Botnet Leet większy od botnetów Mirai – i to bez korzystania z Internetu Rzeczy

Botnet Leet większy od botnetów Mirai – i to bez korzystania z Internetu Rzeczy

Botnet Leet większy od botnetów Mirai – i to bez korzystania z Internetu Rzeczy
Oskar Ziomek
29.12.2016 10:21

Internetowe ataki na duże serwisy, jedno z wielu działań wykonywanych przez szeroko rozumiany malware, ponownie rosną w siłę. DDoS na serwery DNS, który w tym roku skutecznie sparaliżował wiele amerykańskich serwisów internetowych korzystających z usług firmy DynDNS, może zostać ponowiony. Tym razem jednak cyberprzestępcy mają jeszcze potężniejszą broń. Leet Botnet już teraz dorównuje wcześniej zastosowanemu Mirai, a w przyszłości ma być od niego jeszcze groźniejszy.

Pierwsze doniesienia o nowym ataku napływają od firmy Imperva, bezpośrednio związanej z tematyką bezpieczeństwa. Tym razem DDoS udało się przetrwać bez poważniejszych awarii, klienci nie ucierpieli, w dużym stopniu dzięki stosowanym przez Impervę serwerom proxy – atak musiał mierzyć w liczne adresy IP. Jak się jednak okazuje, tylko jedna fala ataku wygenerowała ruch sieciowy na poziomie nawet 650 Gb/s (150 mln pakietów na sekundę) – o 30 większy, niż w przypadku Mirai. Do tej pory ataki 500 Gb/s i większe były osiągalne tylko dla botnetów bazujących na Internecie Rzeczy.

Atak DDoS dochodzący do 650 Gb/s (źródło: Imperva)
Atak DDoS dochodzący do 650 Gb/s (źródło: Imperva)

Zdaniem specjalistów Impervy ten DDoS zwiastuje kolejne ataki, które nie będą już tak proste do zneutralizowania. Analiza zebranych śladów pozwoliła jednak ustalić kilka faktów na temat działania botnetu Leet.

Po pierwsze, jego nazwa nie jest przypadkowa: opcje TCP w pakietach ruchu sieciowego zostały ustawione tak, by składać się w ciąg 1337, co odczytuje się w haker-mowie jako leet, elita. Zarazem jednak wszystkie pakiety wysyłane przez botnety Mirai mają na sztywno ustawione opcje TCP, których tutaj nie zaobserwowano.

Po drugie, atak tego botnetu był atakiem SYN (polegał na wysyłaniu pakietów z ustawioną w nagłówku flagą synchronizacji i sfałszowanym adresem IP nadawcy). Botnety na bazie Mirai nie mają możliwości przeprowadzenia ataków SYN na dużą skalę.

Po trzecie, zawartość pakietów botnetów Mirai to ciągi losowo wygenerowanych znaków. Botnet Leet wykorzystuje zawartość realnych plików z przejętych systemów, umieszczając ją w swoich pakietach TCP. Pozwoliło to w pewnym stopniu ominąć zapory sieciowe, wykrywające ataki na podstawie pakietów i podobieństwa przesyłanych w nich danych.

Początek przyszłego roku może okazać się trudnym okresem dla ekspertów od bezpieczeństwa sieci. Metody wypracowane na Mirai okazują się nieskuteczne wobec Leeta, który niewątpliwie jest zupełnie nowej klasy zagrożeniem, co gorsze niewiadomego pochodzenia.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
bezpieczeństwo
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (14)