H Corero Network Security αποκάλυψε ένα νέο φορέα επίθεσης DDoS που παρατηρήθηκε για πρώτη φορά σε βάρος των πελατών της, την περασμένη εβδομάδα. Η εταιρεία αναφέρει ότι οι επιτιθέμενοι χρησιμοποιούσαν μια νέα τεχνική ενίσχυσης, η οποία χρησιμοποιεί το Lightweight Directory Access Protocol (LDAP): ένα από τα πιο ευρέως χρησιμοποιούμενα πρωτόκολλα για την πρόσβαση στο όνομα χρήστη και τον κωδικό πρόσβασης σε βάσεις δεδομένων όπως το Active Directory, το οποίο είναι ενσωματωμένο στους περισσότερους online servers.
Οι εμπειρογνώμονες παρατήρησαν ελάχιστες, σύντομες αλλά εξαιρετικά ισχυρές επιθέσεις που προερχόταν από αυτόν τον φορέα. Η νέα τεχνική έχει τη δυνατότητα να προκαλέσει σημαντικές βλάβες με τη χρήση ενός παράγοντα ενίσχυσης που μεγαλώνει το μέγεθος των επιθέσεων 55 φορές. Έτσι από την άποψη της δυναμικής της κλίμακα, αν συνδυαστεί με του IoT botnet που χρησιμοποιήθηκε στην πρόσφατη επίθεση εναντίον του Brian Krebs και της Dyn, θα μπορούσαμε να δούμε σύντομα νέα ρεκορ στο τοπίο των επιθέσεων με DDoS, αφού θα υπάρχει η δυνατότητα να φθάσουν μεγέθη δεκάδων terabits ανά δευτερόλεπτο.
Το τοπίο του DDoS ήταν εξαιρετικά ευμετάβλητο τις τελευταίες εβδομάδες, κυρίως με την κυκλοφορία του κώδικα του Mirai botnet που μπορεί να μολύνει συσκευές IoT.
“Αυτός ο νέος φορέας μπορεί να αντιπροσωπεύει μια σημαντική κλιμάκωση στο ήδη επικίνδυνο τοπίο του DDoS, με δυνατότητες για γεγονότα που θα κάνουν τις πρόσφατες επιθέσεις που έχουν γίνει πρωτοσέλιδα να φαίνονται πολύ μικρές σε σύγκριση. Όταν συνδυαστεί με άλλες μεθόδους, ιδιαίτερα με IoT botnets, θα μπορούσαμε να δούμε σύντομα επιθέσεις που φτάνουν σε κλίμακες που στο παρελθόν φάνταζαν αδύνατες. Οι επιθέσεις κλίμακας terabit θα μπορούσαν να γίνουν σύντομα πραγματικότητα και θα μπορούσαν να επηρεάσουν σημαντικά τη διαθεσιμότητα του Διαδικτύου σε ορισμένες περιοχές », δήλωσε ο Dave Larson, CTO/COO της Corero Network Security.
Πως λειτουργεί η ενισχυμένη DDoS επίθεση;
Ο επιτιθέμενος στέλνει ένα απλό ερώτημα σε ένα ευάλωτο ανακλαστήρα που υποστηρίζει την υπηρεσία Connectionless LDAP (CLDAP), χρησιμοποιώντας τη διεύθυνση IP του θύματος. Η υπηρεσία CLDAP ανταποκρίνεται στην πλαστογραφημένη διεύθυνση, και αρχίζει την αποστολή ανεπιθύμητου traffic στο δίκτυο στον επιδιωκόμενο στόχο του εισβολέα.
Οι τεχνικές ενίσχυσης επιτρέπουν στους κακόβουλους χρήστες να εντείνουν το μέγεθος των επιθέσεων τους, επειδή οι απαντήσεις που παράγονται από τους διακομιστές LDAP είναι πολύ μεγαλύτερες από τα ερωτήματα του εισβολέα. Σε αυτήν την περίπτωση, οι απαντήσεις της υπηρεσίας LDAP είναι ικανές να επιτύχουν πολύ υψηλό εύρος ζώνης και έτσι ο μέσος όρος του συντελεστή ενίσχυσης φτάνει τα 46x και κατά τις ώρες αιχμής 55x.
Ο Dave Larson εξηγεί:
“To LDAP δεν είναι το πρώτο, ούτε το τελευταίο πρωτόκολλο ή υπηρεσία που μπορεί να αξιοποιηθεί με αυτό τον τρόπο. Επιθέσεις με νέες ενισχύσεις συμβαίνουν συχνά, γιατί υπάρχουν τόσες πολλές ανοικτές υπηρεσίες στο διαδίκτυο που ανταποκρίνονται στα πλαστογραφημένα ερωτήματα. Ωστόσο, πολλές από αυτές τις επιθέσεις μπορεί να μετριαστούν από τον φορέα παροχής υπηρεσιών, προσδιορίζοντας ορθά τις πλαστογραφημένες διευθύνσεις IP πριν γίνουν αυτά τα αιτήματα δεκτά στο δίκτυο. Συγκεκριμένα, η χρήση της καλύτερης κοινής πρακτικής, BCP 38, που περιγράφεται σαν Internet Engineering Task Force (IETF) RFC 2827, μπορεί να εξαλείψει τη χρήση πλαστογραφημένων διευθύνσεων IP χρησιμοποιώντας ουσιαστικές τεχνικές φιλτραρίσματος στην είσοδο.”