DDoS ve "PDoS"
1. DDoS (referans için)
Geleneksel dağıtılmış hizmet reddi saldırısı (DDos), bazı uygulamalarla ( Mirai , LizardStresser , gafgyt , vb.) Kontrol edilen düğümlerden oluşan dağıtılmış bir sistemin (botnet) kullanıldığı hizmet reddi (DoS) saldırıları sınıfıdır . hedef sistemin veya sistemlerin kaynakları tükenme noktasına kadar. Güvenlik konusunda bunun iyi bir açıklaması verilmiştir .
Mirai kontrollü botnetlerin servis reddini nasıl başardıklarına dair bir açıklama Incapsula tarafından yapılan bir analizde bulunabilir :
Bu kategorideki çoğu kötü amaçlı yazılım gibi Mirai de iki temel amaç için üretilmiştir:
- Botnet'i daha da büyütmek için IoT cihazlarını bulun ve tehlikeye atın.
- Uzak bir C&C'den alınan talimatlara göre DDoS saldırıları başlatın.
İşe alım işlevini yerine getirmek için Mirai, çok çeşitli IP adresleri taramaları gerçekleştirir. Bu taramaların amacı, kolayca tahmin edilebilen giriş bilgileriyle (genellikle fabrika varsayılan kullanıcı adları ve şifreler (ör. Admin / admin)) uzaktan erişilebilen güvenli olmayan IoT cihazlarını bulmaktır.
Mirai, şifreleri tahmin etmek için sözlük saldırıları gibi kaba kuvvet tekniği kullanıyor ...
Mirai'nin saldırı işlevi, HTTP sellerini ve çeşitli ağ (OSI katman 3-4) DDoS saldırılarını başlatmasını sağlar. HTTP sellerine saldırırken, Mirai botları aşağıdaki varsayılan kullanıcı aracılarının arkasına saklanır ...
Ağ katmanı saldırıları için Mirai, GRE IP ve GRE ETH taşkınlarının yanı sıra SYN ve ACK taşkınları, STOMP (Basit Metin Odaklı Mesaj Protokolü) taşkınları, DNS taşkınları ve UDP taşkın saldırılarını başlatabilir.
Bu tür botnet'ler, sistem tarafından sağlanan kaynaklara saldırı süresince erişilemez hale gelen hedef sisteme yönelik bu kadar büyük hacimli ağ trafiği oluşturmak için kontrollü cihazlar kullanarak kaynak reddi ile sonuçlanan hizmet tükenmesini gerçekleştirir. Saldırı sona erdiğinde, hedef sistem artık kaynaklarını tükenme noktasına kadar tüketmez ve tekrar gelen gelen müşteri taleplerine tekrar yanıt verebilir.
2. "PDoS"
BrickerBot kampanyası temel olarak farklıdır: gömülü sistemleri bir botnet'e entegre etmek yerine, daha sonra sunuculardaki büyük ölçekli saldırıları düzenlemek için kullanılan gömülü sistemlerin kendisidir.
Radware'in BrickerBot'taki “BrickerBot” başlıklı yazısından Kalıcı Hizmet Reddi Sonuçları :
Kurbanın donanımının çalışmasını sağlamak için tasarlanmış hızlı hareket eden bir bot saldırısı düşünün. Kalıcı Hizmet Reddi (PDoS) olarak adlandırılan bu siber saldırı biçimi, bu donanıma zarar veren saldırıyı içeren daha fazla olay meydana geldiğinden 2017'de giderek daha popüler hale geliyor.
Bazı çevrelerde gevşek bir şekilde "çarpışma" olarak da bilinen PDoS, bir sisteme o kadar kötü zarar veren ve donanımın değiştirilmesini veya yeniden yüklenmesini gerektiren bir saldırıdır. Güvenlik kusurlarından veya yanlış yapılandırmalardan yararlanarak PDoS, sistemin ürün yazılımını ve / veya temel işlevlerini yok edebilir. Bilinen kuzeni olan DDoS saldırısının aksine, sistemleri istenmeyen kullanım yoluyla doyurmak isteyen taleplerle aşırı yükler.
Kalıcı iş göremezliği hedefleyen gömülü sistemlerde uzaktan kumanda amacıyla bazı uygulamalar indirilmemiştir ve hiçbir zaman bir botnet'in parçası değildir (vurgu mayını):
Bir Cihazdan Uzlaşma
Bricker Bot PDoS saldırısı, kurbanın cihazlarını ihlal etmek için Mirai tarafından kullanılanla aynı istismar vektörü olan Telnet kaba kuvvetini kullandı. Bricker bir ikili dosya indirmeye çalışmaz, bu yüzden Radware kaba kuvvet girişimi için kullanılan kimlik bilgilerinin tam bir listesine sahip değildir, ancak ilk denenen kullanıcı adı / şifre çiftinin sürekli olarak 'root' / 'vizxv olduğunu kaydedebilmiştir. '
Aygıtın Bozulması
Cihaza başarılı erişimin ardından PDoS botu, nihayetinde bozuk depolama alanına yol açacak bir dizi Linux komutu gerçekleştirdi ve ardından İnternet bağlantısını, cihaz performansını ve cihazdaki tüm dosyaların silinmesini engelleyen komutlar izledi.
Üçüncü fark, bu kampanyanın binlerce veya milyonlarca yerine az sayıda saldırgan tarafından kontrol edilen cihaz içermesidir:
Dört günlük bir süre boyunca Radware'in bal küpü, dünyanın çeşitli yerlerinden 1.895 PDoS denemesi kaydetti.
PDoS girişimleri, dünyaya yayılmış sınırlı sayıda IP adresinden kaynaklanmıştır. Tüm cihazlar 22 numaralı bağlantı noktasını (SSH) açığa çıkarıyor ve Dropbear SSH sunucusunun eski bir sürümünü çalıştırıyor. Cihazların çoğu Shodan tarafından Ubiquiti ağ cihazları olarak tanımlandı; bunların arasında ışın yönelimli Erişim Noktaları ve Köprüler bulunmaktadır.
özet
BrickerBot "PDoS" kampanyasının Mirai gibi geleneksel "DDoS" kampanyalarından temel olarak farklı olduğu düşünülürse, benzer sesli terminolojinin kullanılması karışıklığa neden olabilir.
- DDoS saldırıları genellikle istemcilerin saldırı süresince sunucu kaynaklarına erişmesini önlemek için dağıtılmış bir aygıt ağı üzerinde denetime sahip bir botmaster tarafından gerçekleştirilirken, "BrickerBot" gömülü sistemleri "tuğlaya" yönelik bir kampanyadır
- Botnet istemcileri, saldırgan tarafından istemciye yüklenen bir uygulama aracılığıyla denetlenir. BrickerBot kampanyasında, komutlar bir kontrol uygulaması (örn. Kötü amaçlı yazılım) kullanılmadan telnet üzerinden uzaktan yürütülür.
- DDoS saldırıları çok sayıda (binlerce, milyon) kontrollü cihaz kullanırken BrickerBot kampanyası, "PDoS" saldırılarını düzenlemek için nispeten az sayıda sistem kullanır
- BrickerBot kampanyası gömülü sistemleri güçsüzleştirme için hedeflerken, Mirai ve benzerleri gömülü sistemleri bir botnet'e entegre etmek için hedefliyor