650Gbps DDoS Attack từ Leet Botnet

Có lẽ đây là cuộc tấn công DDoS cuối cùng của năm, chúng tôi tôi đã ghi nhận một cuộc tấn công DDoS lớn nhất 650 Gbps (Gigabit trên giây). Đây là một kết thúc phù hợp với một năm của vụ tấn công DDoS rất lớn, sự khó chịu của các loại phần mềm độc hại mới và botnet IOT lớn. Hơn thế nữa, nó cho thấy chính xác hướng đi tiếp theo của các cuộc tấn DDoS ở phía trước.

650Gbps DDoS Attack từ Leet Botnet

Mô tả về cuộc tấn công

Cuộc tấn công bắt đầu vào khoảng 10:55 ngày 21 tháng 12, nhắm mục tiêu nhiều IP anycasted trên mạng Imperva Incapsula. Thật khó để nói tại sao cuộc tấn công này không tập trung vào một khách hàng cụ thể. Nhiều khả năng, nó là kết quả của người phạm tội không thể giải quyết địa chỉ IP của nạn nhân thực tế của mình, được che đậy bởi Incapsula proxy. Và như vậy, thiếu bất kỳ lựa chọn tốt hơn, người phạm tội chuyển sự chú ý tới các dịch vụ mà đứng giữa anh ấy và mục tiêu của mình – Proxy.

Hình 1: Các đỉnh tấn công với tốc độ 650 Gbps
Hình 1: Các đỉnh tấn công với tốc độ 650 Gbps

Các DDoS đầu tiên bùng nổ kéo dài khoảng 20 phút, đạt mức cao nhất 400 Gbps. Không lập một vết lõm nào và tiếp tục cho một vòng thứ hai, thời gian đủ botnet này tấn công DDoS 650 Gbps DDoS của hơn 150 triệu gói tin mỗi giây (Mpps).

Hình 2: Packet theo tỷ lệ thứ hai đạt 150 Mpps
Hình 2: Packet theo tỷ lệ thứ hai đạt 150 Mpps

Cuộc tấn thứ hai này kéo dài khoảng 17 phút và đã được phản bác lại bằng dịch vụ của chúng tôi một cách dễ dàng. Trong số tùy chọn, bọn phạm tội khôn ngoan đã ngừng cuộc tấn công của mình.

Cả hai vụ nổ tấn công xuất phát từ các IP giả mạo, làm cho nó không thể dò ra thực tế vị trí địa lý của mạng botnet hoặc tìm hiểu bất cứ điều gì về bản chất của các thiết bị tấn công.

Hình 3: Một số IP giả mạo được sử dụng cho các cuộc tấn công
Hình 3: Một số IP giả mạo được sử dụng cho các cuộc tấn công

Tuy nhiên, chúng tôi đã phân tích dữ liệu và phát hiện ra một số manh mối về danh tính của cuộc tấn công botnet.

Phân tích payload

Các lưu lượng tấn công được tạo ra bởi hai payloads SYN khác nhau:

  • các gói tin SYN kích thước thông thường, dao động 44-60 byte
  • các gói tin SYN lớn bất thường, dao động 799-936 byte

Tăng kích thước gói tin đã được sử dụng trước để đạt được mức giá gói Mpps cao, trong khi sau này được sử dụng để mở rộng quy mô công suất của cuộc tấn công đến 650 Gbps.

Các cuộc tấn công kết hợp việc sử dụng payloads lớn và nhỏ đã trở nên ngày càng phổ biến kể từ khi chúng tôi báo cáo đầu tiên trong sự lây lan tỷ lệ cược của họ bằng cách cố gắng để cả hai đường ống mạng tắc nghẽn và suy giảm đường chuyển mạch mạng. Kiểm tra chặt chẽ hơn của hai loại payload tiết lộ một số sự kiện tò mò về nội dung của nó.

Điều đầu tiên chúng ta nhận thấy rằng kẻ phạm tội để lại một “signature” của các loại trong một số các gói tin SYN kích thước thông thường. Trong TCP Options header của các gói tin, các giá trị đã được sắp xếp để họ đánh vần1337” – leetspeak cho “Leet, hoặc “elite.

Hình 4: Các giá trị trong giao thức TCP Options header đánh vần "1337"
Hình 4: Các giá trị trong giao thức TCP Options header đánh vần “1337”

Điều tiếp theo mà nhìn vào mắt của chúng tôi là nội dung của các payload SYN lớn. Trong khi một số payloads đã được phổ biến bởi chuỗi đối tượng ngẫu nhiên của các ký tự, những payload khác chứa danh sách phân mảnh của địa chỉ IP.

Hình 5: SYN payload đó đã được tạo ra từ một danh sách IP phân mảnh
Hình 5: SYN payload đó đã được tạo ra từ một danh sách IP phân mảnh

Các danh sách IP phân mảnh gợi ý cách các nội dung payload đã được tạo ra. Có vẻ như các phần mềm độc hại, chúng tôi phải đối mặt đã được lập trình để truy cập vào các tập tin địa phương (ví dụ, các bản ghi truy cập và danh sách iptable) và scramble nội dung của chúng để tạo ra payloads của nó. Về cơ bản, toàn bộ cuộc tấn công đã được chỉ là một mớ hỗn độn của các tập tin hệ thống nghiền nát từ hàng ngàn hàng ngàn thiết bị thỏa hiệp.

Bên cạnh đó nó đã vẻ cho chúng ta một bức tranh, phương pháp tấn công này phục vụ một mục đích thiết thực. Cụ thể, nó làm cho một kỹ thuật hoang mang có thể được sử dụng để sản xuất một số lượng không giới hạn payload cực kỳ ngẫu nhiên. Sử dụng những payload, một người phạm tội có thể phá vỡ hệ thống bảo mật dựa trên chữ ký mà giảm nhẹ các cuộc tấn công bằng cách xác định điểm tương đồng về nội dung của các gói dữ liệu mạng.

Leet Botnet đối thủ của Mirai

Phải nói là rất phù hợp khi  cuộc tấn công đánh dấu vào  sự kết thúc của năm. Việc giảm nhẹ nó là một cột mốc quan trọng của cuộc tấn công lớn và  cho thấy khả năng phục hồi của hệ thống mạng của chúng tôi. Tuy nhiên, chúng tôi cũng nhìn vào nó được biết như là một dấu hiệu của sự vật tới. Cho đến nay, tất cả các cuộc tấn công DDoS lớn năm 2016 đã được liên kết với các phần mềm độc hại Mirai. Tuy nhiên, các đặc tính payload cho thấy rõ ràng rằng không phải là các biến của Mirai được sử dụng cho các cuộc tấn công này.

Điều này được chứng minh bằng những điều sau đây:

1. Mirai phần mềm độc hại không được xây dựng để thực hiện các cuộc tấn công SYN lớn.

iph->tot_len = htons(sizeof (struct iphdr) + sizeof (struct tcphdr) + 20);

2. Mirai đã hardcoded các TCP Options (MSS, SACK, TSVAL, WSS), đã không có mặt trong 99,99% của các payload (0,01% là ngẫu nhiên tương tự).

       // TCP MSS
       *opts++ = PROTO_TCP_OPT_MSS;   
        *opts++ = 4;                   
        *((uint16_t *)opts) = htons(1400 + (rand_next() & 0x0f));
        opts += sizeof (uint16_t);
 
        // TCP SACK permitted
        *opts++ = PROTO_TCP_OPT_SACK;
        *opts++ = 2;
 
        // TCP timestamps
        *opts++ = PROTO_TCP_OPT_TSVAL;
        *opts++ = 10;
        *((uint32_t *)opts) = rand_next();
        opts += sizeof (uint32_t);
        *((uint32_t *)opts) = 0;
        opts += sizeof (uint32_t);
 
        // TCP nop
        *opts++ = 1;
 
        // TCP window scale
        *opts++ = PROTO_TCP_OPT_WSS;
        *opts++ = 3;
        *opts++ = 6;

3. Mirai payloads được tạo ra từ chuỗi ngẫu nhiên, trong khi các payload trong cuộc tấn công này đã được cấu trúc từ các nội dung của tập tin hệ thống.

Điều này tất cả các điểm đến một mạng botnet mới mà chỉ có thể được xác định bởi các chữ ký tác giả của phần mềm độc hại còn lại trong TCP header: “1337.

Với 650 Gbps theo vành đai của nó, là botnet Leet là botnet đầu tiên cạnh tranh với những thành tựu của Mirai. Tuy nhiên, nó sẽ không phải là cuối cùng. Từ đó cho thấy cuộc tấn công botnet sẽ được tấn công nâng cao vào những năm tới.

incapsula