Atacurile DDoS folosesc de acum criptarea şi sunt mai greu de identificat

29 noiembrie 2016, 16:25 de Valentin Gros

Ultima modificare în 29 noiembrie 2016, 16:28

Numărul atacurilor cibernetice de tip DDoS care folosesc criptarea este în creştere, din cauza faptului că sunt mai greu de indentificat în fluxul de trafic normal, se arată într-un raport al Kasperky Lab.

"Experţii Kaspersky Lab au remarcat o tendinţă recentă – creşterea numărului de atacuri care folosesc criptarea. Astfel de atacuri sunt foarte eficiente din cauza dificultăţii de a le identifica în fluxul de trafic normal. Recent, compania a găsit şi mai multe dovezi în această privinţă: un atac care exploata vulnerabilităţile din WordPress, dar prin intermediul unui canal criptat. Atacurile WordPress Pingback se folosesc din 2014. Acestea intră în categoria atacurilor de amplificare, resursa victimei fiind atacată prin intermediul serverelor unor terţi, ale căror vulnerabilităţi sunt exploatate", se arată în document.

Potrivit acestuia, în cazul WordPress Pingback, rolul serverului vulnerabil este jucat de site-uri create cu ajutorul WordPress CMS (de obicei, bloguri) cu funcţia Pingback activată.

"Această funcţie este creată pentru a notifica autorii în legătură cu orice activitate nouă privind articolele lor. Atacatorul trimite acestor site-uri un request HTTP creat special, cu o adresă falsă: cea a victimei, care primeşte toate răspunsurile. Acest lucru înseamnă că e posibil să organizezi un atac puternic 'HTTP GET' fără un botnet, prin urmare este vorba de un atac relativ simplu şi necostisitor. Totuşi, acest tip de atac are un header specific – User Agent – care face astfel de solicitări malware uşor de detectat şi de blocat în fluxul general de trafic. Deşi recentul atac, remarcat de experţii Kaspersky Lab, a folosit aceeaşi metodă, a fost diferit de un atac 'clasic' WordPress Pingback prin aceea că a fost derulat prin intermediul protocolului HTTPS, nu al celui HTTP. Ţinta atacului – un site de ştiri – s-a dovedit a fi unul dintre clienţii Kaspersky Lab", menţionează sursa citată.

Kirill Ilganaev, Head of Kaspersky DDoS Protection la Kaspersky Lab, spune că folosirea criptării face mai dificile detecţia şi măsurile de protecţie pentru că este nevoie de decriptarea traficului pentru a analiza solicitările şi a verifica dacă este un trafic 'curat' sau 'junk'.

"În acelaşi timp, un astfel de atac încarcă mai mult hardware-ul resursei atacate decât un atac standard pentru că stabilirea unei conexiuni criptate implică folosirea unei matematici 'grele'. O altă dificultate constă în faptul că mecanismele moderne de criptare nu permit accesul unor terţi la conţinutul traficului. În această privinţă, soluţiile de securitate vor trebui să-şi regândească algoritmii de filtrare pentru a-şi proteja clienţii de răspândirea tot mai largă a atacurilor DDoS cu criptare", a mai spus Ilganaev.

AGERPRES