Эксперты компании Webroot обнаружили в Сети php-скрипт, способный объединить скомпрометированные серверы для проведения DDoS-атаки. Одной из техник, поддерживаемых данным инструментом, является DNS amplification — усиление DDoS‑трафика с помощью «плечевых» NS-серверов, принимающих рекурсивные запросы от любого пользователя Сети (открытых резолверов).

По свидетельству Webroot, данный C&C-скрипт находится на ранней стадии разработки. В консоли он позиционируется как инструмент для стресс-тестирования веб-сайтов и серверов. При этом пользователя предупреждают, что любое другое его применение является наказуемым правонарушением. Тем не менее новая находка Webroot позволяет организовать мощную DDoS-атаку с серверного ботнета, а предложение о продаже с оплатой через WebMoney свидетельствует о том, что целевая клиентура C&C-скрипта отнюдь не тестировщики.

php-скрипт для управления серверным DDoS-ботнетом

Консоль php-скрипта, предназначенного для управления DDoS-ботнетом (скриншот Webroot)

В настоящее время обнаруженный php-скрипт поддерживает четыре типа атак: DNS amplification, SYN и UDP flood с подменой источника запросов, а также HTTP flood через прокси. Опасный инструмент также работает как головной C&C-интерфейс для всех взломанных серверов, на которых он скрытно установлен. Исследователи уверены, что злоупотреблений в данном случае не избежать, и поставили ситуацию на контроль.

Как мы уже не раз отмечали, в последнее время авторы DDoS все чаще делают ставку на серверные ботнеты при выборе плацдарма. Достаточно вспомнить недавнюю серию мощных атак на американские банки, известную как «операция Абабиль». Веб-серверы обладают намного большей пропускной способностью, чем рабочие станции, и всегда доступны онлайн. К тому же проведение DDoS c ботнетов, составленных из пользовательских ПК, требует много труда и времени на предварительный засев вредоносных программ или расходов на аренду солидной бот-сети, что, к слову сказать, довольно накладно. Использование серверного ботнета позволяет злоумышленнику провести мощную DDoS-атаку с минимальными ресурсами и трудозатратами.

Наличие в Интернете большого количества открытых DNS-резолверов упрощает задачу атакующим. Используя их в качестве посредников (атака с плечом), злоумышленник подменяет источник DNS-запросов и заставляет их направлять свои ответы на адрес мишени (техника DNS reflection). Этот мощный поток способен эффективно сокрушить атакуемую мишень. К сожалению, в Сети еще много неправильно сконфигурированных резолверов, предоставляющих дидосерам такую возможность. В настоящее время в базе специализированного проекта Open Resolver Project числится свыше 33 млн активных резолверов, из них 28 млн (по состоянию на май) могут быть использованы для проведения DDoS-атак по методу DNS amplification. По данным одного из участников проекта, компании SecureWorks, около трети уязвимых резолверов имеют китайскую (9,5%), американскую (6,6%), тайваньскую (5,4%), мексиканскую (5%) или вьетнамскую (4,7%) прописку.

Поскольку атаки DNS amplification делают ставку на возможность подмены источника DNS-запроса, эксперты рекомендуют интернет-провайдерам блокировать все DNS-пакеты с поддельным IP-адресом в заголовке. Другое средство — как можно скорее избавиться от ненадежных NS-серверов. «Администраторам следует произвести поиск открытых резолверов в своих публичных сетях, воспользовавшись специальной опцией на сайте Open Resolver Project, — советует SecureWorks. — Если DNS-серверы в вашей публичной сети открыты для рекурсивных запросов, настоятельно рекомендуем отключить эту функцию и принимать рекурсивные запросы только из доверенных источников».

Категории: DoS-атаки