DDoS-атаки стремительно увеличивают свои масштабы, частоту и техническую сложность

DDoS-атаки стремительно увеличивают свои масштабы и техническую сложность

Александр Панасенко 01 Июля 2015 - 09:16

...

Неудивительно, что эта тенденция создала для производителей ПО особый (и быстро растущий) рынок продукции, предназначенной для обнаружения и защиты от таких атак. Отраслевые аналитики из компании IDC ожидают, что к концу 2015 года глобальный рынок решений для защиты от DDoS-атак составит 657,9 млн долларов США, а к 2018 году вырастет до 944,4 млн.

Производители соответствующего ПО активно борются за свою долю этого рынка. Те из них, кто не имел решений для защиты от DDoS-атак (или хотя бы отдельных инструментов для этой цели), начали в спешном порядке приобретать нужные технологии. В качестве примера приведу прошлогоднюю сделку, в результате которой компания F5 Networks приобрела компанию Defense.net. Кроме того, многие производители, не связанные напрямую с упомянутым рынком, тоже стремятся проникнуть туда. Например, компания Akamai, крупнейшая сеть доставки контента, приобрела компанию Prolexic Technologies.

Любое предприятие, использующее в своей деятельности Интернет, —мишень для злоумышленников, и, скорее всего, оно уже неоднократно подверглось атакам. В прошлом году 38% из 300 корпораций, опрошенных компанией Arbor Networks, сообщили, что в 2014 году ежемесячно становились жертвой более чем 21 DDoS-атаки. Специалисты по информационной безопасности из компании Incapsula (разрабатывает продукты для защиты от DDoS-атак, принадлежит компании Imperva) предсказывают, что в будущем любая компания, имеющая отношение к Интернету, будет подвергаться DDoS-атакам несколько раз в году. «Не стоит рассматривать атаки как всего лишь возможное событие — лучше рассматривать их как событие неизбежное», — говорит Тим Мэттьюз (Tim Matthews), вице-президент компании Incapsula по маркетингу.

DDoS-атаки очень просты в осуществлении. Сначала злоумышленник незаметно заражает и берет под контроль любые устройства с операционной системой, подключенные к Интернету: ПК, планшеты, браузеры, мобильные телефоны, серверы и т.д. Захваченные устройства становятся частью удаленно управляемой сети ботов (сокр. от «робот») — ботнета. После этого владелец ботнета (т.н. «ботовод») заставляет зараженные устройства отправлять огромные объемы трафика (отсюда название: «лавинная атака») на адреса жертв, чтобы заполнить всю полосу пропускания до такой степени, пока не будет исчерпано место для полезной нагрузки.

«Доступность каналов с широкой полосой пропускания, открытый доступ к услугам киберпреступников и вредоносным инструментам через т.н. "темный Интернет" — все это привело к стремительной эволюции технологий DDoS-атак, используемых злоумышленниками всего мира для нападений на организации», — говорит Джерри Сталик (Jerry Stalick), вице-президент компании F5 Networks по глобальным услугам.

В последние годы DDoS-атаки стали существенно изощреннее и в то же время проще в реализации. Кроме того, теперь злоумышленники имеют возможность арендовать ботнеты через Интернет за небольшую сумму (всего несколько долларов за час или даже за несколько дней). Таким же образом можно воспользоваться услугами подрядчиков для управления атакой. У таких сделок есть важное преимущество: заказчик атаки не имеет прямого отношения к реализации киберпреступления.

Специалисты по информационной безопасности рекомендуют организациям использовать гибридный подход к противодействию DDoS-атакам, т.е. подход, объединяющий возможности локальных и облачных решений для того, чтобы поддерживать и защищать как входящий, так и исходящий трафик. Локальные (расположенные на территории организации) решения распознают DDoS-атаки на уровне приложений. Как правило, такие атаки осуществляются с применением небольших объемов сравнительно медленного трафика. Атаки на уровне приложений генерируют постоянные обращения к ресурсам предприятия — например, к веб-сайтам, веб-приложениям, серверам и т.д. В результате приложения значительно замедляют или вовсе останавливают свою работу.

Как только локальные решения начинают под воздействием DDoS-атаки испытывать нехватку полосы пропускания, они могут переключить контроль на облачные службы, способные контролировать значительно большие объемы трафика. Локальные и облачные решения отслеживают резкий рост трафика и различные аномалии на пакетном уровне, что может сигнализировать о возможной DDoS-атаке. Как только подозрительные пакеты обнаруживаются, их тут же отделяют от основного потока трафика для того, чтобы изучить более подробно. Действительно же вредоносные пакеты просто сбрасываются до того, как они достигнут своего назначения.

Поставщики решений для ИБ докладывают, что многие DDoS-атаки демонстрируют постоянное изменение тактик, предусматривают изощренные лавинные атаки, короткие по длительности, зато очень частые. Специалисты по информационной безопасности полагают, что большинство таких атак — просто разведка боем. Тем самым злоумышленники пытаются обнаружить организации со слабой защитой, по-настоящему уязвимые для более агрессивных атак.

Кроме того, DDoS-атаки часто служат отвлекающим маневром. Киберпреступники начинают такую атаку на основные ресурсы организации, чтобы отвлечь внимание персонала, обеспечивающего безопасность. Параллельно осуществляется незаметное внедрение вредоносного кода через совсем другие, вспомогательные интернет-ресурсы организации. Работа вредоносного кода заключается в поиске и краже конфиденциальной информации, например, данных о заказчиках, коммерческих данных и интеллектуальной собственности. Позже злоумышленники могут попытаться продать похищенную информацию на черном рынке или потребовать выкуп у законных владельцев.

«Киберпреступники применяют также упрощенные стратегии атак, чтобы тем самым повысить общую эффективность и отвлечь внимание ИТ-персонала от действительной цели нападения, которая заключается во внедрении вредоносного кода и похищении данных, — говорит Риши Агарвал (Rishi Agarwal), директор по маркетингу продукции в компании NSFocus. — Современные киберпреступники активно развиваются и постоянно совершенствуют методы своей деятельности».

Появление распределенной разновидности атак типа «отказ в обслуживании» привело к возникновению новых проблем, поскольку зараженные устройства, участвующие в нападении, расположены буквально по всему миру. Первые ботнеты формировались более десяти лет назад в среде компьютерных игроков, на базе ресурсов игровой индустрии и сайтов электронной торговли. Затем в течение нескольких последующих лет активность DDoS-атак была сравнительно невелика, но с 2012 года они начали проявлять себя все заметнее и с тех пор лишь укрепляют свои позиции. Игровая индустрия до сих пор остается привлекательным объектом для нападений. В то же время за последние несколько лет сфера применения DDoS-атак заметно расширилась и теперь включает в себя финансовый, правительственный, технологический секторы, а также сферу развлечений в целом.

Для организаций, полагающихся в своей деятельности на интернет-ресурсы и приложения (например, для предприятий сферы электронной торговли), последствия DDoS-атак могут быть разрушительными. Недоступные веб-сайты и серверы могут стать причиной того, что на репутацию компании будет брошена тень, а заказчики обратятся к ресурсам конкурентов.

При этом для успешной реализации DDoS-атаки не требуются ни особые знания, ни техническая оснащенность. Этот факт очень хорошо иллюстрируется ростом кибератак на образовательные учреждения. Зачастую учащиеся организовывают DDoS-атаки на свои учебные заведения просто самоутверждения ради. Например, не так давно 17-летний студент из штата Айдахо (США) заказал и оплатил злоумышленникам атаку на интернет-портал системы школьного округа West Ada School District. В результате учителя и студенты лишились возможности продолжать удаленную работу, а некоторым учащимся пришлось по нескольку раз пересдавать экзамены. «Для детей это всего лишь игра, но для учреждений образования и коммерческих структур она может очень дорого стоить», — говорит Терренс Гаро (Terrance Gareau), главный научный сотрудник компании Nexusguard (работала с учебными заведениями, ставшими жертвами кибератак).

Шквал DDoS-атак побуждает производителей рассматривать возможности сотрудничества в сфере обмена информацией о значимых кибератаках и их организаторах. Вопрос в том, говорит вице-президент компании F5 Джерри Сталик, «насколько можно открыться, не рискуя потерять конкурентные преимущества?».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Сентября 2025 - 09:13

Windows Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Microsoft

Две 0-day и 81 баг: вышли сентябрьские патчи Microsoft

Сегодня Microsoft выпустила сентябрьский пакет обновлений безопасности — традиционный Patch Tuesday. На этот раз компания закрыла 81 уязвимость, среди которых сразу две уже известных 0-day. Из общего числа багов девять получили статус «критических».

Пять из них позволяют выполнить удалённый код, одна связана с утечкой информации, ещё две дают злоумышленникам возможность повысить привилегии.

Если посмотреть по категориям, картина выглядит так:

41 уязвимость повышения привилегий,
2 обхода функций безопасности,
22 удалённого выполнения кода,
16 раскрытия информации,
3 отказа в обслуживании,
1 подделки (spoofing).

Важно отметить, что в эту статистику не входят баги, которые Microsoft закрыла ранее в сентябре: три в Azure, одна в Dynamics 365 FastTrack Implementation Assets, две в Mariner, пять в Edge и одна в Xbox.

Две 0-day

Первая критическая уязвимость — CVE-2025-55234 в Windows SMB Server. Речь идёт о проблеме повышения привилегий, связанной с релейными атаками. Microsoft предупреждает: в зависимости от конфигурации сервер может быть уязвим.

Чтобы защититься, рекомендуется включить SMB Server Signing и Extended Protection for Authentication (EPA). Но здесь есть нюанс — старые устройства могут работать некорректно, поэтому компания советует сначала включить аудит совместимости.

Вторая проблема — CVE-2024-21907, связанная с библиотекой Newtonsoft.Json, которая используется в Microsoft SQL Server. Уязвимость могла приводить к переполнению стека при десериализации данных через метод JsonConvert.DeserializeObject. Это позволяло удалённому атакующему вызвать отказ в обслуживании. В свежих апдейтах Microsoft обновила SQL Server и встроенную версию Newtonsoft.Json, закрыв дыру.

Полный список пропатченных уязвимостей приводим ниже:

Затронутый компонент	CVE-идентификатор	CVE-наименование	Степень риска
Azure - Networking	CVE-2025-54914	Azure Networking Elevation of Privilege Vulnerability	Критическая
Azure Arc	CVE-2025-55316	Azure Arc Elevation of Privilege Vulnerability	Важная
Azure Bot Service	CVE-2025-55244	Azure Bot Service Elevation of Privilege Vulnerability	Критическая
Azure Entra	CVE-2025-55241	Azure Entra Elevation of Privilege Vulnerability	Критическая
Azure Windows Virtual Machine Agent	CVE-2025-49692	Azure Connected Machine Agent Elevation of Privilege Vulnerability	Важная
Capability Access Management Service (camsvc)	CVE-2025-54108	Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability	Важная
Dynamics 365 FastTrack Implementation Assets	CVE-2025-55238	Dynamics 365 FastTrack Implementation Assets Information Disclosure Vulnerability	Критическая
Graphics Kernel	CVE-2025-55236	Graphics Kernel Remote Code Execution Vulnerability	Критическая
Graphics Kernel	CVE-2025-55223	DirectX Graphics Kernel Elevation of Privilege Vulnerability	Важная
Graphics Kernel	CVE-2025-55226	Graphics Kernel Remote Code Execution Vulnerability	Критическая
Microsoft AutoUpdate (MAU)	CVE-2025-55317	Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability	Важная
Microsoft Brokering File System	CVE-2025-54105	Microsoft Brokering File System Elevation of Privilege Vulnerability	Важная
Microsoft Edge (Chromium-based)	CVE-2025-9866	Chromium: CVE-2025-9866 Inappropriate implementation in Extensions	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-9867	Chromium: CVE-2025-9867 Inappropriate implementation in Downloads	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-53791	Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability	Средняя
Microsoft Edge (Chromium-based)	CVE-2025-9864	Chromium: CVE-2025-9864 Use after free in V8	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-9865	Chromium: CVE-2025-9865 Inappropriate implementation in Toolbar	Неизвестно
Microsoft Graphics Component	CVE-2025-53807	Windows Graphics Component Elevation of Privilege Vulnerability	Важная
Microsoft Graphics Component	CVE-2025-53800	Windows Graphics Component Elevation of Privilege Vulnerability	Критическая
Microsoft High Performance Compute Pack (HPC)	CVE-2025-55232	Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-54910	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-55243	Microsoft OfficePlus Spoofing Vulnerability	Важная
Microsoft Office	CVE-2025-54906	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54902	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54899	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54904	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54903	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54898	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54896	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54900	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-54901	Microsoft Excel Information Disclosure Vulnerability	Важная
Microsoft Office PowerPoint	CVE-2025-54908	Microsoft PowerPoint Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2025-54897	Microsoft SharePoint Remote Code Execution Vulnerability	Важная
Microsoft Office Visio	CVE-2025-54907	Microsoft Office Visio Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-54905	Microsoft Word Information Disclosure Vulnerability	Важная
Microsoft Virtual Hard Drive	CVE-2025-54112	Microsoft Virtual Hard Disk Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2025-54092	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2025-54091	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2025-54115	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2025-54098	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
SQL Server	CVE-2025-47997	Microsoft SQL Server Information Disclosure Vulnerability	Важная
SQL Server	CVE-2025-55227	Microsoft SQL Server Elevation of Privilege Vulnerability	Важная
SQL Server	CVE-2024-21907	VulnCheck: CVE-2024-21907 Improper Handling of Exceptional Conditions in Newtonsoft.Json	Неизвестно
Windows Ancillary Function Driver for WinSock	CVE-2025-54099	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Важная
Windows BitLocker	CVE-2025-54911	Windows BitLocker Elevation of Privilege Vulnerability	Важная
Windows BitLocker	CVE-2025-54912	Windows BitLocker Elevation of Privilege Vulnerability	Важная
Windows Bluetooth Service	CVE-2025-53802	Windows Bluetooth Service Elevation of Privilege Vulnerability	Важная
Windows Connected Devices Platform Service	CVE-2025-54102	Windows Connected Devices Platform Service Elevation of Privilege Vulnerability	Важная
Windows Connected Devices Platform Service	CVE-2025-54114	Windows Connected Devices Platform Service (Cdpsvc) Denial of Service Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-53810	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-53808	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-54094	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-54915	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-54109	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-54104	Windows Defender Firewall Service Elevation of Privilege Vulnerability	Важная
Windows DWM	CVE-2025-53801	Microsoft DWM Core Library Elevation of Privilege Vulnerability	Важная
Windows Imaging Component	CVE-2025-53799	Windows Imaging Component Information Disclosure Vulnerability	Критическая
Windows Internet Information Services	CVE-2025-53805	HTTP.sys Denial of Service Vulnerability	Важная
Windows Kernel	CVE-2025-53803	Windows Kernel Memory Information Disclosure Vulnerability	Важная
Windows Kernel	CVE-2025-53804	Windows Kernel-Mode Driver Information Disclosure Vulnerability	Важная
Windows Kernel	CVE-2025-54110	Windows Kernel Elevation of Privilege Vulnerability	Важная
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2025-54894	Local Security Authority Subsystem Service Elevation of Privilege Vulnerability	Важная
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2025-53809	Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability	Важная
Windows Management Services	CVE-2025-54103	Windows Management Service Elevation of Privilege Vulnerability	Важная
Windows MapUrlToZone	CVE-2025-54107	MapUrlToZone Security Feature Bypass Vulnerability	Важная
Windows MapUrlToZone	CVE-2025-54917	MapUrlToZone Security Feature Bypass Vulnerability	Важная
Windows MultiPoint Services	CVE-2025-54116	Windows MultiPoint Services Elevation of Privilege Vulnerability	Важная
Windows NTFS	CVE-2025-54916	Windows NTFS Remote Code Execution Vulnerability	Важная
Windows NTLM	CVE-2025-54918	Windows NTLM Elevation of Privilege Vulnerability	Критическая
Windows PowerShell	CVE-2025-49734	PowerShell Direct Elevation of Privilege Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-54095	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-54096	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-53797	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-53796	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-54106	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-54097	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-53798	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-54113	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-55225	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-53806	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows SMB	CVE-2025-55234	Windows SMB Elevation of Privilege Vulnerability	Важная
Windows SMBv3 Client	CVE-2025-54101	Windows SMB Client Remote Code Execution Vulnerability	Важная
Windows SPNEGO Extended Negotiation	CVE-2025-54895	SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Elevation of Privilege Vulnerability	Важная
Windows TCP/IP	CVE-2025-54093	Windows TCP/IP Driver Elevation of Privilege Vulnerability	Важная
Windows UI XAML Maps MapControlSettings	CVE-2025-54913	Windows UI XAML Maps MapControlSettings Elevation of Privilege Vulnerability	Важная
Windows UI XAML Phone DatePickerFlyout	CVE-2025-54111	Windows UI XAML Phone DatePickerFlyout Elevation of Privilege Vulnerability	Важная
Windows Win32K - GRFX	CVE-2025-55224	Windows Hyper-V Remote Code Execution Vulnerability	Критическая
Windows Win32K - GRFX	CVE-2025-55228	Windows Graphics Component Remote Code Execution Vulnerability	Критическая
Windows Win32K - GRFX	CVE-2025-54919	Windows Graphics Component Remote Code Execution Vulnerability	Важная
Xbox	CVE-2025-55242	Xbox Certification Bug Copilot Djando Information Disclosure Vulnerability	Критическая
XBox Gaming Services	CVE-2025-55245	Xbox Gaming Services Elevation of Privilege Vulnerability	Важная

DDoS-атаки стремительно увеличивают свои масштабы и техническую сложность

Читайте также