СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.

База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано
“These are all the DDOS victims that were logged in the VDOS database dump. The news on their site claims: ‘not a DDoS service. You are prohibited from stressing internet connections and/or servers that you do not have ownership of or authorization to test. Abuse of our services or use in violation of our terms of service will result in being banned from our services. There shouldnt be an issue when it comes to spending slightly more than they used to.’  Decide for yourself. ”

 То есть, vDOS официально представлялся как сервис для нагрузочного тестирования администраторами своих ресурсов или пентестерами при проведении официальных работы. Но технически ничего не мешало злоумышленникам использовать его для проведения атак. Думаю, многим было бы интересно посмотреть, как всё-таки использовался данный сервис и проводили ли с его помощью атаки на ваши интернет ресурсы в 2016 году?

В базе содержались записи типа “16391012,'hukarion','Launched a stress test on 188.114.13.228:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:30','Google Chrome v47.5.2526.111 on windows',0”
С именами столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`

Немного улучшил исходную базу в целях удобства анализа: Выделил в отдельные столбцы IP адрес цели атаки, продолжительность атаки, тип атаки.

Технически сервис ограничивал время тестирования одного сайта за один запрос не более чем 3600 секунд или 1 час. Но в зависимости от тарифа, на который был подписан пользователь, можно было генерировать несколько параллельных запросов или каждый час создавать новый и тем самым продлевать атаку.  В итоге – суммарное время нагрузки сайта, этот один из наиболее важных показателей, который отделяет тест от атаки. В отдельном столбце вынес суммарное время атаки по одному IP.  

Из 56011 уникальных IP адресов, нагрузка на 11040 IP адресов продолжалась строго более 3600 секунд или 1 часа. Согласитесь, что даже вовремя пентеста, врядли для заказчика будет приятной недоступность сайта более одного часа. Для 1228 IP адресов атаки продолжались более 8 часов. Максимальная суммарная нагрузка на один IP 30 дней.  

Базу в таком виде выкладываю по ссылке.

База позволяет проводить довольно интересный анализ действий заказчиков атак. Так если вы обнаружите, что ваш сайт был атакован с использованием сервиса vDOS, можно посмотреть логин “пользователя сервиса – заказчика атаки”, кого ещё он атаковал, в какое время подключался, какие типы атак использовал, посмотреть цепочку атаки.  По моим наблюдением подавляющее большинство пользователей сервиса vDoS использовали прокси-сервера и более 5 различных адресов. Стал бы администратор сайта скрывать свой IP при тестировании своего ресурса?
Наиболее интересным было бы посмотреть на какие российские сайты проводились DDoS атаки. К сожалению, не всегда возможно точно определить целевой домен, так как несколько сайтов может размещаться на одном IP (на одном хостинге), некоторые сайты меняют адреса со временем (переезжают на другой хостинг). Но думаю, что по информации о хостинге, подвергавшемся атаке, провайдере интернет или домене второго уровня уже может дать достаточно информации владельцам ресурсов, которые знают, когда именно на них проводили атаку.
  По ip адресам целей атак (атаки на которые длились более часа) восстановил доменные имена способом, описанным в предыдущей статье, выбрал домены *.ru (всего 122) и отфильтровал атаки только по ним в отдельную базу – проверяйтесь.



Кстати, vDOS это не единственный подобный сервис. Их существует большое количество, а после закрытия vDOS их количество только увеличилось.

Развивая аналитику из текущей статьи, можно сказать что в сервисах (DDoS Botter / IP Stresser) в среднем: 19% атак длятся более часа, а 90% пользователей скрывает свой ip-адрес.   

PS: небольшой анализ базы vDOS для Ростовской области проводил Сергей Сторчак

PPS: прошу отметится интересны ли подобные статьи на этом блоге?



Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3