machinelearningmastery.ru

Машинное обучение, нейронные сети, искусственный интеллект
Header decor

Home

Вот идет голландская кибер-полиция ... И это плохой день для ботнетов

Дата публикации Oct 3, 2019

По некоторым причинам, Нидерланды, похоже, являются одной из лучших стран в мире по DDoS-атакам:

Но теперь это может нанести удар, так как голландская полиция закрыла компанию, которая контролировала бот-сети IoT и использовала их для создания устойчивых DDoS-атак. Это связано с компанией под названием KV Solutions BV, которая определяет себя как хостинг-провайдера. Правоохранительные органы, тем не менее, утверждают, что они были узлами, где размещаются вредоносные программы, крипто-майнинг и контроль ботнетов. Тем не менее, на KV Solution BV размещено более 20 различных ботнетов DDoS, и некоторые из них были обнаружены Bad Packets LLC:

Как правило, ботнеты создаются из зараженных вредоносным ПО устройств IoT, таких как камеры видеонаблюдения, а также на маршрутизаторах Wi-Fi (в том числе на незащищенных маршрутизаторах Netgear и Huawei). Самой популярной инфекцией была вредоносная программа Mirai и ее разновидности (включая Fbot и Hakai).

Голландская полиция провела обыск в офисе компании 1 октября 2019 года, и вскоре в Facebook появилось сообщение о том, что компании могут стереть свои данные на своих серверах:

Два человека - владельцы компании: Марко Б. и Анджело К. - были арестованы, а все связанные с ними доменные имена были сняты. Публичный IP-адрес компании 185.244.25.0/24 также был заблокирован.

DDoS

Лишь немногие компании знают Интернет лучше, чем Akamai, и их публикации о состоянии Интернета дают сердечный анализ текущего состояния Интернета и связанных с ним рисков. Вот разговор:

Нам посчастливилось опубликовать в интернет-публикации Akamai State о нашей атаке TFTP Reflection Attack [Вот], а отчеты Акамаи - обязательный документ [Вот]. Для DDoS - отчет за 4 квартал 2016 года и 2017 год:

  • 14% увеличение общего количества DDoS-атак.
  • Увеличение атак на уровне инфраструктуры (уровни 3 и 4) на 14%.
  • Увеличение количества атак, основанных на отражении, на 4%.
  • Увеличение DDoS-атак на уровне приложений на 22%.
  • Увеличение атак на уровне приложений на 115%.

Страны, поставляющие наибольшее количество DDoS-атак, переместились из США и Великобритании в Германию и Китай (и которые в настоящее время осуществляют более половины атак):

Довольно централизованный интернет

Интернет должен был быть создан как полностью распределенная система, где данные могли бы идти по нескольким маршрутам, чтобы добраться до сервиса. К сожалению, Интернет, который мы создали, довольно централизован, и там, где службы обычно имеют единственные конечные точки и имеют узкие места для трафика. Далее Eve создает распределенную атаку на серверную инфраструктуру веб-сервера и может снизить качество обслуживания Боба при создании соединения:

Это означает, что DDoS-атака может часто приводить либо к разрушению серверной инфраструктуры, либо к исчерпанию полосы пропускания для потоков трафика. Для Боба веб-сайт либо обрушится на него, либо качество обслуживания будет настолько плохим, что он уйдет и уйдет в другое место.

И поэтому, зная, что компании потеряют бизнес из-за сбоев веб-сайтов и низкого качества обслуживания, мы сталкиваемся с растущей угрозой от DDoS-на-найма, когда преступники могут нанять инструмент на определенное время и определить его цель. Обычно способ, которым компании справляются с этим, состоит в том, чтобы распределить нагрузку на главном шлюзе в своей инфраструктуре, а затем создать новые экземпляры серверов. Но это может быть дорогостоящим для реализации и может поддерживаться только в течение относительно короткого периода времени. Восходящий трубопровод к инфраструктуре также может быть исчерпан, что приведет к снижению качества обслуживания.

Не все атаки прямые

И атака не должна быть сосредоточена на серверной инфраструктуре. В 2016 году Facebook был уничтожен атакой ботнетов на их службу Dynamic DNS - и под управлением Dyn.

При этом зараженный вредоносным ПО ботнет, например, с скомпрометированных камер видеонаблюдения, запрашивал адрес поиска у серверов Dyn, и это мешало другим пользователям получать поиск IP-адресов для Facebook, Github, Twitter, SaneBox, Reddit, AirBnB, и Героку. В основном это работало, потому что камеры, произведенные XiongMai Technologies (XT), имели корневой пароль по умолчанию «xc3511». Marai malare был использован для захвата армии из более чем 500 000 камер. Эта сеть - ботнет - затем получила указание создать ложные поиски доменных имен в службе Dyn:

Этот тип атаки известен как атака отражения. Одна атака наKrebsOnSecurityсайт привел к пиковой нагрузке 620 Гбит / с. Таким образом, возможность для киберпреступников заключается в том, чтобы взять под свой контроль инфраструктуру командования и управления (C & C) и дать команду ботнету создать устойчивую атаку на заданный сайт. Отслеживание первоначального источника атаки практически невозможно определить, так как атакующая сеть - это просто сеть, состоящая из устройств.

В своем отчете о состоянии ИнтернетаAkamaiсообщили, что с лета 2017 года и до лета 2018 года произошло увеличение на 16%, а также было предотвращено 7822 атак DDoS. Рекордная атака в настоящее время составляет 1.35Tbps. Большая часть деятельности по-прежнему связана с ботами, и где взломанные системы могут использоваться для выполнения атак. Это можно сравнить с пропускной способностью 3,2 Тбит / с кабеля TAT-14, который соединяет США и Европу.

Стрессоры и отключение питания

Во многих случаях это биткойн-платеж, который в дальнейшем будет отслеживать треки противника. Модель атаки активируется путем распределения агентов атаки по всему миру, и там, где трудно ограничить обратный трафик, просто перекрывая маршруты в целевую систему. С одной стороны, компания может использовать «стресер», чтобы проверить, может ли их инфраструктура справиться с большим количеством обращений, но с другой стороны, стрессер можно использовать в качестве инструмента атаки. Таким образом, компании, выполняющие свои действия в области DDoS, будут рекламировать свои сервисы как сервисы Stresser, но в действительности они являются инструментами DDoS-атак.

И вот, в апреле 2018 года,Голландское национальное высокотехнологичное преступное подразделениеиНациональное агентство по борьбе с преступностью в Великобританиирешил нацелиться на Webstresser.org - Операция Power Off. Считается, что было зарегистрировано более 136 000 пользователей платформы, и она была вовлечена в более чем четыре миллиона атак. Сайт существовал открыто и рекламировал свои сервисы как самый надежный IP Stresser / Booter:

Перед тем, как начать работу, сайт Webstressor.org объявил о нагрузочном тестировании на скорости 350 Гбит / с, а его модели подписки варьировались от бронзового до платинового. Всего за $ 18,99 за модель пользователь может получить 1200 секунд времени загрузки (20 минут), а лучший пакет получит 7200 секунд времени загрузки (2 часа). Это время может быть использовано в течение одного месяца, а затем будет продлено для следующего метода. За $ 102 пользователь может даже получить членство на 999 лет (определяемое как «пожизненное» членство):

Сайт был ответственен за несколько атак против голландских банков, и фактическая инфраструктура для компании была основана в Нидерландах, Италии, Испании, Хорватии, Великобритании, Австралии, Канаде и Гонконге. Администраторы, тем не менее, базировались в Великобритании, Хорватии, Канаде и Сербии.

Так, 25 апреля доменное имя было изъято Министерством обороны США, Службой уголовного розыска, Полевым офисом Cyber, в рамках скоординированных усилий с участием правоохранительных органов из Нидерландов, Великобритании, Сербии, Хорватии, Испании, Италии, Германия, Австралия, Гонконг, Канада и США в сотрудничестве с Европолом:

Лаборатория КасперскогоНедавно было подсчитано, что облачная инфраструктура из 1000 машин обойдется киберпреступнику примерно в 7 долларов в час, и где они могут взимать 25 долларов в час за атаку. Это приводит к прибыли около 18 долларов в час. Таким образом, облачная инфраструктура может быть создана в облаке за считанные минуты, а затем использована для создания атаки, а затем свернута после завершения. Когда следователи пытаются найти источники, машины, которые вызвали нападение, часто исчезают. Ботнет скомпрометированных IoT-атакующих устройств также почти не оставляет следов к источнику.

Они успешны?

Хотя провайдеры атак будут зарабатывать деньги на сценариях и организации атак, киберпреступники часто будут использовать их для вымогательства. Жертвы атаки, особенно в областях, где требуется высокий уровень доступности, таких как азартные игры в Интернете и игры, часто готовы заплатить выкуп, чтобы остановить атаку.

Одной из самых успешных атак являются атаки RDoS (Ransomware Denial of Service). Часто они начинаются с сообщения в социальной сети или с письма, в котором объявляется о предстоящей атаке на сайт, если только не произведена оплата. Чтобы показать свою силу, злоумышленники часто начинают предварительные атаки, чтобы показать, что они серьезны в своих требованиях. В некоторых случаях вероятность успеха может быть выше 95. В 2017 году хакерская группа под названием «Коллектив Армада» начала атаку на Nayana (южнокорейская компания веб-хостинга). В итоге компания заплатила выкуп в размере около 1 миллиона долларов. После этого успешного вымогательства средств другие пытались обналичить претензии на атаку, чего на самом деле никогда не происходит. По последним оценкам, примерно каждая шестая организация - во всем мире - получила хотя бы одну из этих записок с требованием выкупа.

В 2014 году появилась группа вымогателей биткойнов под названием DD4BC. Эта группа предназначалась для учреждений по всему миру с угрозами DDoS-атак, если выкуп в биткойнах не был выплачен. Два основных члена DD4Bc были в конечном итоге арестованы в декабре 2015 года, но это не остановило рост DDoS-атак на основе выкупа.

В сентябре 2015 года появилась новая группа под названием «Коллектив Армада», нацеленная на банки, электронную коммерцию и услуги хостинга в России, Таиланде, Швейцарии и др. В ноябре 2015 года Коллектив Армада запустил одну из своих самых известных атак вымогателей. Группа нацелена на нескольких поставщиков услуг электронной почты, таких как ProtonMail, NeomailBox, VFEmail, HushMail, FastMail, Zoho и Runbox.

У «Армады Коллектив» была очень специфическая схема шантажа только горстки жертв одновременно. Они отправят своей цели письмо с требованием выкупа в биткойнах. Чтобы подчеркнуть угрозу, группа в течение 15–30 минут начнет пробную атаку на сеть жертв. Если выкуп не был выплачен в отведенное время, выкуп увеличился бы, и цели столкнулись бы с крупномасштабными и постоянными многовекторными атаками.

Это не просто киберпреступники

Наряду с тем, что киберпреступники участвуют в вымогательстве, DDoS стал излюбленным оружием для хактивистов, которые по политическим причинам будут закрывать сайты.

В 2015 году, в знак протеста против причастности полиции округа Сент-Луис к убийству безоружного подростка Майкла Брауна в Фергюсоне, штат Миссури, на веб-сайте полиции была совершена атака DDoS (распределенный отказ в обслуживании), которая привела к падению их систем на несколько человек. дней. В то же время злоумышленникам удалось взломать сеть полиции округа Сент-Луис и получить доступ к рассылочным лентам, связанным со днем ​​стрельбы, которые они затем загрузили на YouTube.

Также было показано, что национальные государства испытывают свои мускулы с помощью тестов целевого диапазона. Первыми признаками кибервойны, вероятно, будут крупномасштабные DDoS против инфраструктуры целевой страны. Например, Эстония, инфраструктура которой была отключена на несколько дней в 2007 году после кибератаки, недавно рассматривала возможность перемещения копий правительственных данных в Великобританию для защиты. Поскольку большинство стран в настоящее время сильно зависят от своей интернет-инфраструктуры, DDoS против критически важной национальной инфраструктуры может привести к тому, что вся инфраструктура рухнет, как линия домино.

Откуда приходит DDoS?

Хотя брандмауэры часто могут фильтровать соединения TCP-источников, те, которые основаны на протоколах без соединений, таких как UDP, DNS и NTP, по-прежнему являются главными векторами для атак, поскольку их трудно блокировать:

Пример атаки на отражение DNS (как показано ниже), и когда злонамеренный источник (например, 2.3.4.5) отправляет запрос на DNS-сервер для поиска доменного имени (например, intel.com). Запрашиваемый IP-адрес будет определен как целевой адрес (1.2.3.4), так что DNS-сервер отправит запрос на целевое устройство. Если DNS-запросов достаточно, целевой сервер будет перегружен DNS-трафиком.

Цели DDoS часто связаны с теми отраслями, где для их работы требуется хорошее качество обслуживания. На вершине в качестве цели находятся компании, которым часто требуется высокий уровень доступности, например, в игровой индустрии, интернет-провайдерах и финансовой индустрии:

Несмотря на то, что в 2017 году США оказались в упадке с точки зрения DDoS, они в значительной степени лидировали в атаках веб-приложений, а США, Нидерланды и Китай обеспечили около половины всех веб-атак:

И для целей кажется, что США, Бразилия и Великобритания являются самыми популярными странами:

Выводы

DDoS - довольно простое преступление. Эти аресты - только один шаг вперед. Будет много других компаний, которые захотят захватить ботнеты с целью получения прибыли.

Оригинальная статья

Footer decor

© machinelearningmastery.ru | Ссылки на оригиналы и авторов сохранены. | map