Обхитри меня, если сможешь, или bypass в умелых руках DDoS-хактивистов

Александр Лямин, основатель Qrator Labs

Атаки киберпреступников на сайты аэропортов США , Белого дома , нападения Anonymous на сайты российских СМИ , DDoS-атаки на платежную систему МИР – все это лишь малая доля происходящего сегодня в интернете.

Зачем они это делают?

С первого взгляда может показаться, что атаки хактивистов – это исключительно выражение социального протеста путем остановки работы крупнейших корпораций, подавления различных информационных ресурсов. Однако глубинная цель – это, безусловно, финансовая мотивация, и под видом организации таких атак хактивисты занимаются прямым обманом. В нашем мире все крутится вокруг денег, и неверным было бы считать, что хактивисты занимаются чистым black альтруизмом. Организация любой DDoS-атаки стоит немалых средств – даже чтобы взять в аренду ботнет, нужно заплатить кругленькую сумму.

Одним из таких показательных нападений стала атака на инфраструктуру национальной службы здравоохранения и систему «электронного здравоохранения» Латвии. Частично она была похожа на действия хактивистов, но потом «на огонек» зашли ребята, которые держат крупный ботнет, и на этом этапе система здравоохранения Латвии не выдержала и на несколько часов вышла из строя.

Как устроена монетизация

Хактивисты используют два основных способа добывания денег. Во-первых, это донаты. Атаки анонсируются в различных каналах в соцсетях, и объявляется сбор средств на поддержку киберактивистов.

Во-вторых, организация атак используется как способ самопиара. Когда все знают, что ты «первый ддосер на районе», к тебе начинают приходить с коммерческими заказами на организацию атак. Например, долгое время у хакеров существовал излюбленный бенчмарк – горячо любимый всеми проект Дом-2. Для DDoSеров это был своеобразный challenge: положил Дом-2 – выложил скриншоты – посыпались заказы на дальнейшие атаки. Такой же стратегии придерживается группировка Lizard Squad. Раньше они, как Гринч, всем портили Рождество путем проведения хактивистских нападений и параллельно подрабатывали организацией коммерческих DDoS-атак на заказ.

Каков урон?

Как бы громко ни звучали все происходящие атаки, в реальности хактивисты мало на что способны с точки зрения нанесения вреда бизнесу. Как правило, все организуемые ими нападения сводятся к DDoS базового уровня, с которым все уже давно научились бороться, тем более за прошедшие полгода.

Однако эффект от хорошо поставленной DDoS-атаки переоценить сложно. Если устроить нападения на крупнейших регистраторов доменных имен, центры верификации электронной подписи, налоговые органы, платежные, медицинские системы, решения телеметрии, сделав это в формате «шок и трепет», будет эффект разорвавшейся бомбы. Особенно заметным он станет в географически крупных странах, таких как Россия, Китай, Индия, если DDoS-атака разорвет их национальную связность. Теоретически подобные сценарии вполне возможны, но практически на данный момент текущий уровень DDoS больше похож на атаки школьников, которые пытаются продемонстрировать больше, чем умеют на самом деле.

Bypass в действии

Повторюсь, за последние полгода почти все научились борьбе с атаками хактивистов, поняли, что нужно защищать свой DNS, почтовые сервисы и пр. Тем не менее в начале ноября этого года случилась DDoS-атака с использованием техники bypass, которая возымела эффект на доступность ресурса SecurityLab.

Злоумышленники ставили своей задачей узнать реальный IP-адрес, за которым находится портал, и в обход нашей защиты от DDoS-атак «налить» туда вредоносный трафик.

Стоит признать, что обхитрить систему у них получилось. Вероятнее всего, они воспользовались готовым сервисом типа Censys, с помощью которого просканировали интернет в поисках TLS-сертификата, принадлежащего SecurityLab и не закрытого нами. Найдя эту брешь, хактивисты отправили кучу мусора на найденный IP-адрес. Как результат – недоступность ресурса в течение часа.

Однако стоило клиенту закрыть bypass, работоспособность сайта была восстановлена: найти уязвимость в Application уровне нашей защиты злоумышленники уже не смогли.

Еще немного о…

Другой способ, которым с успехом пользуются злоумышленники для организации bypass – это DNS fuzzing. Люди склонны называть свои сервисы и доменные зоны предсказуемым образом, и, пользуясь этим, злоумышленники ищут DNS-серверы с таким же названием, как у атакуемого ресурса, в попытке обнаружить «живые» сервисы, находящиеся в инфраструктуре жертвы.

Именно поэтому при добавлении и публикации нового сервиса необходимо быть внимательным -- DNS-запись должна указывать сразу на IP-адрес поставщика защиты, либо при постановке за защиту серверный IP надо сменить, исключив использование засвеченного, который будет найден в DNS-кэше и истории. Периодический аудит доменной зоны на предмет того, куда "смотрят" записи, также поможет избежать таких неприятностей.

Еще пример – любые сервисы, где идет call back – обратный вызов со стороны инфраструктуры защищаемого клиента. Это могут быть двусторонние протоколы или загружаемые картинки – злоумышленник отсылает объект, в который включена картинка, и со стороны инфраструктуры идет вызов на ее скачивание. Таким образом выявляется IP-адрес жертвы.

Кто виноват и что делать?

В конечном итоге, bypass – это попытка найти способы обхода поставщика защиты и пробить ресурс напрямую. Как описано выше, это решается разными способами, но если бизнес защитился хорошо и «убрал» все концы, то бояться нечего.

А если торчат неприкрытые концы или бизнесу нужно быть экстрауверенным в непрерывной работе своего сервиса, в этом случае возможна организация выделенного канала защиты от edge поставщика до клиентской инфраструктуры – то, что мы делаем в Qrator Labs. И даже если клиенту «пробили» основной канал, который по той или иной причине был им полностью не закрыт, коммуникация идет по выделенному, и бизнес остается онлайн 24/7.

Предотвращение bypass - это задача, которую провайдер безопасности решает всегда вместе с клиентом, при его бездействии помочь можно лишь частично. К тому же это задача регулярная с постоянно меняющимися вводными. Любой новый микросервис в инфраструктуре клиента, который публикуется в Сеть, любой выпущенный сертификат шифрования, запись в доменной зоне, выложенный для скачивания файл -- имеют потенциал для раскрытия злоумышленнику точки входа, не прикрытой защитой, для проведения атак.

Подводя итог, можно сказать, что в целом не так страшен bypass, как его малюют. Для поставщика защиты – это дополнительный вызов, и чем больше атак нейтрализует его система antiDDoS, тем больше она получает возможностей обучаться на них, и тем меньше вероятность забайпассить защищаемого клиента.