Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

Операторы сети доставки контента CloudFlare вновь столкнулись с DDoS-атакой

DDoS-атака была построенна по методу отражения DNS-запросов. 20 Гб/с паразитного трафика вполне способны сокрушить солидный веб-узел, однако при наличии защитных технологий ёмкая прокси-сеть легко поглощала этот нескончаемый поток, причем без каких-либо проблем с доступностью. Посему было решено помониторить текущую атаку с целью сбора данных и локализации источников агрессивного DNS-трафика.

Обычный ботнет способен сгенерировать DDoS-трафик мощностью около 100Мбит/с. Некоторым сайтам этого может хватить, чтобы лечь, но в целом с точки зрения DDoS такие нагрузки вряд ли можно назвать серьезными. Усилить мощность атаки дидосерам помогает техника " умножения " DDoS-трафика, предполагающая использование дополнительных сетевых устройств в качестве посредников. Такой трамплин работает на злоумышленника лишь при следующих условиях:

  • механизм допускает фальсификацию источника запроса (не производит проверку источника);
  • ответ по объему должен значительно превосходить запрос.

Первой разновидностью DDoS с плечом были SMURF-атаки, использующие протокол ICMP. Посредником здесь служит маршрутизатор широковещательной локальной сети, конфигурация которого позволяет транслировать ping-запросы, поданные на внешний адрес, всем участникам этой сети. ICMP-протокол работает по принципу «fire and forget» ― «отправь и забудь», без процедуры взаимного опознавания отправителя и получателя. Если в заголовке пакета подменить источник эхо-запроса, подставив адрес жертвы, и направить его на широковещательный адрес, все ответы устройств за маршрутизатором единым потоком ударят по мишени. Мощность такого трафика зависит от числа участников широковещательной сети, подключенных к маршрутизатору, пишет securelist.com.

Со временем SMURF-атаки сошли на нет: маршрутизаторы стали блокировать ICMP Echo-Reply или игнорировать ICMP Echo-Request. Злоумышленники переключились на другую платформу, также удовлетворяющую названным критериям, ― DNS. DNS-запросы передаются по протоколу UDP, тоже не проверяющему отправителя и посему не застрахованному от злоупотреблений. Рычагом, позволяющим увеличить мощность DDoS-удара в десятки раз, здесь служат открытые резолверы ― плохо сконфигурированные кэширующие DNS-серверы, способные принимать запросы не только от своих клиентов, но от любого пользователя Сети. Схема DDoS-атаки, использующей так называемый метод отражения DNS-запросов (DNS reflection), уже рассматривалась в нашем блоге в связи с предыдущим, более сокрушительным нападением на CloudFlare.

Новую DDoS-кампанию, использующую DNS, исследователи наблюдали 3 недели, исправно распределяя по CDN-сети ежесуточные 20 Гб/с потоки, изливающиеся на клиентский сайт. За этот период удалось установить около 68,5 тыс. открытых резолверов, принявших участие в DDoS-атаке. Наибольшее количество таких серверов было обнаружено на территории США ― страны с несметным числом автономных систем (AS). Однако с учетом общей популяции последних главным источником паразитного DNS-трафика оказался Тайвань. Его крупнейший провайдер HiNet (AS3462) занял второе место в рейтинге CloudFlare по количеству открытых резолверов, работающих на дидосеров (2992). Возглавила этот список пакистанская Pakistan Telecom Company (AS45595 ― 3359 серверов). Полный перечень AS-сетей с числом открытых резолверов (без указания IP), задействованных в свежей DDoS-атаке, можно посмотреть на отдельной странице, а также обратиться в CloudFlare за помощью.

В заключение стоит отметить, что проблема открытых резолверов существует уже более 10 лет. Беда в том, что последнее время они активно используются злоумышленниками для проведения мощных DDoS-атак. CloudFlare обещает продолжить публикацию списков открытых резолверов, которые давно ведут такие организации, как Team Cymru, и оказывать операторам сетей посильную помощь в исправлении ситуации. К этому блоку недавно примкнули и активисты HostExploit, публикующие рейтинги AS-систем по уровню вредоносной активности (Top 50 Bad Hosts). Проблеме открытых резолверов они посвятили особый раздел нового отчета, выпущенного по итогам III квартала. Здесь же приведена актуальная статистика по открытым резолверам в AS-системах, которая впредь будет регулярно обновляться. Как оказалось, 4 провайдера, включенных HostExploit в Тор 10 по этому показателю, стали невольными и весьма активными соучастниками свежей DDoS-атаки на CloudFlare. Например, тайваньская HiNet, 2-й «обидчик» CloudFlare по агрессивности DNS-трафика, в рейтинге HostExploit попала на 3-ю строчку (2464 открытых резолвера) ― после бразильской Telecomunicacoes de Santa Catarina (AS8167) и чилийской Terra Networks Chile (AS7418; 2998 и 3219 серверов соответственно).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Скамеры постят фейковые номера поддержки в отзывах к Chrome-версии LastPass

Разработчики менеджера паролей LastPass предупреждают о новой киберпреступной кампании, в ходе которой мошенники оставляют поддельные номера техподдержки в отзывах к расширению LastPass для Chrome.

Уловка с фейковой техподдержкой используется скамерами давно. Задача — обманом заставить пользователя открыть удалённый доступ к устройству.

В этот раз мошенники решили оставлять пятизвёздочные отзывы к расширению LastPass для браузера Google Chrome, указывая в них телефонный номер якобы техподдержки, если у пользователей будут вопросы.

 

Помимо этого, в кампании фигурирует веб-ресурс dghelp[.]top, с которого киберпреступники предлагают загрузить «программу для удалённой техподдержки». Но сначала надо ввести специальный код.

 

«Если вы позвоните на мошеннический номер, на том конце вас спросят, с каким именно продуктом у вас проблемы. После этого будет ряд вопросов о том, с какого устройства вы пользуетесь LastPass», — пишут представители LastPass.

«Далее вас перенаправят на сайт dghelp[.]top, а мошенник, оставаясь всё это время на линии, будет давать инструкции по загрузке софта с этого сайта».

Исследователи из BleepingComputer специально загрузили программу, которую предлагают скачать мошенники. Ей оказалась ConnectWise ScreenConnect (детекты на VirusTotal), открывающая удалённый доступ к устройстве жертвы.

Напомним, летом у LastPass был 12-часовой сбой в работе, причиной которого стал корявый апдейт аддона для Chrome. А весной разработчики LastPass добавили новую интересную функциональность: теперь менеджер паролей шифрует URL, сохранённые вместе с учётными данными.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru