DDoS-атаки в четвертом квартале 2015 года

События квартала

Мы выбрали события четвертого квартала, которые, на наш взгляд, иллюстрируют основные направления развития в сфере DDoS-атак и инструментов для их осуществления:

1. Появление новых векторов для реализации «отраженных» DDoS-атак;
2. Рост числа ботнетов, состоящих из уязвимых IoT-устройств;
3. Атаки на уровне приложений – «рабочая лошадка» среди сценариев для DDoS-атак.

Атаки с использованием скомпрометированных веб-приложений под управлением WordPress

Веб-ресурсы под управлением CMS (система управления контентом) WordPress пользуются популярностью в среде кибепреступников, занимающихся DDoS-атаками. Дело в том, что WordPress использует функцию Pingback – уведомление автора поста на WordPress-сайте о публикации ссылок на этот пост на других ресурсах под управлением данной CMS. При публикации на сайте с включенной функцией Pingback поста со ссылкой на другой веб-ресурс, на сайт, на который ведет ссылка, отправляется специальный XML-RPC запрос, который этот ресурс принимает и обрабатывает. В результате обработки ресурс-получатель может обратиться к сайту-источнику запроса, чтобы проверить наличие контента.

Данная технология позволяет атаковать веб-ресурс (жертву): бот посылает на WordPress-сайт с включенной функцией Pingback специальным образом сформированный pingback-запрос с указанием адреса ресурса-жертвы в качестве отправителя. После этого данный WordPress-сайт обрабатывает запрос от бота и отвечает по адресу жертвы. Отправляя pingback-запросы с адресом жертвы на множество WordPress-ресурсов с включенной функцией Pingback, злоумышленники добиваются создания существенной нагрузки на ресурс-жертву. Именно по этой причине веб-ресурсы, находящиеся под управлением CMS WordPress с включенной функцией Pingback интересны для злоумышленников.

И по числу DDoS-атак, и по количеству целей в Q4 2015 лидировали Китай, США и Южная Корея

Tweet

В четвертом квартале киберпреступники не ограничились сайтами, поддерживающими Pingback, – они осуществили массовую компрометацию ресурсов под управлением WordPress. Возможно, к этому привело появление уязвимостей «нулевого дня» в данной CMS либо в одном из ее популярных плагинов. Как бы то ни было, мы зафиксировали случаи внедрения в тело веб-ресурсов JavaScript-кода, который осуществлял обращение от имени браузера пользователя к ресурсу-жертве. При этом злоумышленники использовали зашифрованное HTTPS-соединение для усложнения фильтрации трафика.

Мощность одной из таких DDoS-атак, зафиксированных экспертами «Лаборатории Касперского», составляла 400 Мбит/сек; продолжалась она 10 часов. В ходе атаки злоумышленники использовали скомпрометированные веб-приложения под управлением WordPress, а также шифрование соединения для усложнения процедуры фильтрации трафика.

Ботнеты, использующие IoT-устройства

В октябре 2015 эксперты зафиксировали огромное число HTTP-запросов (до 20 тысяч запросов в секунду), источниками которых были CCTV-камеры. Исследователи выявили около 900 камер по всему миру, которые вошли в ботнет и использовались для DDoS-атак. Эксперты отмечают, что в ближайшем будущем ожидается появление новых ботнетов, использующих уязвимые IoT-устройства.

Три новых вектора для реализации «отраженных» DDoS-атак

«Отраженные» DDoS-атаки – это атаки, которые используют недостатки конфигурации третьей стороны для усиления атаки. В четвертом квартале обнаружены три новых вектора для реализации таких атак. Злоумышленники направляют на целевые сайты трафик через NS-серверы NetBIOS, RPC-службы контроллера домена, подключаемые через динамический порт, а также серверы WD Sentinel.

Атаки на почтовые сервисы

Особой популярностью в четвертом квартале у злоумышленников, осуществляющих DDoS-атаки, пользовались почтовые сервисы.

Так, была зафиксирована активность киберпреступной группы Armada Collectives, которая использует DDoS-атаки с целью вымогательства денег у жертвы. Предположительно данная преступная группа причастна к атаке на систему защищенной электронной почты Protonmail. За прекращение DDoS-атаки преступники требовали от жертвы выкуп в размере $6000.

Помимо уже упомянутого сервиса защищенных сообщений Protonmail, атакам подверглись сервисы электронной почты FastMail и Почта России.

Статистика DDoS-атак с использованием ботнетов

Методология

«Лаборатория Касперского» обладает многолетним опытом в противодействии киберугрозам, в том числе и DDoS-атакам различных типов и степеней сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Prevention, предназначена для перехвата и анализа команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2015 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае, если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, но произведенные ботами из разных ботнетов.

Наиболее продолжительная DDoS-атака Q4 2015 года длилась 371 часов (15,5 суток)

Tweet

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP адресов в квартальной статистике.

Важно отметить, что статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского»». Следует также иметь ввиду, что ботнеты – это лишь один из инструментов осуществления DDoS-атак, и представленные в данном отчете данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

• В четвертом квартале 2015 года DDoS-атакам подвергались цели, расположенные в 69 странах мира.
• На ресурсы в 10 странах мира пришлось 94,9% отмеченных атак.
• И по числу атак, и по количеству целей Китай, США и Южная Корея остаются наиболее популярными странами для DDoS-атак.
• Наиболее продолжительная DDoS-атака четвертого квартала 2015 года длилась 371 час (15,5 суток).
• Самыми популярными методами атаки по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS.
• Популярность Linux-ботов продолжает расти, в четвертом квартале на Linux-ботнеты пришлось 54,8% DDoS-атак.

География атак

К концу 2015 года география DDoS-атак сузилась до 69 стран. 94,9% всех атак были нацелены на мишени, расположенные в 10 странах.

Самыми популярными методами атаки по-прежнему в Q4 2015 были SYN-DDoS, TCP-DDoS и HTTP-DDoS

Tweet

В четвертом квартале по сравнению с показателями третьего квартала резко выросла доля мишеней DDoS-атак, расположенных в Китае (с 34,5% до 50,3%) и в Корее (с 17,7% до 23,2%).

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2015

Доля мишеней атак, находящихся в США, снизилась на 8 п.п., в результате чего Корея поднялась на второе место, а США спустились на третье.

Первую десятку покинули Хорватия (0,3%), потерявшая 2,5 п.п., и Франция, чья доля снизилась с 1,1% до 0,7%. Их места заняли Гонконг, сохранивший показатель предыдущего квартала, и Тайвань, чья доля выросла на 0,5 п.п.

Статистика по количеству атак показывает, что 94,0% всех атак пришлись на ту же десятку стран:

Распределение DDoS-атак по странам, Q3 и Q4 2015

Тройка лидеров в четвертом квартале осталось той же, лишь поменялись местами США и Корея – доля Кореи выросла на 4,3 п.п., а доля США упала на 11,5 п.п. Самый значительный рост показателя отмечен у лидера десятки Китая: его доля увеличилась на 18,2 п.п.

Динамика числа DDoS-атак

В четвертом квартале 2015 года распределение числа DDoS-атак по дням было более-менее равномерным, за исключением пика в конце октября и возросшей активности в первой половине ноября.

Наибольшее число атак – 1442 – было отмечено 2 ноября. Минимальное количество атак – 163 – пришлось на 1 октября.

Динамика числа DDoS-атак*, Q4 2015

*В связи с тем, что DDoS-атаки могут продолжаться непрерывно несколько дней, в таймлайне одна атака может считаться несколько раз – по одному разу за каждый день.

В четвертом квартале больше всего DDoS-атак пришлось на понедельник и вторник. При этом на понедельник пришлось на 5,7 п.п. атак больше, чем в третьем квартале. Показатель вторника изменился незначительно (-0,3 п.п.).

Распределение DDoS-атак по дням недели, Q4 2015

Типы и длительность DDoS-атак

В четвертом квартале 2015 года для атак на 97,5% целей злоумышленники применяли ботов одного из семейств (в третьем квартале этот показатель был несколько выше и составлял 99,3%). Ботами двух разных семейств (используемых одним или несколькими исполнителями) в течение квартала были атакованы лишь 2,4% целей. Для атак на 0,1% мишеней применялись боты трех семейств – чаще семейств Sotdas, Xor и BillGates.

Популярность Linux-ботов продолжила расти, в Q4 2015 на Linux-ботнеты пришлось 54,8% DDoS-атак

Tweet

TOP используемых злоумышленниками методов DDoS-атак не изменился, при этом самые популярные SYN-DDoS (57,0%) и TCP-DDoS (21,8%) прибавили 5,4 п.п. и 1,9 п.п. соответственно.

Распределение DDoS-атак по типам

В четвертом квартале в распределении атак по длительности с большим отрывом традиционно лидируют непродолжительные атаки (менее суток).

Распределение DDoS-атак по длительности, часы

Максимальная продолжительность атак в этом квартале снова увеличилась. Если рекорд третьего квартала был поставлен атакой в 320 часов (13,3 суток), то в четвертом квартале была зафиксирована атака длительностью в 371 час (15,5 суток).

Командные серверы и типы ботнетов

В четвертом квартале 2015 года Корея продолжает удерживать пальму первенства по количеству расположенных на ее территории серверов управления и контроля ботнетов, ее доля снова подросла, на этот раз на 2,4 п.п. Доля США несколько снизилась – с 12,4% до 11,5%, а вот показатель Китая увеличился на 1,4 п.п.

В Q4 2015 года 94,9% всех DDoS-атак были нацелены на мишени, расположенные в 10 странах

Tweet

Расстановка в тройке лидеров не изменилась. Страны, занимавшие четвертую и пятую строчки рейтинга, поменялись местами – доля России выросла с 4,6% до 5,5%, доля Великобритании упала с 4,8% до 2,6%.

Распределение командных серверов ботнетов по странам, Q4 2015

В четвертом квартале 2015 года в соотношении активности ботов, разработанных под операционные системы семейств Windows и Linux, продолжился рост доли Linux-ботнетов. – с 45,6% до 54,8%.

Соотношение атак с Windows- и Linux-ботнетов

Заключение

События этого квартала продемонстрировали, что киберпреступники, которые организуют DDoS-атаки, используют не только ставшие классикой ботнеты, состоящие из рабочих станций и персональных компьютеров, но и все доступные уязвимые ресурсы. Такими ресурсами являются уязвимые веб-приложения, серверы и IoT-устройства. В сочетании с новыми векторами для реализации «отраженных» DDoS-атак это позволяет предположить, что в ближайшем будущем можно ожидать дальнейшего увеличения мощностей DDoS-атак и появления ботнетов, состоящих из уязвимых устройств нового типа.