6 новых типов DDoS-атак и их влияние на вашу безопасность
Атака DDoS (распределенный отказ в обслуживании) – это тип кибератаки, используемый для нарушения нормального трафика сайта или службы с помощью запросов. Атака затрагивает разные платформы, включая веб-сайты и видеоигры.
При DDoS-атаке серверная инфраструктура, на которую полагается онлайн-сервис, испытывает неожиданный трафик, заставляя его отключаться.
После первой атаки типа «отказ в обслуживании» в 1974 году DDoS-атаки стали наиболее значительным типом кибератак. В этой статье будет рассмотрено, как злоумышленники, использующие DDoS, стали более изощренными, а также предложены методы снижения рисков своих атак.
Как работает DDoS-атака?
Сети машин, подключенных к Интернету, могут использоваться для проведения DDoS-атак. Типы машин, используемых в DDoS-атаке, включают компьютеры. Набор устройств, используемых для DDoS-атак, известен как ботнеты.
Злоумышленники DDoS используют вредоносное ПО, чтобы получить контроль над устройствами, чтобы они могли удаленно направлять атаки. Трудно отличить ботнет от обычного устройства, поскольку системы обычно распознают ботнеты как законные интернет-устройства.
Вот типы способов проведения DDoS-атак и их влияние на вас.
1. Протокол удаленного рабочего стола Windows
Протокол удаленного рабочего стола Windows (RDP) используется для подключения компьютеров к сети. Протокол соответствия Microsoft упростил людям подключение компьютеров к сети.
Исследования Netscout показывают, что Windows RDP использовалась для усиления DDoS-атак и использования новых векторов. Протокол пользовательских диаграмм (UDP) был важным компонентом, который злоумышленники использовали для проведения DDoS-атак на серверы.
UDP – это протокол связи, используемый для чувствительной ко времени передачи, такой как голос и видео. Его скорость основана на том, что он формально не устанавливает соединение перед передачей данных. У этого есть несколько недостатков, включая потерю пакетов при передаче и уязвимость для DDoS-атак.
Хотя не все RDP-серверы подвергались злоупотреблениям, киберпреступники использовали Windows RDP для отражения и усиления нежелательного трафика для своих DDoS-атак. Злоумышленники использовали системы, в которых аутентификация RDP была включена на UDP-порт 3389 поверх стандартного TCP-порта 3389. Злоумышленники отправляли UDP-пакеты на UDP-порты серверов RDP, прежде чем они были отражены на целевых устройствах.
2. Серверы Jenkins
Jenkins – это сервер с открытым исходным кодом, используемый для автоматизации задач разработки программного обеспечения. Сервер Jenkins можно использовать для выполнения множества критических задач разработки программного обеспечения, включая сборку, тестирование, развертывание и непрерывную интеграцию.
Обнаружена уязвимость, которая позволяла запускать DDoS-атаки с Jenkins. Хотя ошибка была исправлена, уязвимость пролила свет на некоторые риски DDoS, связанные с ошибками на серверах.
Если вы запускаете общедоступный экземпляр Jenkins, обновляйте его до 2.204.2 LTS или до 2.219+ еженедельно. Более старые версии могут быть целью атак типа «отказ в обслуживании». См. SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
– Дженкинс (@jenkinsci) 13 февраля 2020 г.
Исследователи безопасности обнаружили, что злоумышленник может использовать протокол обнаружения Jenkins UDP (на UDP-порту 33848) для усиления DDoS-атак, перенаправляя трафик с сервера на намеченную цель. Затем злоумышленники могут использовать уязвимые серверы Jenkin для увеличения трафика до 100 раз.
Ошибка также увеличивала вероятность того, что серверы будут обманывать отправку непрерывных пакетов друг другу. Это может привести к бесконечным циклам и сбоям.
3. Протокол динамического обнаружения веб-служб (WS-DD)
Протокол динамического обнаружения веб-служб (WS-DD) – это протокол многоадресного обнаружения, используемый для обнаружения служб или устройств в локальной сети. Видеонаблюдение и печать – вот некоторые примеры деятельности, для которой используется WS-DD.
Исследования показывают, что киберпреступники использовали WS-DD в качестве метода усиления UDP. В 2019 году злоумышленники провели более 130 DDoS-атак с использованием этого протокола, используя более 630000 устройств для усиления DDoS-атак. По мере роста использования устройств IoT (Интернет вещей) эти типы векторов атак могут стать более серьезной проблемой.
4. Уязвимости DDoS на 5G
5G обещает повысить скорость и отзывчивость беспроводных сетей. Мобильная сеть 5-го поколения будет соединять людей и их устройства, как никогда раньше, с большей пропускной способностью и передовыми антенными технологиями.
Однако увеличение количества подключенных устройств может привести к росту риска DDoS-атак.
A3:… Одним из примеров нового уровня опасности может быть даже организация, которая сама не использует 5G – увеличение масштабов DDoS-атак… «Хорошие парни» – не единственные, кто может использовать увеличившуюся доступную пропускную способность… #BIZTALKS #CyberSecurity # InfoSec # Безопасность # 5G
– Джозеф Стейнберг (@JosephSteinberg) 21 октября 2020 г.
Поскольку размер сети устройств Интернета вещей растет вместе с внедрением 5G, поверхность атаки для DDoS-атак может увеличиваться. Существует множество уязвимых и незащищенных устройств Интернета вещей.
Неизбежно, что на начальных этапах внедрения новой сети, такой как 5G, необходимо будет внести множество улучшений в безопасность. Сочетание уязвимостей устройств Интернета вещей и новой структуры безопасности сетей 5G может сделать устройства 5G легкой мишенью для творческих киберпреступников.
Киберпреступники могут использовать 5G для расширения полосы пропускания DDoS-атак. Дополнительная полоса пропускания может усилить воздействие объемных атак, когда пропускная способность используется для насыщения пропускной способности цели.
5. ACK DDoS с помощью пульсирующих волн
Компания Cloudflare, занимающаяся веб-инфраструктурой, заметила DDoS-атаку, которая отправляет трафик пульсирующими волнами, похожими на барабанный бой. Создатели атаки могли использовать менее традиционный метод отправки трафика для обмана систем безопасности.
Глобально распределенная атака длилась два дня с использованием узлов для отправки равного количества пакетов с одинаковой скоростью. Однако творчества было недостаточно. Выявлено и контролировалось более 700 атак.
6. Многовекторные атаки
Многовекторные атаки включают использование комбинации различных методов для проведения атак на несколько векторов атаки сети, приложений и уровней данных.
В последние годы многовекторные атаки стали более популярными, поскольку хакеры находят новые способы атаковать платформы. От многовекторных атак может быть чрезвычайно сложно защититься из-за того, насколько сложно подготовить ресурсы для ответа на разноплановые атаки.
По мере того, как в Интернете внедряется все больше протоколов, векторы атак, которые могут использовать киберпреступники, будут увеличиваться. Мировые достижения в области аппаратного и программного обеспечения открывают перед киберпреступниками новые возможности для экспериментов с новыми атаками. BitTorrent, HTML и TFTP – одни из наиболее часто используемых векторов атаки.
Анатомия DDoS-угрозы @Imperva https://t.co/OgpF0d0d0g и рост многовекторных # DDoS- атак на предприятиях ( #video @ A10Networks ) #IoT #Cybersecurity #Infosecurity # Cloudsec #CISO #DataBreach #Botnet # Вредоносное ПО #Ransonmware #SMM #SEO pic.twitter.com/zecdoDe291
– Бенсон М | Выше и выше данных (@Benson_Mwaura) 12 сентября 2018 г.
7. Бот-сети, влияющие на устройства Android
Новый ботнет использует устройства Android для запуска DDoS-атак. Ботнет Matryosh использует утилиту командной строки Android Debug Bridge (ADB) в комплекте разработки программного обеспечения (SDK) Google для проведения атак. ADB позволяет разработчикам удаленно выполнять команды на устройствах.
ADB не аутентифицирован. Это означает, что злоумышленник может злоупотребить им, включив Debug Bridge на устройстве Android. Что еще хуже, многие продукты поставляются с включенным Debug Bridge. К таким устройствам можно было легко получить удаленный доступ, и на них было установлено вредоносное ПО для проведения DDoS-атак.
Когда Matryosh запускается на устройстве, он получает прокси TOR, чтобы скрыть свою активность. Это может значительно усложнить антивирусным программным системам обнаружение вредоносного ПО и атак.
Снижение рисков DDoS-атак
Риски DDoS-атак можно значительно снизить при надлежащей подготовке. Облачные технологии, планы реагирования и понимание предупреждающих знаков являются одними из ключевых факторов, определяющих материализацию рисков DDoS-атак.
Поставщики облачных услуг
Предотвращение DDoS-атак можно поручить поставщикам облачных услуг. Хотя это может быть дорогостоящим в краткосрочной перспективе, оно дает преимущества, которые могут снизить долгосрочные затраты. Облако обычно имеет больше ресурсов полосы пропускания, чем частные сети. Кроме того, злоумышленникам сложнее достичь намеченного пункта назначения через облачные приложения из-за более широкого распределения ресурсов и сложных межсетевых экранов.
Предупреждающие знаки DDoS-атак
Важно хорошо понимать красные флажки, которые могут указывать на DDoS-атаку. Это может упростить быстрое развертывание решений для снижения рисков потерь, которые может вызвать атака. Завершение работы веб-сайтов, замедление работы сетей и значительное снижение качества взаимодействия с пользователем – одни из распространенных признаков атаки.
План реагирования на DDoS-атаки
План реагирования на DDoS-атаки необходим для реализации хорошей стратегии защиты. План должен быть основан на тщательной оценке безопасности. План реагирования на DDoS-атаки должен быть подробным и точным. План должен включать подробную информацию о группе реагирования, контактах, процедурах уведомления, процедурах передачи на более высокий уровень и контрольный список системы.
Адаптируйся и побеждай
Киберпреступники постоянно развиваются, ища новые способы использования систем в личных целях. По мере внедрения новых технологий неизбежно будет создаваться больше векторов атак, что создаст возможности для реализации творческих методов DDoS.
Мы должны не только принять дополнительные меры для защиты от атак, связанных с давними уязвимостями, но также нам нужно бороться с рисками, которые возникают с новой эрой более разнообразных и передовых технологий.