DDoS-атаки в четвертом квартале 2018 года

Обзор новостей

В четвертом квартале 2018 года исследователи безопасности обнаружили ряд новых ботнетов, среди которых для разнообразия оказались не только клоны Mirai. Осенью активизировался бот Chalubo, чьи первые атаки были зарегистрированы еще в конце августа. Хотя в новом зловреде применяются фрагменты кода Mirai и те же технические приемы персистентности, что и в семействе ботов Xor.DDoS, по большей части Chalubo представляет собой свежий продукт, предназначенный исключительно для DDoS-атак (например, один из обнаруженных образцов «отвечал» за организацию SYN-флуда). В октябре Chalubo стал чаще встречаться «в дикой природе»; исследователям удалось обнаружить версии, предназначенные для различных архитектур (32- и 64-битные ARM, x86, x86_64, MIPS, MIPSEL, PowerPC), что с высокой вероятностью свидетельствует об окончании тестового периода.

Кроме того, в октябре были опубликованы сведения о новом ботнете Torii, который специалисты Avast обнаружили месяцем раньше. Ботнет нацелен на широкий спектр IoT-устройств и архитектур. Его код значительно отличается от Mirai, зловред более скрытен и лучше обеспечивает свою персистентность — а потому обещает быть гораздо опаснее. Зловред собирает и отправляет на командный сервер подробную информацию о зараженных устройствах, включая имя хоста и идентификатор процессов, однако с какой целью он это делает, пока не ясно. DDoS-атак с ботнетами на базе Torii обнаружено не было, но специалисты считают, что все еще впереди.

Еще один описанный в прошедшем квартале бот получил прозвище DemonBot и примечателен тем, что захватывает аналитические кластеры Hadoop, используя уязвимость в механизме выполнения удаленных команд Hadoop YARN. Этот бот не слишком сложен технически, однако опасен выбором мишени: кластеры Hadoop имеют в своем распоряжение значительные мощности, поскольку предназначены для обработки больших данных. К тому же благодаря своей интеграции в облако они способны значительно усиливать DDoS-атаки. В настоящее время компания Radware наблюдает за 70 активными серверами, которые выполняют до 1 млн заражений в сутки. DemonBot совместим не только с Hadoop-кластерами, но и с большинством IoT-устройств, что позволяет легко перенацелить его на более многочисленные мишени.

В прошедшем квартале эксперты предупредили не только о новых ботнетах, но и о новых механизмах атаки. Так, в начале зимы выяснилось, что FragmentSmack можно использовать шире, чем полагали раньше. Эта атака эксплуатирует уязвимость в стеке IP, которая позволяет отправлять бракованные пакеты под видом фрагментов более крупного сообщения. В результате атакованный ресурс пытается собрать эти пакеты в один или составляет их в бесконечную очередь, затрачивает на это все вычислительные мощности и оказывается не в состоянии обрабатывать легитимные запросы. Механизм FragmentSmack считался опасным только для систем Linux, однако в декабре исследователи из Финляндии выяснили, что он прекрасно работает и против версий Windows 7, 8.1 и 10, Windows Server и 90 продуктов Cisco.

Еще один перспективный для злоумышленников метод атаки использует протокол CoAP, одобренный для широкого применения в 2014 году. Он предназначен для связи между устройствами с небольшим количеством памяти и идеально подходит для интернета вещей. Поскольку CoAP создан на базе UDP-протокола, он обладает всеми «родимыми пятнами» последнего, а значит, очень легко может быть использован для усиления DDoS-атак. До сих пор это не представляло значительных проблем, однако, как предупреждают специалисты, с ноября 2017 по ноябрь 2018 года количество использующих CoAP устройств увеличилось почти в 100 раз — и это уже серьезный повод для беспокойства.

Помимо новых потенциальных средств для организации атак, в конце 2018 года появилась и новая платформа для запуска DDoS под названием 0x-booter. Впервые обнаруженный 17 октября 2018 года сервис способен поддерживать атаки мощностью до 420 Гб/с на базе чуть более 16 тыс. ботов, зараженных зловредом Bushido IoT — одной из модифицированных версий Mirai. Платформа, скомпилированная на основе кода аналогичного сервиса, опасна своей простотой, дешевизной и сравнительной мощностью: за очень небольшую сумму (от 20 до 150 долл. США) любой желающий может с помощью нехитрого интерфейса запустить атаку одного из нескольких типов против выбранной мишени. Согласно анализу исследователей, лишь за вторую половину октября сервис был использован для более чем 300 DDoS-атак.

Именно с помощью подобных ресурсов в течение всего октября велась мощная DDoS-кампания против японского производителя игр Square Enix. Ее первая волна пришлась на начало месяца, одновременно с нападением на их французских коллег, компанию Ubisoft (похоже, злоумышленники приурочили атаку к выпуску Assassin’s Creed Odyssey 4 октября). Вторая волна пришла парой недель позже. Из-за атак сервис вынужден был несколько раз прерывать обслуживание пользователей на срок до 20 часов.

В остальном же конец года отмечен не столько громкими DDoS-атаками, сколько попытками снизить их частоту. С подачи ученых-исследователей кибербезопасности Совет по международным отношениям (CFR) США призвал к созданию международной ассоциации, которая займется сокращением числа ботнетов. По задумке, к инициативе должны примкнуть не только правительственные, но и частные организации.

Не дремлют и правоохранительные органы. Так, в октябре гражданина США Остина Томпсона (Austin Thompson) признали виновным в организации ряда DDOS-атак в период с 2013 по 2014 год. В числе его жертв как игровые стримеры, так и крупный «геймдев» — компании EA, Sony, Microsoft и другие.

В начале декабря молодой британец Джордж Дюк-Коэн (George Duke-Cohan), организовавший DDoS-атаки на ИТ-блоггера Брайана Креббса (Brian Krebbs), конференцию экспертов безопасности DEF CON и государственные организации в нескольких странах, был приговорен суммарно к трем годам тюрьмы — правда, пока не за эти инциденты, а за ложные сообщения о бомбах в многочисленных учебных заведениях в Великобритании и аэропорту в Сан-Франциско. Возможно, дальнейшие обвинения против него будут выдвинуты в США.

Кроме того, уже под самое католическое рождество ФБР пресекло деятельность 15 сайтов, предлагающих услуги DDoS-as-a-Service, параллельно арестовав трех подозреваемых, связанных с этими сайтами. Эта операция интересна тем, что многие из ликвидированных доменов долгое время не попадали в поле зрения правоохранительных органов, поскольку рекламировали себя как тестовые сайты, с помощью которых якобы можно проверить, насколько хорошо ведет себя под нагрузкой ваш собственный ресурс. Как ФБР удалось определить, ряд сервисов участвовали, в частности, в недавних атаках на игровые порталы.

Тенденции квартала и года

В 2018 году замеченная нами DDoS-активность снизилась примерно на 13% по сравнению с предыдущим годом. Уменьшение количества атак относительно аналогичного периода наблюдалось в каждом квартале, кроме третьего, который обогнал Q3 2017 за счет аномально активного сентября. Сильнее всего показатели просели в четвертом квартале, количество атак составило 70% от того же показателя 2017 года.

Поквартальное сравнение количества DDoS-атак, отраженных службой Kaspersky DDoS Protection в 2017–2018 гг. (за 100% принято количество атак в 2017 г.)

Средняя продолжительность атак во втором полугодии продолжает расти и уже успела увеличиться более чем вдвое по сравнению с началом года: в первом квартале она составляла 95 минут, в четвертом — 218.

По типу атак с большим отрывом лидируют разного рода UDP-флуды, что отражено в наших отчетах за последние несколько кварталов. Однако если сравнивать атаки по их продолжительности, ситуация совсем иная: первое место у HTTP-флудов или смешанных атак с HTTP-компонентом — на их долю приходится около 80% всего времени активности DDoS-атак. И наоборот, UDP-атаки, которые мы наблюдали в этом году, редко длятся более 5 минут.

Распределение продолжительности атак по типам, 2018 г.

Все это косвенно указывает на то, что рынок бесхитростных и простых в организации атак продолжает сжиматься, как мы и предсказывали ранее. Целесообразность стандартных DDoS-нападений сведена почти к нулю: защита от UDP-флуда давно отработана, а необходимые технические ресурсы почти всегда выгоднее использовать иначе — например, для майнинга криптовалюты.

Большое число кратковременных атак такого рода можно интерпретировать как регулярные тестовые пробы (а вдруг повезет, и мишень по каким-то причинам не защищена). В течение нескольких минут злоумышленникам становится понятно, что атаковать имеющимися средствами бесполезно, и нападение отзывается.

При этом более сложные атаки, такие как HTTP-флуд, требующие долгой и непростой подготовки, остаются популярными, а их продолжительность только растет.

Высока вероятность, что эти тенденции продолжат развиваться и в 2019 году: общее число нападений будет падать на фоне роста продолжительности, мощности и эффективности продуманных целенаправленных атак. Возможен и общий рост профессионализма: в условиях, когда большинство ресурсов даже не замечают примитивные попытки нарушить их работу, организаторам придется повышать свой технический уровень, а заказчикам — искать более профессиональных исполнителей.

Статистика

Методология

Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2018 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

• Страной, в которой проводится больше всего DDoS-атак, остается Китай, однако его доля снизилась весьма значительно, с 77,67% до 50,43%. На втором месте по-прежнему США (24,90%), на третьем — Австралия (4,5 %). Десятку лидеров покинули Россия и Сингапур, зато в нее вошли Бразилия (2,89%) и Саудовская Аравия (1,57%).
• В географическом распределении мишеней лидерами остаются Китай (43,26%), США (29,14%) и Австралия (5,91%). При этом доля Китая значительно сократилась, а доли всех остальных стран в первой десятке — выросли.
• Больше всего атак с помощью ботнетов в прошедшем квартале осуществлялось в октябре; праздничные и предпраздничные периоды оказались спокойнее. Кроме того, доля атак возрастала к середине и снижалась к концу недели.
• В четвертом квартале состоялась самая длительная за последние несколько лет атака продолжительностью почти 16 дней (329 часов). В целом доля коротких атак несколько уменьшилась, однако колебания были незначительны.
• Серьезно выросла доля UDP-флуда — почти до трети (31,1%) от всех атак. На первом месте, однако, по-прежнему остается SYN-флуд (58,2%).
• В связи с ростом числа командных серверов Mirai увеличились доли США (43,48%), Великобритании (7,88%) и Нидерландов (6,79%) в распределении.

География атак

В последнем квартале 2018 года больше всего DDoS-атак по-прежнему приходилось на Китай. Однако доля этой страны сократилась более чем на 20 п. п.: с 77,67% до 50,43%.

Доля США, занявших второе место, наоборот, выросла практически вдвое и составила 24,90%. На третьей позиции, как и в прошлом квартале, оказалась Австралия. Ее доля тоже увеличилась почти в два раза: с 2,27% до 4,5%. Доля Гонконга выросла совсем ненамного, с 1,74% до 1,84%, он опустился на шестое место, уступив четвертую позицию Бразилии. Последняя до сих пор отличалась весьма скромными показателями, однако в этом квартале ее доля составила 2,89%.

Неожиданным новичком рейтинга стала Саудовская Аравия, доля которой увеличилась до 1,57%, чего хватило для попадания на седьмое место. Вне TOP 10 в этот раз оказались Россия и Сингапур. Южная Корея, которая несколько лет подряд занимала места в первой тройке, но в третьем квартале опустилась на 11-е, не вернулась в ТОР 10, а оказалась еще ниже — двадцать пятой.

Доли прочих участников ТОР 10 также выросли по сравнению с летом и началом осени. То же самое касается и общей доли стран, находящихся ниже десятого места, — она увеличилась на целых 5 п. п., с 2,83% до 7,90%.

Распределение DDoS-атак по странам, Q3 и Q4 2018 г.

Распределение целей по странам соответствует картине распределения числа атак: лидер все еще Китай, однако его доля снизилась чуть более чем на 27 п. п. — с 70,58% до 43,26%. США по-прежнему на втором месте, причем их доля, наоборот, выросла: с 17,05% до 29,14%. Третьей остается Австралия, так же с увеличившейся (до 5,9%) долей.

При этом первую десятку покинули ее «завсегдатаи» — Южная Корея и Россия; так же, как и в рейтинге числа атак, они стали 25-й и 17-й соответственно. Вместо них вверх поднялись Бразилия (2,73%) и Саудовская Аравия (2,23%), причем первая сразу на четвертое место, а вторая — на пятое. Доли всех остальных стран, как и в предыдущем рейтинге, также несколько выросли. Более чем двукратный рост наблюдается для Канады (с 1,09% до 2,21%); предыдущие несколько кварталов результаты этой страны колебались в районе 1%, не превышая 1,5%.

Доля же стран, не входящих в первую десятку, выросла почти в три раза: с 3,64% до 9,32%.

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2018 г.

Динамика числа DDoS-атак

Большинство пиков атак пришлось на начало квартала (октябрь), и еще один небольшой всплеск активности наблюдался в начале декабря. В отличие от прошлого года, ярко выраженных обострений в связи с осенними и зимними праздниками обнаружено не было — скорее, наоборот: на послепраздничные даты пришлись более тихие периоды. Самыми бурными днями оказались 16 и 18 октября, 4 декабря. Самым спокойным днем стало 27 декабря.

Динамика числа DDoS-атак в Q4 2018 г.

Если в третьем квартале атаки распределялись по дням недели относительно равномерно, то в четвертом различия были заметнее. Самым тихим днем оказалось воскресенье (12,02% атак), а самым активным — четверг: на середину недели пришлось 15,74% DDoS-атак. Здесь можно увидеть некоторую корреляцию с результатами распределения атак по датам: и выходные, и праздники в предыдущем квартале были спокойнее.

Распределение DDoS-атак по дням недели, Q3 и Q4 2018 г.

Длительность и типы DDoS-атак

Самая длительная из отслеженных нами атак в четвертом квартале продолжалась 329 часов (почти 14 суток). Результат едва ли не рекордный: последний раз более долгая атака регистрировалась нами только в конце 2015 года. Кроме того, это примерно в полтора раза дольше, чем самая продолжительная атака прошлого квартала — 239 часов (около 10 суток).

Общая доля атак длиннее 140 часов в прошедшем квартале выросла лишь незначительно, на 0,01 п. п., и составила 0,11%. Доля относительно длительных атак (от 50 до 139 часов) также увеличилась, с 0,59% до 1,15%. Однако наиболее значительный рост отмечен в категории атак от 5 до 9 часов: с 5,49% до 9,40%.

Соответственно, доля коротких атак длительностью менее 4 часов несколько уменьшилась — до 83,34%. Для сравнения, в третьем квартале на нее приходилось 86,94% всех атак.

Распределение DDoS-атак по длительности, часы, Q3 и Q4 2018 г.

Распределение атак по типам в прошедшем квартале претерпело довольно серьезные изменения. SYN-флуд по-прежнему остается самым популярным, однако его доля уменьшилась с 83,20% до 58,20%. За счет этого доля UDP-флуда возросла, и теперь он составил почти треть всех видов DDoS-атак (31,10%) вместо более скромных 11,90% в третьем квартале.

На третьей позиции оказался TCP-флуд, чья доля также выросла — до 8,40%. Доля атак через HTTP сократилась до 2,20%. На последнем месте снова ICMP-флуд, чья доля снизилась до 0,10%.

Распределение DDoS-атак по типам, Q4 2018 г.

Соотношение Windows- и Linux- ботнетов почти не изменилось по сравнению с третьим кварталом. Доля Linux-ботнетов чуть выросла, достигнув 97,11%. Соответственно, доля Windows-ботнетов потеряла те же 1,25 п. п. и составила 2,89%.

Соотношение атак Windows- и Linux-ботнетов, Q3 и Q4 2018 г.

Географическое распределение ботнетов

Лидером по размещению командных серверов ботнетов по-прежнему остаются США, их доля даже выросла с 37,31% до 43,48%. Второе место перешло от России (4,08%), которая спустилась на седьмую позицию, к Великобритании (7,88%). На третьем месте оказались Нидерланды, чья доля увеличилась с 2,24% до 6,79%. Что характерно, весь этот рост был обусловлен ростом числа командных серверов Mirai.

Десятку самых богатых на ботнеты стран покинули Италия и Чехия, зато в нее вошли Германия (5,43%) и Румыния (3,26%). Китай продолжает терять позиции, в четвертом квартале он оказался на последнем, десятом месте рейтинга (2,72%).

Распределение командных серверов ботнетов по странам, Q4 2018 г.

Заключение

Вот уже третий квартал подряд продолжаются перестановки в первых десятках распределения стран по количеству атак, целей и командных серверов ботнетов. DDoS-активность растет там, где она до этого оставалась сравнительно низкой, и снижается в странах, которые мы уже привыкли видеть на первых строчках статистических отчетов. Вполне вероятно, что это объясняется успехами правоохранительных органов и другими инициативами по борьбе с ботнетами. Другой причиной может быть появление более широких каналов связи и лучшей инфраструктуры в регионах, где раньше организовывать DDoS-атаки было затруднительно.

Если тенденция продолжится, в следующем квартале можно ожидать появления других неожиданных «гостей» в наших ТОР 10 и, в перспективе, возможно, большего выравнивания долей разных стран.