Tag Archives: КИБЕРАТАКИ

Атаки с распределенным отказом в обслуживании DDoS

DDoS

Атаки с распределенным отказом в обслуживании DDoS 

Это постоянно растущая угроза для предприятий малого и среднего бизнеса, которые ежегодно расширяются по масштабам и частоте. 10-й ежегодный Всемирный отчет по безопасности инфраструктуры Arbor Network (WISR), обзор людей в рамках оперативной безопасности сообщества, только подтверждает эту реальность.

Более трети (38%) респондентов в 2014 году сообщили о 21 нападении DDoS в месяц с более чем 25% в 2013 году. Это не те телые 8 Гбит / с, к которым мы привыкли. Самая большая зарегистрированная атака в 2014 году составила 400 Гбит / с, а некоторые другие сообщили со скоростью более 100 Гбит / с.

 

application-layer targets DDoS

Поскольку атаки DDoS выросли в размерах, они также становятся все более изощренными в своей эффективности и реализации, и их гораздо труднее обнаружить, чем в прошлые годы. Инфраструктура, которая позволяет эти атаки, также выросла.

Как и Amazon Web Services (AWS), злоумышленники могут легко приобретать бот-сети по требованию для атак DDoS и взлома паролей в рутине — среди других задач. Ниже мы рассмотрим наиболее распространенные типы DDoS-атак, испытанных сегодня, и выделим несколько существенных результатов отчета Arbor. Типы DDoS-атак

DDoS Тип №1: объемные атаки Volumetric

Наиболее распространенные типы DDoS -атак, составляющие около 65% от общего числа зарегистрированных, согласно Arbor. Эти атаки используют несколько зараженных систем, которые часто являются частью бот-сети, для наводнения сетевых уровней значительным количеством, казалось бы, законного трафика.

Это потребляет чрезмерное количество полос пропускания внутри и / или за пределами сети и приводит к тому, что сетевые операции становятся болезненно вялыми или просто нефункциональными. Поскольку волюметрические атаки по существу «объединяются с бандой» в сети, их гораздо труднее смягчить, чем атаки из одного источника. Объемные атаки бывают разных форм, в том числе:

• Потоки протокола пользовательских дейтаграмм (UDP).

Случайные порты на сервере заливаются UDP-пакетами, заставляя сервер многократно проверять и реагировать на несуществующие приложения в портах. В результате потопа UDP система не может реагировать на законные приложения.

• Наводнения ICMP.

Сервер заливается ICMP-эхо-запросами из нескольких поддельных IP-адресов. Поскольку целевой сервер обрабатывает и отвечает на эти ложные запросы, он в конечном итоге перегружен и не может обрабатывать действительные запросы эхо-запросов ICMP.

DDoS Тип №2. Атаки на уровне приложения

Атаки уровня приложения составляют около 17% всех зарегистрированных DDoS -атак. Они нацеливают пакеты веб-приложений, чтобы нарушить передачу данных между хостами. Например, HTTP Flood использует несколько зараженных компьютеров, чтобы заставить тратить чрезмерное количество ресурсов при ответе на HTTP-запрос.

С точки зрения злоумышленника потоп HTTP — это гораздо более эффективная угроза, чем другие типы атак, поскольку для наружного использования сервера не требуется использовать большую пропускную способность.

Хотя HTTP-потоп обычно является наиболее распространенной атакой на уровне приложения, это всего лишь один из многих доступных инструментов атаки на уровне приложений. Таблица ниже из Arbor демонстрирует, как злоумышленники постоянно находят новые способы скомпрометировать прикладной уровень.

 

Поскольку потоки HTTP и другие атаки DDoS на уровне приложений имитируют поведение человека и пользователя, их также гораздо труднее обнаружить, чем другие типы атак.

Кроме того, атаки уровня приложения могут также поступать с одной машины, что приводит к сбою трафика. В свою очередь, эти атаки часто попадают под радар систем обнаружения.

Хотя HTTP и DNS-сервисы являются основными целями атак на уровне приложений, HTTPS и SMTP также были ориентированы в 2014 году, хотя и реже, согласно отчету

Arbor Network. В приведенной ниже таблице показано процент респондентов, получивших атаки на перечисленные цели на уровне приложения.

 

Application-layer attacks

Application-layer attacks

 

 

DDoS Тип №3. Активизация состояния

Также известные как атаки протокола, атаки на состояние истощения нацелены на таблицы состояний соединения в брандмауэрах, серверах веб-приложений и других компонентах инфраструктуры. По словам Арбора, атаки на состояние истощения происходят несколько чаще, чем атаки на уровне приложений, на которые приходится около 20% зарегистрированных DDoS-атак в 2014 году.

Одной из наиболее распространенных атак с изнашиванием состояния является печально известная ошибка смерти, в которой 65,536-байтовый пакет ping дефрагментируется и отправляется на целевой сервер как можно быстрее. Как только цель собирает большой пакет, обычно происходит перегрузка буфера. В вероятном сценарии, в котором цель пытается реагировать на пинги, потребляется еще больше полосы пропускания, что в конечном итоге приводит к сбою целевой системы.

Важно отметить, что эти типы DDoS-атак часто используются в сочетании друг с другом для компрометации одной цели. 42% респондентов из отчета Arbor Networks утверждают, что в 2014 году они подверглись нападению с множественной угрозой, что на 3% больше, чем в 2013 году.

Мотивы DDoS -атаки

В то время как любое лицо или организация могут быть объектом атаки DDoS, атаки обычно служат для вымогательства денег или нарушения работы частного или государственного предприятия.

С учетом сказанного, понимание мотивов DDoS имеет важное значение для создания эффективного метода смягчения ущерба от этих атак.

Участники опроса Arbor Networks спросили, какие мотивы, по их мнению, лежат в основе DDoS-атак, которые они испытали в 2014 году. Результаты следующие:

DDoS attack motivations

DDoS attack motivations

Основываясь на этих мотивах, легко понять, почему атаки DDoS стали более сложными, широко распространенными и трудными для обнаружения на протяжении многих лет.

DNS rebinding attack 500 000 000 IoT-устройств уязвимы перед ними

DNS rebinding attack

Специалисты компании Armis стали известны всему миру в 2017 году после обнаружения уязвимости BlueBorne, представлявшей угрозу для 5,3 млрд устройств, работающих с различными имплементациями Bluetooth.

Теперь аналитики Armis обратились к другой проблеме и подсчитали, что около полумиллиарда «умных» устройств по-прежнему уязвимы перед старой проблемой перепривязывания DNS rebinding attack (DNS rebinding).

Эксперты полагают, что атакующие могут использовать этот нюанс для атак на корпоративные сети, куда IoT интегрирован весьма серьезно. Напомню, что на прошлой неделе стало известно, что злоумышленники, атаковавшие российский ПИР банк, использовали для проникновения в сеть финансового учреждения всего один уязвимый роутер.

Внимание специалистов к данной проблеме привлекли участившиеся в последнее время случаи обнаружения уязвимостей в различных продуктах, напрямую связанных сDNS rebinding attack. К примеру, только в 2018 году ошибки, связанные с перепривязыванием DNS, устранили разработчики BlizzarduTorrent,  Google Home и так далее.

Атаки типа DNS rebinding attack  устроены весьма просто:

  • Атакующий поднимает собственный DNS-сервер на вредоносном домене.
  • Затем злоумышленник обманом вынуждает свою жертву обратиться по ссылке к этому вредоносному домену, используя фишинг, социальную инженерию, XSS и так далее.
  • Браузер пользователя запрашивает у домена настройки DNS, и вредоносный DNS-сервер отвечает, после чего браузер кэширует адрес вида XX.XX.XX.XX.
  • Но DNS-сервер атакующего настроен таким образом, чтобы его ответы содержали очень короткое время жизни (TTL) записей, предотвращая кэширование ответа. Как правило значение равно одной секунде. В результате браузер через секунду обращается к домену с еще одним DNS-запросом.
  • DNS-сервер злоумышленников присылает в ответ вредоносный IP-адрес (к примеру, YY.YY.YY.YY), как правило, соответствующий домену в частной сети устройства.
  • Атакующие продолжают использовать вредоносный DNS-сервер для разных IP, чтобы собрать как можно больше данных из частой сети, которые затем могут использовать для самых разных целей.

 

Видео, созданное специалистами Armis, подробно рассказывает о том, как работают атаки с перепривязкой DNS и какие риски они могут нести. По данным аналитиков Armis, миллионы IoT-устройств являются идеальными целями для атак DNS rebinding attack. Эта проблема опасна почти для всех «умных» устройств: телевизоров, роутеров, камер видеонаблюдения, принтеров, IP-телефонов и так далее. Хуже того, в настоящее время «умные» гаджеты плотно интегрированы в корпоративные сети и могут выступать удобным плацдармом для злоумышленников. Примерное соотношение уязвимых устройств обозначено на инфографике ниже.

DNS rebinding attack

DNS rebinding attack

Исследователи отмечают, что создание и выпуск патчей для этого сонма гаджетов, скорее всего, является попросту невыполнимой задачей. Дело в том, что многие производители не спешат исправлять в своих продуктах даже более тривиальные баги (например, XSS и CSRF), так что у проблемы DNS rebinding attack шансов немного. В Armis полагают, что искать новые устройства на замену уязвимым и проводить многочисленные аудиты, это тоже не вариант. По мнению экспертов, проще и дешевле будет эффективно интегрировать IoT-устройства с уже использующимися продуктами для мониторинга кибербезопасности.

«Антонов» и СБУ подписали меморандум об обмене данными о DDoS атаках

DDoSAttack

«Антонов» и СБУ подписали меморандум об обмене данными о DDoS атаках ,кибератаках.

DDoS-Antonov

Документ обеспечит структурам возможность обмениваться техническими данными в режиме реального времени/ меморандум об обмене данными о DDoS атаках

СБУ и государственное предприятие «Антонов» подписали меморандум о совместной работе над системой кибербезопасности. Об этом сообщил пресс-центр СБУ в Facebook.

Новости по теме: СБУ за совершенствование противодействия угрозам нацбезопасности в информсфере для блокировки российских кибератак

«Документ должен обеспечить обмен в режиме реального времени технологическими данными о киберинцидентах с использованием платформы MISP-UA. Специалисты спецслужбы уверены, что данные с MISP-UA будут способствовать повышению защищенности государственного предприятия стратегического значения и эффективному реагированию со стороны СБУ и других субъектов обеспечения кибербезопасности на атаки высокой степени сложности», — говорится в сообщении.

Новости по теме: Украина без крыльев: Почему «Антонов» ушел в крутое пике

Система сбора и обработки информации об инцидентах кибербезопасности на базе платформы MISP была создана сотрудниками Ситуационного центра обеспечения кибербезопасности СБУ. Специалисты Службы сообщают, что платформа используется для обеспечения кибербезопасности и обмена техническими данными во всем мире, в том числе основными международными субъектами в сфере кибербезопасности — FIRST, CIRCL, CiviCERT и NATO NCI Agency.