonstrado pelas instituições de ensino - 153%. São diários eletrônicos, sites com tarefas e testes - tudo isso impede que os alunos aproveitem a vida. É possível que os iniciadores de tais ataques sejam frequentemente ~~hackers da mãe,~~ os próprios alunos, o que prova mais uma vez a simplicidade de organizar DDoS em recursos inseguros, como sites de escolas, por exemplo.

O crescimento de ataques em um cliente:

O que fazer

O número de ataques DDoS aumentará, novos amplificadores, tipos de ataques e naturalmente novos alvos para atacantes aparecerão. Mas, como a terceira lei de Newton diz,
há oposição a toda ação.

Os métodos de prevenção de DDoS são conhecidos - haveria um desejo de finalmente resolver esse problema. Para não produzir botnets da IoT: elimine oportunamente vulnerabilidades em todos os seus dispositivos, controle portas e não use IPv6.

Para configurar corretamente a proteção nas condições de mudança rápida dos vetores de ataque: use opções pré-preparadas para combater tipos específicos de ataques conhecidos e verifique regularmente sua infraestrutura.

Em geral, pode-se ver que os problemas atuais no campo de DDoS estão de alguma forma interconectados. Portanto, é necessário proteger aplicativos e infraestrutura, especialmente o segmento crítico de negócios, de forma abrangente, em diferentes estágios de filtragem.

Tipo de negação de serviço: como o DDoS está progredindo