DDoS-атаки в России случаются все чаще

DDoS-атаки в России случаются все чаще

Количество DDoS-атак с использованием ботнетов в России в первом квартале этого года увеличилось по сравнению с предыдущим аналогичным периодом и составило почти 1400. При этом выросло и число уникальных жертв, пострадавших от действий атакующих.

В итоге Россия заняла четвертую позицию в рейтинге стран, чьи веб-ресурсы наиболее часто оказывались под прицелом организаторов DDoS-атак. Такие данные были получены «Лабораторией Касперского» в ходе анализа внутренней статистической информации за первые три месяца этого года.

Всего же в первом квартале 2015 года киберпреступники совершили более 23 тысяч DDoS-атак с применением ботсетей на ресурсы, расположенные в 76 странах. При этом мишенями, помимо России, чаще всего были серверы на территориях Китая, США и Канады. Кроме них в первой десятке жертв также оказались ресурсы из разных стран Европы и Азиатско-Тихоокеанского региона. В общей сложности в первом квартале ботнеты атаковали более 12 тысяч жертв по всему миру.

 

 

Самая продолжительная DDoS-атака, зафиксированная в первом квартале этого года, длилась 140 часов (около шести дней), а наибольшее число атак, которые пришлось вынести одному ресурсу, составило 21, то есть примерно по 2 атаки в неделю. Для сравнения: в прошлом квартале было зарегистрировано максимум 16 атак на один ресурс.

Что касается командных серверов, с которых велось управление этими атаками, чаще всего они располагались в США, Китае и Великобритании. Лидирующие позиции Китая и США в обоих рейтингах обусловлены тем, что хостинг в этих странах относительно дешев, и большинство дата-центров расположены именно в них.

«DDoS-атаки часто интернациональны: заказчик находится в одной стране, исполнитель – в другой, командные центры – в третьей, а сами боты, задействованные в DDoS-атаке, рассеяны по всему миру. Такой разброс часто усложняет расследование атак, обезвреживание ботнетов и нахождение их владельцев. Поэтому, несмотря на то что преступники не ограничивают свой арсенал для DDoS-атак одними ботнетами, этот инструмент остается одним из самых распространенных и опасных. В таких условиях превентивная защита на стороне потенциальной мишени – того или иного ресурса – становится обязательной», — поясняет Евгений Виговский, руководитель проекта Kaspersky DDoS Prevention.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru