Content-delivery Network araştırmacılarına göre, dağıtılmış hizmet reddi saldırıları düzenleyen suçlular ile onları durdurmaya çalışan savunucular arasındaki uzun süreli silahlanma yarışı devam ediyor. Cloudflare Çarşamba günü bildirdi.
Dünya çapında 100’den fazla ülkede 300’den fazla şehri kapsayan küresel bir ağ ile Cloudflare, yalnızca bir avuç başka şirket tarafından paylaşılan bu tür saldırılara ilişkin görünürlüğe sahiptir. Şirket, yoğun zamanlarda saniyede 63 milyondan fazla ağ isteği ve günde 2 trilyondan fazla alan araması gerçekleştirdiğini söyledi. Cloudflare’nin sağladığı hizmetler arasında, tipik olarak DDoS kısaltmasıyla anılan saldırıların hafifletilmesi yer alır.
Endişe verici artış
Cloudflare araştırmacıları Omer Yoachimik ve Jorge Pacheco Çarşamba günü, bu yılın ikinci çeyreğinde öne çıkan olayları özetleyen bir tehdit raporunda, “Son aylarda, DDoS saldırılarının karmaşıklığında endişe verici bir artış oldu,” dedi. “Gördüğümüz en büyük ve en karmaşık saldırılar bile yalnızca birkaç dakika, hatta saniye sürebilir ki bu da bir insana yanıt vermesi için yeterli zamanı vermez.”
DDoSe’ler, altyapılarının kaldırabileceğinden daha fazla trafikle bir web sunucusunu veya başka bir çevrimiçi mülkü yumruklayarak çalışır. Amaç, hizmetin kilitlenmesine neden olmak ve sonuç olarak, mülke erişmeye çalışan yasal kullanıcıların hizmet vermesini engellemektir. DDoSing, bir pizzacının telefon numarasını aynı anda arayan büyük bir genç grubuna benzer. Önemsiz çağrı seli, mevcut tüm telefon hatlarını tüketir ve cevap verebilecek personeli tüketir. Meşru emirler vermeye çalışan insanlar daha sonra geçemezler.
Geleneksel olarak, DDoSe’ler özellikle karmaşık değildir. Pek çok açıdan, düşmanlarına karşı dev bir sopa kullanan bir Neandertalden pek de farklı değiller. En büyük sopaya sahip olan mağara adamı genellikle kazanır. Daha yakın zamanlarda, bu değişmeye başladı. Cloudflare, Microsoft ve diğer büyük şirketler, DDoS saldırılarının etkilerini azaltmak için yeni önlemler geliştirirken, bazıları Rus hükümetiyle işbirliği yapan tehdit aktörleri, bu savunmalara karşı koymanın yeni yollarına öncülük ediyor.
Daha yeni yöntemler iki şey yapmaya çalışır: (1) savunucuların engellememesi için trafiğin kötü niyetliliğini gizleyin ve (2) DDoS azaltmaları yerinde olsa bile hedefleri alt edebilecek çok daha büyük trafik akışları sağlayın.
Bu yöntemler şunları içerir:
HTTP DDoS saldırıları. Bu saldırılar, web sitelerini ve HTTP tabanlı API ağ geçitlerini bilgi işlem kaynaklarını tüketmeye yetecek kadar istekle doldurmak için sade hipermetin aktarım protokolünü kullanır. DDoS azaltma hizmetleri, geleneksel olarak saldırgan isteklerini meşru olanlardan ayırarak bu tür saldırıları engeller. Artık saldırganlar, kötü niyetli ve iyi niyetli trafik arasında ayrım yapmayı zorlaştıran yöntemler kullanarak karşılık veriyor. Araştırmacıların açıkladığı gibi:
Son birkaç ayda yüksek oranda rastgele ve karmaşık HTTP DDoS saldırılarında endişe verici bir artış gözlemledik. Görünüşe göre bu saldırıların arkasındaki tehdit aktörleri, bazı durumlarda kullanıcı aracıları ve JA3 parmak izleri gibi çeşitli özellikler üzerinde yüksek derecede rastgeleleştirme sunarak, tarayıcı davranışını çok doğru bir şekilde ustalıkla taklit ederek hafifletme sistemlerini denemek ve üstesinden gelmek için saldırıları kasıtlı olarak tasarlamış gibi görünüyor. birkaç isim. Böyle bir saldırının bir örneği aşağıda verilmiştir. Her farklı renk, farklı bir rastgeleleştirme özelliğini temsil eder.
Ayrıca, bu saldırıların birçoğunda, tehdit aktörlerinin tespit edilmekten kaçınmak ve meşru trafik arasında saklanmak için saniye başına saldırı oranlarını nispeten düşük tutmaya çalıştıkları görülmektedir.
Bu karmaşıklık düzeyi daha önce devlet düzeyinde ve devlet destekli tehdit aktörleriyle ilişkilendirilmişti ve görünüşe göre bu yetenekler artık siber suçluların emrinde. Operasyonları şimdiden büyük bir VoIP sağlayıcısı, önde gelen bir yarı iletken şirketi ve birkaç isim vermek gerekirse büyük bir ödeme ve kredi kartı sağlayıcısı gibi önde gelen işletmeleri hedef aldı.
