Как хакеры используют ботнеты для взлома ваших любимых сайтов
Безопасность

Как хакеры используют ботнеты для взлома ваших любимых сайтов

Ботнет может взять под контроль веб-серверы и вывести из строя ваши любимые сайты или даже целые части интернета, испортив вам день

Мощь ботнетов растет. Достаточно организованный и глобализированный ботнет выведет из строя часть Интернета, а не только отдельные сайты – такова его мощь. Несмотря на их огромную мощь, крупнейшая DDoS-атака не использовала традиционную структуру ботнета

Давайте рассмотрим, как расширяется мощь ботнета и как следующий огромный DDoS, о котором вы услышите, будет больше предыдущего

Как растут ботнеты?

Определение ботнета от SearchSecurity гласит: ‘Ботнет – это совокупность подключенных к Интернету устройств, которые могут включать ПК, серверы, мобильные устройства и устройства Интернета вещей, зараженные и контролируемые общим типом вредоносного ПО. Пользователи часто не знают о том, что их система заражена ботнетом’

Ботнеты отличаются от других типов вредоносного ПО тем, что представляют собой совокупность скоординированных зараженных машин. Ботнеты используют вредоносное ПО для распространения сети на другие системы, преимущественно с помощью спама по электронной почте с зараженным вложением. У них также есть несколько основных функций, таких как рассылка спама, сбор данных, мошенничество с кликами и DDoS-атаки

Быстро растущая атакующая мощь ботнетов

До недавнего времени ботнеты имели несколько общих структур, знакомых исследователям безопасности. Но в конце 2016 года все изменилось. Серия огромных DDoS-атак заставила исследователей задуматься и обратить внимание

  1. Сентябрь 2016 г. Недавно обнаруженный ботнет Mirai атаковал сайт журналиста по безопасности Брайана Кребса со скоростью 620 Гбит/с, что привело к массовым нарушениям в работе сайта, но в конечном итоге не помогло благодаря защите от DDoS-атаки Akamai.
  2. Сентябрь 2016 г. Ботнет Mirai атакует французский веб-хост OVH, усилившись примерно до 1 Тбит/с.
  3. Октябрь 2016 г. Огромная атака вывела из строя большинство интернет-сервисов на восточном побережье США. Восточное побережье. Атака была направлена на DNS-провайдера Dyn, при этом сервисы компании получили примерно 1,2 Тбит/с трафика, временно отключив такие сайты, как Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa и Xbox Live.
  4. Ноябрь 2016 г. Mirai атакует интернет-провайдеров и операторов мобильной связи в Либерии, выводя из строя большинство каналов связи по всей стране.
  5. Март 2018 г. GitHub подвергся крупнейшему зарегистрированному DDoS, зарегистрировав около 1,35 Тбит/с непрерывного трафика.
  6. Март 2018 г. Компания Arbor Networks, занимающаяся сетевой безопасностью, заявляет, что ее система глобального мониторинга трафика и DDoS ATLAS регистрирует 1,7 Тбит/с.

.

Со временем сила этих атак возрастает. Но до этого самой крупной DDoS-атакой в истории была атака 500 Гбит/с на продемократические сайты во время протестов в Гонконге Occupy Central

Отчасти причиной такого постоянного роста мощности является совершенно другая техника DDoS, которая не требует сотен тысяч зараженных вредоносным ПО устройств

Memcached DDoS

Новая техника DDoS использует службу memcached. Из этих шести атак, атаки GitHub и ATLAS используют memcached для усиления сетевого трафика до новых высот. Что же такое memcached?

Ну, memcached – это легитимная служба, работающая во многих системах Linux. Он кэширует данные и снижает нагрузку на хранилища данных, такие как диски и базы данных, уменьшая количество раз, когда источник данных должен быть прочитан. Она обычно используется в серверных средах, а не на вашем рабочем столе Linux. Кроме того, системы, использующие memcached, не должны иметь прямого подключения к Интернету (вы увидите, почему)

Memcached взаимодействует с помощью протокола User Data Protocol (UDP), что позволяет общаться без аутентификации. В свою очередь, это означает, что практически любой, кто может получить доступ к подключенной к Интернету машине с помощью службы memcached, может напрямую общаться с ней, а также запрашивать у нее данные (вот почему она не должна подключаться к Интернету!)

Досадная обратная сторона этой функциональности заключается в том, что злоумышленник может подделать интернет-адрес машины, делающей запрос. Таким образом, злоумышленник подделывает адрес сайта или сервиса для DDoS и отправляет запрос на как можно большее количество серверов memcached. Объединенный ответ серверов memcached становится DDoS и переполняет сайт

Эта непреднамеренная функциональность достаточно плоха сама по себе. Но у memcached есть еще одна уникальная ‘способность’. Memcached может массивно усиливать небольшой объем сетевого трафика, превращая его в нечто ошеломляюще большое. Определенные команды к протоколу UDP приводят к ответам, значительно превышающим исходный запрос

Результирующее усиление известно как коэффициент усиления полосы пропускания (Bandwidth Amplification Factor), а диапазон усиления атаки составляет от 10 000 до 52 000 раз по сравнению с исходным запросом.(Аками считает, что атаки на memcached могут ‘иметь коэффициент усиления более 500 000!’)

В чем разница?

Итак, вы видите, что основная разница между DDoS обычного ботнета и DDoS с использованием memcached заключается в их инфраструктуре. Для DDoS-атак с использованием Memcached не нужна огромная сеть взломанных систем, вместо этого используются незащищенные системы Linux

Высокоценные цели

Теперь, когда потенциал чрезвычайно мощных DDoS-атак с использованием memcached стал известен, ожидайте новых атак такого рода. Но атаки на memcached, которые уже имели место – не в таких масштабах, как атака GitHub – вызвали нечто отличное от нормы

Компания Cybereason, занимающаяся вопросами безопасности, внимательно следит за развитием атак на memcached. В ходе анализа они заметили, что атака memcached используется в качестве инструмента доставки выкупа. Злоумышленники встраивают крошечную записку с требованием выкупа в Monero (криптовалюта), затем помещают этот файл на сервер memcached. Когда начинается DDoS, злоумышленник запрашивает файл с выкупом, заставляя цель получать его снова и снова

Остаетесь в безопасности?

На самом деле, вы ничего не можете сделать, чтобы остановить атаку на memcached. Фактически, вы не узнаете о ней, пока она не завершится. Или, по крайней мере, пока ваши любимые сервисы и веб-сайты не станут недоступны. Это если только у вас нет доступа к системе Linux или базе данных, в которой работает memcached. Тогда вам действительно стоит пойти и проверить свою сетевую безопасность

Для обычных пользователей в центре внимания остаются обычные ботнеты, распространяемые с помощью вредоносных программ. Это означает

  • Обновляйте свою систему и поддерживайте ее в таком состоянии.
  • Обновите свой антивирус.
  • Рассмотрите возможность использования антивирусного инструмента, такого как Malwarebytes Premium (премиум-версия обеспечивает защиту в режиме реального времени).
  • Включите спам-фильтр в почтовом клиенте; увеличьте его, чтобы отлавливать подавляющее большинство спама.
  • Не нажимайте на то, в чем вы не уверены; это касается и нежелательных писем с неизвестными ссылками.

Оставаться в безопасности – это не труд – просто нужно быть немного бдительным

Image Credit: BeeBright/Depositphotos

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий