Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ataki DDoS w Q4 2020 wg Kaspersky. Zgadnijcie na którym miejscu jest Rosja.
„Laboratorium Kaspersky” opublikowało nowy raport dotyczący ataków typu DDoS, zrealizowanych w IV kwartale 2020. W okresie tym zaobserwowano na tyle ciekawe tendencje, że warto, aby czytelnicy Sekuraka poznali nowe trendy w tej formie ataku. Na początku, kilka danych statystycznych z raportu.
- W czwartym kwartale najwięcej ataków DDoS przeprowadzono z Chin (58,95%), USA (20,98%) i Hong Kong (3,55%). Trójka tych państw lideruje od wielu miesięcy. Zmniejszyła się tylko wobec poprzedniego kwartału ilość ataków przeprowadzonych z Chin (o 12,25 p. p.) i zwiększyła liczba ataków ze Stanów Zjednoczonych (o 5,68 p. p.).
- Podobnie jest jeśli chodzi o cel ataków. Najwięcej DDoS przeprowadzono przeciwko obiektom w Chinach (44,49%), USA (23,57%) i Hong Kong (7,20%). I tutaj też mamy podobne trendy – zmniejszyła się ilość ataków na Chiny (o 28,34 p. p.) i zwiększyła na obiekty w USA (o 7,82 p. p.).
I tu od razu mała uwaga – w raporcie firmy Kaspersky w kategoriach „państwo – cel ataku”, oraz „państwo – atakujący”, w ogóle nie ma Rosji w pierwszej dziesiątce państw obu rankingów. Można zadać pytanie – czy Rosja nie jest celem ataków DDoS i z jej terytorium nie są stosowane te ataki (w co trudno uwierzyć), czy też firma, mająca siedzibę w Moskwie, musiała trochę skorygować dane?
- Najwięcej ataków zaobserwowano w okresie świąt Bożego Narodzenia, a szczyt przypadł na 31 grudnia – 1349 ataków jednego tylko dnia.
Przechodząc do ciekawszych, z naszego punktu widzenia tematów, należy zauważyć, że w czwartym kwartale praktycznie do zera zmniejszył się udział botnetów opartych na systemach Windows. Praktycznie wszystkie ataki (99,8%) oparte były na botnetach złożonych z komputerów z systemem Linux! To informacja, która zaskoczyła ekspertów Kasperskiego.
Przy tym, większość serwerów C&C (Command & Control) zarządzających botnetami w czwartym kwartale znajdowało się na terytorium USA (36,30%), w Holandii (19,18%) i w Niemczech (8,22%). Co ciekawe, pomimo, iż większość ataków DDoS zrealizowano z Chin, tam było tylko 2,05% serwerów C&C.
Zmiana typów ataków
W czwartym kwartale doszło do dosyć ciekawych zmian w typach ataku DDoS. Liderem jest, podobnie jak przez wiele miesięcy, SYN flood (78,28%) przy czym wobec poprzedniego kwartału ilość ataków tego typu zmniejszyła się aż o 16,31 p. p.
Wzrosła, i to znacząco, ilość ataków typu UDP flood – z 2% w ciągu pierwszych trzech kwartałów 2020 roku do 15,17%. Praktycznie do zera spadła ilość ataków ICMP flood, które zajmowały przez wiele miesięcy drugie miejsce. TCP flood osiągnął nieznaczną zwyżkę do 5,47%.
Laboratorium zauważa, że w ostatnim okresie pojawił się typ ataku nie notowany dotychczas w ich raportach kwartalnych – GRE flood. Jest to o tyle ciekawe, że protokół GRE (Generic Routing Encapsulation), jest dosyć specyficzny z punktu widzenia ataków. Nie da się zafałszować ruchu GRE, zastosować spoofingu itd. aby go dokonać trzeba mieć bardzo duży botnet. Jednym z głośniejszych przypadków użycia tego typu ataków było użycie botneta Mirai w 2016 r. do ataku na blog dziennikarza Briana Krebsa. Wg ekspertów, istnieją przesłanki wskazujące na użycie w Mirai dziesiątków, jeśli nie setek tysięcy urządzeń IoT (routerów, kamer IP, rejestratorów DVR itp.).
DDoS kontra koparki
W czwartym kwartale 2020 r. zanotowano ponad 30% spadek wszystkich ataków DDoS wobec trzeciego kwartału tego roku. Zdaniem specjalistów od Kaspersky, można już od trzeciego kwartału 2020 r. mówić o ewidentnej zależności ilości ataków DDoS od wzrostu rynku kryptowalut. Profesjonalni hakerzy, którzy dotychczas oferowali swoje botnety do ataków, teraz wykorzystują je często jako koparki kryptowalut.
Jak zauważają eksperci, przy takich cenach kryptowalut, operatorom botnetów, nie opłaca się wyłączać kopania, na rzecz zamówień u „uczniów, chuliganów i gorących głów” (aczkolwiek w okresie zdalnego nauczania przeprowadzano wiele ataków na szkoły i uniwersytety).
Oczywiście, w czwartym kwartale, pełnym świąt i zakupów, muszą przyjmować zamówienia na blokowanie sklepów i magazynów konkurencji, ale ceny w tym okresie na ich usługi w jakiś sposób rekompensują zdejmowanie części mocy z miningu. W pierwszym kwartale 2021 botnety powróciły w dużej mierze do kopania.
2021
Zdaniem „Laboratorium Kaspersky” rynek DDoS ustabilizował się około 2018 r. Dopiero zmiany na rynku walut spowodowały znaczący spadek ilości ataków. Eksperci zakładają, że jeśli najbliższe miesiące będą analogiczne do ostatnich miesięcy 2020 r., gdy to DDoS zależały od pandemii i rynku kryptowalut, sytuacja będzie analogiczna do ostatnich miesięcy ubiegłego roku. Jeśli cena walut będzie spadać, wzrastać będzie ilość ataków DDoS, i na odwrót. Kaspersky zakładają, że 30% spadki/wzrosty należy uznać za możliwe.
Więcej o atakach typu DDoS można przeczytać w materiale Sekuraka w cyklu “Czym jest atak DDoS” część 1, część 2, część 3
~Marek Reszuta
Kacpersky? A nie Kaspersky?
Kasperski w tytule, w tekście Kacpersky? News swoją drogą ciekawy.
„najwięcej ataków przeprowadzono z Hong Kong”
„Zdaniem specjalistów od Kaspersky”
Język polski zatracać deklinacja, poczynając od nazwa własna?
.
Ciekawa korelacja DDoS i kryptowalut.
Nie wiem, czy akurat w wypadku tego artykułu wzięło się to ze Zbuka, ale czasem te błędy zauważam nawet w mailach, gdy nadawcy nie chce się poprawić nazw (nawet polskich imion i nazwisk), gdy kopiują z FB (gdzie one są podlinkowane w mianowniku).
Lenistwo i olewactwo do kwadratu.
Po napisaniu powyższego komentarza pomyślałem, że może on być opacznie zrozumiany.
Zwróciłem uwagę na ogólne zjawisko.
Nie miałem na myśli autora tego artykułu; jeśli wyrządziłem przykrość, to przepraszam!
Artykuł w rzeczy samej jest interesujący.
Pozdrawiam autora.