Огромные бот-сети или выделенные серверы для проведения DDoS-атак


DDoS-Эксперты по безопасности Лаборатории Касперского совместно с экспертами компании Highload Lab в результате исследований и анализа использования киберпреступниками DDoS-атак, пришли к выводу, что киберпреступники профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, а предпочитают более эффективные и простые в управлении веб-серверы.

По данным американской компании Prolexic Technologies - компании, занимающейся отражением вредоносных атак, в четвертом квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% — с 5,2 до 5,9 Гбит.

Российские эксперты в области борьбы с DDoS-атаками рассказали, как атаки на "отказ в обслуживании" эволюционируют, кто является главными мишенями и чего ждать от данной угрозы в будущем.


Серверы вместо обычных ПК
На протяжении долгого времени, для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети. Чем больше компьютеров заражено, тем более мощную атаку можно организовать. Так было ранее и таким был основной мотив для строительства многомиллионной бот-сети. Однако, поддерживать работоспособность достаточно крупной бот-сети для мощных атак  — тяжелая задача, т.к. злоумышленникам необходимо постоянно следить за зараженными компьютерами, а точнее за постоянным нахождением в сети их необходимого количества.

Это означает, что потребуются постоянные траты на покупку новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. А в условиях постоянного роста числа компьютеров с установленными коммерческими антивирусными продуктами, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак.

Чтобы сократить свои расходы, злоумышленник ищет более простые способы расположить источники своего нападения. Чаще это выделенные серверы.

Рост числа программного обеспечения для виртуализации серверов и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак, и через них выполняют свои злодеяния.

Теперь, для организации таких атак, вместо сотен тысяч рабочих станций, используют несколько серверов. Они производительнее, их быстрее и проще активировать.

Генеральный директор компании Highload Lab добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых инструментов анонимизации, которые ранее не были доступны. Использование инструментария для анонимизации затрудняет выявление источников вредоносного трафика. Поэтому и устранение самой атаки - проблематично.

Даже при наличии информации об источниках вредоносного трафика, далеко не всегда удается отключить серверы, с которых он идет. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер.

Например, если взять атаку, при которой серверы управления бот-сетью будут находиться в одной из стран Центральной Азии, сами серверы, с которых будет производиться атака — в Турции и Европе, а целью атак станет США. Быстро закрыть такую бот-сеть или центр управления через прямое обращение к правоохранительным органам невозможно, поскольку злоумышленники выбрали страны, руководство которых крайне неохотно взаимодействует друг с другом. В свою очередь преступники границ иметь не будут.


Высокие сезоны
Как и ранее, больше всего атак происходит в периоды наибольшей бизнес-активности — в "высокие" сезоны в сфере торговли товарами и услугами, т.е. с конца осени и до новогодних праздников, и с середины весны и до начала лета, в сезон отпусков. В предновогодний сезон под атаками оказываются интернет-магазины и сайты, предоставляющие востребованные в это время года услуги. В весенне-летний сезон, внимание хакеров переключается на сайты туристических агентств, сервисов по продаже билетов, бронированию гостиниц и интернет-магазины с товарами, актуальными в этот период. В большинстве случаев причиной атак становится недобросовестная конкуренция. Бывают также и сферы бизнеса, находящиеся под угрозой DDoS круглый год.

Недоступность в любое время года банков, площадок для интернет-торговли и других финансовых организации, ведет к репутационным и финансовым потерям. Тендеры переносятся на другие торговые площадки, а клиенты банков, столкнувшись с недоступностью личного кабинета, просто перенесут свои деньги в другой банк.


Доступность DDoS-атак
Переход киберпреступников с развертывания миллионных бот-сетей на поиск и заражение более мощных и удобных для DDoS-атак серверов, не означает, что ботнеты и угрозы теперь останутся в прошлом. Бот-сети из зараженных компьютеров теперь становятся более доступными для неподготовленных хакеров.

Из-за наличия большого количества различных средств для создания бот-сетей в открытом доступе, эта сфера становится очень конкурентной и минимальная цена на атаку постоянно снижается.

Чтобы сегодня организовать относительно заметную DDoS-атаку – достаточно иметь минимальные представления о программировании. В силу этого растет количество относительно простых по принципу организации DDoS-атак, но эффективных против небольших компаний и сайтов. Такие атаки приносят результат, как заказчикам в виде недобросовестных конкурентов из сферы малого бизнеса, так и исполнителям, получающим возможность заработать лишние несколько десятков долларов на карманные расходы.


Мобильные бот-сети и социальные атаки
Наиболее интересные тенденций будущего DDoS-атак - это ботсети из мобильных устройств и "социальный" DDoS.

Мобильные ботнеты уже существуют, однако из-за низкой пропускной способности каналов мобильного интернета использовать их для DDoS-атак бессмысленно. А вот для реализации различных мошеннических схем с платными SMS и похищением персональных данных такие сети уже используются.

Конечно, теоретически для атак мобильные бот-сети также могут быть применены. Однако целью в этом случае будет не сайт компании или интернет-магазина, а сама мобильная сеть.

Большое количество мобильных устройств позволяет организовать такую атаку. Если кому-то понадобится вывести из строя сеть сотовой связи, с помощью достаточно большого мобильного ботнета он сможет это сделать.

Также эксперты ожидают развитие нового витка в области так называемых социальных DDoS-атак, которые организовываются интернет-активистами, использующими торговую марку Anyonymous, ради выражения политического протеста. Хакеры из этого движения обычно используют для атак программу Low Orbital Ion Cannon (LOIC), которая по осознанным и добровольным действиям пользователя превращает компьютер в инструмент для DDoS-атак.

Изначально LOIC была очень примитивной, и отфильтровать вредоносный трафик, генерируемый с ее помощью, было очень просто. В определенный момент она стала абсолютно неэффективной. Однако сейчас появились новые вариации программы, в которых используются интересные технологии, позволяющие обойти известные защитные механизмы сайтов. Распознать такой трафик все еще довольно просто, но уже не так, как раньше.

Для эффективного решения проблем связанных с DDoS-атаками придется серьезно переработать основные протоколы передачи данных используемые сетью. По словам эксперта, внедряемый сейчас новый протокол IPv6 не вводит никаких новых механизмов для противодействия этому явлению.

DDoS-атаки будут до тех пор, пока они будут в состоянии генерировать финансовую выгоду для заказчиков и исполнителей. До тех пор пока инфраструктура интернета серьезно не поменяется и не сделает DDoS-атаки невозможными. Это требует переработки базовых протоколов интернет-маршрутизации и самих протоколов передачи данных. Пока это не будет сделано, ничего здесь не изменится.


Обновлено (25.02.2013 18:22)