ПоDDoSил и бросил

2021-12-02 09:23:07 VoIP-провайдер Zadarma рассказал про атаки на себя с целью вымогательства.

В январе 2021 была первая атака с целью вымогательства. Против атаки в 20 Gbps был применен blackhole, что говорит об её успешности. Поэтому компания расширила пропускную способность своих каналов.

В мае началась новая серия DDoS-атак. В течение недели атакующий, используя UDP Amp и HTTP Flood, иногда добивался краткосрочных прерывании в работе сервиса, и одного трехчасового простоя. Максимальная скорость атаки 100 Gbps небольшими пакетами.

В процессе росли запросы вымогателей с 0,5 BTC до 3 BTC. Zadarma на запросы принципиально не реагировал. Также рассказали, что некий британский VoIP-провайдер заплатил вымогателям 1 BTC, но через три дня атаки продолжились с запросом уже 5 BTC.

Атаки на Zadarma происходят раз в 2-3 месяца. Свою эффективность противодействию атакам объясняют проведенной предварительной подготовкой:
– распределенная архитектура сервиса
– широкие каналы
– возможность сервиса работать как по UDP, так и по TCP
– фильтрация UDP Amp на уровне интернет-провайдера
– некая "активная защита" на каждой площадке Открыть/Комментировать

2021-11-30 11:53:13 Даркнет-рынок по торговле канабисом Cannazon объявил о закрытии после продолжительной DDoS-атаки.

Cannazon ориентировался на европейских покупателей, и стартовав в марте 2018, быстро стал одним из самых активных даркнет-рынков в Европе.

24 октября 2021 у площадки начались проблемы с доступностью из-за DDoS-атак.
Работа через зеркала не помогала, приватные ссылки утекали и становились целью. Через три недели мучений сайт ушел в постоянный оффлайн. Спустя неделю молчания администрация сообщила об официальном прекращении существования торговой площадки.

Но лично нам слабо верится, что DDoS-атака была основной причиной ухода с насиженного места. Деньги у таких есть, и повышенная стоимость за защиту чернушных сайтов не могла их испугать. Скорее всего ребята осознали, что за ними скоро придут, и под шумок атаки свернули лавочку. Открыть/Комментировать

2021-11-13 22:44:32 Cloudflare сообщили о DDoS-атаке почти в 2 Tbps.

Атака длилась около минуты, и состояла из DNS amplification и UDP Flood c приблизительно 15k ботов Mirai и GitLab серверов. Открыть/Комментировать

2021-11-13 19:38:49 360Netlab опубликовали разбор развивающегося ботнета Abcbot.

Abcbot написан на Go и ориентирован на Linux-сервера в облачной инфрастуктуре.

Впервые образец бота обнаружен 14 июля 2021, и с тех пор получил 5 обновлений. В последнем обновлении от 30 октября бот получил собственную реализацию DDoS функциональности.

Исследователи не разбирают методы атак, но из приведенных названий функций мы можем предположить поддерживаемые методы атак:

httpGetAttack – HTTP-атака GET запросами;
slowlorisAttack – HTTP-атака незавершенными запросами;
hulkAttack – HTTP-атака запросами со случайным путем, подменой User-Agent, Referrer по списку, no-cache;
goldenEyeAttack – HTTP-атака запросами со случайным путем, User-Agent, Referrer и используется no-chache, keep-alive;
bandwidthDrainAttack – HTTP-атака, скачивающая большие файлы, и забивающая исходящий канал у жертвы;
tlsAttack – возможно, циклическое пересогласование ключей в рамках TLS-соединения;
tcpAttack – множество вариантов, возможно, параметрами указывается конкретный тип TCP Flood;
udpAttack – множество вариантов, но скорее всего большими пакетами;

aceAttack – к сожалению, мы не знакомы с DDoS-атакой с таким названием. Кто знает, напишите нам.

Список методов показывает перекос в сторону прикладных атак. Открыть/Комментировать

2021-11-11 14:51:17 Минцифры в телеграм-канале* сообщило о вчерашней DDoS-атаке больше 680 Gbps на портал Госуслуг.

* В списке контактов канал не указан. Открыть/Комментировать

2021-11-10 12:34:55 ПоDDoSил и бросил pinned «Дорогой читатель, если ты считаешь контент канала полезным, помоги с его популяризацией! Приветствуются репосты в тематические чаты, но можно и просто друзьям рассказать. https://t.me/poDDoSil» Открыть/Комментировать

2021-11-10 01:21:39 Qrator Labs сообщили о DDoS-атаке около 1 Tbps с серверов GitLab.

7 ноября в 23:28 UTC были нейтрализованы* UDP Flood + IP Frag c битовой и пакетной интенсивностью* 961 Gbps и 88,32 Mpps.

Если присмотреться к приведенному графику, то видно, что
атака продолжалась около двух минут, в интервале с 00:27:30 по 00:29:30;
значения атаки показывают всего 2 точки;
на графике разный интервал между точками, т.е. есть подозрения в неточности показаний;
вырос зеленый график, т.е. часть трафика атаки была пропущена?

Нам интересно, что показывает зеленый график. Можно предположить, что это либо обратный, либо сброшенный, либо пропущенный трафик.
Обратный трафик от системы фильтрации может появляться при проверке методом запрос-ответ. В случае протокола UDP метод используется при защите DNS, либо специфичных приложений, например, игровых. Но фрагментация указывает, что пакеты были большие, такие не используют при атаке DNS-запросами, а в защите UDP-игр Qrator не засветился. Так что скорее всего это не обратный трафик.

Когда уважаемые люди пишут, что они верят в то, что это была атака с серверов, которые взломали с использованием критической уязвимости в GitLab (CVE-2021-22205) и не приводят ни одного доказательства, то либо это желание похайповать на горячей теме, либо они что-то знают и еще не успели подготовить интересный и полный технических деталей отчет. При этом быть вторыми, кто сообщил о случившемся, не хотели, поэтому сделали короткий анонс.

Мы знаем, что Qrator активно сканирует Интернет на предмет выявления IP-адресов с известными уязвимыми сервисами, и они вполне могли найти пересечение адресов из атаки в результатах сканирования. Либо просканировали IP-адреса из черного списка, сформированного в ходе атаки и увидели, что все из них оказались открытыми для широкой публики GitLab серверами.

Так что ждем отчет с деталями.

* термины из отчета за третий квартал 2021 Открыть/Комментировать

2021-11-08 22:09:41 Kaspersky выпустили отчет по DDoS-атакам за третий квартал 2021. Открыть/Комментировать

2021-11-07 09:00:26 Дорогой читатель, если ты считаешь контент канала полезным, помоги с его популяризацией!
Приветствуются репосты в тематические чаты, но можно и просто друзьям рассказать.

https://t.me/poDDoSil Открыть/Комментировать

2021-11-07 00:26:46 Комментарии по отчету Radware.

1. Малопонятная метрика malicious events

Учитывая, что одна атака может содержать от одного до сотен событий, то не очень понятно, как интерпретировать и проецировать на реальность данную статистику.


2. Измерение атаки в количестве «заблокированных» байт

Во-первых, навеяло нафталиновыми временами, когда доступ в Интернет был помегабайтно.
Во-вторых, а что с трафиком атаки, которую система фильтрации пропустила?
Т.е. метрика мало характеризует атаку, а только говорит, что в этом году они стали лучше сбрасывать трафик.
В-третьих, если отбросить шутки про нафталин и задуматься, в каком случае атака на суммарное количество входящих данных актуальна, то вспоминается тарификация у облачных хостингов. Но, например, по нашей информации, AWS и Azure не тарифицируют трафик атаки.


3. Нормализованная статистика на клиента

В отчете много статистики в расчете на одного клиента, в том числе для сравнения с другими периодами. Но нет статистики по количеству клиентов и изменениям. А главное — клиент клиенту рознь и профиль по атакам будет сильно разный.

Как происходит нормализация на клиента? По тексту отчета есть места, где усреднение называют нормализацией.

Тогда получается, например, если на клиента_1 было 10 UDP Flood атак, на клиента_2 2 HTTP Flood атаки, то нормализованная статистика покажет 5 UDP Flood и 1 HTTP Flood?

Вспоминается шутка: «Одни едят мясо, другие капусту, а в среднем все едят голубцы.»


4. Индустрия “technology”

Technology – указана как самая атакованная индустрия. Что за индустрия такая? В GICS мы её не нашли.


5. Странный Топ векторов атак по объему (figure 18)

- cтроить Топ типов атак по количеству сброшенного трафика, странное решение;
- не ясно как интерпретировать эти данные после нормализации;
- не указаны единиц измерения;
- SSL-ClearText

В наших палестинах мы не слышали про DDoS-атаку SSL-ClearText, и не смогли найти в открытых источниках хоть какое-то описание. Кто знает про атаку или работает с Radware, зашлите нам ссылку с описанием атаки.


6. Непонятный Топ application по объему (figure 19)

Что в данном случае application? Трафик на порт, закрепленный за приложением, или прикладная атака по протоколу приложения?
Что считается и показывается в этом Топе? Приложения, которые были атакованы, или которые атаковали? Если которые атакованы, тогда Radware защищает SSDP и NTP приложения? Если которые атаковали, то что делают в этом списке HTTPS, HTTP, SMTP?


7. На девятом слайде пасхалка с дублем двух абзацев.


В итоге имеем пример отчета, в котором привели множество каких-то данных, но при этом мало говорящих по сути. К качеству отчета вопросы от выбора странных метрик до непонятных срезов.

Возможно, это просто мы ничего не понимаем. Поэтому готовы опубликовать дополнения и разъяснения, когда получим комментарии от вендора. Открыть/Комментировать