Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w IV kwartale 2018 r.

Tagi:

Przegląd wiadomości

W IV kwartale 2018 r. badacze ds. bezpieczeństwa wykryli wiele nowych botnetów, które tym razem nie zawierały jedynie klonów Mirai. Jesienią odnotowano wzmożoną aktywność bota Chalubo, którego pierwsze ataki miały miejsce pod koniec sierpnia. Chociaż ten nowy szkodnik zawiera fragmenty kodu Mirai oraz te same techniki umożliwiające długie przetrwanie w systemie co w przypadku rodziny botów Xor.DDoS, Chalubo stanowi zasadniczo „nowy” produkt stworzony z myślą o atakach DDoS (na przykład, jedną z wykrytych próbek był atak typu SYN flood). W październiku Chalubo częściej występował na wolności; badacze wykryli wersje stworzone dla różnych architektur (32- oraz 64-bitowy ARM, x86, x86_64, MIPS, MIPSEL, PowerPC), co wyraźnie sugeruje, że okres testowy już się zakończył.     

W październiku pojawiły się również informacje dotyczące nowego botnetu Torii, który został wykryty miesiąc wcześniej przez ekspertów z firmy Avast. Celem botnetu jest szeroki wachlarz urządzeń IoT i architektur. Jego kod różni się znacząco od kodu Mirai — szkodnik jest lepiej ukryty, charakteryzuje się wyższym poziomem długotrwałego utrzymywania się w systemie, a tym samym wydaje się być znacznie bardziej niebezpieczny. Szkodnik gromadzi i wysyła szczegółowe informacje dotyczące zainfekowanych urządzeń do swojego serwera kontroli, łącznie z nazwą hosta oraz identyfikatorem procesu, nie wiadomo jednak w jakim celu. Nie wykryto ataków DDoS opartych na botnetach Torii, jednak eksperci uważają, że jest na to zbyt wcześnie.

Innym botem, który zwrócił na siebie uwagę w ostatnim kwartale ze względu na porywanie klastrów Hadoop za pośrednictwem luki w zabezpieczeniach w wykonywaniu zdalnych poleceń YARN, był DemonBot. Nie jest on szczególnie złożony pod względem technologicznym, za to niebezpieczny ze względu na wybór celu swoich ataków: klastry Hadoop mogą mieć poważny wpływ na moc obliczeniową, ponieważ zostały stworzone do obsługi danych Big Data. Co więcej, ponieważ są zintegrowane z chmurą, mogą znacząco zintensyfikować ataki DDoS. DemonBot jest kompatybilny nie tylko z klastrami Hadoop, ale również z większością urządzeń IoT, dzięki czemu można go łatwo dostosować do większej ilości celów.       

W zeszłym kwartale eksperci ostrzegali nie tylko przed nowymi botnetami, ale również przed nowymi mechanizmami ataków. Na początku zimy okazało się na przykład, że FragmentSmack ma większy zasięg niż sądzono wcześniej. Atak ten wykorzystuje lukę w zabezpieczeniach w stosie IP, która umożliwia wysyłanie wadliwych pakietów jako fragmentów większej wiadomości. Atakowany zasób próbuje zebrać te pakiety w jeden lub umieszcza je w niekończącej się kolejce, co pochłania całą jego moc obliczeniową i sprawia, że nie jest zdolny do obsługi właściwych żądań. Sądzono, że FragmentSmack stanowi zagrożenie wyłącznie dla systemów Linux, jednak w grudniu badacze z Finlandii odkryli, że działa też z systemem Windows 7, 8.1, 10, Windows Server oraz produktami 90 Cisco.       

Inna obiecująca metoda ataków wykorzystuje protokół CoAP, który został zatwierdzony do powszechnego stosowania w 2014 roku. Ma on ułatwić komunikację między urządzeniami, które posiadają niewielką pamięć, przez co jest idealny w kontekście Internetu Rzeczy. Ponieważ CoAP jest oparty na protokole UDP, odziedziczył wszystkie jego wady, co oznacza, że może zostać wykorzystany w celu intensyfikacji ataków DDoS. Do tej pory nie stanowiło to wielkiego problemu; jednak eksperci zauważają, że w okresie od listopada 2017 r. do listopada 2018 r. liczba urządzeń wykorzystujących CoAP wzrosła niemal 100 krotnie, co stanowi poważny powód do niepokoju.      

Oprócz nowych potencjalnych sposobów dokonywania ataków pod koniec 2018 roku pojawiła się nowa platforma umożliwiająca przeprowadzanie ataków - 0x-booter. Wykryty po raz pierwszy 17 października 2018 r., serwis ten może obsługiwać ataki z wydajnością do 420 Gb/s potrzebując do tego jedynie ponad 16 000 botów zainfekowanych szkodliwym oprogramowaniem IoT Bushido – zmodyfikowanej wersji Mirai. Platforma ta, oparta na kodzie zapożyczonym od bratniego serwisu, jest niebezpieczna ze względu na swoją prostotę, niskie koszty oraz stosunkową moc: za jedyne 20–50 dolarów każdy może wykorzystać prosty interfejs, aby przeprowadzić jeden z kilku rodzajów ataków na dany cel. Według badaczy, w samej tylko drugiej połowie października serwis ten został wykorzystany w ponad 300 atakach DDoS.        

To właśnie przy pomocy takich zasobów przeprowadzono potężną kampanię DDoS w październiku na japońskiego producenta gier wideo Square Enix. Pierwsza fala miała miejsce na początku miesiąca i zbiegła się w czasie z atakiem na francuskich kolegów z Ubisoft. Druga fala uderzyła kilka tygodni później. Ataki te odcięły użytkowników od serwisu nawet na 20 godzin.  

Poza tym, koniec roku charakteryzował się nie tyle głośnymi atakami DDoS co próbami zmniejszenia ich częstotliwości. Na podstawie raportu opracowanego przez badaczy ds. cyberbezpieczeństwa, Amerykańska Rada Stosunków Międzynarodowych wezwała do globalnej inicjatywy zarówno publiczne jak i prywatne organizacje w celu zmniejszenia liczby botnetów. 

Nie śpią również organy ścigania. W październiku amerykański obywatel Austin Thompson został uznany winnym zorganizowania ataków DDoS w latach 2013–14. Wśród jego ofiar znaleźli się streamerzy gier wideo, jak również najwięksi twórcy gier, tacy jak EA, Sony, Microsoft itd.   

Na początku grudnia na trzy lata pozbawienia wolności skazano brytyjskiego nastolatka George’a Duke-Cohana, który zorganizował ataki DDoS na blogera IT Briana Krebsa, konwent DEF CON oraz organizacje rządowe w kilku krajach – jednak na razie nie za wspomniane incydenty, ale za fałszywe alarmy bombowe w wielu brytyjskich szkołach oraz na Lotnisku San Francisco. Dalsze oskarżenia mogą zostać wniesione przeciwko niemu w Stanach Zjednoczonych.     

Około Świąt Bożego Narodzenia FBI zamknęło 15 stron DDoS-as-a-Service, oskarżając trzy osoby o prowadzenie tej platformy. Operacja ta jest interesująca ze względu na to, że wiele spośród zamkniętych domen przez długi czas nie ściągało na siebie uwagi organów ścigania, podszywając się pod serwisy związane z testami przeciążeniowymi. Jak odkryło FBI, niektóre z tych serwisów były zamieszane w niedawny ciąg ataków na portale poświęcone grom.     