Yamasız yazılım çalıştıran sunucuların istismarı: Artmakta olan bir başka yöntem de, PBX telefon iletişimini İnternet’e ve tersi yönde aktarmak için bir ağ geçidi görevi gören Mitel MiCollab ve MiVoice Business Express işbirliği sistemleri için yamalı yazılım çalıştıran sunucuların kullanılmasıdır. CVE-2022-26143 olarak izlenen bir güvenlik açığı, yama uygulanmamış yazılımın halka açık İnternet’te kullanıma sunduğu kimliği doğrulanmamış bir UDP bağlantı noktasından kaynaklanmaktadır. Savunmasız bir sistemi kurbandan geliyormuş gibi görünen isteklerle dolduran sistem, karşılığında kurbanı 4 milyar kat daha büyük bir yük ile sıkıştırır. Bu yükseltme yöntemi, sistemleri test etmek için bir dizi çağrıyı simüle eden “startblast” hata ayıklama komutu adı verilen komut yayınlayarak çalışır.
Cloudflare araştırmacıları, “Sonuç olarak, her test çağrısı için, yayınlayıcıya iki UDP paketi gönderilerek, bir saldırganın bu trafiği bir DDoS saldırısını güçlendirmek için herhangi bir IP ve bağlantı noktası numarasına yönlendirmesini sağlar” diye yazdı. “Güvenlik açığına rağmen, bu cihazlardan yalnızca birkaç bin tanesi açığa çıkıyor, bu da potansiyel saldırı ölçeğini sınırlıyor ve saldırıların seri olarak çalışması gerekiyor, yani her cihaz aynı anda yalnızca bir saldırı başlatabilir.”
DNS Aklama Asaldırılar. Bunlar, geçen çeyrekte moda olan üçüncü DDoS tekniğiydi. Alan adlarını IP adreslerine çeviren kaynak olarak alan adı sistemi, verilerin bir yerden başka bir yere gitmesi için çok önemlidir. Saldırganlar, bir hedefin DNS altyapısını işleyebileceğinden daha fazla arama isteğiyle doldurarak, uzun süredir hedeflenen hizmetleri kullanılamaz hale getirebilmiştir.
Dünyanın 2016’da, virüs bulaşmış yönlendiricilerden ve diğer cihazlardan oluşan nispeten küçük bir ağ DNS sağlayıcısı Dyn’in kaynaklarını tükettiğinde öğrendiği gibi, bu tür bir saldırı tüm İnternet için yıkıcı sonuçlar doğurabilir. Sonuç olarak Twitter, GitHub, PlayStation ağı ve Dyn’e dayanan diğer yüzlerce özellik durma noktasına geldi.
Artık savunucular, kötü amaçlı DNS isteklerini filtrelemede daha iyi olduklarına göre, saldırganlar da DNS Aklama saldırılarından yararlanmaya başladı. Cloudflare araştırmacıları şunları açıkladı:
Bir DNS Aklama saldırısında, tehdit aktörü, kurbanın DNS sunucusu tarafından yönetilen bir etki alanının alt etki alanlarını sorgulayacaktır. Alt etki alanını tanımlayan önek rastgeledir ve böyle bir saldırıda asla bir veya iki defadan fazla kullanılmaz. Rastgeleleştirme öğesi nedeniyle, özyinelemeli DNS sunucularının hiçbir zaman önbelleğe alınmış bir yanıtı olmaz ve sorguyu kurbanın yetkili DNS sunucusuna iletmesi gerekir. Yetkili DNS sunucusu daha sonra meşru sorgulara hizmet edemeyene ve hatta hep birlikte çökene kadar pek çok sorgu tarafından bombardımana tutulur.
Koruma açısından bakıldığında, kaynak Google’ın 8.8.8.8 ve Cloudflare’nin 1.1.1.1 gibi saygın yinelemeli DNS sunucularını içerdiğinden, DNS yöneticileri saldırı kaynağını engelleyemez. Yöneticiler, meşru sorgulara erişimi korumak istedikleri geçerli bir etki alanı olduğundan, saldırıya uğrayan etki alanına yönelik tüm sorguları da engelleyemezler.
Yukarıdaki faktörler, meşru sorguları kötü amaçlı olanlardan ayırmayı çok zorlaştırır. Büyük bir Asya finans kurumu ve bir Kuzey Amerika DNS sağlayıcısı, bu tür saldırıların son kurbanları arasında yer alıyor. Böyle bir saldırının bir örneği aşağıda verilmiştir.
Sanal makine botnet’leri. Araştırmacıların yükselişte olduğunu belirledikleri son teknik, sanal makine bot ağlarının kullanılmasıydı. Saldırganlar, virüs bulaşmış yönlendiricilere ve diğer İnternet bağlantılı cihazlara güvenmek yerine sanal makineler veya sanal özel sunucular kullanır. Bu botnet’lerin hesaplama ve bant genişliği kaynakları, daha geleneksel botnet’lerin “hiper hacimli” DDoSe’ler sunma kapasitesini gölgede bırakıyor.
Çarşamba günkü rapor, böyle bir botnet’in bu yılın başlarında 71 milyon isteklik bir saldırıyı gerçekleştirmekten sorumlu olduğunu ve bu da onu şimdiye kadarki en büyük DDoSe’lerden biri yaptığını söyledi.
Gerçeklik
Geçen çeyrekte kripto para siteleri en büyük DDoS hedefi olurken, bunu oyun ve kumar siteleri ile pazarlama ve reklam siteleri izledi. ABD en büyük DDoSes kaynağıydı, onu Çin ve Almanya izledi. Bu ülkelerin daha büyük pazar boyutları göz önüne alındığında, daha fazla DDoSe’yi de hesaba katacakları anlaşılmaktadır. Araştırmacılar, bu tür önyargıları ortadan kaldırırken en büyük kaynakların Mozambik, Mısır ve Finlandiya olduğunu söyledi. Mozambik IP adreslerinden kaynaklanan tüm HTTP trafiğinin beşte birine yakını DDoS saldırılarının parçasıydı.