Рост DDoS атак за счет распространения IoT устройств.

Интернет вещей (IoT) еще только начинает развиваться, но злоумышленники уже используют недостатки в системах безопасности IoT-устройств, чтобы получить доступ к системам, включая системы промышленного управления, поддерживающие критически важную инфраструктуру. Ботнеты IoT также набирают силу, увеличиваются в размерах и все больше способны запускать мощнейшие атаки, которые могут существенно сказываться на работе Интернета.

То, что злоумышленники все больше обращают внимание на уровень приложений, свидетельствует о том, что это и есть их цель. Однако многие профессионалы в области информационной безопасности не осознают или не обращают внимания на угрозу, которую представляют собой ботнеты IoT. Организации продолжают добавлять в свои ИТ-среды IoT-устройства практически не задумываясь о безопасности, и даже более того, не тратя время на оценку того, сколько IoT-устройств связано с их сетями. Таким образом они облегчают злоумышленникам задачу овладения Интернетом вещей.

Немногие организации рассматривают ботнеты IoT как неизбежную угрозу – но они должны быть к этому готовы.

По мере расширения и развития IoT, расширяются и развиваются и ботнеты IoT. Чем более сильными и зрелыми становятся ботнеты, тем чаще злоумышленники начинают использовать их для запуска все более масштабных и интенсивных DDoS-атак. В Отчете Cisco по информационной безопасности за 2017 год компания Radware, партнер Cisco, предлагает анализ трех крупнейших ботнетов IoT – Mirai, Brickerbot и Hajime – и вновь обращается к теме ботнетов IoT в нашем последнем отчете, чтобы подчеркнуть серьезность этой угрозы.

Их исследование показывает, что только 13% организаций считает, что ботнеты IoT станут главной угрозой для их бизнеса в 2018 году.

Ботнеты IoT успешно процветают, потому что организации и пользователи развертывают недорогие IoT-устройства быстро и практически не задумываясь о безопасности. IoT-устройства работают под управлением систем Linux и Unix, поэтому они часто становятся целями двоичных кодов формата выполняемого и компонуемого модуля (executable and linkable format, ELF). Их также проще взять под контроль, чем ПК, поэтому злоумышленники легко и быстро могут создать большую армию из этих устройств.

IoT-устройства работают круглосуточно и могут быть введены в действие для выполнения вредоносной активности практически моментально. А по мере того как злоумышленники увеличивают размер своих ботнетов IoT, они инвестируют во все более сложные коды и вредоносное ПО, что позволяет им организовывать еще более усовершенствованные DDoS-атаки.

DDoS-атаки на приложения обходят сетевые DDoS-атаки

Число атак уровня приложений растет, тогда как число атак сетевого уровня снижается (см. рис. 1). Исследователи Radware считают, что такое изменение может быть связано с ростом ботнетов IoT. Эта тенденция настораживает: уровень приложений слишком многообразен, в нем множество устройств, поэтому атаки, нацеленные на этот уровень, потенциально могут вывести из строя большую часть Интернета.

 

По мнению исследователей Radware, все больше злоумышленников обращается к уровню приложений, так как на сетевом уровне осталось мало доступных «лазеек». Для построения ботнетов IoT также требуется меньше ресурсов, чем для ботнетов из ПК. Таким образом, злоумышленники могут вложить больше ресурсов в разработку сложных кодов и вредоносного ПО. Среди злоумышленников, делающих такого рода вложения, операторы много-векторного ботнета Mirai, известного своими сложными атаками на приложения.

Рост сложности, частоты и продолжительности «взрывных атак»

Одной из наиболее значительных тенденций в DDoS-атаках в 2017 году Radware называет увеличение коротких, взрывных атак, которые становятся более сложными, частыми и устойчивыми.
В исследовании Radware сообщается, что в 2017 году такого рода DDoS-атакам подверглось 42% организаций (рис. 2). В большинстве атак повторные вспышки длились всего несколько минут.

Взрывные тактики обычно нацелены на игровые веб-сайты и ораторов связи, так как для них особенно важна доступность их услуг и они не могут успешно сдерживать маневры таких атак. Периодические или случайные вспышки высокой интенсивности трафика в течение нескольких дней или недель могут привести к тому, что такие организации не будут успевать реагировать на них, и, соответственно, это приведет к прерыванию оказания ими услуг.

