1. Tổng quan
Trong Quý II năm 2017, các cuộc tiến công DdoS ngày một được sử dụng như một dụng cụ cho cuộc chống chọi chính trị. Cuộc khủng hoảng Qatar xảy ra cùng với cuộc tấn công vào trang web của AI Jazeera, mạng lưới tin cẩn lớn nhất trong khu vực; các trang web của Le Monde và Le Figaro đã được nhắm tới trong cuộc bầu cử tổng thống tại Pháp và tại Anh; trang web đăng ký cử tri của Brexit, nơi một số công dân bị loại ra khỏi cuộc trưng cầu do các vụ tấn công liên tục trên trang web này.
Một sự kiện quan yếu xảy ra ở Mỹ: Uỷ ban Truyền thông Liên bang (FCC) đã tiết lậu kế hoạch hủy bỏ nguyên tắc trung lập, bắt buộc hai năm trước. Hệ thống bình luận công khai của trang web của Ủy ban đã bị làm mất hiệu lực trong một ngày và rút cuộc đã bị vô hiệu hoàn toàn do cuộc tấn công khổng lồ. Lý do cho sự việc này vẫn chưa được xác định.
Tuy nhiên, tiền vẫn là đích chính cho các cuộc tấn công DdoS. Mối quan hoài càng ngày càng tăng với tiền ảo dẫn đến sự gia tăng giá trị bàn luận trong quý II năm 2017. Vụ trao đổi Bitcoin lớn nhất, Bitfinex bị tấn công cùng lúc với việc mua bán loại tiền IOT mới mà IOTA đã đưa ra trước đó. BTC-E cho biết, dịch vụ của họ đã bị chậm do cuộc tấn công DdoS mạnh mẽ này. Rõ ràng, với cách này tù túng mạng đang rứa thao túng tỷ giá tiền tệ, điều có thể khiến sự biến động tiền ảo tăng cao.
Vào cuối tháng 6, có một vụ cố tình tẩy chay quy mô lớn dưới sự đe dọa của một cuộc tiến công DdoS. Các nhóm tự gọi mình là Armada đề nghị khoảng 315,000$ đến 7 ngân hàng Hàn Quốc để đổi lấy việc không bị gián đoạn dịch vụ trực tuyến của họ. Theo một báo cáo của Radware, đây không phải là trường hợp đầy tiên của tống tiền phê chuẩn một cuộc tiến công DdoS, được bắt đầu bởi Armada.
Những tổn thất về tài chính bắt nguồn từ các cuộc tấn công DdoS tăng không ngừng, các cơ quan thực thi luật pháp bắt đầu có những hành động trang nghiêm hơn. Vào tháng 4 năm 2017, ở Anh, một thanh niên đã bị kết án 2 năm tù vì một loạt vụ tấn công mà anh ta đã tiến hành từ 5 năm trước khi vẫn còn là sinh viên. Người đàn ông này đã tạo ra mạng botnet Titanium Stresser và kinh doanh các dịch vụ của mình trên một chợ darknet, và kiếm được khoảng 386,000$.
Không có nhiều đổi mới kỹ thuật trong các cuộc tiến công DdoS trong Quý II, tuy nhiên tin tưởng liên can đến một cuộc tiến công DdoS vector mới đáng được chú ý. Các nhà nghiên cứu từ Corero Network Security thưa rằng họ đã đăng ký hơn 400 cuộc tiến công với sự giúp đỡ của các máy chủ LDAP được cấu hình sai. Lượng tiến công lớn nhất là 33Gb/s.
Cuộc tiến công lừng danh quý II có thể điểm tên là cuộc tiến công DdoS trên các máy chủ của Skype. Nhiều người dùng trên toàn thế giới gặp vấn đề kết nối. CyberTeam đã nhận bổn phận cho chiến dịch này, tuy nhiên vẫn chưa xác định được động cơ thực hành.
2. khuynh hướng tấn công trong quý II
2.1. Ransom DdoS
thiên hướng tống tiền từ DdoS càng ngày càng trở nên phổ biến trong Quý này. Các tấn công phổ quát này được gọi là Ransom DdoRaS, hay RdoS. CÁc tù mạng gửi một thông điệp đến công ty của nạn nhân, đề nghị một khoản tiền chuộc từ 5 – 200 bitcoins. Trong trường hợp nạn nhân không thanh toán, họ sẽ tổ chức một cuộc tấn công DdoS vào nguồn tài nguyên thiết yếu của nạn nhân. Những thông điệp như vậy thường đi kèm với các cuộc tấn công ngắn hạn, nhằm biểu lộ sức mạnh của kẻ tiến công. Nạn nhân được chọn lựa cẩn thận. bình thường, nạn nhân sẽ là một công ty được dự đoán sẽ thiệt hại lớn nếu không có nguồn lực có sẵn.
