Специалисты Akamai Technologies по защите от DDoS выявили три новых вектора атак, проводимых по методу отражения. В качестве посредников, направляющих мусорный поток на мишень, злоумышленники начали использовать NS-серверы NetBIOS, RPC-сервисы контроллера домена, подключаемые через динамический порт, а также Sentinel — серверы для хранения данных производства Western Digital.

«Хотя DDoS с отражением давно не новость, в данном случае злоумышленники используют три разные службы, что наглядно демонстрирует неутомимый поиск новых интернет-ресурсов, пригодных для атаки, — отметил Стюарт Шолли (Stuart Scholly), первый вице-президент и руководитель ИБ-разработок Akamai для бизнеса. — Похоже, ни один UDP-сервис не застрахован от злоупотреблений со стороны дидосеров, посему системным администраторам следует отключать ненужные службы или хорошо защищать их от злонамеренного использования. Число сервисов UDP, открытых для абьюзов, в Интернете огромно».

Примечательно, что все три новых варианта DDoS с плечом используют схожие инструменты — все они являются производными одного и того же С-кода. В каждом случае атака проводится с помощью скрипта, который подает поддельный запрос на все невольные отражатели по списку. Наборы команд при этом тоже одинаковы.

Отдельные DDoS с отражением через NetBIOS-серверы эксперты наблюдали с марта по июль включительно. NetBIOS позволяет приложениям на разных компьютерах взаимодействовать и инициировать сессии для получения доступа к совместно используемым ресурсам, а также отыскивать друг друга в локальной сети. Использование NetBIOS в DDoS-атаках, по свидетельству Akamai, позволяет усилить мусорный трафик в 2,56–3,85 раза. За указанный период эксперты зафиксировали четыре атаки с NetBIOS-плечом, самая мощная на пике показала 15,7 Гбит/с.

Использование PRC было впервые обнаружено в минувшем августе, в ходе мультивекторной DDoS. Подключение клиентов к PRC-сервисам контроллера домена обеспечивает механизм, известный как endpoint mapper, который назначает клиенту конкретные порты. Использование PRC, по данным Akamai, обеспечивает дидосерам коэффициент усиления 9,65, хотя был случай, когда он достиг 50,53. Из четырех DDoS-атак с использованием PRC, отраженных Akamai, одна превысила 100 Гбит/с. В сентябре эксперты фиксировали отраженные вредоносные запросы почти ежедневно.

Первая DDoS с использованием Sentinel была проведена в июне, ее мишенью являлся Стокгольмский университет. Тогда же была обнаружена уязвимость на сервере лицензий, использующем пакет статистического ПО. В сентябре Akamai довелось отражать две такие DDoS-атаки. Коэффициент усиления для Sentinel-атак составляет 42,94, всего удалось выявить 745 уязвимых серверов. Максимальная мощность отраженных DDoS в данном случае составила 11,7 Гбит/с.

Для защиты от новых видов DDoS Akamai рекомендует по возможности применять фильтры, установленные на стороне вышестоящего провайдера, или воспользоваться облачными услугами. Более подробно новые находки Akamai представлены в информационном бюллетене, доступном на сайте компании (требуется регистрация).

Категории: DoS-атаки