DDoS против "PDoS"
1. DDoS (для справки)
Обычная распределенная атака типа «отказ в обслуживании» (DDos) - это класс атак типа «отказ в обслуживании» (DoS), в котором для потребления используется распределенная система (ботнет), состоящая из узлов, управляемых каким-либо приложением ( Mirai , LizardStresser , gafgyt и т. Д.). ресурсы целевой системы или систем до истощения. Хорошее объяснение этого дано на security.SE .
Объяснение того, как контролируемые Mirai ботнеты осуществляют отказ в обслуживании, можно найти в анализе Incapsula :
Как и большинство вредоносных программ в этой категории, Mirai создан для двух основных целей:
- Найдите и скомпрометируйте устройства IoT для дальнейшего развития ботнета.
- Запустите DDoS-атаки на основе инструкций, полученных от удаленного C & C.
Чтобы выполнить свою функцию набора персонала, Mirai выполняет широкое сканирование IP-адресов. Цель этих проверок состоит в том, чтобы найти недостаточно защищенные устройства IoT, к которым можно было получить удаленный доступ с помощью легко угадываемых учетных данных для входа в систему - обычно это стандартные имена пользователей и пароли (например, admin / admin).
Mirai использует метод грубой силы для угадывания паролей или словарных атак ...
Функция атаки Mirai позволяет запускать HTTP-потоки и различные сетевые (уровень OSI 3-4) DDoS-атаки. При атаке HTTP-флудов боты Mirai прячутся за следующими пользовательскими агентами по умолчанию ...
Для атак на сетевом уровне Mirai может запускать наводнения GRE IP и GRE ETH, а также наводнения SYN и ACK, наводнения STOMP (Simple Text Oriented Message Protocol), наводнения DNS и атаки UDP-наводнения.
Эти типы бот-сетей достигают исчерпания ресурсов, приводя к отказу в обслуживании, используя управляемые устройства для генерации такого большого объема сетевого трафика, направленного к целевой системе, что ресурсы, предоставляемые этой системой, становятся недоступными на время атаки. Как только атака прекращается, целевая система больше не использует ресурсы до точки исчерпания и может снова отвечать на законные входящие клиентские запросы.
2. «PDoS»
Кампания BrickerBot принципиально отличается: вместо интеграции встроенных систем в ботнет, который затем используется для организации крупномасштабных атак на серверы, сами встраиваемые системы являются целью.
Из сообщения Radware на BrickerBot « BrickerBot » приводит к постоянному отказу в обслуживании :
Представьте себе быструю атаку ботов, предназначенную для того, чтобы заставить аппарат жертвы функционировать. Эта форма кибератак, называемая постоянным отказом в обслуживании (PDoS), становится все более популярной в 2017 году, поскольку происходит все больше инцидентов, связанных с этой атакой, наносящей ущерб оборудованию.
В некоторых кругах также известный как «флешинг», PDoS - это атака, которая настолько сильно повреждает систему, что требует замены или переустановки оборудования. Используя недостатки безопасности или неправильную конфигурацию, PDoS может разрушить встроенное ПО и / или основные функции системы. В отличие от своего известного двоюродного брата, DDoS-атаки, которая перегружает системы запросами, предназначенными для насыщения ресурсов непреднамеренным использованием.
Во встроенных системах, предназначенных для постоянного выведения из строя, на них не загружается какое-либо приложение для целей удаленного управления, и они никогда не являются частью ботнета (выделено мое):
Компрометация устройства
PDoS-атака Bricker Bot использовала грубую силу Telnet - тот же вектор эксплойтов, который использовал Mirai - для взлома устройств жертвы. Bricker не пытается загрузить двоичный файл , поэтому у Radware нет полного списка учетных данных, которые использовались для попытки перебора, но они смогли зафиксировать, что первая попытка использования пары имя пользователя / пароль была последовательно «root» / «vizxv». '
Повреждение устройства
После успешного доступа к устройству бот PDoS выполнил серию команд Linux, которые в конечном итоге привели бы к повреждению хранилища, за которыми следовали команды, чтобы нарушить подключение к Интернету, производительность устройства и очистку всех файлов на устройстве.
Третье отличие состоит в том, что в этой кампании задействовано небольшое количество устройств, контролируемых злоумышленниками, вместо многих тысяч или миллионов:
В течение четырехдневного периода приманка Radware зафиксировала 1895 попыток PDoS, выполненных в нескольких точках мира.
Попытки PDoS исходили из ограниченного числа IP-адресов, разбросанных по всему миру. Все устройства используют порт 22 (SSH) и работают с более старой версией сервера Dropbear SSH. Большинство устройств были идентифицированы Shodan как сетевые устройства Ubiquiti; среди них точки доступа и мосты с направлением луча.
Резюме
Учитывая количество способов, которыми кампания BrickerBot «PDoS» принципиально отличается от обычных кампаний «DDoS», таких как Mirai, использование терминологии с похожим звучанием может привести к путанице.
- DDoS-атаки обычно проводятся ботмастером с контролем над распределенной сетью устройств, чтобы предотвратить доступ клиентов к ресурсам сервера на время атаки, тогда как «BrickerBot» - это кампания по «кирпичному» внедрению систем.
- Клиенты ботнетов управляются через приложение, установленное на клиенте злоумышленником. В кампании BrickerBot команды выполняются удаленно через telnet без использования управляющего приложения (например, вредоносного ПО).
- DDoS-атаки используют большое количество (тысячи, миллионы) управляемых устройств, тогда как в кампании BrickerBot используется сравнительно небольшое количество систем для организации так называемых «PDoS-атак».
- кампания BrickerBot нацелена на встраиваемые системы для недееспособности, в то время как Mirai и тому подобное нацелены на встроенные системы для интеграции их в ботнет