16 февраля 2016

DDoS-атаки в четвёртом квартале: WordPress и 900 камер

Бизнес

Securelist опубликовал квартальный отчёт о DDoS-атаках, выделив ряд характерных для конца минувшего года тенденций и представив общую статистику.

Вкратце

  • В четвёртом квартале DDoS-атакам подверглись ресурсы в 69 странах
  • 94,9% атакованных ресурсов расположены в 10 странах, при этом на занимающий первое место Китай приходится половина всех пострадавших. Южная Корея в списке занимает второе место, США — третье
  • Самая продолжительная DDoS-атака в четвёртом квартале 2015 года длилась 371 час (или 15 с половиной дней)
  • SYN DDoS, TCP DDoS и HTTP DDoS остаются самыми распространёнными сценариями атак
  • Популярность Linux-ботов продолжала расти: доля DDoS-атак ботнетов на базе Linux в четвёртом квартале составила 54,8%.

Что такое Linux-ботнеты?

Ботнеты на базе Linux стали в настоящее время огромной проблемой, при этом доля атак Linux-ботов по сравнению с ботами на Windows выросла с 45,6% в третьем квартале до 54,8%. Проще говоря, ботнеты Linux снова превзошли Windows-ботнеты в четвёртом квартале.

Linux-боты, в основном, представляют собой вредоносные программы для заражения серверов на Linux, которые часто оставляют без защиты (вероятно, из тех соображений, что вредоносных программ для Linux почти не бывает).

Согласно отчёту Securelist в прошлом году, Linux-ботнеты предоставляют киберпреступникам возможность манипулировать сетевыми протоколами, вдобавок, заражённые серверы обладают высокоскоростными интернет-каналами (поэтому запущенные с них атаки потенциально мощнее, чем у ботнетов на Windows). Тем не менее, для создания ботнета Linux и управления им злоумышленнику требуется хорошо знать Linux, а также найти подходящий бот на чёрном рынке или в свободном доступе.

А ещё срок жизни таких ботнетов, как правило, несколько длиннее, чем у тех, что базируются на Windows PC, опять же, из-за того, что серверы Linux часто остаются незащищёнными.

Кроме того, многие устройства Интернета вещей (IoT), входящие в состав ботнетов, также работают на разных вариантах Linux.

В октябре 2015 года эксперты зарегистрировали мощный вал HTTP-запросов (до 20 000 в секунду), идущих от камер видеонаблюдения. Исследователи выявили около 900 камер по всему миру, образующих ботнет, который использовали для DDoS-атак. Эксперты предупреждают, что в ближайшее время появятся новые ботнеты на основе уязвимых устройств IoT. Ботнеты смешанного типа ранее уже наблюдались.

main

Новые векторы атаки

Securelist также отметил ряд нетрадиционных атак, использующих скомпрометированные веб-приложения на основе CMS WordPress. Её печально известная функция Pingback использовалась несколько раз для усиления атак, но в четвёртом квартале преступники осуществили массовую компрометацию ресурсов на WordPress. Вероятно, это вызвано появлением уязвимостей нулевого дня либо в самой CMS, либо в одном из её популярных плагинов. Каковы бы ни были причины, в ряде случаев были отмечены инъекции кода JavaScript в тело веб-ресурсов. Код обращался к ресурсу-мишени от имени браузера пользователя. В то же время злоумышленники использовали зашифрованное HTTPS-соединение, чтобы затруднить фильтрацию трафика.

Мощность одной такой DDoS-атаки, зафиксированной специалистами «Лаборатории Касперского», составила 400 Мбит/с, и продолжалась она 10 часов. Нападавшие использовали скомпрометированное веб-приложение на WordPress и зашифрованное соединение для того, чтобы затруднить фильтрацию трафика. Злоумышленники рисковать не собирались.

Самые популярные методы атак остались прежними: SYN DDoS — 57% атак, TCP DDoS — 21,8%, HTTP DDOS — 15,2%. Популярность последних незначительно снизилась, в то время как первые два вида набрали несколько процентных пунктов по сравнению с третьим кварталом.

Максимальная продолжительность атак тоже выросла. Самая долгая DDoS-атака в предшествующем квартале продолжалась 320 часов (13,3 дня); в четвёртом квартале этот рекорд был побит атакой, продолжавшейся 371 час (15,5 дня).

Основной причиной DDoS-атак являлся, в основном, денежный интерес — как и в случае с любого другого киберпреступления. DDoS-атаки используются в качестве инструмента шантажа, но и нет ничего необычного в том, что преступники используют DDoS-атаки в качестве дымовой завесы для совершения прочих тайных и вредных действий, таких как подсадка вредоносного ПО в инфраструктуру компании-мишени или эксфильтрация данных.

Полный отчет Securelist доступен здесь.