Отчеты о DDoS-атаках

DDoS-атаки в четвертом квартале 2016 года

Обзор новостей

Вне всякого сомнения, 2016 год стал годом DDoS-атак, приведших к крупным техническим сбоям, масштабных и оказавших заметное влияние на повседневную жизнь пользователей. Закончился год беспрецедентными по масштабам DDoS-атаками с использованием ботнета Mirai, о первом появлении которого говорилось в нашем последнем отчете «DDoS-атаки в третьем квартале 2016 года».

С тех пор мы опубликовали несколько подробных отчетов о массированных атаках на инфраструктуру компании Dyn, предоставляющей услуги динамического сервера доменных имён DynDNS, а также на маршрутизаторы крупнейшего телекоммуникационного оператора Германии Deutsche Telekom в ноябре 2016 года, в результате которой у 900 тысяч клиентов в Германии возникли проблемы с доступом в интернет. Кроме того, мы зафиксировали аналогичные атаки на интернет-провайдеров в Ирландии, Великобритании и Либерии. Во всех случаях в атаки были вовлечены IoT-устройства, контролируемые ботнетом Mirai; в некоторых случаях атаки были направлены на домашние маршрутизаторы с целью создания новых ботнетов.

Американский Институт критических инфраструктурных технологий опубликовал свое исследование этой серии атак под названием «Восстание машин«. Звучит довольно громко, но хорошо отражает тот факт, что эксперты по всему миру, в частности в США и в Евросоюзе, признают недостатки в системе безопасности, заложенной в IoT-устройства на этапе проектирования, и говорят о необходимости организовать общую экосистему безопасности для IoT-устройств. Надо признать, весьма своевременно – мы полагаем, что в 2017 году появятся новые модификации ботнета Mirai, и в целом ожидаем рост активности ботнетов, заражающих IoT-устройства.

В целом DDoS-атаки, которые мы наблюдали по сегодняшний день – это лишь «цветочки». Различные злонамеренные агенты ещё только начали прилагать усилия, чтобы собрать из IoT-устройств собственные ботнеты, опробовать технологию Mirai и разработать векторы атак. Ярким примером тому являются ноябрьские DDoS-атаки на пять крупных российских банков

Во-первых, эти DDoS-атаки показывают еще раз, что в четвертом квартале наибольшему риску подвергались финансовые сервисы (и вероятно, эта ситуация не изменится в течение 2017 года), такие как торговля биткойнами, блокчейн-платформы CoinSecure в Индии и BTC-e в Болгарии, или крупный британский букмекерский сайт William Hill.

Во-вторых, киберпреступники научились организовывать и проводить очень сложные, тщательно спланированные, постоянно меняющиеся многовекторные DDoS-атаки, адаптированные под политику безопасности и размеры инфраструктуры атакуемой организации. Согласно нашему анализу, в нескольких других случаях, которые мы отследили в 2016 году, киберпреступники начинали с сочетания нескольких разных векторов атак, понемногу прощупывая банковские сети и веб-сервисы и находя слабые точки, давление на которые позволило бы вызвать отказ сервисов. Когда банки внедряли системы защиты от DDoS-атак и прочие контрмеры, векторы атак менялись в течение нескольких дней.

В целом видно, что в 2016 году ландшафт DDoS-угроз перешел на следующий этап развития – в дело вступили новые технологии, крупные атакующие мощности, а также высококвалифицированные профессиональные киберпреступники. К сожалению, эта тенденция еще не учтена в политиках кибербезопасности многих организаций, которые еще не готовы инвестировать (или не уверены в необходимости инвестиций) в сервисы защиты от DDoS-атак.

Четыре тенденции 2016 года

В течение 2016 года рынок DDoS-атак значительно изменялся и развивался, в частности мы выделили четыре основные тенденции:

  1. Отказ от атак типа Amplification. Метод атак с усилением далеко не нов, и способы отражения подобных атак хорошо известны и отработаны, но атаки такого типа оставались весьма популярными в первом полугодии 2016 года. При этом, однако, их количество и объёмы постоянно снижались. В конце 2016 года мы наблюдали практически полный отказ злоумышленников от использования атак типа Amplification – тенденцию к этому мы наблюдали на протяжении последних лет. Связано это, во-первых, с развитием подходов к отражению атак подобного рода. А, во-вторых, с сокращением доступных злоумышленникам уязвимых хостов-отражателей (особенно хорошо это видно на примере атак DNS Amplification) – ведь владельцы хостов, используемых для усиления, несут убытки и испытывают проблемы с работоспособностью ресурсов, т.е. вынуждены обращать внимание на эту проблему и искать способы закрытия уязвимостей.
  2. Рост популярности атак на приложение, рост числа таких атак с использованием шифрования. Последние несколько лет несомненным лидером на рынке DDoS-атак являлись атаки UDP Amplification, тогда как атаки на приложение оставались относительно редкими. Во втором полугодии и особенно в четвертом квартале 2016 года наблюдался резкий рост популярности атак на приложение, которые занимали нишу, освобождаемую атаками с усилением. Для организации таких атак используются как давно существующие и испытанные средства (Pandora, Drive, LOIC/HOIC), так и новые разработки. На фоне роста атак на приложение прослеживается тенденция увеличения количества таких атак с использованием шифрования. Использование шифрования в большинстве случаев резко повышает эффективность атак и усложняет задачу по их фильтрации. Кроме того, злоумышленники по-прежнему используют комплексный подход, маскируя небольшую, но эффективную атаку на приложение одновременным проведение какой-либо объёмной атаки, например, за атакой, представляющей собой большое количество коротких сетевых пакетов (короткопакетный TCP flood).
  3. Рост популярности атак типа WordPress Pingback. Атаки типа WordPress Pingback, крайне редкие в начале 2016 года, в четвертом квартале завоевали достаточно объёмный сегмент рынка DDoS-атак. В настоящее время это одни из самых популярных методов атак на приложение, что позволяет выделить его и рассматривать отдельно от общей массы атак уровня приложения. При относительной простоте организации, «отпечаток» подобной атаки весьма характерен, и её трафик относительно просто может быть отделён от общего потока. Однако возможность ведения такой атаки с использованием шифрования, что наблюдалось специалистами «Лаборатории Касперского» в четвертом квартале 2016 года, сильно усложняет фильтрацию, и увеличивает вредоносный потенциал атак такого типа.
  4. Использование IoT-ботнетов для проведения DDoS-атак. После публикации 24 октября на ресурсе github кода , специалисты «Лаборатории Касперского» наблюдали взрыв интереса злоумышленников к IoT-устройствам и, в частности, к организации на их основе ботнетов для проведения DDoS-атак. Принципы и подходы, продемонстрированные создателями бота Mirai, легли в основу большого количества нового вредоносного кода и ботнетов, состоящих из IoT-устройств. Именно такие ботнеты использовались, для многочисленных атак на российские банки в четвертом квартале 2016 года. В отличие от классических, ботнеты на основе IoT-устройств отличаются огромными объёмом и потенциалом, что продемонстрировала резонансная атака на DNS провайдера DYN, косвенно повлиявшая на работу многих крупнейших ресурсов Сети (например, Twitter, Airbnb, CNN и многих других).

Статистика DDoS-атак с использованием ботнетов

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе и DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Prevention и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля, и не требует при этом ни заражения каких-либо пользовательских устройств, ни реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2016 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае, если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, но произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского»». Следует также иметь в виду, что ботнеты – лишь один из инструментов осуществления DDoS-атак, и представленные в данном отчете данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

  • В четвертом квартале 2016 года были зафиксированы DDoS-атаки по целям, расположенным в 80 странах мира (в третьем квартале 2016 года – в 67 странах).
  • 71,6% атак в четвертом квартале собрали цели, расположенные на территории Китая.
  • Тройку лидеров по количеству DDoS-атак, количеству целей и числу обнаруженных командных серверов, как и раньше, составляют Южная Корея, Китай и США.
  • Наиболее продолжительная DDoS-атака четвертого квартала 2016 года длилась 292 часа (12,2 дня), что значительно выше рекорда третьего квартала (184 час, или 7,7 дня), и является рекордом всего 2016 года.
  • Самыми популярными методами атак по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS. При этом доля SYN-DDoS в распределении методов атак снизилась на 5,7 п.п., а доли TCP и HTTP заметно выросли.
  • В четвертом квартале 2016 года доля Linux-ботнетов немного уменьшилась, и составила 76,7% от всех проведенных атак.

География атак

В четвертом квартале 2016 года DDoS-атаки были зафиксированы в 80 странах, на долю Китая пришлось 76,97% из них, что на 4,4 п.п. выше, чем за предыдущий квартал. США в этом квартале собрали 7,3% атак, третье место по-прежнему занимает Южная Корея с 7% атак.

В десятке лидеров, поделивших между собой 96,9% атак, появилась Канада (0,8%), вытеснившая Италию, а Россия (1,75%) поднялась с пятого на четвертое место за счет уменьшения доли Вьетнама на 0,6 п.п.

DDoS-атаки в четвертом квартале 2016 года

Распределение DDoS-атак по странам, Q3 2016 и Q4 2016

В четвертом квартале 2016 года на мишени в первой десятке стран пришлось 96,3% DDoS-атак.

DDoS-атаки в четвертом квартале 2016 года

Распределение уникальных мишеней DDoS-атак по странам, Q3 2016 и Q4 2016

По целям, расположенным на территории Китая, было проведено 71,6% атак, что на 9 п.п. выше, чем в третьем квартале. В Южной Корее отмечен небольшой рост числа целей (на 0,7 п.п.), а вот целям в США досталось на 9,7 п.п. меньше DDoS-атак (9% против 18,7% в третьем квартале).

Доли других стран из TOP 10 почти не изменились, лишь Япония потеряла 1 п.п., при этом TOP 10 покинули Италия и Нидерланды, на смену которым пришли Германия (0,56%) и Канада (0,77%).

Динамика числа DDoS-атак

Распределение атак по дням четвертого квартала 2016 года относительно равномерно, с резким пиком в районе 5 ноября, когда было отмечено наибольшее число атак (1915 атак), что является наиболее высоким показателем за весь 2016 год. Самым спокойным днем четвертого квартала было 23 ноября, когда произошло 90 атак, однако уже 25 ноября активность злоумышленников резко выросла до 981 атаки.

DDoS-атаки в четвертом квартале 2016 года

Динамика числа DDoS-атак*, Q4 2016

*В связи с тем что DDoS-атаки могут продолжаться непрерывно несколько дней, в таймлайне одна атака может считаться несколько раз – по одному разу за каждый день.

В четвертом квартале злоумышленники меньше всего отдыхали в субботу – на нее пришлось 18,2% атак, за ней с отрывом в 1,7 п.п. идет пятница, а днем наименьшей DDoS-активности стал понедельник (11,6% атак).

DDoS-атаки в четвертом квартале 2016 года

Распределение DDoS-атак по дням недели, Q3 и Q4 2016

Типы и длительность DDoS-атак

Как и прежде, в распределении атак по типам с большим отрывом лидирует SYN-DDOS с долей 75,3%, что, однако, на 5,7 п.п. ниже, чем в третьем квартале. Немного увеличились доли TCP-DDoS (с 8,2% до 10,7%) и ICMP-DDoS (с 1,7% до 2,2%), доля UDP практически не изменилась.

DDoS-атаки в четвертом квартале 2016 года

Распределение DDoS-атак по типам, Q3 и Q4 2016

Распределение по продолжительности атак в конце 2016 года постоянством не отличалось. Доля коротких атак по 4 часа или меньше осталась почти той же, что и в предыдущем квартале, снизившись лишь на 1,56 п.п., а вот остальные доли существенно поменялись.

Так, атаки, продолжавшиеся от 5 до 9 часов, нарастили свою долю с 14,49% до 19,28%, атаки от 10 до 19 часов потеряли 1,3 п.п, атаки длительностью от 20 до 49 просели уже на 3,35 п.п, и очень значительно снизилась доля атак, шедших от 50 до 99 часов – их доля в четвертом квартале составила 0,94% против 3,46% в третьем квартале 2016 года. Атаки в 100-150 часов повысили свою долю до 2,2%, то есть таких атак в четвертом квартале было отмечено вдвое больше, чем атак от 50 до 99 часов. Атак дольше 150 часов по-прежнему отмечается очень мало.

Рекорд по продолжительности атак в четвертом квартале составил 292 часа, что на 8 часов дольше, чем самая длительная атака третьего квартала, и является наибольшей продолжительностью атаки за весь 2016 год.

DDoS-атаки в четвертом квартале 2016 года

Распределение DDoS-атак по длительности (в часах), Q3 и Q4 2016

Командные серверы и типы ботнетов

Большая часть (59,06%) обнаруженных в четвертом квартале 2016 года серверов управления и контроля находится на территории Южной Кореи, что на 13,3 п.п. выше, чем в третьем квартале, но все-таки не дотягивает до доли, отмеченной во втором квартале (69,6%). Южная Корея, Китай (8,72%) и США (8,39%) по-прежнему лидируют по этому показателю с большим отрывом, на их суммарную долю пришлось 76,1% серверов управления и контроля, что на 8,4 п.п. выше, чем в третьем квартале.

В первой десятке продолжает оставаться тройка западноевропейских стран (Нидерланды, Великобритания и Франция), вошедших туда в третьем квартале. Их доли составили 7,4%, 1,3% и 1,7% соответственно. Также в этом квартале в десятку попали Болгария (6%) и Япония (1,3%).

DDoS-атаки в четвертом квартале 2016 года

Распределение командных серверов ботнетов по странам, Q4 2016

Что касается распределения по операционным системам, то тут обошлось без неожиданностей. По-прежнему с большим отрывом лидируют Linux-боты с показателем 76,7%, что на 2,2 п.п. ниже, чем в прошлом квартале. Это коррелирует со снижением доли SYN-DDoS, для которого инструменты под Linux наиболее распространены.

Прогнозируемый рост популярности использования для DDoS-атак «интернета вещей» позволяет предположить, что в 2017 году баланс будет сдвигаться в сторону Linux, так как именно на этой операционной системе построены большинство подключаемых к интернету устройств.

DDoS-атаки в четвертом квартале 2016 года

Соотношение атак с Windows- и Linux-ботнетов, Q3 и Q4 2016

99,7% атак в четвертом квартале 2016 года проводилось с помощью ботов одного семейства, и лишь в 0,3% случаев злоумышленники комбинировали боты разных семейств в атаке по одной цели.

Выводы и прогнозы

В 2017 году можно ожидать продолжения падения доли Amplification-атак, особенно популярных типов (DNS, NTP). При этом, учитывая простоту и низкую цену их организации, возможна некоторая активность применения техники Amplification по менее популярным протоколам, пригодным для отражения с усилением (RIP, SSDP, LDAP и пр.), хотя весьма сомнительно, что такие атаки будут демонстрировать хоть сколько-то высокую эффективность.

Количество и сложность атак на приложение продолжит расти. Учитывая возвращения интереса злоумышленников к такому типу атак и застой в этом сегменте в предыдущие несколько лет, можно предположить постепенный отказ от старых ботнетов и появление чего-то нового, например, ботов, позволяющих проводить более сложные атаки. Тенденция на использование шифрования при атаках на приложение должна сохраниться.

Атаки типа WordPress Pingback останутся популярными. Хотя в новых версиях CMS WordPress уязвимость, используемая для организация таких атак (а именно включенная по умолчанию функция Pingback в старых версиях CMS), была закрыта разработчиками достаточно давно, в Сети всё ещё сохраняется большое количество уязвимых хостов. С одной стороны, число их со временем будет сокращаться, уменьшая количество и мощность атак типа WordPress Pingback. С другой стороны, относительная простота и низкая стоимость организации таких атак, а также возможность использования шифрования, делает атаки типа WordPress Pingback привлекательными для непритязательных злоумышленников.

Ботнеты на основе IoT-устройств продолжат расти. Во многом это связано с новизной как концепции IoT в целом, так и использования IoT-устройств злоумышленниками. Можно предположить, что в четвертом квартале 2016 года мы видели только зарождение нового сегмента рынка, который в 2017 году будет расти и развиваться. Потенциал этого роста оценить трудно: до настоящего времени производители IoT-устройств слабо интересовались защитой выпускаемой ими продукции. Даже если предположить, что все новые выходящие на рынок IoT-устройства будут идеально защищены от атак злоумышленников (что само по себе достаточно сомнительно), текущий объём имеющих доступ в интернет уязвимых IoT-устройств весьма значителен. Достаточно быстро, через несколько месяцев после появления концепции злоумышленники смогли продемонстрировать использование ботнетов доселе невиданных размеров и провести атаки такого объёма, который ранее считался возможным только в теории. При этом сами устройства обладают потенциалом, достаточным для организации атак любой сложности. Сейчас, в соответствии с тенденциями, это атаки на приложение, в том числе с использованием шифрования. Учитывая крайне высокую эффективность и огромный потенциал атак с помощью ботнетов из IoT-устройств, в 2017 году можно прогнозировать рост как количества таких атак, так и их объёмов и сложности.

DDoS-атаки в четвертом квартале 2016 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике