Как изменились DDoS-угрозы во втором квартале этого года

Kate

Administrator
Команда форума
Разбор аналитики от одного из крупнейших поставщиков CDN-услуг в мире и некоторых мнений экспертов о том, как действовали злоумышленники в последнее время.

Фотография: KeepCoding / Unsplash

Фотография: KeepCoding / Unsplash

Кибершторм на волне​

В апреле мы уже писали о том, как меняются DDoS-атаки и методы борьбы с ними. За прошлый квартал ситуация изменилась, но не глобальным образом. Она продолжила развиваться в направлении, обозначенном на Всемирном экономическом форуме в Давосе в январе: год обещал принести «кибершторм» из атак рекордной мощности.

Прогноз фактически сбывается. В первом квартале произошла крупнейшая DDoS-атака, и в рост идёт и другая статистика. В свежем отчёте один из крупнейших поставщиков CDN-услуг отмечает, что, количество атак на криптовалютные компании увеличилось сразу на 600%. Также в пять раз увеличилось число инцидентов с использованием скомпрометированных IoT-устройств — количество таких ботов достигло планки в миллион гаджетов. Чаще всего ботнеты использовали для нарушения работы телекоммуникационных сетей и другой критически важной инфраструктуры.

Не исчезли и классические методы формирования ботнетов: как выяснилось, один из популярных VPN-сервисов с несколькими миллионами загрузок на Android обладал потенциалом к использованию устройств пользователей для DDoS-атак.

Одна из крупнейших атак в этом квартале произошла с использованием бот-сети и пиковой мощностью в 1,4 Тбит/с. Её удалось автоматически обнаружить и подавить. Атака была недолговечной, поэтому рекорд по мощности DDoS злоумышленники не поставили.

Однако количество атак длительностью более трёх часов во втором квартале увеличилось сразу на 103% по сравнению с предыдущим периодом. Дело в том, что злоумышленники находят больше способов прятать вредоносный трафик среди обычного. Ещё одной особенностью атак становится их многовекторность — ботнеты нацеливают на сайты и внутреннюю инфраструктуру организаций, чтобы нанести максимальный ущерб.

Доработанные методы​

Злоумышленники активнее работают над тем, чтобы ботнеты имитировали реальных пользователей. Чтобы сделать маскировку более эффективной, они применяют рандомизацию User Agent, JA3 Fingerprint и других параметров. В большом количестве случаев ботнеты поддерживают относительно низкую частоту атак на продолжительном отрезке времени. При этом все более сложные методы используют не только крупные игроки в этой сфере, но и злоумышленники более низкого уровня.

Наиболее опасными эксперты посчитали случаи, когда ботнеты использовали так называемое «отмывание DNS». Из других типов — отметили объемные DDoS-атаки с применением виртуальных машин и частных серверов, что позволяет мультиплицировать мощность при практически прежних затратах на инфраструктуру. Именно такой подход использовали для проведения рекордной DDoS-кампании с 71 млн запросов в начале года.

Что дальше​

В прошлом квартале специалисты по ИБ сделали акцент на совершенствование специализированных моделей машинного обучения, позволяющих выявлять даже замаскированные DDoS-атаки. Пока этот подход остаётся одним из ключевых и перспективных с точки зрения дальнейшего развития. Модели адаптируют под конкретные задачи: например, одни оказываются нацелены на защиту IoT-устройств, а другие — на любителей маскироваться с помощью fast flux DNS.

Фотография: Kevin Ku / Unsplash

Фотография: Kevin Ku / Unsplash
Новые исследования также посвящают поиску альтернативных методов обучения — например, по федеративной модели: не собирать данные с множества устройств, а проводить обучение непосредственно на них и отсылать на центральный сервер обновлённые параметры модели, а не только поток необработанных данных.

Особенно актуален такой подход для сетей, состоящих из множества слабых по отдельности IoT-устройств. Обучение модели таким способом позволяет снизить нагрузку на каждую отдельную систему, сохранить конфиденциальность передаваемых данных и уменьшить зависимость от непрерывной связи с центральным сервером для обнаружения угроз. Точность обнаружения DDoS-атак при этом достигает почти 90%.

Для того, чтобы усилить эффект федеративной модели, исследователи предложили добавить к ней систему обнаружения и предотвращения вторжений на хост — HIDPS. Она помогает точнее обнаруживать атаки в режиме реального времени. Первая отвечает за анализ данных непосредственно на самих IoT-устройствах, а вторая — за анализ трафика со всех хостов в сети. Таким образом выстраивается распределённая система безопасности, не полагающаяся только на один сервер или отдельные хосты.

Ещё одним трендом можно назвать разработку решений, способных смягчить последствия DDoS-атаки, даже если системе ещё не удалось определить характер вторжения. Адаптивная методика позволяет создавать правила фильтрации трафика для каждого устройства в распределённой сети так, чтобы минимизировать риск ущерба для пользователей в режиме реального времени. Такой подход может быть актуален при защите критической инфраструктуры: например, киберфизических систем вроде «умных» сетей электроснабжения или систем управления беспилотным транспортом.

 
Сверху