Исследователи Radware характеризуют взрывные атаки следую- щим образом:

  • Эти атаки состоят из множества меняющихся векторов. Эти атаки географически распределены и проявляются непрерывной серией точных и объемных синхронных атак SYN-флуд, ACK-флуд и флуд-атак протокола UDP на множество портов.
  • Объединяют атаки большого объема с разной продолжительностью – от 2 до 50 секунд с высокой, взрывной интенсивностью трафика с интервалами примерно по 5–15 минут.
  • Часто применяются вместе с другими продолжительными DDoS-атаками.

Рост отраженных DDoS-атак с усилением

Еще одной тенденцией в DDoS-атаках, наблюдаемой исследователями Radware в 2017 году, стал рост отраженных DDoS-атак с усилением как основного вектора, направленного на широкий спектр сервисов. Согласно данным Radware, в 2017 году два из пяти предприятий подверглись отраженной DDoS-атаке с усилением. Одна треть этих организаций не смогла нейтрализовать эти атаки.

В отраженной DDoS-атаке с усилением для отправки трафика атаки на цель используется потенциально легитимный компонент третьей стороны, чтобы скрыть личность злоумышленника. Злоумышленники отправляют пакеты на отражающие сервера с IP-адресом источника, установленным на IP-адрес целевого пользователя. Тем самым они могут косвенным образом переполнить цель ответными пакетами и затруднить ей использование своих ресурсов (см. рис. 3).

Для успешного выполнения отраженной DDoS-атаки с усилением необходимо, чтобы пропускная способность полосы частот злоумышленника была больше, чем у его цели. И это становится возможным благодаря отражающим серверам: злоумышленник просто отражает трафик с одной или нескольких машин третьей стороны. Так как это обычные серверы, атаки такого типа обычно сложно нейтрализовать. Стандартные примеры:

Отраженная DNS-атака с усилением

Эта сложная атака типа «отказ в обслуживании» использует преимущества поведения DNS-сервера для усиления атаки. Стандартный DNS-запрос меньше, чем DNS-ответ. В отраженной DNS-атаке с усилением злоумышленник тщательно отбирает DNS-запрос, для которого потребовался бы длинный ответ, например в 80 раз длиннее, чем сам запрос (например, ANY). Злоумышленник отправляет этот запрос, используя ботнет, на DNS-сервера третьей стороны, подменяя IP-адрес источника IP-адресом целевого пользователя. DNS-сервера третьей стороны отправляют свои ответы на целевой IP-адрес. С помощью такого рода техники относительно небольшой ботнет может передавать огромный поток больших ответов на цель.

Отражение через протокол NTP

Такой тип атаки с усилением использует публично доступные сервера сетевого временного протокола (Network Time Protocol, NTP) для переполнения защитников UDP-трафиком и истощения их ресурсов. NTP – это старый сетевой протокол для синхрони- зации часов между компьютерными системами по сетям с коммутацией пакетов. Он до сих пор широко используется в Интернете настольными компьютерами, серверами и даже телефонами для синхронизации их времени. В нескольких старых версиях серверов NTP есть команда, которая называется monlist: она отправляет запрашивающему лицу список из последних 600 хостов, подключенных к запрашиваемому серверу.

В базовом сценарии злоумышленник постоянно повторно отправляет запрос get monlist на случайный NTP-сервер и фальсифицирует IP-адрес запрашивающего сервера, меняя его на адрес целевого сервера. Затем ответы NTP-сервера направляются на целевой сервер, что вызывает значительное увеличение UDP-трафика с порта источника 123.

Отражение через протокол SSDP

В этой атаке задействуется протокол Simple Service Discovery Protocol (SSDP), который используется для обнаружения подключенных периферийных универсальных устройств Universal-Plug-and-Play (UPnP). Этот протокол также позволяет обнаруживать и управлять сетевыми устройствами и сервисами, такими как камеры, сетевые принтеры и многие другие типы электронного оборудования.

После того как UPnP-устройство подключилось к сети и получило IP-адрес, оно может сообщать о своих сервисах другим компьютерам в сети, отправляя сообщение по IP-адресам многоадресной рассылки. Когда компьютер получает сообщение об обнаружении этого устройства, он делает запрос на полное описание сервисов, предлагаемых устройством. Затем UPnP-устройство отвечает этому компьютеру напрямую и отправляет ему полный список своих сервисов.

защита от ддос атак

В случае с усиленными DDoS-атаками через NTP и DNS, злоумышленник может использовать небольшой ботнет для отправки запроса о сервисах. Злоумышленник затем фальсифицирует IP-адреса источника, т. е. меняет его на IP-адрес целевого пользователя, чтобы направить ответы напрямую на этот целевой адрес.

 

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
29 марта 2018, 20:10

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *