Зафиксирована самая длительная DDoS-атака c 2015 года

Зафиксирована самая длительная DDoS-атака c 2015 года

Исследователи «Лаборатории Касперского» проанализировали DDoS-атаки через ботнеты, организованные злоумышленниками в первом квартале 2018 года. Среди основных тенденций эксперты отмечают возвращение долгих многодневных кампаний, увеличившуюся популярность атак с усилением, а также рост активности старых и новых ботнетов.

Первый квартал стал периодом длительных кампаний. Наиболее продолжительная из них не утихала в течение 297 часов (больше 12 дней), став самой долгой с конца 2015 года. Доля других относительно продолжительных атак (не менее 50 часов) выросла более чем в 6 раз – с 0,10% до 0,63%.

На киберарену вернулись атаки с усилением, в частности, через сервис Memcached. Они были беспрецедентными по своей мощности: в одном из случаев объём мусорного трафика превышал 1 Тб/с. Однако эксперты полагают, что их популярность продлится недолго. Такие кампании затрагивают не только прямых жертв, но и компании, которые невольно оказываются вовлечены в организацию атаки. Владельцы серверов будут быстро замечать избыток мусорного трафика и закрывать уязвимости.

Так, в конце февраля в службу поддержки Kaspersky DDoS Protection обратилась компания с жалобой на странную перегрузку каналов связи. Предприниматели подозревали, что находятся под DDoS-атакой. Однако исследование показало, что на одном из серверов клиента работал уязвимый сервис Мemcached, который использовался злоумышленниками при атаке на другую компанию. После выполнения рекомендаций «Лаборатории Касперского» вредоносный паразитный трафик прекратился.

Эксперты полагают, что на этом фоне организаторы DDoS-атак будут искать другие возможности усиления. Одной из них могут стать LDAP-сервисы, которые используются для доступа к службам каталогов. Наряду с Memcached, NTP и DNS у этого сервиса один из самых больших коэффициентов усиления. Однако в отличие от них мусорный трафик LDAP едва ли способен полностью засорить исходящий канал. Это делает выявление и устранение проблемы более трудной задачей для владельца уязвимого сервера. Поэтому несмотря на относительно небольшое количество доступных LDAP-серверов, возможно, этот тип атак станет популярным в теневом интернете в ближайшие месяцы.

«Эксплуатация уязвимостей — излюбленный инструмент киберпреступников, которые занимаются созданием ботнетов. Однако как показали первые месяцы 2018 года, DDoS-атаки затрагивают не только своих прямых жертв, но и компании, уязвимая инфраструктура которых задействована в атаке помимо их воли. События первого квартала подтверждают простую истину: защитные платформы, которые использует бизнес для обеспечения своей безопасности, должны включать как постоянную защиту от DDoS-атак, так и инструменты для регулярного исправления уязвимостей», — отметил Алексей Киселёв, руководитель проекта Kaspersky DDoS Protection в России.

Среди других выводов аналитического отчёта «Лаборатории Касперского»:

  • В первом квартале 2018 года были зафиксированы атаки в 79 странах. Странами с наибольшим количеством атак стали Китай, США и Южная Корея. Россия в этом списке заняла десятое место (0,76% всех атак).
  • Значительные изменения произошли в десятке стран с наибольшим количеством командных серверов. На смену Канаде, Турции, Литве и Дании пришли Италия, Гонконг, Германия и Великобритания.
  • Резко выросло количество серверов для ботов Darkai (в США, Италии, Нидерландах и Франции) и AESDDoS (в Китае). Кроме того, возобновилась деятельность ботнетов Xor и Yoyo. Активность последнего увеличилась более чем в пять раз.
  • Доля Linux-ботнетов снизилась по сравнению с концом прошлого года и составила 66% (против 71%).
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Microsoft в ноябре проигнорировала 0-day, слитую в Twitter в октябре

Вчера Microsoft выпустила очередной набор обновлений безопасности для своей операционной системы. На этот раз корпорация устранила 62 проблемы безопасности. Среди этих уязвимостей также присутствовала 0-day, которая активно эксплуатировалась злоумышленниками до выхода ноябрьских патчей. Удивительно, но в Редмонде проигнорировали другую zero-day, сведения о которой были опубликованы в Twitter.

Исправленная уязвимость нулевого дня отслеживается под идентификатором CVE-2018-8589, она затрагивает Win32k, компонент системы Windows. Сама Microsoft классифицировала эту брешь как «проблему повышения привилегий в системе».

В корпорации объяснили, что атакующий мог использовать эту дыру для эскалации привилегий только в том случае, если он первым делом заразил систему и запустил вредоносный код.

Microsoft также отметила, что за обнаружение этой проблемы стоит сказать спасибо исследователям антивирусной компании «Лаборатория Касперского». Эксперты, в свою очередь, утверждают, что наблюдали использование этого бага серьезными киберпреступными группами.

0-day можно было использовать на 32-битных системах Windows 7. Корпорация обещала выпустить сегодня подробный анализ этой уязвимости, а также способов ее использования. Это уже вторая по счету брешь нулевого дня, которую Microsoft патчит за последние месяцы — обе были обнаружены экспертами «Лаборатории Касперского».

Эксперты, однако, отметили, что Microsoft в этом месяце не устранила другую серьезную проблему — 0-day эксплойт для последних версий Windows, слитый в Twitter в октябре.

Уязвимость нулевого дня затрагивает Microsoft Data Sharing (dssvc.dll), локальный сервис, обеспечивающий обмен данными между приложениями. По словам нескольких специалистов, которые проанализировали PoC-код, атакующий может использовать брешь для повышения привилегий в системах, к которым у него уже есть доступ.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru