A prolongada corrida armamentista entre criminosos que realizam ataques distribuídos de negação de serviço e os defensores que tentam detê-los continua, já que os primeiros adotam novos métodos “alarmantes” para tornar suas ofensivas online mais poderosas e destrutivas, relataram pesquisadores da rede de entrega de conteúdo Cloudflare na quarta-feira.
Com uma rede global abrangendo mais de 300 cidades em mais de 100 países ao redor do mundo, a Cloudflare tem visibilidade desses tipos de ataques que são compartilhados por apenas algumas outras empresas. A empresa disse que entrega mais de 63 milhões de solicitações de rede por segundo e mais de 2 trilhões de pesquisas de domínio por dia durante os horários de pico. Entre os serviços que a Cloudflare oferece está a mitigação para os ataques, que normalmente são referidos pela abreviatura DDoS.
Escalada alarmante
“Nos últimos meses, houve uma escalada alarmante na sofisticação dos ataques DDoS”, escreveram na quarta-feira os pesquisadores da Cloudflare Omer Yoachimik e Jorge Pacheco em um relatório de ameaças que recapitula os destaques do segundo trimestre deste ano. “E mesmo os ataques maiores e mais sofisticados que já vimos podem durar apenas alguns minutos ou até segundos – o que não dá tempo suficiente para um ser humano responder.”
Os DDoSes funcionam atacando um servidor da web ou outra propriedade online com mais tráfego do que sua infraestrutura pode suportar. O objetivo é fazer com que o serviço seja interrompido e, como resultado, negar o serviço a usuários legítimos que tentam acessar a propriedade. DDoSing é semelhante a um grande grupo de adolescentes que ligam para o número de telefone de uma pizzaria de uma só vez. A enxurrada de chamadas indesejadas consome todas as linhas telefônicas disponíveis e esgota o pessoal disponível para atender. As pessoas que tentam fazer pedidos legítimos não conseguem passar.
Tradicionalmente, os DDoSes não são particularmente sofisticados. Em muitos aspectos, eles não são muito diferentes de um Neandertal empunhando uma clava gigante contra os inimigos. O homem das cavernas com o maior clube geralmente vencerá. Mais recentemente, isso começou a mudar. À medida que a Cloudflare, a Microsoft e outras grandes empresas elaboram novas medidas para conter os efeitos dos ataques DDoS, os agentes de ameaças, alguns alinhados com o governo russo, são pioneiros em novas maneiras de combater essas defesas.
Os métodos mais recentes tentam fazer duas coisas: (1) ocultar a malícia do tráfego para que os defensores não o bloqueiem e (2) gerar inundações de tráfego cada vez maiores que podem sobrecarregar os alvos mesmo quando eles têm mitigações de DDoS em vigor.
Esses métodos incluem:
Ataques HTTP DDoS. Esses ataques usam o protocolo de transferência de hipertexto simples para inundar sites e gateways de API baseados em HTTP com solicitações suficientes para esgotar seus recursos de computação. Os serviços de mitigação de DDoS tradicionalmente bloqueiam esses ataques, destacando as solicitações do invasor das legítimas. Agora, os invasores estão lutando usando métodos que tornam mais difícil distinguir entre tráfego malicioso e benigno. Como explicaram os pesquisadores:
Observamos um aumento alarmante nos ataques HTTP DDoS altamente aleatórios e sofisticados nos últimos meses. Parece que os agentes de ameaças por trás desses ataques projetaram deliberadamente os ataques para tentar superar os sistemas de mitigação, imitando habilmente o comportamento do navegador com muita precisão, em alguns casos, introduzindo um alto grau de randomização em várias propriedades, como agentes de usuário e impressões digitais JA3, para citar alguns. Um exemplo de tal ataque é fornecido abaixo. Cada cor diferente representa um recurso de randomização diferente.
DDoSes HTTP aleatórios
Cloudflare
Além disso, em muitos desses ataques, parece que os invasores tentam manter suas taxas de ataque por segundo relativamente baixas para tentar evitar a detecção e se esconder no tráfego legítimo.
Esse nível de sofisticação já foi associado a agentes de ameaças em nível estadual e patrocinados por estados, e parece que esses recursos agora estão à disposição dos criminosos cibernéticos. Suas operações já visaram empresas proeminentes, como um grande provedor de VoIP, uma empresa líder de semicondutores e um importante provedor de cartão de crédito e pagamento, para citar alguns.
Exploração de servidores executando software sem patch: Outro método em ascensão é a exploração de servidores que executam software sem patch para os sistemas de colaboração Mitel MiCollab e MiVoice Business Express, que atuam como um gateway para transferir comunicações telefônicas PBX para a Internet e vice-versa. Uma vulnerabilidade rastreada como CVE-2022-26143 decorre de uma porta UDP não autenticada que o software sem patch expõe à Internet pública. Ao inundar um sistema vulnerável com solicitações que parecem vir da vítima, o sistema, por sua vez, ataca a vítima com uma carga útil que pode ser 4 bilhões de vezes maior. Esse método de amplificação funciona emitindo o que é chamado de comando de depuração “startblast”, que simula uma enxurrada de chamadas para testar sistemas.
“Como resultado, para cada chamada de teste, dois pacotes UDP são enviados ao emissor, permitindo que um invasor direcione esse tráfego para qualquer IP e número de porta para amplificar um ataque DDoS”, escreveram os pesquisadores da Cloudflare. “Apesar da vulnerabilidade, apenas alguns milhares desses dispositivos estão expostos, limitando a escala potencial de ataque, e os ataques devem ser executados em série, o que significa que cada dispositivo pode lançar apenas um ataque por vez.”
Lavagem de DNSaataques. Essa foi a terceira técnica de DDoS em voga no último trimestre. Como o recurso que traduz nomes de domínio em endereços IP, o sistema de nome de domínio é crucial para que os dados cheguem de um lugar para outro. Ao inundar a infraestrutura de DNS de um alvo com mais solicitações de pesquisa do que os recursos para lidar, os invasores há muito tempo conseguem tornar os serviços direcionados indisponíveis.
Esse tipo de ataque pode ter consequências devastadoras para toda a Internet, como o mundo aprendeu em 2016, quando uma rede relativamente pequena de roteadores infectados e outros dispositivos esgotou os recursos do provedor de DNS Dyn. Como resultado, o Twitter, o GitHub, a rede PlayStation e centenas de outras propriedades que dependiam do Dyn pararam.
Agora que os defensores são melhores em filtrar solicitações de DNS maliciosas, os invasores começaram a aproveitar os ataques de lavagem de DNS. Os pesquisadores da Cloudflare explicaram:
Em um ataque de lavagem de DNS, o agente da ameaça consultará subdomínios de um domínio gerenciado pelo servidor DNS da vítima. O prefixo que define o subdomínio é aleatório e nunca é usado mais de uma ou duas vezes em tal ataque. Devido ao elemento de randomização, os servidores DNS recursivos nunca terão uma resposta em cache e precisarão encaminhar a consulta ao servidor DNS autorizado da vítima. O servidor DNS autoritativo é então bombardeado por tantas consultas até que não possa atender a consultas legítimas ou até mesmo travar.
Ilustração de um ataque DDoS de lavagem de DNS
Cloudflare
Do ponto de vista da proteção, os administradores de DNS não podem bloquear a origem do ataque porque a origem inclui servidores DNS recursivos respeitáveis, como o 8.8.8.8 do Google e o 1.1.1.1 da Cloudflare. Os administradores também não podem bloquear todas as consultas ao domínio atacado porque é um domínio válido que eles desejam preservar o acesso a consultas legítimas.
Os fatores acima tornam muito difícil distinguir as consultas legítimas das maliciosas. Uma grande instituição financeira asiática e um provedor de DNS norte-americano estão entre as vítimas recentes de tais ataques. Um exemplo de tal ataque é fornecido abaixo.
Exemplo de um ataque DNS Laundering DDoS
Cloudflare
botnets de máquinas virtuais. A última técnica que os pesquisadores identificaram como em ascensão foi o uso de botnets de máquinas virtuais. Em vez de confiar em roteadores infectados e outros dispositivos conectados à Internet, os invasores usam VMs ou servidores privados virtuais. Os recursos computacionais e de largura de banda desses botnets superam a capacidade dos botnets mais tradicionais de fornecer DDoSes “hipervolumétricos”.
O relatório de quarta-feira disse que esse botnet foi responsável por entregar um ataque de 71 milhões de solicitações no início deste ano, tornando-o um dos maiores DDoSes de todos os tempos.
Ilustração de um botnet IoT em comparação com um botnet VM.
A realidade
No último trimestre, os sites de criptomoeda foram o maior alvo de DDoS, seguidos por sites de jogos e apostas e sites de marketing e publicidade. Os EUA foram a maior fonte de DDoSes, seguidos pela China e Alemanha. Dados os tamanhos de mercado maiores desses países, segue-se que eles também seriam responsáveis por mais DDoSes. Ao remover esse viés, disseram os pesquisadores, as maiores fontes foram Moçambique, Egito e Finlândia. Quase um quinto de todo o tráfego HTTP proveniente de endereços IP de Moçambique fazia parte de ataques DDoS.
