Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w IV kwartale 2016 roku

Tagi:

Przegląd wiadomości

Bez wątpienia rok 2016 można określić jako rok ataków DDoS (Distributed Denial of Service), które sporo namieszały jeśli chodzi o technologię, skalę ataków oraz ich wpływ na nasze codzienne życie. Co więcej, na zakończenie roku miały miejsce masowe ataki DDoS na niespotykaną wcześniej skalę, wykorzystujące technologię botnetu Mirai, o pojawieniu się którego pisaliśmy w naszym ostatnim raporcie opartym na systemie DDoS Intelligence.      

Od tego czasu opublikowaliśmy kilka innych szczegółowych raportów poświęconych przeprowadzonym na dużą skalę atakom na infrastrukturę DNS Dyn oraz na Deutsche Telekom, które w listopadzie pozbawiły dostępu do sieci 900 tysięcy Niemców. Ponadto, zidentyfikowaliśmy podobne ataki na dostawców usług internetowych w Irlandii, Wielkiej Brytanii i Liberii – we wszystkich z nich wykorzystywano urządzenia Internetu Rzeczy kontrolowane przez technologię Mirai i częściowo atakowano rutery domowe w celu stworzenia nowych botnetów.    

„Powstanie maszyn (ang. Rise of the Machines)” – tytuł, jaki Institute for Critical Infrastructure Technology (ICIT) nadał swojej analizie - brzmi dość dobitnie, jednak wyraźnie pokazuje, że zainteresowane osoby na całym świecie, w szczególności w Stanach Zjednoczonych i w Unii Europejskiej, są świadome braku bezpieczeństwa jako permanentnej cechy funkcjonalnego projektowania urządzeń Internetu Rzeczy oraz potrzeby stworzenia powszechnego ekosystemu bezpieczeństwa IoT. Nie jest ona przedwczesna, ponieważ przewidujemy pojawienie się dalszych modyfikacji botnetu Mirai oraz ogólnego wzrostu aktywności botnetów opartych na Internecie Rzeczy w 2017 roku.      

Ogólnie, ataki DdoS, jak mogliśmy się dotychczas przekonać, stanowią zaledwie „punkt wyjścia” – różne osoby atakujące stosują je, aby wciągnąć urządzenia Internetu Rzeczy do własnych botnetów, testować technologię Mirai i opracować wektory ataków. Dobrym przykładem są tu listopadowe ataki DDoS na pięć dużych rosyjskich banków.  

Po pierwsze, po raz kolejny pokazują, że w czwartym kwartale najbardziej zagrożone były - i prawdopodobnie będą również w 2017 r. - serwisy finansowe, takie jak platforma handlu bitcoinami oraz platformy blockchain: CoinSecure w Indiach i BTC-e w Bułgarii, czy William Hill (jeden z największych w Wielkiej Brytanii bukmacherów, któremu odzyskanie pełnej sprawności zajęło wiele dni).

Po drugie, cyberprzestępczy nauczyli się zarządzać i przeprowadzać bardzo wyrafinowane, precyzyjnie zaplanowane i nieustannie zmieniające się wielowektorowe ataki DDoS, które dostosowują do polityki łagodzenia zagrożeń oraz możliwości atakowanej organizacji. Jeśli chodzi o naszą analizę (j. ang.), w kilku innych przypadkach, które śledziliśmy w 2016 roku, cyberprzestępcy zaczynali od łączenia różnych wektorów ataków, stopniowo sprawdzając sieć banku oraz serwisy WWW pod kątem występowania punktu awarii serwisu. Po tym, jak zostały uruchomione mechanizmy ograniczające ryzyko ataków DDoS oraz inne środki zaradcze, wektory ataków zmieniały się na kilka dni.

Generalnie, ataki te świadczą o tym, że krajobraz DDoS osiągnął kolejny etap ewolucji w 2016 roku, który charakteryzuje się nową technologią, ogromną mocą ataków oraz wysoce wykwalifikowanymi i profesjonalnymi cyberprzestępcami. Niestety, tendencja ta nie została jeszcze uwzględniona w politykach cyberbezpieczeństwa wielu organizacji, które nadal nie są gotowe do lub nie są przekonane o konieczności inwestowania w usługi ochrony przed atakami DDoS.  

Cztery główne trendy roku

W 2016 roku na rynku ataków DDoS miało miejsce wiele znaczących zmian i zdarzeń. Wyróżniliśmy cztery główne trendy:

  1. Spadek liczny ataków polegających na sztucznym potęgowaniu ruchu. Tego rodzaju ataki stosowane są od pewnego czasu, a metody ich zwalczania są dobrze znane i udoskonalane. W pierwszej połowie 2016 roku nadal były dość popularne, później jednak stało się jasne, że ich liczba i natężenie stopniowo zmniejsza się. Pod koniec 2016 roku cyberprzestępcy niemal całkowicie zrezygnowali ze stosowania tego rodzaju ataków, co stanowiło przypieczętowanie trwającej przez kilka lat tendencji spadkowej. Powodem tego były przede wszystkim środki zaradcze opracowywane dla takich ataków. Innym czynnikiem był spadek liczby podatnych na ataki hostów umożliwiających sztuczne spotęgowanie ruchu, dostępnych dla osób atakujących. Wynikał on z tego, że właściciele hostów zaczęli reagować na problemy z działaniem i straty związane z takimi atakami, jak również szukać sposobów na łatanie luk.       
  2. Wzrost popularności ataków na aplikacje i powszechniejsze wykorzystywanie szyfrowania. Przez ostatnie kilka lat oparte na protokole UDP ataki przeprowadzane w celu sztucznego spotęgowania ruchu na stronie pozostawały niekwestionowanym liderem jeśli chodzi o ataki DDoS, podczas gdy ataki na aplikacje były stosunkowo rzadkie. W drugiej połowie roku, zwłaszcza w IV kwartale, znacząco wzrosła popularność ataków na aplikacje, które stopniowo wypełniły niszę zajmowaną wcześniej przez ataki sztucznie potęgujące ruch na stronie. Do przeprowadzenia takich ataków wykorzystuje się sprawdzone narzędzia (Pandora, Drive, LOIC/HOIC) i nowe technologie. Wraz z rosnącą popularnością ataków na aplikacje rośnie również liczba tego rodzaju ataków wykorzystujących szyfrowanie. Zastosowanie szyfrowania w większości przypadków znacznie zwiększa skuteczność ataków i utrudnia filtrowanie. Ponadto, cyberprzestępcy nadal stosują podejście zintegrowane, maskując niewielki ale skuteczny atak na aplikacje przy pomocy jednoczesnego ataku przeprowadzonego na dużą skalę, np. ataku obejmującego dużą liczbę krótkich pakietów sieciowych (atak TCP flood z użyciem krótkich pakietów).  
  3. Wzrost popularności ataków WordPress Pingback. Ataki typu WordPress Pingback, które były niezwykle rzadkie na początku 2016 roku, w czwartym kwartale posiadały już znaczący udział w rynku ataków DDoS. Jest to obecnie jedna z najpopularniejszych metod ataków na aplikacje, którą wyodrębniliśmy z ogólnej masy ataków na poziomie aplikacji. Stosunkowo proste do przeprowadzenie, ataki te mają bardzo specyficzny „odcisk palca”, a generowany przez nie ruch można łatwo oddzielić od ogólnego ruchu sieciowego. Jednak przeprowadzenie takiego ataku przy użyciu szyfrowania znacznie komplikuje filtrowanie i zwiększa szkodliwy potencjał tego rodzaju ataków.      
  4. Wykorzystywanie botnetów Internetu Rzeczy do przeprowadzania ataków DDoS. Po tym jak 24 października został opublikowany kod w zasobie GitHub, eksperci z Kaspersky Lab zauważyli wzrost zainteresowania urządzeniami Internetu Rzeczy wśród przestępców, zwłaszcza wykorzystywania botnetów do przeprowadzania ataków DDoS. Koncepcje i metody zastosowane przez twórców botnetu Mirai były wykorzystywane jako baza dla ogromnej ilości nowego szkodliwego kodu oraz botnetów złożonych z urządzeń Internetu Rzeczy. Tego rodzaju botnety były wykorzystywane w licznych atakach na rosyjskie banki w IV kwartale 2016 roku. W przeciwieństwie do klasycznych botnetów, botnety oparte na Internecie Rzeczy są ogromne zarówno pod względem rozmiaru jak i potencjału, co pokazał nagłośniony atak na dostawcę DNS DYN, który pośrednio wpłynął na działanie wielu popularnych zasobów WWW (między innymi takich jak Twitter, Airbnb, CNN)      

Statystyki dotyczące ataków DDoS wspomaganych botnetami

Metodologia

Kaspersky Lab posiada spore doświadczenie w zwalczaniu cyberzagrożeń, łącznie z atakami DDoS różnego rodzaju i poziomu złożoności. Eksperci firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence.

System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) został stworzony w celu przechwytywania i analizowania poleceń wysyłanych do botów z serwerów kontroli (C&C). Aby zebrać dane, system nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników czy wykonane polecenia cyberprzestępców.

Przedstawiany raport zawiera statystyki pochodzące z systemu DDoS Intelligence obejmujące czwarty kwartał 2016 r.

W kontekście tego raportu jeden (osobny) atak DDoS oznacza incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Gdyby ten sam zasób WWW został zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, mówilibyśmy o osobnym ataku DDoS. Ataki na ten sam zasób WWW przeprowadzone z dwóch różnych botnetów również uważa się za osobne ataki.

Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli określa się za pomocą ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP w statystykach kwartalnych.

Należy zauważyć, że statystyki DDoS Intelligence ograniczają się jedynie do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Ponadto botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego też przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w danym czasie.

Podsumowanie IV kwartału

  • W IV kwartale 2016 r. ataki DDoS były wymierzone w zasoby znajdujące się w 80 krajach (w III kwartale było to 67 krajów).
  • 71,6% atakowanych zasobów było zlokalizowanych w Chinach.
  • Pod względem liczby celów ataków oraz liczby wykrytych serwerów kontroli w czołówce utrzymały się Korea Południowa, Chiny oraz Stany Zjednoczone.
  • Najdłuższy atak DDoS w IV kwartale 2016 r. trwał 292 godzin (czyli 12,2 dnia) – znacznie dłużej niż wynosił najdłuższy atak w poprzednim kwartale (184 godzin lub 7,7 dnia) – i stanowił rekord w 2016 roku.
  • SYN DDoS, TCP DDoS oraz HTTP DDoS pozostają najczęstszymi scenariuszami ataków DDoS. Odsetek ataków przy użyciu metody SYN DDoS zmniejszył się o 5,7 punktu procentowego, podczas gdy odsetki ataków przy pomocy metod TCP DDoS i HTTP DDoS znacznie wzrosły.
  • W IV kwartale 2016 r. odsetek ataków przeprowadzonych z botnetów pod kontrolą systemu Linuks nieznacznie zmniejszył się, stanowiąc 76,7% wszystkich wykrytych ataków. 

Rozkład geograficzny ataków

W IV kwartale 2016 roku zasięg ataków DDoS rozszerzył się do 80 krajów, przy czym udział Chin wynosił 76,97% (o 4,4 punktu procentowego więcej niż w poprzednim kwartale). Stany Zjednoczone (7,3%) i Korea Południowa (7%) po raz kolejny znalazły się odpowiednio na drugim i trzecim miejscu.

10 najczęściej atakowanych państw (Top10) stanowiło cel 96,9% wszystkich ataków. W rankingu pojawiła się Kanada (0,8%), która zajęła miejsce Włoch. Rosja (1,75%) wspięła się z piątego miejsca na czwarte dzięki spadkowi udziału Wietnamu o 0,6 punktu procentowego. 

ddos_q4_2016_en_1_auto.jpg

Rozkład ataków DDoS według państwa, III kwartał 2016 w porównaniu z IV kwartałem 2016 r.

Statystyki dotyczące czwartego kwartału pokazują, że 10 najczęściej atakowanych państw stanowiło cel 96,3% wszystkich ataków DDoS.   

ddos_q4_2016_en_2_auto.jpg

Rozkład geograficzny ataków DDoS według państwa, III kwartał 2016 r. w porównaniu z IV kwartałem 2016 r.

Celem 71,6% ataków były zasoby zlokalizowane w Chinach – o 9 punktów procentowych więcej niż w poprzednim kwartale. Nieznacznie zwiększyła się liczba celów w Korei Południowej (+0,7 punktu procentowego). Pierwsza trójkę zamknęły Stany Zjednoczone, chociaż ich udział zmniejszył się o 9,7 punktu procentowego (9% w porównaniu z 18,7% w III kwartale).    

Udział pozostałych państw z pierwszej dziesiątki (Top10) pozostał niemal niezmieniony, z wyjątkiem Japonii, która odnotowała spadek o 1 punkt procentowy. Z kolei Włochy i Holandia wypadły z zestawienia, a ich miejsce zajęły Niemcy (0,56%) i Kanada (0,77%). 

Zmiany w liczbie ataków DDoS

Aktywność DDoS była stosunkowo równomierna w IV kwartale 2016 r. z wyjątkiem gwałtownego wzrostu, który miał miejsce 5 listopada, gdy odnotowano największą liczbę ataków w 2016 roku – 1 915. Najspokojniejszym dniem w IV kwartale był 23 listopada (90 ataków). Jednak 25 listopada aktywność cyberprzestępców wzrosła do 981 ataków.

ddos_q4_2016_en_3_auto.jpg

Liczba ataków DDoS na przestrzeni czasu* w IV kwartale 2016 roku

*Ataki DDoS mogą trwać kilka dni. W tym przedziale czasowym ten sam atak może zostać policzony kilkakrotnie, tj. jeden raz dla każdego dnia jego trwania.

W IV kwartale najaktywniejszym dniem tygodnia jeśli chodzi o ataki DDoS była sobota (18,2%  ataków), następnie piątek (o 1,7 punktu procentowego mniej). Najspokojniejszym dniem tygodnia okazał się poniedziałek (11,6%).

ddos_q4_2016_en_4_auto.jpg

Rozkład liczby ataków DDoS według dnia tygodnia, III i IV kwartał 2016 r.

Rodzaje i czas trwania ataków DDoS

Najpopularniejszą metodą pozostał SYN DDoS: jej udział wynosił 75,3% ataków (o 5,7 punktu procentowego mniej niż w poprzednim kwartale). Nieznacznie wzrósł udział innych rodzajów ataków - TCP DDoS (z 8,2% do 10,7%) oraz ICMP DDoS (z 1,7% do 2,2%). Udział UDP pozostał niemal niezmieniony.  

ddos_q4_2016_en_5_auto.jpg

Rozkład ataków DDoS według rodzaju, III i IV kwartał 2016 r.

Rozkład ataków DDoS według czasu trwania (w godzinach) w IV kwartale 2016 roku kształtował się zdecydowanie nierównomiernie. O ile udział ataków, które trwały nie dłużej niż cztery godziny, utrzymał się na niemal tym samym poziomie co w poprzednim kwartale (zmniejszył się o zaledwie 1,56 punktu procentowego), ilości ataków o innym czasie trwania odnotowały znaczące zmiany.     

Udział ataków, które trwały 5-9 godzin, zwiększył się z 14,49% do 19,28%. Odsetek ataków trwających 10-19 godzin spadł o 1,3 punktu procentowego, natomiast odsetek ataków trwających 20-49 godzin zmniejszył się jeszcze bardziej – o 3,35 punktu procentowego. Znacznie wzrósł natomiast odsetek jeszcze dłuższych ataków – udział ataków, które trwały 50–99 godzin, stanowił 0,94%, podczas gdy w poprzednim kwartale 3,46%. Wzrósł udział ataków, które trwały 100-150 godzin, wynosząc 2,2%. To oznacza, że w IV kwartale ilość takich ataków była dwukrotnie większa niż ataków trwających 50-99 godzin. Jednocześnie w badanym kwartale odnotowano bardzo niewiele przypadków ataków trwających dłużej niż 150 godzin.            

Najdłuższy atak DDoS w czwartym kwartale trwał 292 godziny – 8 godzin dłużej niż rekord IV kwartału. Był to również najdłuższy atak w 2016 roku.  

ddos_q4_2016_en_6_auto.jpg

Rozkład ataków DDoS według długości trwania (w godzinach), III i IV kwartał 2016 r.

Typy serwerów kontroli i botnetów

W IV kwartale najwięcej serwerów kontroli (C&C) (59,06%) wykryto w Korei Południowej. Chociaż udział tego państwa zwiększył się o 13,3 punktu procentowego w stosunku do poprzedniego kwartału, był znacznie niższy niż w II kwartale 2016 r. (69,6%). Jeśli chodzi o trójkę państw hostujących najwięcej serwerów kontroli, jej skład nie zmienił się – Korea Południowa, Chiny (8,72%) oraz Stany Zjednoczone (8,39%). Ich łączny udział wynosił 76,1%, co stanowi wzrost o 8,4 punktu procentowego w stosunku do III kwartału.

W czwartym kwartale trzy państwa zachodnioeuropejskie – Holandia (7,4%), Wielka Brytania (1,3%) i Francja (1,7%), utrzymały się w pierwszej dziesiątce, po tym jak wróciły do niej w III kwartale. Wśród nowości znalazła się Bułgaria (6%) i Japonia (1,3%) .   

ddos_q4_2016_en_7_auto.jpg

Rozkład serwerów kontroli opartych na botnecie według państwa w IV kwartale 2016 r.

Jeśli chodzi o rozkład systemów operacyjnych w IV kwartale, wyraźnym liderem pozostały boty DDoS oparte na Linuksie, chociaż ich udział zmniejszył się o 2,2 punktu procentowego, wynosząc 76,7%. Koreluje to ze spadkiem popularności ataków SYN DDoS, dla których boty linuksowe stanowią najodpowiedniejsze narzędzie.   

Rosnąca popularność urządzeń Internetu Rzeczy wykorzystywanych do ataków DDoS sugeruje, że w 2017 roku szala jeszcze bardziej przechyli się w kierunku Linuksa, ponieważ większość urządzeń połączonych z Internetem opiera się właśnie na tym systemie operacyjnym.

ddos_q4_2016_en_8_auto.jpg

Korelacja między atakami przeprowadzanymi z botnetów opartych na systemie Windows i Linux, III i IV kwartał 2016 rok.

Większość ataków – 99,7% - została przeprowadzona przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzili ataki przy użyciu botów z dwóch różnych rodzin w zaledwie 0,3% przypadków.

Wnioski i prognozy

W 2017 roku spodziewamy się dalszego spadku udziału ataków polegających na sztucznym potęgowaniu ruchu, zwłaszcza najpopularniejszych rodzajów (DNS, NTP).  Jednak ze względu na prostotę i niskie koszty przeprowadzenia takich ataków technika ta może być wykorzystywana w niektórych mniej popularnych protokołach odpowiednich dla tego rodzaju ataków (RIP, SSDP, LDAP itd.), chociaż istnieje niewielkie prawdopodobieństwo skuteczności przeprowadzonych w ten sposób ataków.

Nadal będzie wzrastać liczba i złożoność ataków na aplikacje. Zważywszy na ponowny wzrost zainteresowania tego rodzaju atakami wśród cyberprzestępców oraz stagnację w tym segmencie na przestrzeni ostatnich kilku lat, można założyć, że starsze botnety będą wykorzystywane w coraz mniejszym stopniu i pojawi się coś nowego, np. botney zdolne do przeprowadzania bardziej wyrafinowanych ataków. Utrzyma się tendencja szyfrowania w atakach na aplikacje.        

Popularne pozostaną ataki na WordPress Pingback. Chociaż w nowszych wersjach WordPress CMS luka w zabezpieczeniach wykorzystywana do przeprowadzania tego rodzaju ataków (mianowicie domyślna funkcja Pingback w starszych wersjach CMS) została już dawno załatana, w internecie nadal można znaleźć wiele podatnych na ataki hostów. Naturalnie, ich liczba zmniejszy się z czasem, co spowoduje spadek liczby i mocy ataków WordPress Pingback. Jednak stosunkowa łatwość i niewielki koszt przeprowadzania takich ataków, jak również możliwość zastosowania szyfrowania, sprawiają, że ataki typu WordPress Pingback są atrakcyjne dla niewybrednych cyberprzestępców.     

Nadal będzie rosła liczba botnetów opartych na urządzeniach Internetu Rzeczy. Wynika to w głównej mierze zarówno z nowości koncepcji Internetu Rzeczy jak i wykorzystywania urządzeń Internetu Rzeczy przez cyberprzestępców. Można przyjąć, że w IV kwartale 2016 roku ten nowy segment rynku dopiero się wykształcał, a jego rozwój będzie miał miejsce w 2017 roku. Trudno oszacować potencjalny wzrost: do tej pory producenci urządzeń Internetu Rzeczy nieszczególnie dbali o zabezpieczanie swoich produktów. Nawet jeśli przyjąć, że wszystkie nowe urządzenia Internetu Rzeczy, które wchodzą na rynek, są doskonale zabezpieczone przed szkodliwymi atakami (co samo w sobie jest wysoce wątpliwe), obecna liczba podatnych na ataki urządzeń Internetu Rzeczy z dostępem do internetu jest znaczna. Zaledwie kilka miesięcy po pojawieniu się tej koncepcji osoby atakujące pokazały, że są zdolne do wykorzystania botnetów niespotykanych dotąd rozmiarów i przeprowadziły ataki o mocy, którą wcześniej dopuszczano tylko teoretycznie. Co więcej, urządzenia te mają potencjał przeprowadzenia ataków dowolnej złożoności – obecnym trendem są ataki na aplikacje, w tym z wykorzystaniem szyfrowania. Biorąc pod uwagę wysoką skuteczność i ogromny potencjał ataków opartych na Internecie Rzeczy, możemy przewidywać wzrost liczby oraz natężenia i złożoności takich ataków jak w 2017 roku.