Botnet Leet większy od botnetów Mirai – i to bez korzystania z Internetu Rzeczy

Pierwsze doniesienia o nowym ataku napływają od firmy Imperva, bezpośrednio związanej z tematyką bezpieczeństwa. Tym razem DDoS udało się przetrwać bez poważniejszych awarii, klienci nie ucierpieli, w dużym stopniu dzięki stosowanym przez Impervę serwerom proxy – atak musiał mierzyć w liczne adresy IP. Jak się jednak okazuje, tylko jedna fala ataku wygenerowała ruch sieciowy na poziomie nawet 650 Gb/s (150 mln pakietów na sekundę) – o 30 większy, niż w przypadku Mirai. Do tej pory ataki 500 Gb/s i większe były osiągalne tylko dla botnetów bazujących na Internecie Rzeczy.

Zdaniem specjalistów Impervy ten DDoS zwiastuje kolejne ataki, które nie będą już tak proste do zneutralizowania. Analiza zebranych śladów pozwoliła jednak ustalić kilka faktów na temat działania botnetu Leet.

Po pierwsze, jego nazwa nie jest przypadkowa: opcje TCP w pakietach ruchu sieciowego zostały ustawione tak, by składać się w ciąg 1337, co odczytuje się w haker-mowie jako leet, elita. Zarazem jednak wszystkie pakiety wysyłane przez botnety Mirai mają na sztywno ustawione opcje TCP, których tutaj nie zaobserwowano.

Po drugie, atak tego botnetu był atakiem SYN (polegał na wysyłaniu pakietów z ustawioną w nagłówku flagą synchronizacji i sfałszowanym adresem IP nadawcy). Botnety na bazie Mirai nie mają możliwości przeprowadzenia ataków SYN na dużą skalę.

Po trzecie, zawartość pakietów botnetów Mirai to ciągi losowo wygenerowanych znaków. Botnet Leet wykorzystuje zawartość realnych plików z przejętych systemów, umieszczając ją w swoich pakietach TCP. Pozwoliło to w pewnym stopniu ominąć zapory sieciowe, wykrywające ataki na podstawie pakietów i podobieństwa przesyłanych w nich danych.

Początek przyszłego roku może okazać się trudnym okresem dla ekspertów od bezpieczeństwa sieci. Metody wypracowane na Mirai okazują się nieskuteczne wobec Leeta, który niewątpliwie jest zupełnie nowej klasy zagrożeniem, co gorsze niewiadomego pochodzenia.