Как ни странно, они вполне актуальны.
После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании» (DoS) с использованием простых инструментов с графическим интерфейсом, потеряло лидирующие позиции. Благодаря возможностям новых IoT-ботнетов, таких как Bashlite и Mirai, началась новая эра DDoS-атак, и они стали популярны в качестве услуги.
Несмотря на то, что активисты группы «Анонимус» продолжают свою деятельность, ее цифровой след за последние пять лет значительно уменьшился. Сегодня все еще можно найти учетные записи участников движения в популярных пабликах социальных сетей и на видеоплатформах, распространяющих локальные пропагандистские сообщения, но их значимость несравнима с влиянием прошлых лет. Однако в ходе недавней акции «Анонимуса» эксперты Radware с удивлением выяснили, что члены группы, до сих пор использующие PasteBin и GhostBin (для централизованного размещения оперативной информации), обновили список целей предыдущих лет и рекомендуют выбирать в качестве мишени Memcached и другие объекты, пригодные для атак с лавинообразным умножением данных. При этом они советуют использовать такие устаревшие инструменты DoS-атак, как LOIC, HOIC, ByteDoS и Pyloris, созданные почти 10 лет назад.
High Orbit Ion Cannon (сокращенно HOIC) — это средство нагрузочного тестирования сети, усовершенствованный вариант LOIC. Оба инструмента используются для запуска атак типа «отказ в обслуживании», получивших популярность благодаря «Анонимусу». HOIC вызывает отказ в обслуживании с использованием HTTP-флуда. Кроме того, HOIC содержит встроенную систему создания сценариев, работающую с файлами .hoic, — так называемыми бустерами. Эти файлы позволяют злоумышленнику обходить защиту от DDoS-атак с использованием случайного выбора адресов отправки запросов.
Сценарии-бустеры с расширением .hoic не позволяют скрывать или обезличивать источник атаки, но с их помощью злоумышленник может указать список меняющихся целевых URL-адресов, источников ссылок, пользовательских агентов и заголовков. Подобная атака, направленная против нескольких страниц одного и того же сайта, приводит к отказу в обслуживании, при этом создается впечатление, что запросы отправляются разными пользователями.
Рисунок 1. HOIC
ByteDOS
Программа ByteDoS, в свое время считавшаяся опасным оружием, получила в 2021 году новую жизнь. ByteDoS — это DoS-приложение для настольных компьютеров на базе Windows. Это простой автономный исполняемый файл, не требующий установки, со встроенным преобразователем доменных имен в IP-адреса. Он дает возможность организовывать два типа атак по выбору пользователя: SYN-флуд и ICMP-флуд. ByteDoS также поддерживает атаки через прокси-серверы, позволяя злоумышленникам скрывать источник. Этот инструмент широко распространен среди хактивистов и сторонников группы «Анонимус» и наиболее эффективен в ходе коллективной DoS-атаки.
Рисунок 2. ByteDOS
Pyloris
Еще одно приложение, имевшее в прошлом серьезную репутацию среди злоумышленников. Pyloris — это инструмент для организации медленных маломощных DoS-атак по протоколу HTTP. Он позволяет создавать HTTP-запросы с настраиваемыми параметрами: заголовками пакетов, cookie-файлами, размером пакетов, временем ожидания и вариантами завершения строк (CRLF). Задача Pyloris — как можно дольше поддерживать открытыми TCP-соединения между источником и серверами жертвы. В результате в таблице подключений сервера не остается свободных ресурсов. Сервер не может обрабатывать новые подключения обычных легитимных пользователей, что приводит к отказу в обслуживании.
Рисунок 3. Pyloris
Насколько эффективны старые инструменты атак?
Инструменты, рекомендуемые группой «Анонимус», формально давно устарели, но, как ни удивительно, их все еще используют. В мире быстро конструируемых IoT-ботнетов и недорогих услуг по организации атак эти инструменты десятилетней давности смотрятся достаточно странно. Хотя они не совершенны, их можно по-прежнему успешно использовать против владельцев веб-сайтов, которые не располагают достаточной защитой или информацией об угрозах. На графике ниже показана частота атак с использованием LOIC, HOIC, HULK и Slowloris за последний год.
Рисунок 4. DoS-атаки с использованием HOIC, LOIC, HULK и Slowloris (источник: Radware)
Судя по этим данным, подобные инструменты по-прежнему актуальны в 2020–2021 годах, хотя их популярность и эффективность снизилась в связи с эволюцией угроз и средств защиты. Несмотря на то, что «Анонимус» перестал быть одним из главных источников опасности, одиночки или группы любителей могут использовать эти инструменты для атак на незащищенные ресурсы.
habr.com
После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании» (DoS) с использованием простых инструментов с графическим интерфейсом, потеряло лидирующие позиции. Благодаря возможностям новых IoT-ботнетов, таких как Bashlite и Mirai, началась новая эра DDoS-атак, и они стали популярны в качестве услуги.
Несмотря на то, что активисты группы «Анонимус» продолжают свою деятельность, ее цифровой след за последние пять лет значительно уменьшился. Сегодня все еще можно найти учетные записи участников движения в популярных пабликах социальных сетей и на видеоплатформах, распространяющих локальные пропагандистские сообщения, но их значимость несравнима с влиянием прошлых лет. Однако в ходе недавней акции «Анонимуса» эксперты Radware с удивлением выяснили, что члены группы, до сих пор использующие PasteBin и GhostBin (для централизованного размещения оперативной информации), обновили список целей предыдущих лет и рекомендуют выбирать в качестве мишени Memcached и другие объекты, пригодные для атак с лавинообразным умножением данных. При этом они советуют использовать такие устаревшие инструменты DoS-атак, как LOIC, HOIC, ByteDoS и Pyloris, созданные почти 10 лет назад.
Инструменты атак прошлого
HOICHigh Orbit Ion Cannon (сокращенно HOIC) — это средство нагрузочного тестирования сети, усовершенствованный вариант LOIC. Оба инструмента используются для запуска атак типа «отказ в обслуживании», получивших популярность благодаря «Анонимусу». HOIC вызывает отказ в обслуживании с использованием HTTP-флуда. Кроме того, HOIC содержит встроенную систему создания сценариев, работающую с файлами .hoic, — так называемыми бустерами. Эти файлы позволяют злоумышленнику обходить защиту от DDoS-атак с использованием случайного выбора адресов отправки запросов.
Сценарии-бустеры с расширением .hoic не позволяют скрывать или обезличивать источник атаки, но с их помощью злоумышленник может указать список меняющихся целевых URL-адресов, источников ссылок, пользовательских агентов и заголовков. Подобная атака, направленная против нескольких страниц одного и того же сайта, приводит к отказу в обслуживании, при этом создается впечатление, что запросы отправляются разными пользователями.
Рисунок 1. HOIC
ByteDOS
Программа ByteDoS, в свое время считавшаяся опасным оружием, получила в 2021 году новую жизнь. ByteDoS — это DoS-приложение для настольных компьютеров на базе Windows. Это простой автономный исполняемый файл, не требующий установки, со встроенным преобразователем доменных имен в IP-адреса. Он дает возможность организовывать два типа атак по выбору пользователя: SYN-флуд и ICMP-флуд. ByteDoS также поддерживает атаки через прокси-серверы, позволяя злоумышленникам скрывать источник. Этот инструмент широко распространен среди хактивистов и сторонников группы «Анонимус» и наиболее эффективен в ходе коллективной DoS-атаки.
Рисунок 2. ByteDOS
Pyloris
Еще одно приложение, имевшее в прошлом серьезную репутацию среди злоумышленников. Pyloris — это инструмент для организации медленных маломощных DoS-атак по протоколу HTTP. Он позволяет создавать HTTP-запросы с настраиваемыми параметрами: заголовками пакетов, cookie-файлами, размером пакетов, временем ожидания и вариантами завершения строк (CRLF). Задача Pyloris — как можно дольше поддерживать открытыми TCP-соединения между источником и серверами жертвы. В результате в таблице подключений сервера не остается свободных ресурсов. Сервер не может обрабатывать новые подключения обычных легитимных пользователей, что приводит к отказу в обслуживании.
Рисунок 3. Pyloris
Насколько эффективны старые инструменты атак?
Инструменты, рекомендуемые группой «Анонимус», формально давно устарели, но, как ни удивительно, их все еще используют. В мире быстро конструируемых IoT-ботнетов и недорогих услуг по организации атак эти инструменты десятилетней давности смотрятся достаточно странно. Хотя они не совершенны, их можно по-прежнему успешно использовать против владельцев веб-сайтов, которые не располагают достаточной защитой или информацией об угрозах. На графике ниже показана частота атак с использованием LOIC, HOIC, HULK и Slowloris за последний год.
Рисунок 4. DoS-атаки с использованием HOIC, LOIC, HULK и Slowloris (источник: Radware)
Судя по этим данным, подобные инструменты по-прежнему актуальны в 2020–2021 годах, хотя их популярность и эффективность снизилась в связи с эволюцией угроз и средств защиты. Несмотря на то, что «Анонимус» перестал быть одним из главных источников опасности, одиночки или группы любителей могут использовать эти инструменты для атак на незащищенные ресурсы.
Насколько актуальны инструменты DoS-атак десятилетней давности в 2021 году?
Как ни странно, они вполне актуальны. После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании»...
habr.com