Cần lưu ý rằng các nhóm này ngày càng được đại diện bởi các hàng ngũ hacker chuyên nghiệp, phối hợp với những người mới bắt đầu, thậm chí là những người không có kỹ năng tiến công DdoS và chỉ có phương tiện cho một cuộc tấn công. Những ai là nạn nhân của chương trình này là những công ty vì lý do này hay lý do khác không có nguồn lực để bảo đảm an ninh mạng cho các dịch vụ của họ, nhưng lại có khả năng để chi trả tiền chuộc.
2.2. Samba Cry
Một sự kiện quan trọng khác trong Quý này đó là việc phát hiện ra lỗ hổng trong phần mềm mạng Samba. Tính dễ bị tổn thương này cho phép bọn tù mạng thực hiện mã từ xa trên các thiết bị chạy Linux và Unix. Samba là một bộ phần mềm cho phép giải quyết các đĩa mạng và máy in chạy trên hầu hết các hệ điều hành giống Unix, chẳng hạn như Linux, Solaris xứng với POSIX và Mac OS X Server và các hệ điều hành BSD khác nhau.
Theo công ty Samba: “sờ soạng các phiên bản của Samba từ 3.5.0 sim số đẹp viettel trở lên đều có một lỗ hổng triển khai mã lệnh từ xa, cho phép một trình độc hại tải thư viện chia sẻ lên và sau đó làm cho máy chủ tải và thực hành nó.”
ước lượng sơ bộ, tổng số thiết bị có phần mềm dễ bị tổn thương đạt trên 500.000. Điều này có tức thị bọn tù đọng mạng có thể sử dụng các thiết bị để tạo botnet với đích thực hành các cuộc tấn công DdoS quy mô lớn.
3. Một số con số trội
– 86 quốc gia bị tiến công trong Quý 2, 2017, tăng 14 quốc gia so với Quý 1 2017
– Chỉ trong Quý 1, gần một nửa số cuộc tấn công (47,42%) đều nhắm vào các đích ở Trung Quốc.
– Trung Quốc, Hàn Quốc và Mỹ đấu là các quốc gia đứng đầu về số lượng cuộc tiến công và số lượng mục tiêu bị tiến công. Trong đó, Trung Quốc là quốc gia có số lượng cuộc tấn công cao nhất, chiếm 58,07%. Hàn Quốc chiếm 14,17% và Mỹ chiến 14,03%.
– Các cuộc tiến công DDoS dài hạn xuất hiện trở lại trong Quý 2, với thời gian được ghi nhận là 277 giờ, tăng 131% so với Quý 1. Cùng thời khắc đó, các cuộc tấn công kéo dài dưới 50 giờ không có sự thay đổi so với Quý 1 (99,7% trong Quý 2, 99,8% trong Quý 1)
– Tỉ lệ các cuộc tiến công trên TCP giảm xuống đáng kể (18,2% so với 26,6%) và ICPM (giảm từ 7,2% xuống 8,2%). Điều này làm tăng tỷ lệ SYN Flood và các cuộc tấn công trên UDP và HTTP.
– Các botnet của Linux bắt đầu trở lại sau kỳ suy giảm trong Quý 1. Các botnet này chịu bổn phận về 51,23% các cuộc tiến công trong Quý 2 so với 43,40% trong Quý 1. Các botnet trên Windows chiếm 48,77%
4. Khu vực bị tiến công
Các cuộc tấn công DDoS diễn ra ở 86 nhà nước trong Q2, nơi mà số lượng các cuộc tấn công lớn nhất là nhằm vào Trung Quốc (58.07% của tất các cuộc tiến công), đó là 3 p.p. Cao hơn so với quý trước. Hàn Quốc giảm từ 22,41% xuống còn 14,17% và giữ vị trí thứ hai mặc dù, trong khi Mỹ tăng từ 11,37% lên 14,03%, hầu như bắt kịp với Hàn Quốc.
Top 10 chiếm 94,60% các cuộc tấn công và bao gồm Italy (0,94%) và Hà Lan (0,84%), đẩy Việt Nam và Đan Mạch vào Q2. Nga (1.23%) mất 0,37 p.p., giảm từ vị trí thứ tư xuống vị trí thứ sáu, trong khi Anh Quốc tăng từ 0,77% lên 1,38%, mức tăng từ vựng trí thứ bảy đến thứ năm.
95,3% các vụ tấn công nhắm mục tiêu đến các mục tiêu ở các nước đứng đầu 10 trong quý 2 năm 2017.
Trung Quốc duy trì vị trí hàng đầu: 47,42%, giảm 0,36 p.p. so với Q1. song song, Mỹ đẩy Hàn Quốc xuống bằng cách tăng từ vị trí thứ ba lên thứ hai. Tương ứng, Mỹ đã tăng lên 18,63% (so với 13,80% trong quý 1), trong khi Hàn Quốc giảm từ 26,57% xuống còn 16,37%.
Tỷ lệ các đích đặt tại bờ cõi của Nga giảm từ 1,55% trong Q1 xuống 1,33% trong Q2, đẩy Nga xuống từ vị trí thứ năm đến thứ bảy. Việt Nam và Đan Mạch đã rời khỏi top 10 và được thay thế bởi Italy (1.35%) và Australia (0.97%).
5. Động thái của số lượng các cuộc tấn công DDoS
Số lượng các cuộc tiến công mỗi ngày động dao từ 131 (17 tháng 4) đến 904 (13 tháng 4) trong quý 2 năm 2017. Số lượng tối đa được đăng ký vào ngày 24 tháng 4 (581), 7 tháng 5 (609), ngày 10 tháng 6 (614) và 16 tháng 6 (621). Một ngày suy thoái tương đối vào ngày 14 tháng 4 (192), ngày 31 tháng 5 (240), và ngày 23 tháng 6 (281).
Thứ hai là ngày yên tĩnh nhất cho các cuộc tấn công DDoS (11,74% trong tổng số các cuộc tấn công) trong quý 2 năm 2017, trong khi chủ nhật là ngày bận rộn nhất (15,57%) do hoạt động không hoạt động vào thứ bảy, giảm từ 16,05% trong quý 1 xuống còn 14,39 % Trong Q2. Thứ Năm đã trở thành ngày thứ bận rộn thứ hai, đến ngay sau Chủ Nhật (15,39%).
6. Các loại và thời kì của các cuộc tấn công DDoS
SYN Flood đã trở lại vị trí bị mất trong quý trước, tăng từ 48,07% lên 53,26% trong quý 2 năm 2017. Có sự gia tăng tỷ lệ phần trăm cho cả hai cuộc tiến công UDP (từ 8,71% lên đến 11,91%) và các cuộc tiến công HTTP (từ 8,43% Đến 9,38%). Đồng thời, tỷ lệ các cuộc tiến công TCP DDoS giảm mạnh từ 26,62% xuống 18,18%, trong khi sự phổ thông của các cuộc tiến công ICMP giảm nhẹ từ 8,17% xuống 7,27% (trong số cả thảy các cuộc tiến công đã đăng ký).
Các cuộc tấn công dài hạn trở lại với số liệu thống kê trong Q2 2017: 0,07% các cuộc tấn công kéo dài hơn 100 giờ, trong khi cuộc tiến công ghi lại đấu cho 277 giờ, 157 giờ dài hơn so với kỷ lục của quý trước. Đồng thời, tỷ lệ tiến công kéo dài 4 giờ hoặc ít hơn đã tăng từ 82,21% trong Q1 lên 85,93% trong Q2. Như vậy, tỷ lệ tấn công từ 5 đến 49 giờ đã giảm.
7. Máy chủ C & C và các loại botnet
3 nước đứng đầu với số lượng máy chủ C & C lớn nhất đã được thay đổi chút ít trong Q2: Trung Quốc giữ vị trí thứ ba với 7,74%, lật đổ Hà Lan, di chuyển xuống vị trí thứ tư mặc dù tăng từ 3,51% lên 4,76%. Hàn Quốc giữ vị trí dẫn đầu và giảm từ 66,49% xuống còn 49,11%, trong khi Mỹ vẫn giữ vị trí thứ hai (16,07%). 3 nhà nước hàng đầu chiếm 72,92% tổng số máy chủ C & C.
Top 10 bao gồm Canada và Đan Mạch (0,89%), lật đổ Romania và Anh trong Q2. So với quý 1 năm 2017, thị trường Hồng Kông giảm mạnh (giảm xuống 1.19% so với 1.89%) và Nga (giảm 2.68% so với 3.24%).
Sự phân bố của hệ điều hành trở thành gần như thăng bằng trong Q2: tỷ lệ các botnet dựa trên Linux chiếm 51,23%; Theo đó, các botnet dựa trên Windows bao gồm 48,77%.
8. Kết luận
Không có thay đổi đặc biệt trong số liệu thống kê của quý II năm 2017 so với quý trước. Như trước đây khoảng một nửa các cuộc tấn công DDoS vẫn còn có nguồn cội ở Trung Quốc, cũng ở Trung Quốc là một nửa trong số các mục tiêu tấn công phát hiện.
Quý thứ hai khá rõ ràng cho thấy mối đe dọa tấn công DDoS được nhận thấy khá nghiêm túc. Một số công ty đã chuẩn bị sẵn sàng trả các tù hãm mạng theo nghĩa đen sau khi có nhu cầu đầu tiên của họ mà không cần chờ đến khi bị tiến công lớn hơn. Điều này đặt ra một làn sóng gian lận mới hệ trọng đến việc tống tiền tiền tệ dưới sự đe dọa của một cuộc tiến công DDoS, còn được gọi là “tiền ransom DDoS”. Mức độ nghiêm trọng của tình hình có thể được nhìn thấy trong việc thẳng bỏ qua các tội nhân mạng để chứng minh khả năng của họ; Thay vào đó, những kẻ gian lận sẽ chỉ gửi thông báo về tiền chuộc cho một số lượng lớn địa chỉ. Chắc chắn, “ngưỡng cửa nhập cảnh” cho tiền chuộc DDoS là rất thấp, những kẻ ăn lận không cần nguồn lực đáng kể cũng như kỹ năng kỹ thuật hay tri thức.
Techtalk Via Viettelidc
Không có nhận xét nào:
Đăng nhận xét