Author

Topic: Incapsula: DDoS-атаки стали напоминать APT (Read 509 times)

legendary
Activity: 1330
Merit: 1017
Киберпреступность набирает обороты. Не удивительно, объёмы денег в интернете растут и кто знает, может и не за горами время, когда выгоднее будет атаковать "банк" в инете, чем в реале.
legendary
Activity: 1190
Merit: 1004
Incapsula: DDoS-атаки стали напоминать APT


Компания Incapsula (собственность Imperva), специализирующаяся на CDN-услугах и облачной защите, опубликовала свой первый квартальный отчет о DDoS за период с 1 марта по 7 мая текущего года. Отражая атаки по своей клиентской базе, эксперты разделили их на две ярко выраженные разновидности. С одной стороны, они наблюдали затяжные, сложные, многоэтапные инциденты, которые можно сравнить с целевыми атаками APT-типа. В то же время 56,2% DDoS представляли собой примитивные одновекторные атаки, продолжавшиеся не более получаса, и количество их растет.

Насколько удалось определить, порядка 40% DDoS-атак были проведены с арендованных ботнетов с использованием готовых инструментов, предоставляемых многочисленными теневыми сервисами. По данным Incapsula, подписка на такие услуги в настоящее время стоит $20–30 в месяц (в Bitcoin-эквиваленте), так что рост числа бесхитростных DDoS в Интернете неудивителен.

В целом за отчетный период исследователи зафиксировали 1572 DDoS-атаки на сетевую инфраструктуру (уровня 3 и 4) клиентов компании и 2714 атак на приложения (уровня 7). При этом они отметили, что мощность и продолжительность атак сетевого уровня продолжают расти, а прикладные DDoS долговременны и, как правило, многократны.

Сетевые DDoS

Как уже говорилось выше, многовекторные DDoS-атаки, согласно статистике Incapsula, стали более редкими, в марте-апреле (и начале мая) на их долю пришлось лишь 43,8% инцидентов против 81% по итогам трехмесячного периода годовой давности (с ноября 2013-го по февраль 2014 года). Свыше 20% атак сетевого уровня длились более пяти суток, самая продолжительная — 64 дня.

Наиболее мощная из сетевых DDoS на пике показала 253 Гбит/с. Чаще прочих злоумышленники использовали протокол UDP, в отчетный период на долю таких атак пришлось 56,7% DDoS сетевого уровня. Из них 8% составили SSDP-атаки, использующие в качестве посредников IoT-устройства. SYN flood отодвинулись в рейтинге популярности на второе место (50,7%), разрушительные SYN с большими, свыше 250 байт, пакетами оказались на третьем (22,0%). Атаки с NTP- и DNS-плечом пошли на спад и стали заметно слабее, но пока сохраняют свою актуальность (9,5 и 7,9% соответственно).

Атаки на приложения

Максимальная мощность атак уровня 7, зафиксированная Incapsula в марте-апреле, составила 179,7 тыс. запросов в секунду. Более половины жертв прикладных DDoS были атакованы повторно, злоумышленники возвращались к той же мишени в среднем один раз в 10 дней. Средняя продолжительность атак прикладного уровня составила немногим более 2,5 часа, самую долгую DDoS защитникам пришлось отражать в течение восьми суток.

Атаки на приложения, как правило, проводятся с помощью ботов, идентичность которых и региональную принадлежность проще определить, чем в случае с другими источниками. Статистику по DDoS-ботам Incapsula представила по выборке из 60 млн бот-сессий, зафиксированных в отчетный период. Как оказалось, зловредные имитаторы поисковых роботов (обычно Google или Baidu) практически сошли на нет: если в 2014 году они составляли 57,7% DDoS-ботов, то в настоящее время этот показатель снизился до 0,9%. Эксперты полагают, что причиной такого сдвига является расширение использования защитных систем фильтрации трафика на основе IP-адреса источника, которые эффективно выявляют имитаторов верификацией ASN.

В то же время исследователи наблюдают рост активности устройств, зараженных такими известными DDoS-зловредами, как MrBlack, Nitol, PCRat, Cyclone и Dirt Jumper. Наибольшее количество источников мусорного трафика пришлось на Nitol (59,2% IP, выявленных в ходе атак 7-го уровня), самым агрессивным показал себя MrBlack (26,4% вредоносных запросов).

Порядка 56% генерируемого ботами DDoS-трафика исходило с территории Китая, силами китайских ботов были также проведены 14,7% атак уровня приложений. В пятерку стран — лидеров по совокупному бот-потоку вошли также Вьетнам (13,8%), США (9,7%), Бразилия (9,5%) и Таиланд (8,1%), в котором, по данным Incapsula, прописаны большинство роутеров, входящих в состав многонационального ботнета MrBlack. Седьмое и восьмое места в этом непочетном рейтинге заняли Украина и Россия с показателями 3,5 и 3,4% соответственно.

В заключение эксперты напомнили, что простои, связанные с DDoS, обходятся атакуемым недешево и чреваты потерей клиентуры. Так, проведенное Incapsula в прошлом году исследование показало, что каждый час такой атаки при отсутствии специализированной защиты обходится организациям в $40 тыс. И это не только упущенная выгода, но также потеря доверия клиентов, возможная кража данных, интеллектуальной собственности и т.д.

Полнотекстовая версия нового отчета Incapsula доступна на сайте компании (требуется регистрация). В дальнейшем борцы с DDoS планируют представлять свою статистику каждый квартал и суммировать актуальные тренды в ежегодных отчетах.



https://threatpost.ru/2015/06/20/incapsula_ddos-ataki_stali_napominat_apt/#sthash.vqjaVvNP.dpuf
Jump to: