Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport Kaspersky DDoS Intelligence dotyczący I kwartału 2016 roku

Tagi:

Wydarzenia w pierwszym kwartale

Wybraliśmy wydarzenia z pierwszego kwartału 2016 roku, które – w naszej opinii – ilustrują główne trendy w dziedzinie ataków DDoS oraz wykorzystywane do ich przeprowadzania narzędzia.  

Rekordowy atak DDoS przy użyciu techniki odbicia

Ataki DDoS wykorzystujące techniki wzmocnienia/odbicia wciąż cieszą się popularnością i pozwalają cyberprzestępcom pobić swój rekord mocy. Z technicznego punktu widzenia, metody wzmocnienia nie są żadną nowością w atakach DDoS, ale cyberprzestępcy odkrywają nowe sposoby i zasoby w celu zwiększenia mocy swoich botnetów. Na przykład, z niedawno opublikowanego raportu wynika, że w 2015 roku miał miejsce największy atak DDoS w historii, o mocy 450-500 Gbps. 

Atak DDoS na Trumpa

Być może zeszłoroczny rekord nie był aktualny długo – na początku roku oficjalna strona internetowa kampanii wyborczej Donalda Trumpa stała się celem ataków DDoS, których siła, według niepotwierdzonych źródeł, wynosiła 602 Gbps. Do obu incydentów przyznało się ugrupowanie haktywistów New World Hacking.  

Wykorzystanie protokołu DNSSEC

Przestępcy w coraz większym stopniu wykorzystują protokół DNSSEC w celu przeprowadzania ataków DDoS. Celem tego protokołu jest zminimalizowanie ataków spoofingu DNS, jednak oprócz danych dotyczących domeny standardowa odpowiedź DNSSEC zawiera również dodatkowe informacje uwierzytelniające. A zatem, w przeciwieństwie do standardowej odpowiedzi DNS o rozmiarze 512 bajtów, odpowiedź DNSSEC może mieć rozmiar około 4096 bajtów. Właściwość tę wykorzystują osoby atakujące, przeprowadzając ataki DDoS techniką wzmocnienia. Zwykle wykorzystują domeny w strefie rządowej .gov, ponieważ w Stanach Zjednoczonych takie domeny są wymagane prawem w przypadku utrzymywania DNSSEC.  

Ataki pingback na WordPress

Zasoby WWW obsługiwane przez system zarządzania treścią (CMS) WordPress nadal cieszą się popularnością wśród cyberprzestępców przeprowadzających ataki DDoS. Popularne zasoby oparte na systemie CMS często stają się celem ataków DDoS wykorzystujących funkcję pingback systemu WordPress. Funkcja ta powiadamia autora postu opublikowanego na stronie WordPress, kiedy jakaś inna osoba umieszcza odsyłacz to takiego postu na innej stronie obsługiwanej przez ten sam system CMS. Jeśli administrator strony obsługiwanej przez WordPress włączył tę funkcję, wszystkie odsyłacze prowadzące do materiałów opublikowanych na stronie mogą wykonać tzw. pingback, tj. wysłać specjalne żądanie XML-RPC do oryginalnej strony. Ogromna liczba żądań pingback wysłanych do oryginalnej strony może spowodować atak typu „odmowa usługi”. Funkcja ta nadal przyciąga uwagę cyberprzestępców i pomaga im przeprowadzać ataki DDoS na poziomie aplikacji.     

Włamanie do systemu Linux Mint

21 lutego 2016 roku szef projektu Linux Mint, Clement Lefebvre, poinformował, że ktoś zdołał włamać się do infrastruktury projektu, łącznie z oficjalną stroną internetową i forum, podmieniając odsyłacz do właściwego obrazu ISO Linux Mint 17.3 edycja Cinnamon na własny URL. Zmodyfikowany przez hakera ISO zawierał szkodliwy kod, który wykorzystywał zainfekowane maszyny do przeprowadzania ataków DDoS.   

Ataki na firmy bezpieczeństwa

Celem ataków cyberprzestępców są również firmy działające w branży bezpieczeństwa – większość największych graczy, zwłaszcza tych oferujących usługi ochrony przed atakami DDoS, musi regularnie odpierać ataki DDoS na swoje zasoby. Tego rodzaju ataki nie są w stanie wyrządzić znacznych szkód, ponieważ wszystkie te zasoby są dobrze chronione, to jednak nie powstrzymuje cyberprzestępców.   

Ogólnie, nie wszyscy cyberprzestępcy atakują stronę firmy z branży bezpieczeństwa IT, aby zablokować jej działanie. Ataki zwykle nie trwają długo i w większości przypadków kończą się, jak tylko ich źródło zauważy, że systemy ochrony działają. Cyberprzestępcy nie chcą trwonić swoich zasobów botnetowych, jeśli mogą zarobić pieniądze gdzie indziej. Mimo to ataki wciąż są przeprowadzane.  

Analiza korespondencji na forach cyberprzestępczych sugeruje, że bractwo przestępcze wykorzystuje strony internetowe firm zajmujących się bezpieczeństwem IT do testowania nowych metod i narzędzi. Podejście to nie jest gorsze od innych, ale daje nam nieco cennych informacji. Przyjmując, że globalne statystyki dot. ataków DDoS ukazują aktualną sytuację, ataki na firmy zajmujące się bezpieczeństwem IT pozwalają w pewnym stopniu przewidzieć przyszłość tego rodzaju ataków.

Dane dotyczące taktyk, siły i rodzajów ataków na strony Kaspersky Lab pozwalają nam również przewidywać trendy w branży DDoS w nadchodzących miesiącach. 

Po raz kolejny musieliśmy zmierzyć się z atakami techniką wzmocnienia. Ich liczba zmniejszyła się nieznacznie w porównaniu z zeszłym rokiem, ale ich maksymalna siła wzrosła czterokrotnie. To potwierdza trend ogólnego wzrostu siły takich ataków – przestępcy muszą zwiększyć siłę ataków, aby zrekompensować mechanizmy ochrony stosowane przez dostawców usług internetowych oraz firmy z branży bezpieczeństwa informacji. W naszym przypadku, żaden z takich ataków nie spowodował, że nasze strony stały się niedostępne.  

Biorąc pod uwagę liczbę ataków na zasoby firmy Kaspersky Lab w pierwszym kwartale 2016 roku, „śmietanka” społeczności cyberprzestępczej wróciła do starych dobrych metod ataków na poziomie aplikacji. W samym tylko pierwszym kwartale tego roku odparliśmy kilkakrotnie więcej ataków HTTP(s) niż w całym 2015 roku. Co ciekawe, miało miejsce kilka ataków na poziomie aplikacji, które zostały przeprowadzone jednocześnie przeciwko kilku zasobom firmy Kaspersky Lab. Moc zasobów DDoS została rozłożona na kilka celów, co zmniejszyło efekt każdego ataku. Wynika to najprawdopodobniej z tego, że celem nie było zakłócenie funkcjonowania stron Kaspersky Lab, ale przetestowanie narzędzi i sprawdzenie, jaka będzie nasza reakcja. Najdłuższy tego typu atak trwał niecałe sześć godzin.    

Można założyć, że odsetek ataków warstwy linku danych (Data Link layer) będzie stopniowo zmniejszał się, natomiast na pierwszy plan wysuną się ataki w warstwie aplikacji i ataki wielowarstwowe (połączenie ataków w warstwie sprzętu i aplikacji).

Potężne ataki techniką wzmocnienia UDP stały się powszechnie stosowane kilka lat temu i nadal stanowią ulubione narzędzie cyberprzestępców. Przyczyny ich popularności są oczywiste: są stosunkowo łatwe do przeprowadzenia, mogą mieć bardzo dużą siłę przy zastosowaniu stosunkowo niewielkiego botnetu, często uczestniczy w nich osoba trzecia, a wykrycie źródła ataku jest niezwykle trudne.  

Chociaż w pierwszym kwartale 2016 r. nasza usługa Kaspersky DDoS Prevention nadal odpierała ataki techniką wzmocnienia UDP, uważamy, że będą one stopniowo zanikały. Zadanie polegające na połączeniu wysiłków przez dostawców usług internetowych i firm z branży bezpieczeństwa IT w celu skutecznego filtrowania niepotrzebnego ruchu generowanego przez ataki UDP stanowiło kiedyś wyzwanie, ale zostało już prawie zrealizowane. Stanąwszy wobec ryzyka „zapchania” głównych kanałów na skutek ogromnych ilości pakietów UDP, dostawcy usług internetowych zdobyli niezbędny sprzęt i umiejętności i „ucięli” ten ruch u źródła. To oznacza, że ataki wzmocnienia na Data Link Layer stają się mniej skuteczne, a w efekcie mniej dochodowe.    

Aby przeprowadzić ataki w warstwie aplikacji na serwisy WWW, niezbędne są ogromne botnety lub niezwykle wydajne serwery jak również szeroki kanał wyjściowy oraz dokładne przygotowanie obejmujące zbadanie celu i znalezienie jego słabych punktów. Bez tego ataki te nie są skuteczne. Jeśli atak w warstwie aplikacji zostanie właściwie przeprowadzony, trudno będzie go odeprzeć bez zablokowania dostępu do legalnych użytkowników – szkodliwe żądania wyglądają na autentyczne, a każdy bot dokładnie wykonuje procedurę połączenia. Jedyną anomalię stanowi duża popularność takiej usługi. Tego rodzaju próby odnotowaliśmy w pierwszym kwartale. To sugeruje, że rynek ataków DDoS rozwinął się i złożone, kosztowne ataki stają się ekonomiczne, a lepiej wykwalifikowani cyberprzestępcy wykorzystują je w celu zarobienia pieniędzy.

Co więcej, istnieje realne niebezpieczeństwo, że metody te będą wykorzystywane przez cyberprzestępców na skalę masową – im popularniejsza technika, tym więcej narzędzi jest oferowanych dla niej na czarnym rynku. Jeśli ataki w warstwie aplikacji rzeczywiście rozpowszechnią się, zwiększy się prawdopodobnie liczba klientów tego rodzajów ataków DDoS oraz kompetentniejszych cyberprzestępców.  

Statystyki dot. ataków DDoS z wykorzystaniem botnetów

Metodologia

Kaspersky Lab posiada szerokie doświadczenie w zwalczaniu cyberzagrożeń, w tym różnego rodzaju ataków DDoS o różnym stopniu złożoności. Eksperci firmy monitorują aktywność botnetów z pomocą systemu DDoS Intelligence.  

System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) ma za zadanie przechwytywanie i analizowanie poleceń wysyłanych do botów z serwerów kontroli (C&C) i aby gromadzić dane, nie musi czekać, aż urządzenia użytkowników zostaną zainfekowane lub polecenia cyberprzestępców wykonane.

Raport ten zawiera statystyki DDoS Intelligence dotyczące pierwszego kwartału 2016 roku.

W kontekście tego raportu, pojedynczy atak DDoS stanowi incydent podczas którego każda przerwa w aktywności botnetu trwa mniej niż 24 godziny. Gdyby ten sam zasób WWW został zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, byłby to już inny atak DDoS. Ataki na ten sam zasób WWW z dwóch różnych botnetów również traktowane są jako osobne ataki.

Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli (C&C) jest określany na podstawie ich adresów IP. W tym raporcie liczba celów ataków DDoS jest ustalana na podstawie liczby unikatowych adresów IP odnotowanych w statystykach kwartalnych. 

Należy zauważyć, że statystyki DDoS Intelligence ograniczają się do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Warto również podkreślić, że botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego przedstawione w tym raporcie dane nie uwzględniają każdego ataku DDoS, który miał miejsce we wskazanym okresie.   

Podsumowanie I kwartału

  • W I kwartale zasoby w 74 krajach zostały zaatakowane przez ataki DDoS (dla porównania, w IV kwartale 2015 roku liczba państw wynosiła 69).
  • 93,6% zaatakowanych zasobów było zlokalizowanych w 10 krajach.
  • Chiny, Stany Zjednoczone oraz Korea Południowa pozostały liderami pod względem liczby ataków DDoS oraz liczby celów. Nowość w rankingu Top 10 stanowiła Francja oraz Niemcy.
  • Najdłuższy atak DDoS w I kwartale 2016 r. trwał 197 godzin (czyli 8,2 dnia) – znacznie krócej niż wynosiła maksymalna długość ataku w poprzednim kwartale (13,9 dnia). Częściej odnotowywano przypadki różnych ataków przeprowadzanych na ten sam cel (do 33 ataków na jeden zasób w badanym okresie). 
  • SYN DDoS, TCP DDoS oraz HTTP DDoS nadal stanowią najpowszechniejsze scenariusze ataków DDoS, podczas gdy liczba ataków UDP wciąż spada z kwartału na kwartał.
  • Ogólnie, serwery kontroli były zlokalizowane w tych samych państwach co w poprzednim kwartale, wzrósł jednak udział Europy – liczba serwerów kontroli w Wielkiej Brytanii I Francji zwiększyła się znacząco.

Rozkład geograficzny ataków

W I kwartale 2016 r. rozkład geograficzny ataków DDoS zawęził się do 74 państw.

93,6% atakowanych zasobów było zlokalizowanych w 10 krajach.

ddos_2016_q1_en_1_auto.png

Rozkład ataków DDoS według państwa, I kwartał 2016 a IV kwartał 2015 r.

Trójka najczęściej atakowanych państw pozostała niezmieniona. Jednak udział Korei Południowej zwiększył się z 18,4% do 20,4%, podczas gdy wkład Stanów Zjednoczonych zmniejszył się o 2,2 punktu procentowego. Godny uwagi jest również fakt, że w I kwartale 2016 roku zwiększyła się liczba ataków na zasoby na Ukrainie – z 0,3% do 2,0%.     

Ze statystyk wynika, że cele 94,7% wszystkich ataków znajdowały się w obrębie 10 najczęściej atakowanych państw:

ddos_2016_q1_en_2_auto.png

Rozkład unikatowych celów ataków DDoS według państwa, I kwartał 2016 r. a IV kwartał 2015 r.

Liczba celów w Korei Południowej zwiększyła się o 3,4 punktu procentowego. Udział Chin zmniejszył się z 50,3% w IV kwartale 2015 do 49,7% w okresie pierwszych trzech miesięcy 2016 roku. Zmniejszył się również odsetek ataków DDoS na zasoby w Stanach Zjednoczonych (9,6% w I kwartale 2016 w stosunku do. 12,8% w IV kwartału 2016 roku). Mimo zmian liczbowych Korea Południowa, Chiny i Stany Zjednoczone utrzymały swoje pozycje w pierwszej trójce, znacząco wyprzedzając pozostałe państwa.    

W pierwszym kwartale 2016 roku Ukraina znalazła się w pierwszej piątce celów ataków DDoS: jej udział wzrósł z 0,5% pod koniec zeszłego roku do 1,9% w I kwartale 2016 roku.    

Udział Tajwanu i Holandii zmniejszył się odpowiednio z 0,8 i 0,7 punktów procentowych, przez co oba te kraje wypadły z rankingu Top 10 najczęściej atakowanych państw.

Zmiany dotyczące liczby ataków DDoS

W I kwartale 2016 roku aktywność DDoS rozkładała się bardziej lub mniej równomiernie z wyjątkiem jednej wartości szczytowej, jaka miała miejsce 6 lutego. Szczytowa liczba ataków w ciągu jednego dnia wynosiła 1 272 i została odnotowana 31 marca. 

ddos_2016_q1_en_3_auto.png

Liczba ataków DDoS na przestrzeni czasu* w I kwartale 2016 r.

*Ataki DDoS mogą trwać kilka dni. Na przestrzeni tego czasu ten sam atak może zostać policzony kilka razy, tj. jeden raz dla każdego dnia swojego trwania.       

Podobnie jak w poprzednim kwartale, poniedziałek (16,5% ataków) stanowił najaktywniejszy dzień tygodnia jeśli chodzi o ataki DDoS. Na drugie miejsce przesunął się czwartek (16,2%). Wtorek, który w IV kwartale 2015 r. znalazł się na drugim miejscu (spadek z 16,4% do 13,4%), stanowił najspokojniejszy dzień tygodnia pod względem ataków DDoS.

ddos_2016_q1_en_4_auto.png

Rozkład liczby ataków DDoS według dnia tygodnia

Rodzaje i długość trwania ataków DDoS

Ranking najpopularniejszych metod ataków nie zmienił się z kwartału na kwartał. Najczęściej wykorzystywana była metoda SYN DDoS, mimo że jej udział zmniejszył się w porównaniu z poprzednim kwartałem (57,0% w stosunku do 54,9%), oraz TCP DDoS, której udział zmniejszył się o 0,7 punktu procentowego. Odsetek ataków przy użyciu metody ICMP DDoS zwiększył się znacząco, do 9%; nie wpłynęło to jednak na układ pierwszej piątki.      

ddos_2016_q1_en_5_auto.png

Rozkład ataków DDoS według rodzaju

Liczba ataków przy użyciu metody UDP DDoS stale zmniejszała się w ciągu ostatniego roku: z 11,1% w II kwartale 2015 roku do 1,5% w I kwartale 2016 r.

Podobnie jak w poprzednim kwartale, około 70% ataków trwało nie dłużej niż 4 godziny. Jednocześnie, znacznie skrócił się maksymalny czas trwania ataków. Najdłuższy atak DDoS w ostatnim kwartale 2015 r. trwał 333 godziny; w I kwartale 2016 r. najdłuższy zarejestrowany atak zakończył się po 197 godzinach.  

ddos_2016_q1_en_6_auto.png

Rozkład ataków DDoS według czasu trwania (godziny)

Serwery kontroli i rodzaje botnetów

W I kwartale Korea Południowa utrzymała się na pozycji lidera pod względem liczby serwerów kontroli zlokalizowanych na jej terytorium, a ich udział wzrósł z 59% w poprzednim kwartale do 67,7% w pierwszym kwartale 2016 r.

Na drugim miejscu znalazły się Chiny: ich udział zwiększył się z 8,3% do 9,5%. W efekcie, Chiny zepchnęły Stany Zjednoczone na trzecią pozycję (6,8% w stosunku do 11,5% w IV kwartale 2015 r.). Po raz pierwszy w analizowanym okresie Francja znalazła się w rankingu Top 10 państw hostujących najwięcej serwerów kontroli. Koreluje to ze zwiększoną liczbą ataków w tym państwie.

ddos_2016_q1_en_7_auto.png

Rozkład serwerów kontroli botnetów według państwa w I kwartale 2016 r.

99,73% celów ataków DDoS w I kwartale 2016 roku zostało zaatakowanych przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzali ataki przy użyciu botów z dwóch różnych rodzin (wykorzystywanych przez jednego lub więcej operatorów botnetów) w zaledwie 0,25% przypadków. W 0,01% przypadków, wykorzystano trzy lub więcej botów, głównie z rodzin Sotdas, Xor oraz BillGates.

ddos_2016_q1_en_8_auto.png

Korelacja pomiędzy atakami przeprowadzonymi z botnetów opartych na systemie Windows i Linux

Jeśli chodzi o liczbę ataków przeprowadzonych w I kwartale 2016 r. z botnetów opartych na systemie Windows i Linux, botnety oparte na Windowsie stanowiły wyraźnego lidera. Trzeci kwartał z rzędu różnica pomiędzy udziałem ataków opartych na Windowsie i tych opartych na Linuksie wynosiła około 10 punktów procentowych.

Zakończenie

Wydarzenia, jakie miały miejsce w pierwszym kwartale 2016 r., po raz kolejny pokazały, że osoby atakujące nie spoczywają na laurach i zwiększają swoje zasoby komputerowe w celu przeprowadzania ataków DDoS. Scenariusze wzmocnienia, które stały się standardowym narzędziem do przeprowadzania potężnych ataków, wykorzystują luki w zabezpieczeniach nowych protokołów sieciowych. Powody przeprowadzania ataków mogą być różne: od chęci zakłócenia kampanii przedwyborczych i zaatakowania zasobów kandydatów po rozgrywki konkurentów na czarnym rynku. Często miały miejsce ataki DDoS wymierzone w organizacje, które specjalizują się w ich zwalczaniu. Ze względu na wzrost liczby podatnych na ataki urządzeń i stacji roboczych oraz liczne błędy w konfiguracji na poziomie aplikacji zmniejsza się koszt dużego ataku. Dlatego też niezbędna jest niezawodna ochrona, która sprawi, że tego rodzaju ataki nie będą opłacalne dla przestępców.