01 окт 2012

Исследование компании Imperva: DoS атаки продолжают двигаться вверх по уровнях стека протоколов OSI

Атаки  типа «отказ в обслуживании»  становятся все более распространенными в мире «злоумышленников», а также продолжают двигаться вверх по стеку OSI от сетевого уровня к уровню приложения, согласно самым последним исследованиям, которые были проведены Imperva.

В то время как ранние версии DoS атак,  как правило, осуществлялись на сетевом уровне и были направлены на отключение портов сервера, самые современные стратегии атак «передвинулись» вверх по стеку протоколов до уровня приложений, согласно с  мнением Тала Бири, исследователя безопасности в компании Imperva, Redwood Shores, Калифорния, компании, которая специализируется на обеспечении безопасности работы приложений и передачи данных.

“Отказы в обслуживании на уровне веб-приложений являются очень распространенным типом атаки”, сказал Бири. “Они часто воспринимаются как инструмент влияния «хактивистов», но также часто используется и в коммерческих целях”.

Бири характеризует этот уровень атак, как “превосходство ума над мускулами “. «Загрузить сеть, используя инструменты нижних уровней стека протоколов  технически просто, – утверждает он, – но потребуется много сил, чтобы вывести сервер из строя». С другой стороны, воспользоваться уязвимостью на уровне приложений и выбрать необходимые средства для атаки технически более сложно, но таким образом можно остановить роботу сайта с помощью одного запроса и без использования больших объемов трафика. “Чем выше  вы  поднимаетесь, тем больше власти получаете, но вы платите за нее с точки зрения необходимости большей изощренности” сказал он. “Таким образом, хакеры постоянно развиваются, и в настоящее время все ближе знакомятся с веб-приложениями.” 

В отличие от множества других атак веб-приложений, таких как внедрение SQL кода, удаленное включение файлов и «межсайтовый скриптинг», атаки типа «отказ в обслуживании» опираются на присущие приложениям ограничения,  и они не требуют четкого определения уязвимости, которая может быть исправлена ​​с помощью поставщика программного обеспечения.

Во многих случаях эффективность DoS атак увеличивается путем использования  многочисленных машин одновременно. Эти, так называемые, распределенные отказы в обслуживании (DDoS), как правило, осуществляется при помощи крупных ботнет сетей и серверов, которые были «взломаны», путем внедрения вредоносных программ.

Даже если злоумышленники не обязательно являются специалисты в области осуществления DoS атак, существует ряд организаций, в основном в зарубежных странах, которые обеспечивают такого рода услуги в обмен за плату. Эти теневые организации не только утвердились, но сумели остаться в бизнесе, отчасти из-за их способности постоянно менять различные составляющие компоненты, которые могут привести к ним следователей.

“Я думаю, что эти услуги начинают попадать под пристальное внимание”, сказал Бири. “И если они достаточно внимательны, они будут использовать платежные системы с гарантированной анонимностью, и изменять идентификаторы своих сообщений электронной почты, мгновенных сообщений и так далее. Кроме того, они могут использовать бот сети и прокси-сервера для дальнейшего сокрытия своих личных данных».

Исследования компании Imperva также показывают, что как только инструмент  защиты выходит в общее использование, его создатели уже не могут контролировать направления, в которых он будет использоваться. Во многих случаях, ресурсы, которые были разработаны для поддержки тестов на проникновение и аналогичных видов деятельности сетевых специалистов, в конце концов, используются «хакерами» для атаки   реальных целей.

Одним из ключевых инструментов поддержки DoS-атак является Mobile LOIC (Mobile Low Orbit Ion Cannon),  DoS-приложение с открытым исходным кодом, изначально написанное на C #.  Программа LOIC была использована в различных операциях хактивистов и известна своей простотой.

LOIC превратилась в централизованное решение, без необходимости загрузки программного обеспечения”, пояснил Бири. “Таким образом, злоумышленники создают эксплойт, который гарантирует, что атака достигнет приложения и не будет остановлена каким-либо механизмом защиты”.

Введение мобильного варианта приложения сделало нападение еще проще, говорится в докладе. Пользователь инициирует DoS атаку с веб-страницы, которая содержит необходимый JavaScript код и он автоматически загружается в браузер пользователя и выполняется. Сценарий продолжает распространятся, и создает свои новые образы. Пока страница открыта в браузере пользователя, браузер продолжает посылать запросы.

Slowhttptest– программный инструмент с открытым исходным кодом для реализации нескольких видов DoS атак, в основном частых DoS-атак с низкой пропускной способностью на уровне приложений, которые увеличивают использование  памяти и ресурсов процессора на сервере.

Slowhttp это утилита, которую вам пройдётся специально загрузить”, сказал Бири. “Она специализируется на атаках, которые создают нагрузку на сервер, но не требуют  от злоумышленника передачи больших объемов трафика. Она часто использует механизм Slowloris, который посылает бесконечные запросы к серверу. Программа посылает данные каждые 59 секунд, прежде чем соединение будет закрыто по истечению одной минуты. Таким образом, если сервер, например, может обрабатывать только 100 соединений, вы можете «обрушить» его таким образом без отправки большого объема трафика”.

Slowhttp был первоначально разработан в обществе сетевых специалистов,  как инструмент для тестирования, но в итоге перешёл на «другую» сторону, и используется злоумышленниками как средство для осуществления атак.

Независимо от того, какая тактика используется,  атака включает в себя некоторые формы вымогательства в сочетании с механизмом передачи денег преступникам для сохранения работоспособности сайта или сервиса.

Лучшие методы  защиты включают блокирование известных угроз; идентификацию уникальных характеристик HTTP траффика, которые могут служить основой для выявления угроз; сбор данных о потенциальных источниках атак; блокирование ключевых автоматизированных процессов; и использование, фиксирующего данные о запросах, AntiDoS«движка», который способен принимать во внимание повторения. Эта способность особенно важна, потому что HTTP-запросы, связанные с большинством DoS атак, как правило, кажутся  не угрожающими, если рассматривать их на основе индивидуальных данных.















Опубликовано © Itbiz