Совсем скоро провайдерам, предоставляющим интернет-услуги станет очень легко предвидеть и блокировать некоторые виды онлайн-атак, запущенных web-службами, известными как «booter» или «stresser», говорится в одном из недавно опубликованных докладов.
Подобные данные были получены от исследователя из Германии, который изучал закономерности, возникающие в тот момент, когда злоумышленники совершают попытку провести массовое сканирование всего интернет-пространства в поисках систем, пригодных для запуска цифровых атак. Их так же называют «distributed denial-of-service» или DDoS-атака.
Осознать важность проводимых исследований помог краткий анализ того, как развивались DDoS–атаки. Не так давно, если кто-то хотел убрать большой web-сайт, нужно было создать и поддерживать большую сеть ботов, взломанных компьютеров. Это являлось довольно длительным, рискованным и технически сложным процессом.
Однако, в наши дни даже наименее искушенный пользователь интернета может запустить относительно крупную DDoS–атаку, просто заплатив несколько долларов за подписку на один из десятка серверов «booter» или «stresser» услуг. Некоторые из серверов даже принимают кредитные карты и платежи PayPal.
Эти веб-службы DDoS — не работают с бот-сетями: обычно они используют несколько мощных серверов, которые арендуются у какого-то хитроумного «пуленепробиваемого» хостинг-провайдера. Сервисная служба принимает оплату и инструкции по атаке через web-сайт, который скрыт за Cloudflare (бесплатной службой защиты от DDoS).
В действительности самое интересное происходит по окончанию работы сервисной службы. Практически все наиболее мощные и эффективные типы атак, применяемые такими службами, основаны на технике, усиления и отражения трафика, который злоумышленник может «подделывать» под себя. Атака может производиться с одного или нескольких устройств в направлении намеченной цели.
В нападении данного типа злоумышленник отправляет сообщение третьей стороне, в этот же момент, подменяя адрес интернет жертвы. Как только третий участник отвечает на сообщение, ему высылается ответ гораздо больших масштабов, нежели исходное сообщение, тем самым увеличивая размер атаки.
Чтобы найти уязвимые системы, которые можно использовать, таким образом, сервисные службы используют широкомасштабное сканирование в интернете, постоянно стремящиеся обновить список систем способных использоваться для атаки с техникой усиления и отражения трафика. Они делают это, потому что, как показало исследование, где-то от 40 до 50 процентов усилителей исчезают или переназначаются на новые интернет-адреса спустя неделю.
Исследование проводили ученые из Саарландского университета в Германии, а так же Национальный университет информационных технологий и коммуникаций в Йокогаме, Японии. В многолетнем проекте, который был впервые представлен в 2015 году, велись поиски сканирования, которые как оказалось, были запущенны сервисными службами.
Для этого исследовательская группа построила своего рода распределенную систему «honeypot», которую они назвали «AmpPot» — предназначенную для имитации служб, известных как уязвимые для атак усиления, таких как DNS и NTP.
«Чтобы приманки казались привлекательными для нападавших, ученые давали ответ на все запросы, поступающие к ним», — пишут исследователи в статье 2015 года (PDF). «Атакующие, в свою очередь злоупотребляют этими приманками в качестве усилителей, что позволило нам наблюдать за продолжающимися атаками, их жертвами и методами DDoS. Для предотвращения ущерба, вызванного большим количеством приманок, мы ограничили скорость ответа. Таким образом, в то время как злоумышленники все еще могут найти системы «honeypot» с ограниченным доступом, ответ им более не высылается, тем самым предотвращая атаку.
В докладе, опубликованном в 2015 году, исследователи заявили, что они просмотрели 21 экземпляр AmpPot с глобальным распространением, в котором наблюдалось более 1,5 миллиона атак в период с февраля по май 2015 года. Проанализировав атаки более детально, было установлено, что более 99 процентов атак происходят из конкретных источников, таких как сервисные службы.
«Если сосредоточиться на усилении DDoS-атак, мы обнаружим, что почти все из них (> 96%) вызваны отдельными источниками, а не бот-сетями», — заключила команда. «Тем не менее, у нас, к сожалению, нет цифр, чтобы сравнить их».
Многие крупномасштабные сканеры Интернета, такие как те, которые исследователи стремились измерить, были запущены фирмами безопасности и другими исследовательскими компаниями, поэтому команде необходимо было провести различие между ними, запущенными службами загрузчика, и теми, которые проводятся для исследований или других доброкачественных целей.
«Чтобы отличить сканирование, выполненное исследователями, и сканирование, выполненное с использованием злонамеренных программ, мы полагались на простое предположение: чтобы никакая атака не была основана на результатах сканирования, выполненного исследователями», — сказал один из главных авторов, Джоханес Крупп, в своем докладе. «На самом деле, благодаря нашей методологии, мы можем посмотреть на результаты и сказать, «Мы обнаружили атаки, связанные с этим сканированием, поэтому он является мошенническим!»
Секретные идентификаторы
В новом документе, выпущенном студентами Saarland университета для IT-безопасности, конфиденциальности и отчетности (CISPA) говорится, о методе, с помощью которого исследователи смогли связать эти массовые сканирования с теми самыми произошедшими атаками усиления.
Исследователи разработали специальный способ кодировки секретного идентификатора в honeypots AmpPot, который будет использоваться любой последующей атакой, он зависит от происхождения источника сканирования. Затем они проверили, используется ли инфраструктура сканирования для фактического запуска (а не только для подготовки) атак.
Их схема была основана частично на идее, что аналогичные источники трафика должны проходить через интернет так, что бы достичь глобально-распределительных датчиков AmpPot. Для этого им пришлось наблюдать за количеством «прыжков» в сети интернет, которым пришлось пройти через каждое сканирование и нападение.
Использование метода трилатерации (процесс определения абсолютного или относительного местоположения точек путем измерения расстояния) позволило исследовательской группе связать сканеры с источниками атак на основе подсчетов прыжков.
Эти методы выявили 286 сканеров, которые используются сервисными службами в подготовке к запуску атак усиления. Кроме того, они обнаружили, что примерно 75 процентов этих сканеров находятся в Соединенных Штатах Америки.
Исследователи говорят, что они смогли подтвердить, что многие из тех сетей, где размещаются сканеры, используются так же для запуска атак. Белее того, они смогли отследить более третьи их происхождения.
«Это отличный результат, учитывая, что источник атак усилений обычно остается скрытым», — сообщил Кристиан Россоу из Саарского университета.
Россо сказал, что команда надеется и в дальнейшем проводить исследование, чтобы более точно связать сканирование и атаку с конкретными сервисными службами. Группа ученых уже предлагает услуги интернет — провайдерам для обмена информацией об инцидентах (таких как время начала и конца атаки). Интернет — компании в свою очередь могут использовать информацию об атаке для информирования своих клиентов или для фильтрации трафика атаки.
«Мы поделились своими выводами с правоохранительными органами — в частности, Европолом и ФБР, которые используют наши идеи на оперативной основе», «Наша продукция может использоваться в качестве судебных доказательств, как в юридических жалобах, так и в способах социального давления на источники» — пишут исследователи.
Не смотря на то, что эти недавно опубликованные методы получили широкую огласку, всё равно крайне маловероятно, что сервисные службы в ближайшее время покинут нас. Но это исследование, безусловно, не позволит их владельцам в дальнейшем скрывать своё истинное местонахождение так же тщательно. Возможно, большинство даже удастся привлечь к ответственности за их преступления.
Меры предпринятые исследователями усложнили загрузку платежей PayPal, вынуждая большинство сервисных служб полагаться на биткойн.
Кроме того, существует ряд инициатив, направленных на выявление сервисных служб загрузки, которые перепродают свою инфраструктуру другим службам, выдающим их за свои собственных. В сентябре 2016 года публиковалась статья о vDOS – сервисной службе, которая за два года заработала (по самым скромным подсчетам) 600 000 долларов США, что помогает запустить более 150 000 атак DDoS.
Оказывается, инфраструктура vDOS использовалась более чем полудюжиной других сервисных служб, и вскоре после того, как vDOS был отключен, большинство из них было демонтировано.
Есть один важный момент, который может помочь уменьшить привлекательность услуг сервисных служб, как для клиентов, так и для самих собственников, занимающихся поиском прибыли. На самом деле, вся эта деятельность является незаконной и наказывается реальным сроком тюремного заключения. До сих пор многие владельцы сервисных служб работали в заблуждении, считая, что их службы предназначены исключительно для владельцев web-сайтов, дабы проверить их способность противостоять сбоям в передаче данных. Недавний арест двух предполагаемых членов Lizard Squad, которые перепродали услуги vDOS через их собственную службу «PoodleStresser», является хорошим примером.
Многие сотрудники сервисных служб, по-видимому, считают (или, по крайней мере, скрывают) соглашение о «условиях обслуживания», в котором они якобы не несут ответственность за то, как их клиенты пользуются данной услугой.
Wall Street Journal сообщил, один из владельцев vDOS, который был арестован вскоре после истории о нем, через своих адвокатов сказал: «Если бы я захотел купить оружие и пристрелить кого-нибудь, был бы виновен тот человек, который изобрел оружие?».
Предполагаемые владельцы vDOS — 18-летние израильтяне Ярден Бидэни и Итай Хури. Они были освобождены от домашнего ареста примерно спустя десять дней после него. На сегодняшний день не было выдвинуто никаких обвинений против мужчин, хотя по многочисленным мнениям это не на долго.
Между тем, возможны изменения в сервисных службах, размещенных на Hackforums.net, вероятно крупнейшем онлайн-рынке где открыто рекламируются, сравниваются и оцениваются службы загрузки. Не так давно администратор Hackforums Джесси «Omniscient» Лаброкка начал ограничивать доступ к разделу «stresser» на форуме и запретил участникам рекламировать сервисные службы у себя в пользовательских профилях.
«Я совершенно точно вижу день, когда он окончательно удалится»,- сказал Лаброкка в посте, объясняя свои действия. «Может очень, очень скоро».
Вскоре мы сможем увидеть изменения в том, как работают сервисные службы. Пока что размер атак, запускаемых службами, в некоторой степени зависит от количества и мощности серверов, используемых для инициирования атак с усилением и отражением.
Тем не менее, в недалеком будующем можно увидеть день, когда операторы сервисных служб начнут зарабатывать большую часть своих денег за счет перепродажи гораздо более мощных атак, запущенных в сети с устройств, таких как плохо защищенные камеры видеонаблюдения и цифровые видеорегистраторы (DVR). В некотором роде это уже произошло, как и было описано в статья прошлого года о целой серии атак ботнетами Но теперь, когда был опубликован исходный код для «Mirai botnet» для перепродажи доступны гораздо более мощные и масштабируемые атаки.
Источник:http://hak-club.ru/