Rogue Waves: Préparer Internet pour la prochaine attaque de méga DDoS
dans

Rogue Waves: Préparer Internet pour la prochaine attaque de méga DDoS

Lorsque vous parler d’attaques par déni de service (DDoS), vous pensez peut-être que ce sont de vieilles histoires. Mais quand une entreprise de plusieurs millions de dollars peut être facilement mise hors ligne par un adversaire non qualifié et par un service de loyer par DDoS à 5 $, je dirais que la question est toujours d’actualité.

Dans cet article, je parlerai de certains des vecteurs d’attaque que nous sommes le plus susceptibles de rencontrer au cours des 12 prochains mois, et j’analyserai avec soin quelques-uns des groupes les plus récents et les plus performants, ainsi que les types d’attaques qu’ils déploient. Plus important encore, je vais expliquer pourquoi nombre de ces techniques peuvent toujours être mises en œuvre sans que les organisations visées aient la capacité, voire aucune, de se défendre.

Jetons un coup d’œil à certains groupes d’acteurs et aux techniques qui ont rendu leurs attaques par DDoS réussies:

Izz al-Din al-Qassam (alias QCF ou les cyber-combattants d’al-Qassam)
Type d’attaque: Réflexion UDP, Flood SYN, RIP v1 réflexion
Activité: septembre 2012 – janvier 2014
Taille maximale de l’attaque: 190 Gbps
Cible: Services financiers aux États-Unis et au Canada
Motivation: Hacktivisme protestant contre la vidéo «L’innocence des musulmans» publiée sur YouTube, mais soupçonnée d’autres raisons ont conduit à de nouvelles attaques.

OurMine
Type d’attaque: Réflexion UDP, amplification NTP
Activité: décembre 2015 – septembre 2017
Taille d’attaque max: 117 Gbps
Cible: WikiLeaks, Minecraft, Pokemon Go.
Motivation: Hacktivisme, cyberextorsion

DD4BC et le profil d’attaque de «Armada Collective»
Type d’attaque: Sites de booters et stress tester
Activité: juillet 2014 à janvier 2016
Taille maximale de l’attaque: 50–60 Gbps
Cible: Services financiers dans le monde (Armada Collective – fournisseurs de messagerie privés tels que ProtonMail)
Motivation: Cyberextortion

Au fil des ans, les capacités DDoS ont beaucoup progressé. Mais une tendance est apparue suite à la diminution des services d’amplification tels que NTP et Chargen et à la correction de vulnérabilités dans des applications telles que WordPress.

calendrier de l’attaque DD4BC

Ces vulnérabilités étaient populaires depuis un certain temps pour la réalisation de DDoS par réflexion à l’aide des services de pingback XML-RPC.

Comme prévu, les criminels devaient évoluer et la prochaine génération de DDoS était née.

Cette DDoS de nouvelle génération a été lancée par des attaquants compromettant des appareils IoT tels que des caméras de sécurité ou des enregistreurs numériques.

Cela a été constaté dans le botnet Mirai, capable de générer 620 Gbps contre le site Web du journaliste d’investigation Brian Krebs, KrebsOnSecurity, en 2016.

Le botnet Mirai a continué d’évoluer et a été utilisé pour attaquer OVH, DYN, et plein d’autres.

Bien que nous ayons la plus grande attaque DDoS à ce jour avec 1,3 Tbps le 1er mars 2018, en utilisant le service exploitable Memcached pour amplifier le trafic d’attaque vers une cible, je pense que la prochaine attaque méga-DDoS se produira à cause d’un mélange de logiciels malveillants et de l’IoT ou périphériques d’utilisateurs domestiques similaires.

Permettez-moi de vous expliquer: aux États-Unis, nous avons près de 400 millions d’abonnés qui disposent chacun d’une moyenne de 25 Mbps de bande passante (si cela semble peu, attendez). Maintenant, prenez le top 100 des environnements cloud sur Internet, avec une capacité disponible moyenne de 5 Tbps chacun.

Faisons le calcul: 400 millions de connexions Internet x25 Mbps chacune = 10 000 Tbps.

100 réseaux supérieurs x5 Tbps chacun = 500 Tbps.

Donc, si nous avons ces 400 millions de connexions qui tentent d’aller vers les 100 meilleurs réseaux, qui n’ont que 5 Tbit / s de capacité chacun, alors, selon l’équation ci-dessus, les réseaux Internet les plus importants n’ont que 5% de la capacité disponible dont ils ont besoin pour gérer les demandes des utilisateurs.

C’est le sujet du brevet américain n ° 6108703 publié le 22 août 2000.

Les principaux réseaux sur Internet ne peuvent pas supporter la taille ou le volume potentiels des demandes entrantes provenant du dernier kilomètre des utilisateurs; D’où la nécessité d’inventer des réseaux de diffusion de contenu. Du point de vue de l’attaquant, rien n’a changé.

Prenons le scénario d’attaque suivant comme prévision du déroulement de la prochaine attaque DDoS en méga / terabit.

Tout ce qui est nécessaire pour une telle attaque est déjà disponible pour les criminels via deux outils de malware. L’un s’appelle DNSChanger et l’autre GhostDNS.

Ces outils fonctionnent en recherchant les routeurs Internet domestiques vulnérables (et populaires) avec des informations d’identification par défaut toujours inchangées.

Une fois découvert, l’outil se connecte à eux et modifie leurs paramètres DNS afin d’intercepter et d’affecter le trafic sortant des environnements personnel ou professionnel.

Ce que je veux souligner, c’est à l’endroit où ce logiciel malveillant prend sa décision quant aux dispositifs à attaquer. Lors d’une campagne d’attaque, le programme malveillant DNSChanger visait les routeurs déployés par les FAI brésiliens auprès de leurs clients.

Et si ce malware ciblait les routeurs FAI à Singapour, où la vitesse de téléchargement moyenne est de 60,39 Mbps? J’ai consulté les guides d’installation et les services par défaut pour les périphériques fournis par l’un des principaux fournisseurs d’accès à Internet de Singapour et j’ai trouvé des informations intéressantes.

Comme avec beaucoup d’appareils IoT domestiques, le matériel est livré avec des informations d’identification par défaut qui doivent être changées (l’histoire a montré que beaucoup d’utilisateurs domestiques ne le font tout simplement pas) ou avec des services exécutés par défaut, qui pourraient être non sécurisés ou inutiles.

Le routeur populaire de Singtel, le routeur de services intégré Cisco C881, a un mot de passe root «admin» pour les utilisateurs se connectant à ses interfaces de réseau local.

Il est également livré avec les services telnet activés, ce qui permet plus que probablement un accès utilisateur root, ainsi que modèles livrés avec le service NetBIOS activé sur Internet, ce qu’une simple recherche Shodan valide rapidement.

Sachant cela, je pense que les attaquants vont générer la prochaine attaque de 1 Tbps + DDoS à partir d’une région du monde avec une bande passante élevée et des pratiques de configuration et de déploiement médiocres.

L’attaquant peut alors générer du trafic brut directement d’un réseau utilisateur domestique vers un réseau cible. Ce problème est aggravé par le fait que les techniques d’atténuation sont habituées à ce que le trafic provienne de fournisseurs d’hébergement, mais le trafic provenant de réseaux domestiques est généralement traité avec des gants blancs.

Bien sûr, vous savez, je peux me tromper à propos de toutes ces théories compliquées. Il y a toujours un autre service memcached qui attend d’être découvert et exploité.

 

Sur le même sujet :

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

Le paysage des attaques par DDoS en Europe est-il en déclin?

Sécurité : Top 12 des attaques DDoS que vous devez connaître

 

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise

Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise

Les hackers russes attaquent les ambassades européennes dans le monde entier

Les hackers russes attaquent les ambassades européennes dans le monde entier