Raste broj DDoS napada u kojima se koristi enkripcija

Vesti, 02.12.2016, 10:00 AM

Stručnjaci kompanije Kaspersky Lab uočili su novi trend - porast u broju DDoS napada u kojima se koristi enkripcija. Ovakvi napadi su veoma efikasni zbog toga što ih je teško identifikovati među velikim brojem običnih zahteva. Novi trend potvrđuje i nedavno otkriveni napad koji je iskorišćavao ranjivosti u WordPressu, ali preko kodiranog kanala.

WordPress Pingback napadi su aktuelni još od 2014. godine. Oni spadaju u snažnije napade, kada su žrtvini resursi napadnuti sa servera treće strane kroz korišćenje ranjivosti na njima. U slučaju WordPress Pingback napada, ranjivi serveri se nalaze na web stranicama koje su pravljene korišćenjem WordPress CMS (obično blogovi) sa omogućenom Pingback funkcijom. Ova funkcija je kreirana sa ciljem da automatski šalje informacije autorima o bilo kojoj aktivnosti koja je u vezi sa njihovom objavom. Napadači šalju posebno kreirane HTTP zahteve ka ovim stranicama, sa lažnom povratnom adresom, tačnije, adresom žrtve koja dobija sve odgovore.

Ovo znači da je moguće organizovati moćan HTTP GET flood napad bez botnet mreže, što čini takav napad relativno jednostavnim i pristupačnim za organizovanje. Međutim, ovakav HTTP GET zahtev ima specifičan naslov, korisnički agent, što olakšava detektovanje malicioznih upita i njihovo blokiranje u celokupnom internet saobraćaju.

Iako je u napadu koji su posmatrali stručnjaci iz kompanije Kaspersky Lab, korišćen isti metod, on se razlikovao od klasičnog WordPress Pingback napada zato što je sproveden uz pomoć HTTPS-a, a ne HTTP-a. Ispostavilo se da je žrtva napada bio jedan od klijenata kompanije Kaspersky Lab.

„Upotreba enkripcije otežava detektovanje napada i zaštitu od njih zato što zahteva dešifrovanje saobraćaja kako bi se analizirali upiti i proverilo šta je „čisto”, a šta je nepotrebno”, objasnio je Kiril Ilganaev, direktor odeljenja za zaštitu od DDoS napada u kompaniji Kaspersky Lab. „U isto vreme, takav napad stvara veće opterećenje za hardver napadača u odnosu na uobičajeni napad, zato što postavljanje kodirane konekcije zahteva upotrebu „teže“ matematike. Drugi problem leži u činjenici da savremeni mehanizmi za enkripciju ne dozvoljavaju trećem licu da pristupi sadržaju internet saobraćaja. To znači da će sigurnosna rešenja morati da prilagode svoje algoritme za filtriranje kako bi zaštitili korisnike od sve veće učestalosti DDoS napada koji koriste enkripciju”.

Više o ovome možete naći u izveštaju koji je objavljen na blogu kompanije Kaspersky, Securelist.com.