Trendy kwartalne oraz roczne

W 2018 r. aktywność związana z atakami DDoS zmniejszyła się o 13% w porównaniu z poprzednim rokiem. Spadek liczby ataków w tym okresie odnotowano w każdym kwartale, z wyjątkiem trzeciego, który przewyższył pod względem liczby ataków III kwartał 2017 r. ze względu na wyjątkowo aktywny wrzesień. Największy spadek miał miejsce w IV kwartale, kiedy liczba ataków stanowiła jedynie 70% liczby ataków w 2017 r. 

1_auto.png

Kwartalne porównanie liczby ataków DDoS zablokowanych przez Kaspersky DDoS Protection w latach 2017–2018 (100% =liczba ataków 2017 r.)

Średnia długość trwania ataków w drugiej połowie roku stale zwiększała się w ciągu roku: z 95 minut w I kwartale do 218 w IV kwartale.

Zdecydowanie najpowszechniejszym typem ataków jest UDP flooding, co pokazują nasze raporty dotyczące kilku ostatnich kwartałów. Jednak z porównania ataków pod względem ich długości wyłania się zupełnie inna sytuacja. Na pierwszym miejscu znajdują się ataki HTTP floods oraz mieszane z elementem HTTP, które stanowią około 80% całej aktywności związanej z atakami DDoS. Z kolei zidentyfikowane w tym roku ataki UDP rzadko trwały dłużej niż 5 minut. 

2_auto.png

Rozkład długości trwania ataków według rodzaju, 2018 r.

Wszystko to sugeruje, że - tak jak przewidywaliśmy - rynek niewyrafinowanych, łatwych do zorganizowania ataków, nadal się kurczy. Wobec udoskonalonej ochrony przed atakami DDoS typu UDP flood standardowe ataki DDoS straciły niemal rację bytu. Ponadto, wymagane do przeprowadzenia takich ataków zasoby techniczne można niemal zawsze wykorzystać z większym zyskiem do innych celów, takich jak np. kopanie kryptowaluty.

Wiele krótkich ataków tego typu można interpretować jako testowanie gruntu (zawsze istnieje szansa, że cel ataków nie został zabezpieczony). Cyberprzestępcom wystarczy zaledwie kilka minut, aby stwierdzić, że stosowane przez nich narzędzia są nieskuteczne, i odwołać atak.

Jednocześnie, popularnością nadal cieszą się bardziej złożone ataki, takie jak HTTP floods, których zorganizowanie wymaga czasu i wysiłku, a ich czas trwania nadal wzrasta. 

Wygląda na to, że trendy te pogłębią się w 2019 r.: całkowita liczba ataków ulegnie zmniejszeniu na tle wzrostu długości trwania ataków, ich mocy oraz skuteczności dobrze ukierunkowanej ochrony. Przewidywany jest również wzrost profesjonalizacji. Zważywszy na to, że w przypadku większości zasobów prymitywne próby zakłócenia ich działania nie są skuteczne, organizatorzy ataków DDoS będą musieli podnieść swój poziom kwalifikacji technicznych, ponieważ ich klienci będą poszukiwali bardziej profesjonalnych wykonawców.     

Dane statystyczne

Metodologia

Kaspersky Lab ma długie doświadczenie w zwalczaniu cyberzagrożeń, w tym ataków DDoS wszelkiego rodzaju i złożoności. Eksperci z firmy monitorują botnety przy użyciu systemu Kaspersky DDoS Intelligence. 

Wchodzący w skład Kaspersky DDoS Protection, system DDoS Intelligence przechwytuje i analizuje polecenia otrzymywane przez boty z serwerów kontroli. System jest proaktywny, nie reaktywny, co oznacza, że nie czeka, aż urządzenie użytkownika zostanie zainfekowane lub wykonane zostanie polecenie.  

Raport ten zawiera statystyki DDoS Intelligence dla IV kwartału 2018 r.

