Новый метод, который усиливает DDoS-атаки в 4 миллиарда раз. Что может пойти не так?
Исследователи предупредили во вторник, что киберпреступники, которые используют гигантские потоки данных для отключения сайтов, используют невиданный ранее метод, который может увеличить разрушительные последствия этих потоков в беспрецедентные 4 миллиарда раз.
Как и многие другие типы распределенных атак типа «отказ в обслуживании», атаки отправляют небольшой объем ненужных данных неправильно настроенной сторонней службе таким образом, что служба перенаправляет гораздо больший ответ на предполагаемую цель. Популярны так называемые усиливающие DDoS-атаки, поскольку они снижают требования, необходимые для подавления своих целей. Вместо того, чтобы распределять огромные объемы пропускной способности и вычислительной мощности, DDoSer находит серверы в Интернете, которые сделают это за них.
Все дело в усилении
Одним из старейших векторов усиления являются неправильно настроенные DNS-серверы, которые увеличивают объемы DDoS-атак примерно в 54 раза. Новые пути амплификации включали Серверы протокола сетевого времени (около 556x), Медиа-серверы Plex (около 5 раз), Microsoft RDP (86x), и Облегченный протокол доступа к каталогам без установления соединения (не менее 50 раз). Буквально на прошлой неделе исследователи описали новый вектор усиления что достигает коэффициента не менее 65.
Ранее самым большим известным усилителем был memcachedкоторый может увеличить трафик в 51 000 раз.
Самым новым участником являются системы совместной работы Mitel MiCollab и MiVoice Enterprise Categorical. В течение последнего месяца злоумышленники использовали их для DDoS-атак финансовых учреждений, логистических компаний, игровых компаний и организаций на других рынках. Парк из 2600 серверов предоставляет возможность злоупотребления системой тестирования в программном обеспечении в Интернете через UDP-порт 10074, в нарушение рекомендаций производителя о том, что тесты могут быть доступны только внутри компании.
Текущие записи DDoS составляют около 3,47 терабит в секунду для объемных атак и примерно 809 миллионов пакетов в секунду для форм исчерпания. Объемные DDoS-атаки работают, потребляя всю доступную полосу пропускания либо внутри целевой сети или службы, либо между целью и остальной частью Интернета. Изнурительные DDoS-атаки, напротив, перегружают сервер.
Новый вектор усиления, обеспечиваемый неправильно сконфигурированными серверами Mitel, может побить эти рекорды. Вектор может сделать это не только благодаря беспрецедентному 4-миллиардному потенциалу усиления, но и потому, что системы Mitel могут растягивать атаки на невозможные ранее периоды времени.
«Этот конкретный вектор атаки отличается от большинства методологий атак с отражением/усилением UDP тем, что открытый тестовый объект системы может быть использован для запуска устойчивой DDoS-атаки продолжительностью до 14 часов с помощью одного поддельного пакета инициации атаки, что приводит к рекордный коэффициент усиления пакетов 4 294 967 296:1», — написали исследователи из восьми организаций в совместный консультативный. «Контролируемое тестирование этого вектора атаки DDoS дало более 400 миллионов пакетов в секунду для устойчивого трафика атаки DDoS».
Один уязвимый узел, генерирующий такое сильное усиление со скоростью 80 тысяч пакетов в секунду, теоретически может обеспечить 14-часовой поток данных. За это время «встречные» пакеты, которые отслеживают количество ответов, отправленных серверами, сгенерируют примерно 95,5 ГБ усиленного трафика атаки, предназначенного для целевой сети. Отдельные пакеты «диагностического вывода» могут составлять дополнительные 2,5 ТБ трафика атаки, направленного на цель.
Достаточно одного пакета
Сервисы Mitel MiCollab и MiVoice Enterprise Categorical выступают в роли шлюза для передачи телефонной связи АТС в Интернет и наоборот. В состав продуктов входит драйвер для интерфейсных карт обработки VoIP TP-240. Клиенты могут использовать функцию драйвера для стресс-тестирования пропускной способности своих интернет-сетей. Mitel инструктирует клиентов делать тесты доступными только внутри частных сетей, а не в Интернете в целом, но около 2600 серверов нарушили эту директиву.
Mitel во вторник выпустил обновления программного обеспечения это автоматически обеспечит доступность тестовой функции во внутренней сети.
