DDOS-атаки в первом квартале 2016 года

События квартала

Мы выбрали события первого квартала 2016 года, которые, на наш взгляд, иллюстрируют основные направления развития в сфере DDoS-атак и инструментов для их осуществления.

Рекордная по мощности DDoS-атака с «отражением»

DDoS-атаки, использующие методы усиления/отражения, по-прежнему не теряют своей актуальности и обновляют рекорды пиковых мощностей. Методы усиления, с технической точки зрения, не являются новым подходом в организации распределенных атак, направленных на отказ в обслуживании, однако злоумышленники находят новые возможности и ресурсы для наращивания мощности своих ботнетов. Так, например, согласно недавно опубликованному отчету экспертов, в 2015 году рекордной стала атака мощностью 450-500 Гбит/сек.

DDoS-атака на Трампа

Однако не исключено, что рекорд мощности атаки, зафиксированный в 2015 году, уже был побит – и достаточно быстро. В начале года официальный сайт предвыборной кампании Дональда Трампа подверглись DDoS-атаке, мощность которой, согласно непроверенным источникам, составила 602 Гбит/сек. Ответственность за случившееся взяла на себя группа хакеров New World Hacking.

Использование протокола DNSSEC

Для осуществления DDoS-атак преступники все чаще используют протокол DNSSEC, задача которого – минимизировать атаки, направленные на подмену DNS-адреса. Стандартный ответ по протоколу DNSSEC помимо данных о домене содержит дополнительную аутентификационную информацию. Таким образом, в отличие от стандартного ответа DNS, который имеет объем 512 байт, ответ DNSSEC достигает около 4096 байт. Злоумышленники используют данную особенность для реализации DDoS-атак методом усиления. Преимущественно они используют домены в правительственной зоне .gov, по той причине, что в США такие домены обязаны поддерживать DNSSEC по закону.

Pingback-атаки на WordPress

Сайты под управлением WordPress вновь подвергаются DDoS-атакам с ботнетов, также построенных на базе этой популярной CMS. Для осуществления атак эксплуатируется функция pingback в CMS WordPress. Она заключается в уведомлении веб-автора поста, когда кто-либо в интернете ссылается на его контент. Если администратор сайта, находящегося под управлением WordPress, включил данную функцию, то все ссылки в опубликованных на этом сайте материалах могут осуществлять так называемый «pingback» – отправлять специальный XML-RPC запрос на сайт-оригинал. При наличии огромного числа данных pingback-запросов сайт-оригинал может «отказать в обслуживании». Данная функция по-прежнему пользуется вниманием со стороны злоумышленников и помогает им реализовать DDoS-атаки на уровне приложений.

Взлом Linux Mint

21 февраля 2016 года глава Linux Mint Клемент Лефевр (Clement Lefebvre) сообщил, что злоумышленники сумели взломать инфраструктуру проекта, включая его официальный сайт и форум, и подменили ссылку на легитимный ISO-образ дистрибутива Linux Mint 17.3 Cinnamon собственным URL. Дистрибутив злоумышленников содержал вредоносный код, который использует зараженные машины для осуществления DDoS-атак.

Атаки на ИБ-компании

Киберпреступники не забывают о компаниях, работающих в области информационной безопасности. Все более-менее известные игроки этого рынка, особенно провайдеры сервисов анти-DDoS, вынуждены регулярно отражать DDoS-атаки, нацеленные на их ресурсы. Заметного вреда эти акции нанести не могут, все-таки эти ресурсы защищаются очень качественно, однако злоумышленников это не останавливает.

Как правило, преступники не ставят себе задачи «положить» сайт ИБ-компании любой ценой – атаки длятся недолго, в большинстве случаев они прекращаются сразу, как только источник замечает признаки работы защитных систем, ведь злоумышленники не хотят впустую истощать ботнеты, использование которых стоит денег. И все же в долгосрочной перспективе атаки не прекращаются.

Наиболее продолжительная DDoS-атака в первом квартале 2016 года длилась 197 часов #KLReport

Tweet

Анализ переписок на подпольных форумах позволяет сделать предположение, что в преступном киберсообществе принято использовать сайты ИБ-компаний в качестве испытательных целей, для тестирования новых методов и инструментов. Подход не хуже других, однако, он дает нам в руки ценные сведения. Если статистика по DDoS во всем мире показывает срез ситуации на настоящее время, атаки на ИБ-компании позволяют в какой-то степени оценить будущее DDoS.

Данные о тактике, мощности и типах атак, направленных на сайты «Лаборатории Касперского» тоже позволяют предположить, какими будут тренды в DDoS-отрасли в ближайшие месяцы.

По-прежнему нам приходится иметь дело с атаками с усилением. Число их несколько снизилось по сравнению с прошлым годом, зато максимальная мощность возросла вчетверо. Это подтверждает тренд общего усиления таких атак – преступники вынуждены наращивать мощность, чтобы преодолеть защитные меры со стороны интернет-провайдеров и ИБ-компаний. В нашем случае ни одна из них не привела к перерывам в доступности наших сайтов.

Судя по ряду атак на ресурсы «Лаборатории Касперского» в первом квартале 2016 года, «сливки» киберпреступников начинают вспоминать утратившие в последние годы популярность методы, атакуя на уровне приложения. Уже за первый квартал этого года мы отразили в несколько раз больше HTTP(s)-атак, чем за весь 2015 год. Что интересно, было отмечено несколько атак уровня приложения одновременно на несколько наших ресурсов. Фактически, мощности DDoS-ресурсов размывались на несколько целей, что снижало эффект, оказываемый на каждую цель. Это можно объяснить тем, что целью злоумышленников было не нарушение работы сайтов «Лаборатории Касперского», а тестирование инструментария и изучение ответной реакции с нашей стороны. Самая длительная атака такого рода продолжалась менее 6 часов.

В Q1 2016 преобладали Windows-ботнеты, на них пришлось 55,5% от всех DDoS-атак #KLReport

Tweet

Мы можем предположить, что доля атак на каналы постепенно будет снижаться, а на передний план выйдут атаки на приложения и комбинированные атаки (сочетание атак на оборудование и атак на приложение).

Мощные UDP-атаки с усилением вошли в обиход несколько лет назад, и до сих пор продолжают оставаться излюбленным инструментом злоумышленников. Причины их популярности вполне понятны, так как атаки этого типа относительно легки в реализации, позволяют обеспечить огромную мощность при относительно небольшом ботнете, зачастую задействуют третью сторону и крайне затрудняют обнаружение источника атаки.

Хотя в первом квартале 2016 года наш сервис Kaspersky DDoS Prevention продолжил отражать UDP-атаки с усилением, мы полагаем, что постепенно они будут сходить со сцены. Некогда казавшаяся непосильной задача координации интернет-провайдеров и безопасников для эффективной фильтрации генерируемого UDP-атаками мусорного трафика уже практически решена. Провайдеры, столкнувшиеся с реальной угрозой исчерпания магистральных каналов за счет значительного потока UDP-пакетов большого объема, обзавелись необходимым оборудованием и компетенциями и «режут» этот траффик на корню. Ввиду этого атаки на канал с усилением становятся все менее эффективными, а, значит, на них все сложнее зарабатывать.

Самыми популярными методами DDoS-атак в Q1 2016 остались SYN-DDoS, TCP-DDoS и HTTP-DDoS #KLReport

Tweet

Атаки уровня приложения на веб-сервисы требуют для исполнения большие ботнеты, либо несколько высокопроизводительных серверов и широкий исходящий канал, а также кропотливой подготовительной работы по исследованию цели, выяснению ее уязвимых точек. Без этого они неэффективны. При этом грамотно проведенную атаку уровня приложения сложно отразить, не заблокировав доступ легитимным пользователям – вредоносные запросы выглядят достоверно, и каждый бот честно отрабатывает процедуру установки соединения. Аномальна лишь высокая нагрузка на сервис. Именно такие попытки мы фиксировали в первом квартале. Это говорит о том, что рынок DDoS развился настолько, что сложные и дорогие в исполнении атаки становятся экономически выгодными, и зарабатывать на этом пытаются более квалифицированные киберпреступники.

Более того, есть реальная опасность массового освоения этих методов менее квалифицированными преступниками – чем выше популярность техники, тем больше инструментов для ее реализации предлагается на черном рынке. И если атаки уровня приложения действительно станут популярными, нам стоит ожидать роста числа заказчиков такого рода DDoS-атак и повышения квалификации исполнителей.

Статистика DDoS-атак с использованием ботнетов

Методология

«Лаборатория Касперского» обладает многолетним опытом в противодействии киберугрозам, в том числе и DDoS-атакам различных типов и степеней сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Prevention, предназначена для перехвата и анализа команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за первый квартал 2016 года.

В Q1 2016 года 93,6% всех DDoS-атак были нацелены на мишени, расположенные в 10 странах #KLReport

Tweet

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае, если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, но произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP адресов в квартальной статистике.

Важно отметить, что статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского»». Следует также иметь ввиду, что ботнеты – это лишь один из инструментов осуществления DDoS-атак, и представленные в данном отчете данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

• В первом квартале 2016 года DDoS-атакам подвергались цели, расположенные в 74 странах мира (в последнем квартале 2015 года – в 69).
• На ресурсы в 10 странах мира пришлось 93,6% отмеченных атак.
• И по числу атак, и по количеству целей DDoS-атак первенство остается за Китаем, США и Южной Кореей, однако в этом квартале в десятку лидеров попали такие европейские страны, как Франция и Германия.
• Наиболее продолжительная DDoS-атака первого квартала 2016 года длилась 197 часов (8,2 дня), что значительно ниже максимума прошлого квартала (13,9 дней). При этом участились множественные атаки на одну цель (до 33 атак на один ресурс за период).
• Самыми популярными методами атак по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS, при этом из квартала в квартал отмечается постоянное снижение числа UDP-атак.
• В основном командные серверы остались в тех же странах, что и в предыдущий квартал, но Европа значительно прибавила по этому показателю – отмечен рост в Великобритании и Франции.

География атак

В начале 2016 года DDoS-атаки были зафиксированы в 74 странах.

Статистика по количеству атак показывает, что 93,6% всех DDoS-атак приходится на десять стран.

Распределение DDoS-атак по странам, Q1 2016 и Q4 2015

Тройка лидеров за первый квартал 2016 года не изменилась, при этом значительно, с 18,4% до 20,4% повысилась доля Южной Кореи, и на 2,2 п.п. понизилась доля США. Отметим также, что в первом квартале 2016 года выросла доля атак, нацеленных на ресурсы на Украине – с 0,3% до 2,0%.

Статистика распределения уникальных мишеней атак свидетельствует о том, что на мишени в десяти атакованных странах пришлось 94,7% всех атак.

Распределение уникальных мишеней DDoS-атак по странам, Q1 2016 и Q4 2015

На 3,4 п.п. возросло число целей в Южной Корее. В то же время показатель Китая понизился с 50,3% в четвертом квартале 2015 года до 49,7% в первом квартале 2016 года. Уменьшилась также доля мишеней DDoS-атак, которые пришлись на США (9,6% мишеней по сравнению с 12,8% в прошлом квартале). При этом первая тройка стран сохранила свои позиции, с большим отрывом опережая все другие страны.

В Q1 2016 участились множественные атаки на одну цель: до 33 атак на один ресурс #KLReport

Tweet

В первом квартале 2016 года в пятерку лидеров по числу DDoS-целей вошла Украина, ее доля поднялась с незначительных 0,5% в конце прошлого года до 1,9% в первом квартале 2016 года.

По результатам квартала из первой десятки атакованных стран выбыли Тайвань и Нидерланды, потерявшие по 0,8 и 0,7 п.п. соответственно.

Динамика числа DDoS-атак

В первом квартале 2016 года отмечено относительно ровное распределение атак по дням, за исключением резкого снижения 6 февраля. Пиковое число атак пришлось на 31 марта (1271 атака).

Динамика числа DDoS-атак*, Q1 2016

*В связи с тем, что DDoS-атаки могут продолжаться непрерывно несколько дней, в таймлайне одна атака может считаться несколько раз – по одному разу за каждый день.

Как и в прошлом квартале, самым популярным для DDoS днем оказался понедельник (16,5% атак), на втором месте – четверг (16,2%). Вторник, который в прошлом квартале занимал второе место, сдал свои позиции (с 16,4% до 13,4%) и стал последним по DDoS-активности днем недели.

Распределение DDoS-атак по дням недели

Типы и длительность DDoS-атак

Рейтинг методов DDoS-атак по популярности почти не меняется из квартала в квартал. Все так же наиболее часто применяемыми остаются SYN-DDoS, чья доля несколько снизилась в первом квартале 2016 года (с 57,0% до 54,9%) и TCP-DDoS, потерявший 0,7 п.п. Резко прибавил ICMP-DDoS, нарастивший долю до 9%, но расстановку топ-5 это не изменило.

Распределение DDoS-атак по типам

Отметим, что показатели UDP-DDoS снижаются уже в течение года. Со второго квартала 2015 года они снизились почти в 10 раз – с 11,1% до 1,5%.

По продолжительности так же, как и в прошлом отчетном периоде, около 70% атак приходится на кратковременные акции продолжительностью в 4 часа и менее. При этом существенно снизилась максимальная продолжительность атаки. Если в последнем квартале 2015 года была отмечена атака, длившаяся 333 часа, то в первом квартале 2016 года самая долгая зафиксированная нами атака закончилась уже через 197 часов.

Распределение DDoS-атак по длительности, часы

Командные серверы и типы ботнетов

В первом квартале 2016 года Южная Корея продолжает безоговорочно лидировать по числу серверов управления и контроля, расположенных на территории этой страны. Ее доля еще повысилась – с 59% за прошлый отчетный период до 67,6%.

Вторую строчку занял Китай, доля которого выросла с 8,3% до значительных 9,5%. В результате Китай вытеснил США на третье место (6,8% после 11,5% в четвертом квартале 2015 года). В топе стран по количеству C&C серверов впервые за наблюдаемый период оказалась Франция, что соотносится со статистикой по увеличившемуся количеству атак в этой стране.

Распределение командных серверов ботнетов по странам, Q1 2016

В первом квартале 2016 года для атак на 99,73% целей злоумышленники применяли ботов одного из семейств. Ботами двух разных семейств (используемых одним или несколькими исполнителями) в течение квартала были атакованы 0,25% мишеней. Для атак на 0,01% мишеней проводились при помощи ботов трех разных семейств. По-прежнему наиболее популярными семействами ботов остаются Sotdas, Xor и BillGates.

Соотношение атак с Windows- и Linux-ботнетов

В первом квартале 2016 года перевес в соотношении атак с Windows- и Linux-ботнетов оказался на стороне Windows-ботнетов. При этом уже третий квартал подряд разница по долям платформ остается примерно равной 10%.

Заключение

События первого квартала еще раз продемонстрировали тот факт, что злоумышленники не останавливаются на уже достигнутом и наращивают свои вычислительные ресурсы для осуществления DDoS-атак. Сценарии «усиления», де-факто ставшие стандартным инструментом для организации мощной атаки, эксплуатируют недостатки новых сетевых протоколов. При этом поводы для атак злодеи находят совершенно разные: от предвыборных кампаний и атак на ресурсы кандидатов, до «разборок» с другими участниками преступного сообщества и своими конкурентами на черном рынке. Нередки случаи, когда под DDoS-атакой оказываются организации, специализирующиеся на защите от этих атак. При этом, с учетом распространения уязвимых устройств и рабочих станций и обилия недостатков конфигурации на уровне приложения, снижается стоимость организации более-менее серьезной атаки. Поэтому нужна надежная защита, которая в случае заказной атаки сделает ее финансово нерентабельной для преступников.