Z biegiem czasu zagrożenie nie maleje: ataki DDoS zaobserwowane przez OVH w 2017 r.

O ile w 2016 r. temat ataków DDoS (z ang. distributed denial of service, czyli atak na system lub usługę sieciową celem jej sparaliżowania) rozgrzewał regularnie media, o tyle w ubiegłym roku ataki DDoS nieco straciły na popularności. Ale to nie znaczy, że zniknęły. Wręcz przeciwnie - statystyki OVH z 2017 r., dowodzą, że rozproszone ataki typu denial of service to wyzwanie zarówno dla graczy online, dostawców usług w chmurze, jak OVH, oraz providerów Internetu (ISP). Co więcej, techniki prowadzenia ataków są stale udoskonalane, a zagrożenie wynikłe z pojawienia się IoT nie zmalało.Clément Sciascia, lider zespołu pracującego nad projektem VAC (technologią opracowaną przez OVH w celu neutralizacji ataków DDoS)

Wzrost liczby ataków i dystrybucja w czasie

W roku 2017, system VAC (technologia opracowana przez OVH w celu neutralizacji ataków DDoS) wykrywał średnio 1800 ataków DDoS dziennie - czyli około 50 000 miesięcznie. Najspokojniejszym dniem był 16 marca, kiedy odnotowano „zaledwie” 981 ataków, w przeciwieństwie do 4 października 2017 r., gdy padł roczny rekord - 7415 ataków.

Wykres 1 obrazuje wzrost liczby wykrytych ataków (R2 = 0,05613). Nasilenie liczby zagrożeń tłumaczą coraz doskonalsze systemy, służące ich wykrywaniu, i fakt, że liczba incydentów online faktycznie rośnie. Co ciekawe, z wykresu 1 wynika też, że przez kilka miesięcy w roku ilość ataków jest intensywniejsza.

 

Z kolei wykres 2, obrazujący rozłożenie ataków w czasie, pokazuje, że większość z nich ma miejsce wieczorem, przeważnie między 19:00 a 21:00 UTC.

Ta nierównomierna dystrybucja zagrożeń jest wyzwaniem dla zespołu VAC, który musi zneutralizować potężną falę ataków w przeciągu bardzo krótkiego czasu. Wczesny wieczór jest najbardziej krytyczną porą dla większości platform e-commerce oraz gier online, które wówczas cieszą się największą popularnością. Kluczowa jest wysoka przepustowość, obsługująca zarówno pożądany ruch do serwerów, jak i ten niepożądany, będący atakiem i neutralizowany przez VAC. Przy czym na jakość usług - odczuwaną przez wszystkich użytkowników- wpływa nawet najmniejszy zator.

W 2017 r. około 60 000 unikalnych adresów IP w OVH było celem co najmniej jednego ataku DDoS.

Wykres 3 prezentuje w ujęciu miesięcznym liczbę adresów IP, które padły ofiarą przynajmniej jednego ataku w przeciągu roku. Dane kontrastują z tymi przedstawionym na wykresie 1 (liczba ataków wykrytych każdego miesiąca). Z wyjątkiem czerwca, liczba atakowanych IP jest względnie stała w ciągu poszczególnych miesięcy, wynosi około 9 tyś. adresów IP. Zauważmy jednak, że trend wydaje się być wzrostowy (R2 = 0,01282).

Różnica w formie pomiędzy wykresami 1 a 3 oznaczałaby, że niektóre adresy IP są częściej atakowane niż inne, co potwierdza Wykres 4.

Dane na wykresie 4 są pogrupowane według liczby ataków skierowanych na adresy IP co miesiąc. Większość tych adresów IP jest celem od 1 do 5 ataków miesięcznie (średnio 2). W ciągu roku, te adresy IP otrzymują średnio 13 ataków. Zauważmy, że 30 z nich zaliczyło ponad 1000 ataków w ciągu roku (4317 ataków na najbardziej oblegany adres IP).

Gaming i sprzedaż online: cel najczęstszych ataków DDoS

Na podstawie analiz adresów IP, które były celem ataków oraz danych o użytkownikach tych adresów, zidentyfikowano ich główne cele.

Wszystkie kraje są w równiej mierze narażone na ataki.

Usługi gier online cieszą się niezmiennym zainteresowaniem atakujących, a liderem pozostają serwery gier Minecraft. Nie słabnie też rywalizacja pomiędzy administratorami serwerów gier, którzy angażują się w prawdziwe cyberwojny. Serwery popularnych gier generują dochód, który motywuje administratorów do wzajemnego atakowania w celu obniżenia jakości usług konkurencji.

 

Drugie miejsce, według naszych statystyk, zajmują platformy e-commerce. Co zaskakujące, w równej mierze ofiarami ataków padają duzi gracze, jak i małe sklepy o umiarkowanym ruchu. Chodzi o próby wymuszania, przy czym ich schemat jest często powtarzalny: po pierwszym ataku, haker wysyła maila, żądając okupu zwykle w wirtualnej walucie Bitcoin (BTC) lub w Monero (XMR). Jako że w większości przypadków są to puste groźby, zalecane jest by nie ulegać szantażowi. W przeciwnym wypadku dotuje się działalność przestępczą, bez gwarancji, że po zapłacie okupu ataki ustaną lub się nie powtórzą. Jedynym rozwiązaniem jest wybranie usług dostawcy, który będzie umiał przeciwdziałać atakom, co zniechęci napastników.

Pozostałe rodzaje atakowanych usług są bardzo niejednorodne, dlatego nie tworzymy dla nich odrębnych klasyfikacji. Innowacyjne startupy, administracja publiczna lub serwisy informacyjne (media, blogi...), każdy jest potencjalną ofiarą cyberzagrożeń, różnie motywowanych, np. rywalizacją pomiędzy konkurencją, sporem z użytkownikami czy cenzurą w przypadku mediów (więcej na ten temat w artykule Briana Krebsa: The Democratization of Censorship - Demokratyzacja cenzury).

Ewolucja ataków - intensywność i typologia

W 2017 r. nie odnotowaliśmy do naszej sieci ataków, które przekraczałyby rekordowy terabajt na sekundę. Mimo to zainwestowaliśmy w wydajność naszego VAC oraz sieci szkieletowej (backbone), abyśmy w przyszłości mogli się im przeciwstawić. Takie ataki są nieuniknione - ponieważ środki do ich przeprowadzania już istnieją, w szczególności botnety (sieci zainfekowanych i zdalnie sterowanych urządzeń).

Analizując wektory ataków przedstawionych na wykresie 6 i koncentrując się na warstwie 4 modelu OSI, widzimy w czołówce, bez zaskoczenia, UDP, SYNFLOOD, oraz ataki polegające na odbiciu i zwielokrotnieniu (amplification). Wykorzystanie słabych stron protokołu UDP stanowi zatem ponad połowę ataków skierowanych do naszej sieci (UDP + amplifikacja + DNS + ntp). Wybór wektorów UDP i SYNFLOOD nie jest przypadkowy, ponieważ oferują one możliwość ukrywania tożsamości poprzez zafałszowanie pakietów ze źródłowymi adresami IP. Zauważmy, że ta technika pozwala również na wykonywanie ataków poprzez odbicie i zwielokrotnienie ruchu. Jest ona szeroko stosowana przez „booter’y”, platformy oferujące ataki DDoS na żądanie, które zazwyczaj wykorzystują sieć komputerów ukrywających swoje prawdziwe IP. Większość zidentyfikowanych przez nas ataków DDoS pochodziła właśnie z tych platform, przy czym „botnety” stanowiły znacząco mniejszą część wśród wykrytych ataków.

Choć wektory ataku w warstwie 4 pozostały niezmienione, zauważyliśmy niewielką zmianę w typologii ataków. Wykres 7 pokazuje średnią ilość pakietów na sekundę (pps) oraz średnią przepustowość na atak w miesiącu. Podczas gdy przepustowość pozostaje dość stabilna w ciągu miesięcy (około 700 Mbps na atak), obserwujemy znaczne różnice w ilości wysyłanych pakietów - ze szczytowym wynikiem w październiku rzędu prawie 1 Mpps.

Patrząc na statystyki największych ataków z 2017 r. (wykres 8), możemy bardzo wyraźnie powiązać każdy z tych szczytów z pojawieniem się nowego botnetu składającego się z urządzeń połączonych (IoT) lub skompromitowanych routerów. Chociaż wcześniej podkreślaliśmy, że większość ataków jest uruchamiana za pośrednictwem „booterów”, faktem jest, że najpotężniejsze ataki są przeprowadzane przy użyciu "botnetów", a w szczególności tych z rodziny Mirai (czyli wykorzystujących fragmenty kodu Mirai - kod Mirai został opublikowany pod koniec 2016 r. przez jego skruszonego twórcę).

Widzimy także zmianę w strategii hakerów - rozmiar największych ataków, pod względem przepustowości, pozostaje poniżej poziomu 200 Gbps, czyli znacznie niżej w stosunku do ubiegłych lat. Atakujący prawdopodobnie zdali sobie sprawę, że mamy zbyt dużą nadmiarową przepustowość oraz że próby wysycenia naszych łączy są nieskuteczne. Z 13 Tbps przepustowości globalnej sieci OVH, tak naprawdę używamy średnio tylko 3,5 Tbps. W rezultacie hakerzy atakują teraz wydolność sprzętu sieciowego i nasze systemy przeznaczone do przetwarzania dużej ilości pakietów, generując ataki o niskiej przepustowości, lecz o dużo większej ilości pakietów. Na przykład, zamiast wysyłać 1480-bajtowe pakiety mogące generować znaczny ruch, atakujący wysyłają bardzo małe pakiety, mniejsze niż 100 bajtów.

Na wykresie 8 widać wyraźnie, że w ciągu miesięcy liczba pakietów na sekundę znacznie wzrosła. Taka zamiana w sposobie prowadzenia ataków pokazuje, jak napastnicy doskonalą swoje techniki, aby obejść nasze zabezpieczenia.

Ataki oparte na warstwie 4 modelu OSI są zazwyczaj najbardziej imponujące pod względem przepustowości i/lub pakietów na sekundę. Niemniej jednak nie można zapominać o atakach, których wektory są w warstwie 7 (aplikacji), takich jak flood HTTP.

Pierwszą ważną obserwacją jest gwałtowny wzrost liczby ataków w warstwie 7 i pojawienie się nowych wektorów, takich jak SSHFLOOD czy SMTPFLOOD. Flood HTTP jest niewątpliwie najczęściej wykorzystywanym wektorem L7, ponieważ stanowi on dwie trzecie obserwowanych ataków L7. Takie ataki nie będą miały identycznego wpływu na namierzony cel. Nie chodzi tutaj o przeciążenie infrastruktury sieciowej, ale o przeciążenie konkretnej aplikacji, na przykład usługi Apache, poprzez zasypanie jej zapytaniami. Ataki te są na ogół trudniejsze do wykrycia z uwagi na dużą ilość zmiennych: moc docelowego serwera (VPS nie będzie w stanie przetworzyć tylu zapytań, co serwer dedykowany z podwójnym procesorem), ale także konfiguracja usługi i jej optymalizacja w obliczu obciążenia. Co oznacza, że wykrywanie ataków nie może opierać się na identycznych parametrach dla wszystkich naszych klientów. Co stanowi także wyzwanie, z którym zmagają się nasze zespoły, ponieważ istnieje prawdopodobieństwo, że ataki L7 będą narastać w nadchodzących miesiącach. W odróżnieniu od ataków L4, zauważyliśmy, że ataki L7 pochodzą głównie z botnetów. Te zaś, mogą być botnetami IoT lub bardziej tradycyjnymi.

 

IoT: mroczne widmo

Po botnetach Reaper i Satori, nie możemy zapomnieć o botnetach IoT. We wrześniu 2016 r. świat odkrył Mirai - po ataku na jednego z naszych klientów, który osiągnął wtedy rekordowy rozmiar 1 Terabajta na sekundę (tyle ile potrzeba do zapełnienia dysku twardego o pojemności 2 TB w przeciągu 16 sekund!) Ten botnet wykorzystywał zaniedbania producentów w zaprojektowanych przez nich urządzeniach połączonych (IoT), łamiąc zabezpieczenia kamer internetowych i posługując się nimi do wykonania złośliwego oprogramowania, zmieniając je w maszyny-zombie.

Zagrożenie, które IoT stwarza w Internecie nie ogranicza się wyłącznie do botnetu Mirai. Wiele złośliwych programów przed nim działało na podobnej zasadzie. Wśród nich można wymienić Aidrę (2008), Tsunami (2010), Mr.Black (2014) lub LizKebab/Gafgayt/QBOT (2014). Od czasu ataku na naszą sieć, poświęcamy więcej uwagi tym botnetom, aby zrozumieć ich strukturę, mechanizmy rozprzestrzeniania się, wzrost liczby skompromitowanych urządzeń, które mogą być zmobilizowane do wykonywania ataków, itp.

Taka metodyczna obserwacja pozwala nam precyzyjniej określić stan zagrożenia i podejmować niezbędne kroki, gdy niebezpieczeństwo staje się realne. Tak było pod koniec ubiegłego roku, gdy nasze narzędzia monitoringu zidentyfikowały różne próby botnetu Satori, próbujące przejąć kontrolę nad coraz większą ilością połączonych obiektów.

Słoiki z miodem i Kiddies

Aby monitorować działalność botnetów, używamy „honeypot’ów”, czyli dosłownie słoików z miodem. Nazwa wzięła się od kreskówek o Kubusiu Puchatku, w których niedźwiadek często wpada w kłopoty po tym, jak zwabił go widok lub zapach słoika miodu. Te „słoiki miodu” są przynętami, umieszczanymi w Internecie i specjalnie narażanymi na próby ataków, które regularnie potem analizujemy, aby móc lepiej je analizować.

Wykres 9 pokazuje aktywność zarejestrowaną na naszych „honeypot’ach” w 2017 r. Umieszczając na tych wykresach okresy aktywności dużych botnetów, takich jak Hajime, Reaper czy Satori, obserwujemy, że aktywność pułapek honeypot znacznie wtedy wzrosła.

Ten wykres pozwala nam również stwierdzić, że w pierwszym kwartale 2017 r. aktywność botnetów była stosunkowo wysoka, szczególnie z powodu Hajime, który skanował na okrągło cały Internet. Następnie aktywność znacznie zmalała w kwietniu, po czym ponownie wzrosła, ale w mniejszym stopniu, we wrześniu. Te tendencje odzwierciedlają utratę zainteresowania Mirai przez „kiddies”. „Kiddies” to nastolatki o niewielkich umiejętnościach technicznych, ale o wielkich ambicjach związanych z cyberprzestępczością. Na nieszczęście dla nich, zbudowanie botnetu za pomocą Mirai lub jednego z jego wariantów nie jest w zasięgu każdego. Aby osiągnąć niezbędną masę krytyczną zainfekowanych obiektów wewnątrz botnetu, konieczne jest przeprowadzenie zaawansowanych badań i prób, aby znaleźć nowe sposoby infekcji urządzeń, gdyż te, związane z wykorzystywanymi wcześniej wadami oprogramowania, przestały być skuteczne. W rezultacie „kiddies” zwróciły się ku bardziej realnemu projektowi: QBOT. Dzisiaj QBOT-y stanowią już około 80% aktywnych botnetów IoT. Zdolniejsi hakerzy nadal korzystają z Mirai i udoskonalają go, wdrażając między innymi wykorzystanie nowych luk w zabezpieczeniach urządzeń.

 

 

Na wykresie 10 możemy doskonale zobaczyć wykorzystanie nowych luk w algorytmach przejmujących kontrolę. Za każdym razem, gdy wdrażany jest nowy exploit (program mający na celu wykorzystanie błędów w oprogramowaniu) wiele urządzeń zostaje bardzo szybko skompromitowanych, co powoduje wyjątkowo wysoką aktywność naszych honeypot’ów (szczyty). Kiedy geolokalizujemy zainfekowane urządzenia, wyraźnie widzimy, że przy każdym szczycie wyróżnia się inny kraj pochodzenia.

Jest ku temu proste wyjaśnienie: najczęściej wykorzystywane są podatności w routerach (w szczególności w routerach domowych, znanych także jako „box-y internetowe”). Celowanie w pierwszej kolejności w te urządzenia zapewnia sieciom botnet wysoką rentowność, ponieważ dostawcy usług internetowych zapewniają ich masową dystrybucję wśród swoich abonentów, zarzucając kraj lub obszar geograficzny jednym modelem routera. Jeśli ma on jakąś podatność, jej użycie pozwoli za pomocą jednego algorytmu skompromitować kilka tysięcy urządzeń w bardzo krótkim czasie. A ponieważ skompromitowane urządzenie zaczyna skanować Internet w poszukiwaniu innych wrażliwych urządzeń, nagle generuje wyjątkowo wysoką aktywność w określonym kraju, wychwyconą przez honeypot’y i widoczną na wykresie 10.

Botnet to zestaw zainfekowanych urządzeń - zwanych zombie - połączonych z serwerem sterującym, który zdalnie kontroluje je, komunikując im działania, które mają wykonywać (na przykład zaatakować adres IP). Nasze honeypot’y pozwalają nam również dotrzeć do tych serwerów kontrolujących i oszacować ich liczbę. Wykres 10 pokazuje ilość tych serwerów (nazywanych Command & Control po angielsku, stąd skrót C&C), które nasze systemy wykryły w 2017 roku.

Ciekawe jest także zjawisko odchodzenia powoli od wykorzystania kodu Mirai na rzecz QBOT, o którym wspominaliśmy wcześniej. O ile w pierwszym kwartale 2017 r. botnety Mirai stanowiły prawie 30% wykrytych przez nas przypadków, o tyle w czwartym kwartale stanowiły jedynie 10% (pozostałe zidentyfikowane botnety to w dużej mierze QBOT). Jednak, jak zauważył na swoim blogu Elie Bursztein (Google Abuse Manager), architektura botnetów Mirai ewoluowała w ciągu miesięcy. Zamiast posiadać jeden duży botnet, właściciele botnetów wolą obecnie mieć kilka mniejszych, aby uzyskać większą odporność w przypadku częściowej dezaktywacji, a także zwiększyć dostępność sprzedawanych „usług” oferowanych przez te botnety (na ogół koszt korzystania z botnetu zależy od liczby uruchomionych botów). Dlatego nierzadko zdarza się, że kilka serwerów C&C o różnych adresach IP wysyła dokładnie to samo polecenie do swoich botów w tym samym momencie.

Patrząc na wektory ataków przyjęte przez użytkowników tych botnetów, bez względu na sieć docelową, zauważamy duże podobieństwo do wcześniejszych obserwacji dotyczących ataków na OVH. Wykres 12 pokazuje na pierwszym miejscu UDP z 46%, następnie SYNFLOOD (20%) oraz wektor aplikacji HTTPFLOOD (19%).

Szczególnie ciekawe jest obserwowanie docelowych portów atakowanych przez hakerów. Wykres 13 pokazuje 7 najczęściej zaatakowanych portów, niezależnie od docelowej sieci. Widzimy, że na port 80 (http) skierowanych jest najwięcej ataków, zarówno przy użyciu protokołu TCP, jak i przy użyciu UDP, podczas gdy nie ma to uzasadnienia (HTTP jest oparty na TCP).

Na podstawie kolejnych portów w zestawieniu, możemy stworzyć profil użytkowników botnetów. To bardzo interesujące informacje. Jak już mówiliśmy wcześniej, świat gier wideo jest bezlitosnym światem, w którym rywalizacja zmusza administratorów do prowadzenia prawdziwej cyberwojny. Dane sugerują jednak, że wielu użytkowników botnetów to po prostu złośliwi gracze, którzy próbują zakłócać swoich przeciwników, bezpośrednio atakując porty Xbox Live podczas gry.

Na podstawie zebranych danych staraliśmy się ustalić, czy w innych sieciach występują te same typologie ataków, co w OVH, w przypadku botnetów IoT. W tym celu wybraliśmy 3 innych przedstawicieli branży internetowej: wiodącego usługodawcę internetowego w USA, dużego dostawcę CDN, a na końcu dostawcę hostingu, którego działalność jest podobna do działalności OVH. Wyniki są fascynujące:

• amerykański dostawca usług internetowych otrzymuje głównie ataki DDoS, skierowane na Xbox Live, PlayStation i wszystko, co może być związane z usługami gier;

• dostawca CDN jest głównie dotknięty atakami L7, typu HTTP FLOOD (co jest w miarę logiczne ze względu na jego działalność);

• hoster natomiast jest celem ataków dość podobnych do tych otrzymanych przez OVH.

Ataki DDoS nie są skierowane wyłącznie w stronę dużych dostawców rozwiązań hostingowych. Wszyscy gracze z branży internetowej, duzi jak i mali, są zagrożeni w ten czy inny sposób, zależnie od prowadzonej działalności. Różnią się za to pod względem środków, które mają do dyspozycji, aby bronić się przed atakami DDoS oraz zdolnością do prognozowania ataków, na podstawie obserwacji zmieniających się cybertechnik.

O czym warto pamiętać

Na podstawie analizy naszych danych możemy zidentyfikować trzy główne trendy:

• ewolucja typologii ataków: ich intensywność pod względem przepustowości nie zmieniła się tak bardzo, jak w przypadku ich intensywność pod względem liczby pakietów na sekundę;

• gwałtowny wzrost liczby ataków na warstwę aplikacji (L7);

• architektura botnetów IoT ostatecznie udowadnia, że cyberprzestępcy będą polegać na podatnościach obiektów połączonych.

Te trzy główne aspekty odzwierciedlają ciągłą adaptację technik cyberataków, do środków ochrony stosowanych przez takich graczy, jak OVH.

Nie można ustalić jednego typowego profilu ofiary ataku DDoS, gdyż jest ich zbyt duża różnorodność. Są jednak dwa typy działalności szczególnie narażone: świat internetowych gier wideo (serwery Minecraft i Teamspeak) oraz platformy e-commerce, niezależnie od ich wielkości.

W większości przypadków motywy ataków są finansowe: albo bezpośrednio, poprzez próby wyłudzenia, albo pośrednio, poprzez unieszkodliwienie konkurencji w celu przejęcia jej klientów. Takie praktyki nie ograniczają się z resztą wyłącznie do świata gier online: zdarzyło się już, że producenci rozwiązań anty-DDoS zlecali ataki...po czym promowali ochronę przed takimi atakami u swoich własnych ofiar!

W 2018 r. będziemy uważnie monitorować, czy tendencje wymienione w tej analizie się potwierdzą. Ale bez obaw: nasze technologie anty-DDoS czuwają nad Wami.

W 2018 r. będziemy uważnie monitorować, czy tendencje wymienione w tej analizie się potwierdzą. Ale bez obaw: nasze czuwają nad Wami.