В начале апреля компании Incapsula, специализирующейся на защите сайтов и веб-приложений, довелось отразить необычную DDoS-атаку, нацеленную на ее клиента. Как оказалось, злоумышленник использовал персистентную XSS-уязвимость в популярном источнике видеоконтента и «угонял» веб-браузеры посетителей, чтобы создать мощный поток обращений к сайту-мишени. По свидетельству Incapsula, в атаке уровня приложений приняли невольное участие свыше 22 тыс. пользователей, браузеры которых совокупно отправили более 22 млн мусорных GET-запросов.

Эксплуатация уязвимости позволила злоумышленнику внедрить на неназванный сайт JavaScript, который выполнялся в браузере посетителя при каждом просмотре определенного изображения. При запуске этот сценарий подгружает фрейм с DDoS-инструментом, направляющим запросы GET на сервер мишени.

JavaScript был внедрен атакующим в тэг <img>, ассоциированный с его профилем на уязвимом сайте. После этого злоумышленник прокомментировал сотни популярных видеороликов с тем, чтобы размножить по сайту свою картинку (она сопровождала каждый его комментарий). Чем больше просмотров собирали эти видео, тем мощнее становился поток мусорных запросов.

«Каждый раз, когда легитимный посетитель попадает на такую страницу, его браузер автоматически выполняет внедренный JavaScript, который, в свою очередь, вводит в игру скрытый iframe с адресом C&C-домена дидосера, — поясняет технику «зомбирования» Ронен Атиаc (Ronen Atias) на страницах блога Incapsula. — Там размещен собственно DDoS-инструмент, работающий на скриптах для Ajax, который осуществляет перехват и заставляет браузер отсылать DDoS-запросы с частотой одно обращение в секунду».

«Безусловно, запрос в секунду — это немного, — продолжает Атиас. — Однако, когда речь идет о видеороликах длиной 10, 20, 30 минут и тысячах просмотров в минуту, атака может быстро возрасти и превратиться в очень опасную угрозу. Зная это, атакующий специально публиковал комментарии к популярным видео и создал действенный, не требующий поддержки ботнет из десятков тысяч угнанных браузеров, которыми управляют невинные визитеры, заходящие лишь для того, чтобы посмотреть пару забавных роликов из жизни кошек».

Экспертам удалось перехватить вредоносные запросы, подменить URL мишени и отследить источник — видеосайт, имя которого компания пока не разглашает. Они также обнаружили XSS-брешь, сыгравшую на руку злоумышленнику, и уведомили владельцев сайта об инциденте. Хотя все закончилось благополучно, атакующий, по словам Атиаса, уже заменил свой DDoS-инструмент более продвинутой версией. «Это наводит на мысль, что мы стали очевидцами тестового PoC-прогона, — говорит эксперт. — Нынешний код не только гораздо сложнее, но также способен отслеживать ход атаки, видимо, с целью учета. По крайней мере, все выглядит так, будто некто использует данный сайт списка Alexa Top 50 для построения связки ботнетов, которые будут сдаваться в аренду».

Находки Incapsula несколько перекликаются с результатами, представленными Иеремией Гроссманом (Jeremiah Grossman) и Мэтом Йохансеном (Matt Johansen) на прошлогодней конференции Black Hat. Исследователи из White Hat Security доказали, что злоумышленник может внедрить вредоносный JavaScript в рекламу, распространяемую через специализированные сети, и заставить браузер пользователя выполнять некие действия — например, провести DDoS-атаку на заданный сервер.

Категории: DoS-атаки, Главное