Инструменты для проведения DDoS-атак набирают популярность

Инструменты для проведения DDoS-атак набирают популярность

Prolexic опубликовала информационный бюллетень, посвященный разбору itsoknoproblembro ― тулкита для проведения DDoS-атак, взятого злоумышленниками на вооружение в минувшем году. Документ содержит результаты анализа modus operandi и отдельных php-скриптов, входящих в этот комплект, топологии ботнета, построенного на его основе, а также рекомендации по обнаружению данной угрозы и предотвращению заражений.

Как мы уже писали, itsoknoproblembro активно участвовал в мощных осенних DDoS-атаках на американские банки, которые продолжились в декабре. По данным Prolexic, пиковая мощность этих атак составила 70 Гбит/с и свыше 30 млн. пакетов/с. Первые инциденты с использованием itsoknoproblembro эксперты зафиксировали год назад. По словам экспертов, эти DDoS-кампании, направленные против хостинг-провайдеров и представителей энергетической промышленности, были достаточно скромными. Примерно тогда же этот весьма опасный инструмент объявился в России.

Как показали результаты анализа, itsoknoproblembro позволяет проводить параллельные разноплановые DDoS-атаки против нескольких мишеней. Он поддерживает такие техники атак, как POST, GET, TCP и UDP flood, UDP flood,
с использованием прокси-серверов и без таковых. Атаки типа HTTP flood могут быть комбинированными (чередование GET и POST запросов), а также с использованием защищенных (https-) соединений. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков, используя уникальную двухступенчатую систему командного управления. Получив команду на атаку, он многократно ее повторяет, используя штатную программу командной строки cURL на зараженной машине, пишет securelist.com.

Стремясь обеспечить большую пропускную способность при небольшом количестве зараженных машин, злоумышленники построили многотысячный ботнет на взломанных веб-серверах. Они внедрили вредоносные скрипты, используя известные уязвимости в системах управления сайтами, таких как WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ и проч. По оценке Prolexic, наиболее часто с этой целью используются бреши в шаблоне Bluestork (Joomla) и плагине TimThumb (WordPress). В интернете функционирует большое количество сайтов, использующих устаревшие версии CMS-продуктов, и случаи массового взлома ресурсов через эксплуатируемую уязвимость нередки.

По свидетельству экспертов, ботнет, основанный на itsoknoproblembro, многоярусный и не имеет стандартного C&C интерфейса. После загрузки на ботнет общего списка инфицированных узлов (Prolexic называет их bRobot'ы) активизируются скрипты, подающие команду на проведение атаки. На bRobot'ы устанавливаются разные комбинации файлов из общего набора, ботоводы имеют к ним доступ, проверяют статус бота и инициируют DDoS-атаки.

Все бот-серверы условно делятся на контроллеры и непосредственных исполнителей атаки: первые отсылают команды (IP-адрес мишени, продолжительность атаки, размер пакетов), адресованные конкретным скриптам на узлах второго уровня. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков: получив команду с «контроллера», он многократно ее повторяет, пересылая самому себе через GET запросы. Кроме этого, «исполнители» и «контроллеры» ведут активный «одноранговый» обмен, в результате которого на каждом уровне может произойти смена состава. Еще один ярус ботнета составляют открытые http-прокси, используемые атакующими для сокрытия источников DDoS трафика.

По прогнозам Prolexic, популярность itsoknoproblembro у инициаторов DDoS кампаний продолжит расти, посему важно начать активную борьбу с этой угрозой. Как показывает статистика, время жизни bRobot в настоящее время превышает полгода. Персистентность инфекции и трудоемкость очистки зависят от числа и разнообразия вредоносных файлов, а также от количества бэкдоров, установленных злоумышленниками. Использование устаревших, уязвимых CMS-продуктов ― глобальная проблема, и эксперты призывают разработчиков упростить процедуру их обновления, чтобы после персональной настройки пользователям не приходилось менять конфигурацию при каждом апдейте. Информационный бюллетень с профилем itsoknoproblembro доступен на сайте Prolexic (требуется регистрация).

WhatsApp обещает защитить юзернеймы от фейков, клонов и мошенников

WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) еще не успел полноценно запустить имена пользователей, а вокруг функции уже началась возня с регуляторами. По данным СМИ, власти Индии попросили корпорацию притормозить и объяснить, как мессенджер собирается бороться с мошенничеством и подделкой личностей.

Суть опасений понятна: если пользователи смогут общаться без передачи номера телефона, мошенникам якобы станет проще прятаться за никами, выдавать себя за людей, компании или госорганы и проворачивать привычные схемы уже в более анонимном формате.

WhatsApp с этим не согласен и утверждает, что защита от злоупотреблений уже заложена в дизайн функции. Представитель корпорации сообщил Android Authority, что возможность использовать юзернеймы пока не запущена для всех и будет внедряться постепенно.

По словам WhatsApp, самые заметные имена заранее зарезервированы: публичные персоны, госструктуры, знаменитости и верифицированные аккаунты Meta не смогут быть захвачены посторонними. Более того, похожие варианты известных имен тоже удерживаются.

Компания также подчёркивает: имена пользователей не заменят номер телефона полностью. Для создания и использования аккаунта WhatsApp по-прежнему потребуется телефонный номер. Ник нужен только как способ дать людям возможность связаться друг с другом без немедленного раскрытия номера.

Дополнительные ограничения тоже будут. Чтобы написать человеку по юзернейму, нужно знать его точное имя. WhatsApp обещает ограничивать количество новых контактов, которым может написать один аккаунт, блокировать массовый перебор никнеймов и использовать автоматические системы для поиска подозрительной активности и имперсонации.

Если незнакомец впервые напишет по имени, пользователь увидит больше контекста: новый ли это аккаунт, есть ли он в контактах, есть ли общая группа и из какой страны идет сообщение.

Иными словами, WhatsApp пытается усидеть на двух стульях: дать пользователям больше приватности, но не превратить юзернеймы в новый рай для мошенников. Получится ли? Станет понятно после запуска.

RSS: Новости на портале Anti-Malware.ru