Обзор новостей
Благодаря IoT-ботнетам, DDoS окончательно превратился из любопытной новинки в обыденность. Согласно исследованию A10 Networks, ‘DDoS of Things’ (DoT) в этом году приобрел устрашающие масштабы — в каждой атаке задействуются сотни тысяч подключенных к Интернету устройств.
Борьба с этим явлением пока только разворачивается — вендоры IoT-оборудования крайне медленно реагируют на возникшую необходимость усиления мер информационной безопасности в собственных продуктах. Зато некоторые успехи достигнуты в работе против злоумышленников, стоящих за DDoS of Things. Так, известному ИБ-журналисту Брайану Кребсу удалось идентифицировать автора знаменитого IoT-зловреда Mirai, а в Великобритании был арестован автор атаки на Deutsche Telekom. Согласно выдвинутым обвинениям, он предположительно собирал IoT-ботнет из маршрутизаторов с целью продажи доступа к нему. В Германии ему грозит до десяти лет лишения свободы.
Удешевление и рост количества DoS-инструментов вызвали закономерный рост атак на заметные ресурсы. Так, неизвестные злоумышленники вывели из строя сайт австрийского парламента, а также более сотни серверов государственных ресурсов Люксембурга. Ответственность за акции никто не взял, также не было выдвинуто никаких требований, что может свидетельствовать о тестовом характере атак, или же о простом хулиганстве.
Планы по массовой атаке сайта Белого дома приверженцами Демократической партии в качестве протеста против избрания Дональда Трампа президентом США, судя по всему, провалились — никаких сообщений о неработоспособности ресурса не было. Тем не менее, DDoS укоренился в США в качестве средства внутриполитической борьбы. За две недели до инаугурации президента, был атакован сайт консервативного издания Drudge Report, активно поддерживавшего Трампа во время избирательной кампании.
Правоохранительные органы не оставили без внимания тревожные тенденции, и в итоге защитой от DDoS занялась столь серьезная организация, как Министерство внутренней безопасности США. Учреждение объявило своей задачей «построение эффективных и легко применяемых защитных средств и стимулирование применения лучших защитных практик в частном секторе», чтобы «положить конец такому бедствию, как DDoS-атаки».
И все же основной целью авторов DDoS остается прямой заработок. В этом отношении привлекательными целями остаются банки, и брокерские компании. DDoS-атаки способны нанести настолько серьезный как материальный, так и репутационный ущерб, что многие предпочитают выплачивать выкуп, который вымогают у них злоумышленники.
Тенденции
Начало года традиционно отличается ощутимым спадом DDoS-атак. Возможно, злоумышленники уезжают в теплые страны, а может и наоборот — падает спрос на их предложения, в теплые страны уезжают заказчики. В любом случае, тенденция сохраняется на протяжении уже пяти лет: Q1 — мертвый сезон. Первый квартал этого года не стал исключением: группа предотвращения распределенных атак «Лаборатории Касперского» фиксировала крайне низкую активность атакующих. Особенно сильно разница заметна в сравнении с четвертым кварталом 2016 г. Однако несмотря на традиционный спад, в первом квартале этого года было зафиксировано большее количество атак, чем в первом квартале 2016, что подтверждает вывод о росте количества DDoS-атак в целом.
В связи с затишьем, говорить о каких-то тенденциях на 2017 год пока рано, однако несколько любопытных особенности выделить все же можно:
1. За период не было зарегистрировано ни одной amplifcation-атаки, при этом атаки на переполнение канала без усиления («мусор» с подменой адреса) стабильно использовались. Можно предположить, что атаки типа amplification стали неэффективны и вновь уходят в прошлое;
2. Наблюдался небольшой рост атак с использованием шифрования, что вполне соответствует тенденциям времени и прогнозам прошлого года. При этом, однако, рост нельзя назвать значительным.
Как мы и прогнозировали, популярность набирают сложноорганизованные (уровня приложений, HTTPS) атаки. В качестве примера можно привести смешанную (SYN + TCP Connect + HTTP-flood + UDP flood) атаку на «Национальную электронную площадку». Ее особенность — довольно редкая многовектороность при сравнительно небольшой мощности (3 Гбит/с). Для отражения подобных атак необходимо применять современные, сложные механизмы защиты.
Еще одной необычной атаке подвергся сайт португальской полиции. Ее особенностью являлось то, что для генерации трафика атаки использовались уязвимости обратных прокси-серверов (reverse proxy) на основе чего можно сделать предположения, что злоумышленники пытались замаскировать истинный источник атаки, а для генерации трафика был использован новый тип ботнетов, состоящий из уязвимых reverse proxy.
В остальном же Q1 не принес никаких неожиданностей и был весьма спокоен, возможно даже скучен. Во втором квартале прогнозируется планомерный рост доли распределенных атак, на основе его итогов, скорее всего, уже можно будет составить представление о том, что ждет нас в 2017 году. Пока же остается довольствоваться только предположениями.
Статистика DDoS-атак с использованием ботнетов
Методология
«Лаборатория Касперского» обладает многолетним опытом в противодействии киберугрозам, в том числе и DDoS-атакам различных типов и степеней сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence. Она является частью решения Kaspersky DDoS Prevention, предназначена для перехвата и анализа команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.
Данный отчет содержит статистику DDoS Intelligence за первый квартал 2017 года.
За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае, если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, но произведенные ботами из разных ботнетов.
Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP адресов в квартальной статистике.
Важно отметить, что статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского»». Следует также иметь ввиду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в данном отчете данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.
Итоги квартала
- В первом квартале 2017 года были зафиксированы атаки по целям, расположенным в 72 странах мира, что на 8 меньше, чем в четвертом квартале 2016 года;
- На цели в Китае пришлось всего 47,78% атак, что значительно меньше чем, чем в прошлом квартале (71,60%);
- Тройка лидеров по числу DDoS-атак и количеству целей, как и прежде, включает в себя Китай, Южную Корею и США, а вот по количеству выявленных командных серверов место Китая заняли Нидерланды;
- Продолжительность DDoS-атак радикально снизилась: самая долгая длилась 120 часов, что на 59% меньше, чем в прошлом квартале, когда была отмечена атака длиной 292 часа. В целом 99,8% атак длилось менее 50 часов;
- Количество TCP, UDP и ICMP многократно возросло, за счет чего сократилась доля SYN-DDoS, с 75,3% в четвертом квартале 2016 года до 48% в первом квартале 2017 года.
- Сильно выросла активность Windows-ботнетов, впервые за весь год они стали активнее Linux-ботнетов. Их доля выросла с 25% в прошлом квартале до 59,8% в первом квартале 2017 года.
География атак
В первом квартале 2017 года были зафиксированы DDoS-атаки в 72 странах. Больше всего атак было обнаружено в Китае (55,11%), хотя доля этой страны на 21,9 п.п. ниже, чем в предыдущем квартале. За счет этого нарастили свои доли Южная Корея (22,41% против 7,04% в четвертом квартале), занявшая второе место, и США с 11,37% против 7,30%.
В десятку лидеров, на долю которых пришлось 95,5% атак, вошла Великобритания (0,8%), вытеснившая Японию. С седьмого до шестого места поднялся Вьетнам (0,8%, рост на 0,2 п.п.), за счет Канады (0,7%), опустившейся на восьмое место с долей.
Распределение DDoS-атак по странам, Q4 2016 и Q1 2017
В первом квартале 2017 года цели из первой десятки стран собрали 95,1% DDoS-атак.
Распределение уникальных мишеней DDoS-атак по странам, Q4 2016 и Q1 2017
Аналогично распределению по числу атак, цели на территории Китая в этом квартале получили значительно меньше внимания злоумышленников — на их долю пришлось 47,78% атак, однако пальму первенства по этому показателю Китай удержал. Несмотря на то, что резко возросли доли целей в Южной Корее (с 9,42% до 26,57%) и США (с 9,06% до 13,80%), состав и расположение тройки лидеров с предыдущего квартала не изменились.
Россия (1,55%) спустилась с четвертого на пятое место, снизив свою долю всего на 0,14 п.п, ее место занял Гонконг (рост на 0,35 п.п.). TOP 10 покинули Япония и Франция, которых заменили Нидерланды (0,60%) и Великобритания (1,11%).
Динамика числа DDoS-атак
По дням число атак в первом квартале 2017 года распределилось в диапазоне от 86 до 994, с пиковыми значениями 1 января (793), 18 февраля (994) и 20 февраля (771). Самыми спокойными днями квартала оказались 3 февраля (86), 6 февраля (95), 7 февраля (96) и 15 марта (91). Общее уменьшение числа атак с конца января по середину февраля, а также мартовский спад объясняются снижением активности ботов семейства Xor.DDoS, вносивших заметный вклад в статистику.
Динамика числа DDoS-атак*, Q1 2017
*В связи с тем, что DDoS-атаки могут продолжаться непрерывно несколько дней, в таймлайне одна атака может считаться несколько раз — по одному разу за каждый день.
В целом распределение DDoS-активности по дням недели изменилось незначительно по сравнению с прошлым кварталом. В первом квартале 2017 года самым спокойным днем недели остался понедельник, на долю которого пришлось 12,28% атак, а самым напряженным — суббота (16,05%).
Распределение DDoS-атак по дням недели, Q4 2016 и Q1 2017
Типы и длительность DDoS-атак
В первом квартале 2017 года был отмечен резкий рост числа и доли атак типа TCP-DDoS, с 10,36% до 26,62%. Также значительно увеличились доли UDP-атак (с 2,19% до 8,71%) и ICMP (с 1,41% до 8,17%). За счет этого резко снизились доли SYN-DDoS (48,07% против 75,33%) и HTTP (c 10,71% до 8,43%).
За рост доли TCP ответственны активизировавшиеся боты семейств Yoyo, Drive, Nitol. Рост ICMP объясняется оживлением Yoyo и Darkrai. Также боты Darkrai стали проводить больше UDP-атак, что отразилось в собранной статистике.
Распределение DDoS-атак по типам, Q4 2016 и Q1 2017
В первом квартале 2017 года атаки длительностью больше 100 часов почти не встречались. Наибольшая доля (82,21%) пришлась на атаки, продолжавшиеся 4 часа и меньше, это на 14,79 п.п. больше, чем в предыдущем квартале. Заметно понизилась, с 0,94% до 0,24%, доля атак, длившихся от 50 до 99 часов, аналогично сократили свою долю атаки от 5 до 9 часов (с 19,28% до 8,45%) и атаки с 10 до 19 часов (снижение с 7,00% до 5,03%). Доля атак длительностью от 20 до 49 часов стала немного – на 1 п.п. – больше.
Рекорд по продолжительности атак в первом квартале 2017 года составил всего 120 часов, что на 172 часа меньше, чем самая длительная атака четвертого квартала 2016 года.
Распределение DDoS-атак по длительности, часы, Q4 2016 и Q1 2017
Командные серверы и типы ботнетов
Лидером по числу выявленных серверов управления и контроля остается Южная Корея. При этом ее доля, по сравнению с прошлым отчетным периодом, выросла с 59% до 66,49%. На второе место вышли США с 13,78%, а Нидерланды с долей 3,51% вытеснили из тройки лидеров Китай (1,35%). В сумме первая тройка собрала 83,8% командных серверов.
В ТОР 10 также наблюдались значительные изменения. Из него вышли Япония, Украина и Болгария, вместо них появились Гонконг (1,89%), Румыния (1,35%) и Германия (0,81%). Следует отметить резкое снижение доли Китая, опустившегося со второго места на седьмое.
Распределение командных серверов ботнетов по странам, Q1 2017
Распределение по операционным системам в этом квартале изменилось радикально — потеснив новомодные IoT-боты, на первые роли вышли Windows-боты, отметившиеся в 59,81% всех атак. Это объясняется возросшей активностью ботов семейств Yoyo, Drive и Nitol — все они разработаны для Windows.
Соотношение атак с Windows- и Linux-ботнетов, Q1 2017
99,6% атак в этом квартале проводилось посредством ботов одного семейства. В 0,4% случаев были задействованы боты двух семейств. Применение ботов трех семейств в одной атаке отмечено в единичных случаях.
Заключение
Хотя первый квартал 2017 года, по сравнению с предыдущим отчетным периодом, оказался довольно спокойным, кое-что интересное все же произошло. Так, несмотря на набирающие силу IoT-ботнеты, в начале этого года на первом месте оказались Windows-боты, принявшие участие в 59,8% всех атак. Все чаще встречаются сложноорганизованные атаки, для отражения которых требуются серьезные защитные механизмы.
В первом квартале не было зарегистрировано ни одной amplifcation-атаки, что наталкивает на мысль о том, что эффективность их снизилась, можно предположить, что этот тип атак постепенно уходит в прошлое. Еще одна тенденция этого квартала — рост атак с использованием шифрования. Правда, значительным его назвать пока нельзя.
DDoS-атаки в первом квартале 2017 года