Анализируя недавнюю DDoS-атаку против одного из своих клиентов, эксперты Incapsula выявили вариант бота Mirai, способный проводить мощные, затяжные атаки уровня приложений.

DDoS, о которой идет речь, началась 28 февраля и продолжалась 54 часа. Злоумышленники атаковали американский колледж, направляя на его ресурсы мусорный поток интенсивностью более 30 тыс. запросов в секунду. Сигнатурный анализатор Incapsula вынес вердикт: защитники в очередной раз имели дело с Mirai. На пике мощность этой атаки достигла 37 тыс. запросов в секунду, превысив все прежние показатели для Mirai-ботнетов, зафиксированные Incapsula.

Анализ вредоносного трафика показал, что запросы исходят с CCTV-камер, DVR и роутеров, разбросанных по всему миру. Судя по тому, что на этих устройствах были открыты порты Telnet (23) и TR-069 (7547), они были заражены посредством эксплойта известных уязвимостей. Как оказалось, 56% IP-адресов, задействованных в атаке, числятся за DVR одного и того же вендора. Incapsula с ним уже связалась и предложила помощь в решении проблемы.

Боты — участники DDoS прикрывались разными пользовательскими агентами, коих в совокупности было выявлено 30. Это было необычно: дефолтный Mirai, по данным Incapsula, использует лишь пять user-agent, жестко прописанных в коде. В ходе атаки эксперты также насчитали 9793 IP-источника мусорного трафика, больше половины из них прописаны в США (18,4%), Израиле (11,3%), Тайване (10,8%), Индии и Турции. Шестое место в этом непочетном рейтинге заняла Россия с показателем 3,8%.

Менее чем через сутки после первого приступа Incapsula зафиксировала второй. На сей раз DDoS продолжалась лишь полтора часа и была вдвое слабее. Исходя из предыдущего опыта, эксперты ожидают еще несколько попыток сокрушить ту же мишень.

Mirai впервые засветился на радарах Incapsula в августе прошлого года, еще до громких атак против Брайана Кребса и DNS-провайдера Dyn. После публикации исходного кода зловреда эксперты компании несколько раз сталкивались с его итерациями. Так, в декабре им довелось противостоять Mirai-ботнету, составленному из зараженных роутеров TalkTalk Telecom, а в начале текущего года Incapsula стала свидетелем появления Windows-ботнета, способного раздавать Mirai на Linux-устройства.

К сожалению, всестороннее совершенствование Mirai и стремительный рост его популяции были неизбежными после слива исходников этого DDoS-зловреда. По словам экспертов, новая атака, подробно рассмотренная в блоге Incapsula, примечательна не только мощностью и продолжительностью, но также тем, что проводилась на уровне приложений: подобный функционал в арсенале Mirai встречается довольно редко, обычно подобные ботнеты атакуют сетевую инфраструктуру. Вполне возможно, что это еще одно свидетельство общей тенденции к учащению DDoS прикладного уровня, подмеченной в новейшем отчете Incapsula.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное