Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport Kaspersky DDoS Intelligence dla IV kwartału 2015 roku

Tagi:

Wydarzenia w IV kwartale

Spośród wszystkich wydarzeń, jakie miały miejsce w IV kwartale 2015 r. w świecie ataków DDoS oraz narzędzi wykorzystywanych do ich przeprowadzania, wybraliśmy te, które, naszym zdaniem, najlepiej ilustrują główne tendencje kształtujące ewolucję tych zagrożeń.  

  1. Wyłonienie się nowych wektorów dla przeprowadzania ataków DDoS stanowiących odbicie lustrzane;
  2. Wzrost liczby botnetów złożonych z podatnych na ataki urządzeń Internetu Rzeczy;
  3. Ataki na poziomie aplikacji – siła napędowa w scenariuszach ataków DDoS.

Ataki z wykorzystaniem skompromitowanych aplikacji wspieranych przez WordPress

Zasoby WWW wspierane systemem zarządzania zawartością (CMS) WordPress cieszą się popularnością wśród cyberprzestępców, którzy przeprowadzają ataki DDoS. Wynika to z tego, że WordPress obsługuje funkcję pingback, która powiadamia autora postu opublikowanego na stronie WordPress, gdy ktoś inny linkuje do tego postu na innej stronie obsługiwanej przez ten sam system CMS. Kiedy post zawierający odsyłacz do innego zasobu WWW zostanie opublikowany na stronie z aktywowaną funkcją pingback, specjalne żądanie XML-RPC zostanie wysłane do strony, do której prowadzi odsyłacz, oraz otrzymane i przetworzone przez ten zasób. Podczas przetwarzania strona odbiorcy może nakazać źródłu tego żądania sprawdzenie, czy istnieje dana zawartość.     

Technologia ta umożliwia zaatakowanie zasobu WWW (ofiary): bot wysyła specjalnie utworzone żądanie pingback określające adres zasobu ofiary jako nadawcę do strony WordPress z aktywowaną funkcją pingback. Strona WordPress przetwarza żądanie od bota i wysyła odpowiedź na adres ofiary. Wysyłając żądania pingback zawierające adres ofiary do wielu zasobów WordPress z aktywowaną funkcją pingback, osoby atakujące powodują znaczne obciążenie zasobu ofiary. Z tego powodu cyberprzestępcy interesują się zasobami WWW obsługiwanymi przez WordPress z aktywowaną funkcją pingback.   

W czwartym kwartale 2015 r. cyberprzestępcy nie ograniczali swoich działań do stron obsługujących pingback; przeprowadzali masowe włamania do zasobów obsługiwanych przez WordPress. Było to prawdopodobnie spowodowane zidentyfikowaniem luk „zero-day” w systemie CMS lub jednej z jego popularnych wtyczek. Niezależnie od przyczyny, odnotowaliśmy kilka przypadków wstrzykiwania kodu JavaScript do „ciała” zasobów WWW. Kod ten adresował zasób ofiary w imieniu przeglądarki użytkownika. Jednocześnie, osoby atakujące wykorzystywały szyfrowane połączenie HTTPS w celu utrudnienia filtrowania ruchu.

Jeden z takich ataków DDoS odnotowanych przez ekspertów z Kaspersky Lab miał moc 400 Mbit/sek. i trwał 10 godzin. Osoby atakujące wykorzystały skompromitowaną aplikację WWW obsługiwaną przez WordPress jak również zaszyfrowane połączenie w celu utrudnienia filtrowania ruchu.

Botnety oparte na Internecie Rzeczy

W październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. Eksperci ostrzegają, że w nieodległej przyszłości pojawią się nowe botnety wykorzystujące dziurawe urządzenia Internetu Rzeczy. 

Trzy nowe wektory przeprowadzania ataków DDoS stanowiących odbicie lustrzane

Ataki DDoS stanowiące odbicie lustrzane wykorzystują słabe punkty w konfiguracji osoby trzeciej w celu wzmocnienia ataku. W czwartym kwartale zostały wykryte trzy nowe kanały wzmocnienia. Osoby atakujące wysyłają ruch do atakowanych stron za pośrednictwem serwerów nazw NetBIOS, usług PRC kontrolera domen połączonych za pośrednictwem portu dynamicznego oraz do serwerów licencjonowania WD Sentinel.    

Ataki na serwisy pocztowe

W IV kwartale 2015 roku usługi pocztowe były szczególnie popularne wśród osób stosujących ataki DDoS.

W szczególności, wykryto aktywność ugrupowania cyberprzestępczego Armada Collective, które wykorzystuje ataki DDoS w celu wyłudzania pieniędzy od ofiar. Grupa ta jest podejrzewana o udział w ataku na bezpieczny serwis pocztowy ProtonMail, w którym cyberprzestępcy żądali 6000 dolarów w zamian za zakończenie ataku DDoS.   

Oprócz zaszyfrowanego serwisu pocztowego ProtonMail celem ataków były również serwisy pocztowe FastMail oraz Russian Post.

Statystyki dotyczące ataków DDoS opartych na botnecie

Metodologia

Kaspersky Lab posiada ogromne doświadczenie w zwalczaniu cyberzagrożeń, w tym różnego rodzaju ataków DDoS o różnym poziomie złożoności. Eksperci firmy monitorują aktywność botnetową przy użyciu systemu DDoS Intelligence.

System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) ma na celu przechwytywanie i analizę poleceń wysyłanych do botów z serwerów kontroli (C&C). Aby zgromadzić dane, nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników lub wykonane polecenia cyberprzestępców.

Raport ten zawiera statystyki DDoS Intelligence dotyczące czwartego kwartału 2015 r.

W kontekście tego raportu jeden (odrębny) atak DDoS jest definiowany jako incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Jeśli ten sam zasób WWW zostałby zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, zostałby potraktowany jako odrębny atak DDoS. Ataki przeprowadzane na ten sam zasób WWW z dwóch różnych botnetów również uważa się za odrębne ataki.  

Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli jest określany na podstawie ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana w oparciu o liczbę unikatowych adresów IP ujętą w statystykach kwartalnych. 

Warto zauważyć, że statystyki DDoS Intelligence ograniczają się do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Należy również podkreślić, że botnety to tylko jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; z tego względu przedstawione w tym raporcie dane nie uwzględniają każdego ataku DDoS, który miał miejsce w określonym przedziale czasowym.

Podsumowanie czwartego kwartału

  • W czwartym kwartale celem ataków DDoS były zasoby zlokalizowane w 69 państwach.
  • 94,9% atakowanych zasobów znajdowało się w 10 państwach.
  • Najwięcej ofiar ataków DDoS było zlokalizowanych w Chinach, Stanach Zjednoczonych oraz Korei Południowej.
  • Najdłuższy atak DDoS w IV kwartale 2015 r. trwał 371godzin (lub 15,5 dnia).
  • Najpopularniejsze scenariusze ataków DDoS nadal obejmują SYN DDoS, TCP DDoS oraz HTTP DDoS.
  • Nadal wzrastała popularność botów opartych na Linuksie: odsetek ataków DDoS przeprowadzanych z botnetów opartych na Linuksie wynosił w czwartym kwartale 54,8%.

Geografia ataków

Do końca 2015 roku zasięg ataków DDoS został zawężony do 69 państw. 94,9% atakowanych zasobów znajdowało się w 10 państwach.    

W czwartym kwartale miał miejsce znaczny wzrost odsetka ataków DDoS na zasoby zlokalizowane w Chinach (z 34,5% do 50,3%) oraz Korei Południowej (z 17,7% do 23,2%). 

q4_ddos_2015_en_1_auto.png

Rozkład unikatowych celów ataków DDoS według państwa, III kwartał w stosunku do IV kwartału 2015 r.

Udział celów ataków DDoS zlokalizowanych w Stanach Zjednoczonych zmniejszył się o 8 punktów procentowych, przez co państwo to spadło na trzecie miejsce, natomiast Korea Południowa wspięła się na drugie.  

Z zestawienia Top 10 wypadła Chorwacja, której udział wynosił 0,3% (-2,5 punktów procentowych), oraz Francja, której udział zmniejszył się z 1,1% do 0,7%. W ich miejsce uplasował się Hong Kong, który uzyskał ten sam odsetek co w poprzednim kwartale, oraz Taiwan, którego udział wzrósł o 0,5 punktu procentowego.     

Ze statystyk wynika, że 94% wszystkich ataków posiadało cele w 10 krajach:

q4_ddos_2015_en_2_auto.png

Rozkład ataków DDoS według państwa, III kwartał w stosunku do IV kwartału 2015 r.

W czwartym kwartale ranking Top 3 nie zmienił się, chociaż Stany Zjednoczone oraz Korea Południowa zamieniły się miejscami: udział Korei Południowej zwiększył się o 4,3 punktu procentowego, podczas gdy Stanów Zjednoczonych zmniejszył się o 11,5 punktu procentowego. Największy wzrost odsetka ataków DDoS w IV kwartale odnotowano w Chinach – jego udział zwiększył się o 18,2 punktu procentowego.     

Zmiany dotyczące liczby ataków DDoS

W IV kwartale 2015 r. aktywność związana z atakami DDoS rozkładała się mniej więcej równomiernie, z wyjątkiem jednego wzrostu aktywności o wartości szczytowej, który przypadł na koniec października, oraz jednego wzrostu aktywności, który miał miejsce na początku listopada.  

Największa liczba ataków w ciągu jednego dnia wynosiła 1 442 i została odnotowana 2 listopada. Najspokojniejszy dzień przypadł na 1 października – tylko 163 ataków.   

q4_ddos_2015_en_3_auto.png

Liczba ataków DDoS na przestrzeni czasu* w IV kwartale 2015 r.

* Ataki DDoS mogą trwać kilka dni. W tym czasie ten sam atak może zostać policzony kilkakrotnie, tj. jeden raz dla każdego dnia jego trwania.

Poniedziałek i wtorek stanowiły najaktywniejsze dni tygodnia pod względem ataków DDoS. W IV kwartale liczba ataków przeprowadzonych w poniedziałek była o 5,7 punktów procentowych wyższa niż w poprzednim kwartale. Liczba ataków dla wtorków zmieniła się nieznacznie (-0,3 punktu procentowego).      

q4_ddos_2015_en_4-1_auto.png

Rozkład liczby ataków DDoS według dnia tygodnia, IV kwartał 2015 r.

Rodzaje i czas trwania ataków DDoS

97,5% celów ataków DDoS w IV kwartale 2015 r. (dla porównania w III kwartale odsetek ten wynosił 99,3%) zostało zaatakowanych przez boty należące do jednej rodziny. W zaledwie 2,4% wszystkich przypadków, cyberprzestępcy przeprowadzili ataki przy użyciu botów z dwóch różnych rodzin (wykorzystywanych przez jednego lub większą liczbę operatorów botnetów). W 0,1% przypadków, wykorzystane zostały trzy lub więcej botów, głównie z rodziny Sotdas, Xor oraz BillGates  

Ranking najpopularniejszych metod ataków pozostał niezmieniony, chociaż SYN DDoS (57%) i TCP DDoS (21,8%) zwiększyły swój udział odpowiednio o 5,4 i 1,9 punktów procentowych.     

q4_ddos_2015_en_5-1_auto.png

Rozkład ataków DDoS według rodzaju

Po raz kolejny, w IV kwartale 2015 r. większość ataków trwała nie dłużej niż 24 godziny.  

q4_ddos_2015_en_6_auto.png

Rozkład ataków DDoS według długości trwania (godziny)

W czwartym kwartale po raz kolejny wydłużył się maksymalny czas trwania ataków. Najdłuższy atak DDoS w poprzednim kwartale trwał 320 godzin (13,3 dni); w IV kwartale rekord ten został pobity przez atak, który trwał 371 godzin (15,5 dni).  

Serwery kontroli i rodzaje botnetów

W IV kwartale 2015 r. Korea Południowa utrzymała prowadzenie pod względem liczby serwerów kontroli zlokalizowanych na jej terytorium, a jej udział wzrósł o 2,4 punktu procentowego. Udział Stanów Zjednoczonych zmniejszył się nieznacznie – z 12,4% do 11,5%, podczas gdy udział Chin wzrósł o 1,4 punktu procentowego.

Ranking Top 3 pozostał niezmieniony. Miejscami zamieniły się państwa na czwartym i piątym miejscu – udział Rosji wzrósł z 4,6% do 5,5%, podczas gdy udział Wielkiej Brytanii zmniejszył się z 4,8% do 2,6%.

q4_ddos_2015_en_7_auto.png

Rozkład serwerów kontroli botnetów według państwa w IV kwartale 2015

W IV kwartale korelacja pomiędzy aktywnymi botami tworzonymi od Windowsa po Linuksa kształtowała się w ten sposób, że odsetek ataków przeprowadzonych przez boty Linuksa zwiększył się z 45,6% do 54,8%.   

q4_ddos_2015_en_8_auto.png

Korelacja między atakami przeprowadzonymi z botnetów Windowsa i Linuksa

Zakończenie

Wydarzenia w IV kwartale 2015 r. pokazują, że cyberprzestępcy stojący za atakami DDoS wykorzystują nie tylko klasyczne botnety obejmujące stacje robocze oraz komputery PC, ale również wszelkie inne dostępne, podatne na ataki zasoby. Obejmują one dziurawe aplikacje WWW, serwery oraz urządzenia Internetu Rzeczy. W połączeniu z nowymi kanałami służącymi do przeprowadzania ataków DDoS stanowiących odbicie lustrzane, sugeruje to, że w niedalekiej przyszłości możemy spodziewać się dalszego rozszerzania możliwości ataków DDoS oraz pojawienia się botnetów złożonych z nowych rodzajów podatnych na ataki urządzeń.