СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.

База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано
“These are all the DDOS victims that were logged in the VDOS database dump. The news on their site claims: ‘not a DDoS service. You are prohibited from stressing internet connections and/or servers that you do not have ownership of or authorization to test. Abuse of our services or use in violation of our terms of service will result in being banned from our services. There shouldnt be an issue when it comes to spending slightly more than they used to.’  Decide for yourself. ”

 То есть, vDOS официально представлялся как сервис для нагрузочного тестирования администраторами своих ресурсов или пентестерами при проведении официальных работы. Но технически ничего не мешало злоумышленникам использовать его для проведения атак. Думаю, многим было бы интересно посмотреть, как всё-таки использовался данный сервис и проводили ли с его помощью атаки на ваши интернет ресурсы в 2016 году?

В базе содержались записи типа “16391012,'hukarion','Launched a stress test on 188.114.13.228:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:30','Google Chrome v47.5.2526.111 on windows',0”
С именами столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`

Немного улучшил исходную базу в целях удобства анализа: Выделил в отдельные столбцы IP адрес цели атаки, продолжительность атаки, тип атаки.

Технически сервис ограничивал время тестирования одного сайта за один запрос не более чем 3600 секунд или 1 час. Но в зависимости от тарифа, на который был подписан пользователь, можно было генерировать несколько параллельных запросов или каждый час создавать новый и тем самым продлевать атаку.  В итоге – суммарное время нагрузки сайта, этот один из наиболее важных показателей, который отделяет тест от атаки. В отдельном столбце вынес суммарное время атаки по одному IP.  

Из 56011 уникальных IP адресов, нагрузка на 11040 IP адресов продолжалась строго более 3600 секунд или 1 часа. Согласитесь, что даже вовремя пентеста, врядли для заказчика будет приятной недоступность сайта более одного часа. Для 1228 IP адресов атаки продолжались более 8 часов. Максимальная суммарная нагрузка на один IP 30 дней.  

Базу в таком виде выкладываю по ссылке.

База позволяет проводить довольно интересный анализ действий заказчиков атак. Так если вы обнаружите, что ваш сайт был атакован с использованием сервиса vDOS, можно посмотреть логин “пользователя сервиса – заказчика атаки”, кого ещё он атаковал, в какое время подключался, какие типы атак использовал, посмотреть цепочку атаки.  По моим наблюдением подавляющее большинство пользователей сервиса vDoS использовали прокси-сервера и более 5 различных адресов. Стал бы администратор сайта скрывать свой IP при тестировании своего ресурса?
Наиболее интересным было бы посмотреть на какие российские сайты проводились DDoS атаки. К сожалению, не всегда возможно точно определить целевой домен, так как несколько сайтов может размещаться на одном IP (на одном хостинге), некоторые сайты меняют адреса со временем (переезжают на другой хостинг). Но думаю, что по информации о хостинге, подвергавшемся атаке, провайдере интернет или домене второго уровня уже может дать достаточно информации владельцам ресурсов, которые знают, когда именно на них проводили атаку.
  По ip адресам целей атак (атаки на которые длились более часа) восстановил доменные имена способом, описанным в предыдущей статье, выбрал домены *.ru (всего 122) и отфильтровал атаки только по ним в отдельную базу – проверяйтесь.



Кстати, vDOS это не единственный подобный сервис. Их существует большое количество, а после закрытия vDOS их количество только увеличилось.

Развивая аналитику из текущей статьи, можно сказать что в сервисах (DDoS Botter / IP Stresser) в среднем: 19% атак длятся более часа, а 90% пользователей скрывает свой ip-адрес.   

PS: небольшой анализ базы vDOS для Ростовской области проводил Сергей Сторчак

PPS: прошу отметится интересны ли подобные статьи на этом блоге?



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...