W kontekście raportu, incydent jest klasyfikowany jako pojedynczy atak DDoS tylko wtedy, gdy przerwa między okresami aktywności botnetowej nie przekracza 24 godzin. Na przykład, jeśli ten sam zasób sieci Web został zaatakowany przez ten sam botnet z odstępem czasu wynoszącym co najmniej 24 godziny, mówimy wtedy o dwóch atakach. Żądania botów pochodzące z różnych botnetów, ale skierowane na jeden zasób również są liczone sjako oddzielne ataki.

Lokalizacja geograficzna ofiar ataków DDoS oraz serwerów kontroli wykorzystywanych do wysyłania poleceń jest określana na podstawie ich odpowiednich adresów IP. Liczba unikatowych celów ataków DDoS w tym raporcie jest określana na podstawie liczby unikatowych adresów IP w kwartalnych zestawieniach statystycznych.

Statystyki DDoS Intelligence dotyczą jedynie botnetów wykrywanych i analizowanych przez Kaspersky Lab. W tym miejscu należy zaznaczyć, że botnety to tylko jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS, a sekcja ta nie obejmuje każdego ataku DDoS, który miał miejsce w badanym okresie.    

Podsumowanie kwartału

  • Na pierwszym miejscu pod względem liczby ataków DDoS nadal znajdują się Chiny, jednak ich udział znacząco zmniejszył się, z 77,67% do 50,43%. Stany Zjednoczone zachowały drugą pozycję (24,90%), natomiast na trzecim miejscu uplasowała się Australia (4,5%). Z pierwszą dziesiątką pożegnała się Rosja oraz Singapur. Z kolei weszły do niej Brazylia (2,89%) oraz Arabia Saudyjska (1,57%).           
  • Ze względu na rozkład geograficzny celów, w czołówce pozostają Chiny (43,26%), Stany Zjednoczone (29,14%) oraz Australia (5,91%). Chiny odnotowały znaczący spadek, podczas gdy pozostałe państwa z pierwszej dziesiątki – wzrost.    
  • Większość ataków opartych na botnetach w zeszłym kwartale miała miejsce w październiku; okres świąteczny i przedświąteczny okazał się spokojniejszy. Pod względem dynamiki tygodniowej, aktywność związana z atakami rosła w środku tygodnia, zaś po koniec malała.
  • W IV kwartale miał miejsce najdłuższy atak w ostatnim czasie, trwający niemal 16 dni (329 godzin). Ogólnie zmniejszył się nieco udział krótkich ataków, jednak różnice były nieznaczne.
  • Udział ataków typu UDP floods znacząco wzrósł, wynosząc niemal jedną trzecią (31,1%) wszystkich ataków. Jednak SYN flooding nadal znajduje się na prowadzeniu (58,2%). 
  • W związku z rosnącą liczbą serwerów kontroli Mirai wzrósł udział Stanów Zjednoczonych (43,48%), Wielkiej Brytanii (7,88%) oraz Holandii (6,79%)

Geografia ataków

W ostatnim kwartale 2018 r. Chiny wciąż odpowiadały za większość ataków DDoS. Jednak ich udział zmniejszył się o ponad 20 punktów procentowych - z 77,67% do 50,43%.

Z kolei udział Stanów Zjednoczonych, które uplasowały się na drugim miejscu, zwiększył się niemal dwukrotnie do 24,90%. Podobnie jak w poprzednim kwartale, na trzecim miejscu znalazła się Australia. Również jej udział wzrósł niemal dwukrotnie: z 2,27% do 4,5%. Udział Hong Kongu zwiększył się nieznacznie (z 1,74% do 1,84%), w wyniku czego państwo to spadło na szóste miejsce, oddając czwartą pozycję Brazylii. „Wyniki” tego ostatniego państwa były jak dotąd dość skromne, jednak w badanym kwartale jego udział wynosił 2,89%.       

Niespodziewanym debiutantem w rankingu okazała się Arabia Saudyjska, której udział wzrósł do 1,57%, co wystarczyło na siódme miejsce. Tym razem w pierwszej dziesiątce nie znalazło się miejsce dla Rosji ani Singapuru. Korea Południowa, która przez wiele lat była w pierwszej trójce, zanim w trzecim kwartale spadła na jedenastą pozycję, nie tylko nie zdołała powrócić do pierwszej dziesiątki, ale odnotowała dalszy spadek, na 25 miejsce.      

Udziały pozostałych liderów również odnotowały wzrost w porównaniu z latem i początkiem jesieni. To samo dotyczy łącznego udziału państw spoza rankingu Top 10, który zwiększył się o ponad 5 punktów procentowych - z 2,83% do 7,90%.

3_auto.png

Rozkład ataków DDoS według państwa, III i IV kwartał 2018

Rozkład celów ataków według państwa odpowiada rozkładowi według liczby ataków: na prowadzeniu nadal znajdują się Chiny, jednak ich udział zmniejszył się o ponad 27 punktów procentowych: z 70,58% do 43,26%. Stany Zjednoczone pozostają na drugim miejscu, mimo że ich udział zwiększył się z 17,05% do 29,14%. Trzecie miejsce po raz kolejny należy do Australii, która również odnotowała wzrost swojego udziału (5,9%).    

Rosja i Korea Południowa, do tej pory regularni bywalcy zestawienia Top 10, odnotowały spadek – podobnie jak w rankingu według liczby ataków, uplasowały się odpowiednio na 17 i 25 miejscu. Zamiast nich, na czwartej i piątej pozycji, znalazły się nowości: Brazylia (2,73%) oraz Arabia Saudyjska (2,23%). Udziały pozostałych państw, podobnie jak w poprzednim rankingu, również nieznacznie zwiększyły się. Dwukrotny wzrost odnotowała Kanada (z 1,09% do 2,21%), której wyniki w poprzednich kilku kwartałach wahały się w granicach 1%, nigdy nie przekraczając 1,5%.         

Udział państw znajdujących się poza pierwszą dziesiątką zwiększył się niemal trzykrotnie: z 3,64% do 9,32%.

4_auto.png

Rozkład unikatowych celów ataków DDoS według państwa, III i IV kwartał 2018 r.

Dynamika liczby ataków DDoS

Większość szczytowych liczb ataków dotyczyła początku kwartału (październik), kolejny niewielki wzrost aktywności przypadł na początek grudnia. W przeciwieństwie do zeszłego roku, nie odnotowano wyraźnego wzrostu związanego ze świętami jesiennymi i zimowymi. Wręcz przeciwnie: okresy poświąteczne okazały się spokojniejsze. Najgorętszymi dniami były: 16 i 18 października oraz 4 grudnia; z kolei najspokojniejszym 27 grudnia.   

5_auto.png

Dynamika liczby ataków DDoS w IV kwartale  2018 r.

O ile w III kwartale ataki rozkładały się stosunkowo równomiernie jeżeli chodzi o dni tygodnia, w IV kwartale różnice były wyraźniejsze. Najspokojniejszym dniem była niedziela (12,02% ataków), najaktywniejszym czwartek: w połowie tygodnia miało miejsce 15,74% ataków DDoS. Widać tu pewną korelację z rozkładem ataków według daty: zarówno weekendy jak i święta w poprzednim kwartale były spokojniejsze.  

6_auto.png

Rozkład ataków DDoS według dnia tygodnia, III i IV 2018 r.

Czas trwania i rodzaje ataków DDoS

Najdłuższy spośród monitorowanych w IV kwartale ataków trwał prawie rekordową liczbę 329 godzin (prawie 14 dni); dłuższy atak miał miejsce dopiero pod koniec 2015 r. Jest to około 1,5 razy dłużej niż najdłuższy atak w zeszłym kwartale (239 godzin, około 10 dni).

Łączny udział ataków trwających ponad 140 godzin w poprzednim kwartale wzrósł nieznacznie (+0,01 punktu procentowego) do 0,11%. Zwiększył się również odsetek stosunkowo długich ataków (50-139 godzin) – z 0,59% do 1,15%. Jednak największy wzrost zaobserwowano w kategorii ataków trwających 5-9 godzin: z 5,49% do 9,40%. 

Jednocześnie nieznacznie zmniejszył się udział krótkich ataków trwających mniej niż 4 godziny (do 83,34%). Dla porównania, w III kwartale stanowiły one 86,94% wszystkich ataków.   

7_auto.png

Rozkład ataków DDoS według czasu trwania (godziny), III i IV kwartał 2018 r.

W ostatnim kwartale miały miejsce niewielkie zmiany w rozkładzie ataków według rodzaju. Najpopularniejszym rodzajem pozostaje SYN flooding, jednak jego udział zmniejszył się z 83,20% do 58,20%. Dzięki temu udział ataków typu UDP flooding wzrósł z zaledwie 11,90% w III kwartale do niemal jednej trzeciej wszystkich typów ataków DDoS (31,10%).   

Na trzecim miejscu znalazły się ataki typu TCP flooding, których udział również wzrósł do 8,40%. Udział ataków za pośrednictwem HTTP spadł do 2,20%. Na ostatnim miejscu po raz kolejny znalazły się ataki typu ICMP flooding, których udział zmniejszył się do 0,10%.   

8_auto.png

Rozkład ataków DDoS według typu, IV kwartał 2018 r.

Stosunek botnetów opartych na systemie Windows do tych opartych na systemie Linux niewiele się zmienił w stosunku do III kwartału. Udział botnetów linuksowych zwiększył się nieznacznie – do 97,11%. O tyle samo zmniejszył się udział botnetów windowsowych (1,25 punktu procentowego) do 2,89%. 

9_auto.png

Stosunek ataków przy użyciu botnetów opartych na systemie Windows/Linux, III i IV kwartał 2018 r.

Geografia rozkładu botnetów

Stany Zjednoczone znajdują się na wyraźnym prowadzeniu pod względem hostowania serwerów kontroli botnetów, a nawet zwiększyły swój udział z 37,31% do 43,48%. Rosję (4,08%), która spadła na siódme miejsce, zastąpiła na drugiej pozycji Wielka Brytania (7,88%).  Trzecie miejsce przypadło Holandii, której udział zwiększył się z 2,24% do 6,79%. Co istotne, wzrost ten wynikał z rosnącej liczby serwerów kontroli Mirai.  

Z zestawienia dziesięciu państw o największej liczbie hostowanych botnetów wypadły Włochy oraz Republika Czeska, z kolei zakwalifikowały się do niego Niemcy (5,43%) oraz Rumunia (3,26%). Chiny (2,72%) nadal stopniowo tracą swoją pozycję – w IV kwartale uplasowały się dopiero na dziesiątym miejscu.

10_auto.png

Rozkład serwerów kontroli botnetów według państwa, IV kwartał 2018 r.

Zakończenie

Rankingi Top 10 państw według liczby ataków, celów oraz serwerów kontroli botnetów odnotowują zmiany już trzeci kwartał z rzędu rankingi. Największy wzrost aktywności związanej z atakami DDoS ma miejsce tam, gdzie wcześniej był stosunkowo niewielki, podczas gdy dominujące wcześniej państwa odnotowują spadek. Być może jest to wynik skutecznych inicjatyw podejmowanych przez organy ścigania oraz inne instytucje w celu zwalczania botnetów. Innym powodem może być pojawienie się lepszej infrastruktury komunikacyjnej w regionach, w których ataki DDoS nie były wcześniej możliwe.  

Jeżeli trend ten utrzyma się, w przyszłym kwartale zestawienie Top 10 będzie prawdopodobnie zawierało nowe państwa, a w dłuższej perspektywie udziały różnych państw mogą zacząć się wyrównywać.