Kaspersky Lab DDoS Intelligence kvartalni izveštaj: Amplifikacijski napadi i stari botneti se vraćaju

DDOS napadi

Kompanija Kaspersky Lab objavila je svoj izveštaj za prvi kvartal 2018. godine istražujući DDoS napade koji su potpomognuti botnetima. Eksperti iz ove kompanije primetili su povećanje broja aktivnosti u okviru starih i novih botneta, rast popularnosti amplifikacijskih DDoS napada i povratak dugotrajnih (multy-day) DDoS napada.

U prvom kvartalu 2018 godine, DDoS botneti napali su onlajn resurse čak 79 zemalja. Zemlje koje su iskusile najveći broj napada ponovo su bile Kina, SAD i Južna Koreja. Ove zemlje i dalje vode prema broju servera koji su dostupni napadačima, a samim tim i brojem sajtovima i usluga koji su na tim sajtovima smeštene. U međuvremenu, Hong Kong i Japan zamenili su Holandiju i Vietnam na listi top 10 najviše ciljanih zemalja.

Promene koje su se odnosile na 10 zemalja sa najviše command-and-control (C&C ) servera bile su izraženije kada su Italija, Hong Kong, Nemačka i Ujedinjeno Kraljevstvo zamenile Kanadu, Tursku, Litvaniju i Dansku. Sve se ovo najverovatnije javlja kao posledica broja aktivnih C&C servera Darkai (klon Mirai) i dramatičnog porasta AES DDoS botova, kao i starih Xor i Yoyo botneta koji nastavljaju sa svojim aktivnostima. Iako većina ovih botneta koristi Linux, procenat botneta zasnovanih na Linux operativnom sistemu je u prvom tromesečju neznatno pao u odnosu na kraj prošle godine, što predstavlja 66% u odnosu na 71% u 2017.

Posle kratkog predaha, čini se da su se ovi dugotrajući napadi vratili: najduži DDoS napad u prvom tromesečju je trajao čak 297 sati što je više od 12 dana. Poslednji put smo duži napad  videli krajem 2015. godine.

Ono što je obeležilo kraj ovog izveštajnog perioda jesu Memcached preopterećenja koja nisu odgovarala ni jednom ranijem slučaju u pogledu njihove moći – u nekim slučajevima premašivali su 1 TB. Međutim, stručnjaci iz kompanije Kaspersky Lab očekuju da će njihova popularnost biti kratkotrajna s obzirom da ovakva vrsta napada ne samo da pogađa definisane mete, već i kompanije koje su nesvesno umešane u sprovođenje napada.

Na primer, u februaru tehnička podršla kompanije Kaspersky Lab za DDoS napade, bila je kontaktrana od strane kompanije koja se požalila na preopterećenje njihovih informacionih kanala, što ih je navelo da posumnjanju da su žrtve DDoS napada. Ispostavilo se da je jedan od kompanijskih servera, ugrožen Memcached servisom, korišćen od strane kriminalaca za napad nekog drugog servisa: generisane količine odlaznog saobraćaja bile su toliko velike da su veb resursi te kompanije bili srušeni. Zato su ovakvi napadi uvek kratkoročni; nesvesni saučesnici u Memcached napadima brzo primete povećano opterećenje i brzo zakrpe softverske ranjivosti sistema kako bi izbegli gubitke, čime se smanjuje broj servera koji su dostupni napadačima.

Sve u svemu, popularnost amplifikacijskih napada, koji su ranije gubili na istoj, u prvom tromesečju dobilia je svoj momentum. Na primer, registrovali smo redak tip napada, uprkos njegovoj efektivnosti. U ovom napadu je LDAP servis korišćen kao amplifajer. Zajedno sa Memcached, NTP i DNS, ovaj servis ima jednu od najvećih stopa amplifikacije. Međutim, za razliku od Memcached, LDAP neželjeni saobraćaj jedva da je sposoban za potpuno blokiranje odlaznog kanala, što vlasniku ugroženog servera otežava prepoznavanje i popravljanje situacije. Uprkos relativno malom broju dostupnih LDAP servera, moguće je da će ovakva vrsta napada postati pravi hit na Darknetu u dolazećim mesecima.

Iskorišćavanje softverskih ranjivosti sistema jedan je od omiljenih alata sajber kriminalaca čiji je posao kreiranje DDoS botneta. Međutim, kako se pokazalo u prvim mesecima, nisi bile pogođene samo žrtve DDoS napada, već i one kompanije sa takvom infrakstrukturom koja sadrži ranjive objekte. Događaji iz prvog tromesečja potvrđuju prostu istinu: platforma koja se koristi u bilo kojoj kompaniji za implementaciju višeslojne onlajn sigurnosti, mora da uključuje redovne zakrpe softverskih ranjivosti sistema i konstantnu zaštitu od DDoS napada“, komentariše Aleksej Kiselev (Alexey Kiselev), projekt menadžer u Kaspersky DDoS Protection timu.