По оценке Akamai Technologies, конец 2017 года оказался довольно спокойным для защитников от DDoS-атак. В сравнении с третьим кварталом суммарное количество таких инцидентов, зафиксированных по клиентской базе компании в октябре, ноябре и декабре, даже несколько уменьшилось — на доли процента. Число атак уровня приложений возросло на 115%, но их вклад в общий мусорный трафик по-прежнему составляет менее 1%.

Среди техник, используемых дидосерами, продолжают лидировать UDP flood с фрагментацией пакетов и DNS-атаки (33 и 19% от общего количества соответственно). DDoS, использующие открытые резолверы для отражения и усиления вредоносного потока, все еще актуальны: 54% DNS-серверов, просканированных экспертами в конце квартала, были признаны пригодными для использования в атаках с плечом из-за неправильной конфигурации.

На третью строчку в этом рейтинге поднялись CLDAP-атаки, доля которых возросла до 10%. Атаки с NTP-плечом (9%) опустились на четвертую позицию; в сравнении с третьим кварталом их показатель снизился на несколько процентных пунктов.

Число атак, в среднем приходящихся на одну мишень, за отчетный период сократилось до 29 против 36 в предыдущем квартале.

Изменения на DDoS-арене за квартал и за год Akamai суммировала следующим образом:

в сравнении с третьим кварталом 2017 года

  • общее число атак сократилось менее чем на 1%
  • количество атак сетевого уровня (3 и 4) уменьшилось на доли процента
  • количество DDoS с плечом уменьшилось на 3%
  • число атак прикладного уровня возросло на 115%

в сравнении с четвертым кварталом 2016 года

  • количество DDoS-инцидентов увеличилось на 14%
  • число атак сетевого уровня возросло на 14%
  • количество атак с плечом возросло на 4%
  • число атак уровня приложений возросло на 22%

Список стран-лидеров по исходящему DDoS-трафику вновь возглавила Германия, на долю которой в отчетный период пришлось 30% IP-адресов, задействованных в атаках. На вторую строчку поднялся Китай (28%), США заняли третье место, снизив свой показатель до 8%.

Больше прочих от DDoS, как и прежде, страдали игровые сайты, на которые в четвертом квартале было направлено 79% атак. За ними в нисходящем порядке следуют интернет-услуги и финансовый сервис, удвоившие свои показатели до 6 и 4% соответственно. Публикуя этот рейтинг, исследователи особо отметили резкий рост DDoS-активности в финансовом секторе; в отчетный период Akamai зафиксировала 298 атак против 37 разных организаций этой вертикали.

Mirai и его отпрыски

Атаки с IoT-ботнетов, построенных на основе модификаций DDoS-зловреда Mirai, в новом квартальном отчете Akamai рассмотрены отдельным пунктом. По данным компании, подобные производные все еще множатся и способны причинить немало вреда помимо DDoS-атак, в которых они пока не замечены.

Ярким примером иного использования Mirai-подобных ботов является массированная атака на Deutsche Telekom, проведенная в ноябре 2016 года. На тот момент наблюдатели из Akamai насчитали более 2,9 млн уникальных IP-адресов, сканирующих Интернет в поисках уязвимых роутеров по образу и подобию Mirai. Примечательно, что новообращенные боты не вовлекались в общий процесс, после заражения зловред попросту отключал их от Сети.

В конце ноября прошлого года эксперты вновь зафиксировали всплеск активности, ассоциируемой с Mirai. Как оказалось, он был связан с появлением новой модификации — Satori, вооруженной новым списком логинов и паролей для брутфорса, а также двумя эксплойтами, в том числе целевым для роутеров Huawei HG532. По данным Akamai, в новой Mirai-подобной кампании принимали участие около 900 тыс. IP-адресов, проводящих сканирование и атаки. Основная их масса имела египетскую прописку.

Бот-трафик

На этот раз исследователи впервые включили в отчет статистику по активности программ-ботов. В ноябре Akamai зарегистрировала 146 петабайт данных, переданных автоматизированными средствами, в декабре — 145 петабайт. По свидетельству экспертов, это эквивалентно трафику в 550 Мбит/с, или примерно 1,6% всего трафика, проходящего через сети компании.

Большая часть этой активности была легитимной и исходила в основном от поисковых роботов и приложений для мониторинга состояния сайтов. За вредоносную составляющую были отчасти ответственны DDoS-боты, но они последнее время все чаще перепрофилируются для взлома посредством брутфорса или похожим методом, известным как credential stuffing. В последнем случае атакующий бот не перебирает ходовые логины и пароли по словарю, а использует готовые списки краденых учетных данных.

За два месяца по клиентской базе Akamai было зафиксировано 17 млрд запросов на вход; 43% из них оказались результатом автоматизированной атаки. По словам авторов отчета, число подобных злоупотреблений на самом деле намного больше: представленная в отчете статистика охватывает лишь те сайты, на которых предусмотрен ввод email-адреса в качестве логина.

В минувшем квартале эксперты также наблюдали большое количество попыток использования багов удаленного исполнения кода в корпоративном ПО с целью построения ботнетов. Так, например, подобным атакам неоднократно подвергались устройства со встроенным HTTP-сервером GoAhead, коих ныне в Интернете не меньше полумиллиона. В конце года взломщики начали активно проверять на уязвимость серверы Oracle WebLogic, намереваясь скрытно использовать корпоративные мощности для майнинга криптовалюты.

«Расширение использования автоматизации и технологий извлечения данных вызвало стремительный рост бот-трафика на сайтах и интернет-сервисах, — комментирует Мартин МакКи (Martin McKeay), старший консультант по вопросам ИБ в Akamai. — Хотя большая часть этого трафика полезна для интернет-бизнеса, киберпреступники стремятся манипулировать мощной армией ботов в своих интересах. Предприятиям следует внимательно следить за доступом к сайтам и различать людей и боты, будь они легитимные или вредоносные. Далеко не весь веб-трафик одинаков, и бот боту рознь».

Полнотекстовая версия квартального отчета Akamai доступна на сайте компании (требуется регистрация).

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное