6 novos tipos de ataques DDoS e como eles afetam sua segurança
Um ataque DDoS (denial-of-service distribuído) é um tipo de ataque cibernético usado para interromper o tráfego normal de um site ou serviço com solicitações. O ataque afeta diferentes plataformas, incluindo sites e videogames.
Em um ataque DDoS, a infraestrutura de servidor da qual um serviço online depende experimenta tráfego inesperado, forçando-o a ficar offline.
Desde o primeiro ataque de negação de serviço em 1974, os ataques DDoS se tornaram o tipo de ataque cibernético mais significativo. Este artigo explorará como os invasores que usam DDoS se tornaram mais sofisticados, bem como fornecerá métodos para mitigar os riscos de seus ataques.
Como funciona um DDoS?
Redes de máquinas conectadas à Internet podem ser usadas para realizar ataques DDoS. Os tipos de máquinas usadas em um ataque DDoS incluem computadores. A coleção de dispositivos usados para um DDoS são conhecidos como botnets.
Os atacantes de DDoS usam malware para obter controle dos dispositivos para que possam direcionar ataques remotamente. É difícil distinguir entre um botnet e um dispositivo normal, pois os sistemas geralmente reconhecem botnets como dispositivos legítimos da Internet.
Aqui estão os tipos de maneiras pelas quais os ataques DDoS podem ser realizados e como eles podem afetar você.
1. Protocolo de Área de Trabalho Remota do Windows
O protocolo RDP (Windows Remote Desktop Protocol) é usado para conectar computadores em redes. O protocolo de propriedade da Microsoft tornou mais fácil para as pessoas conectar computadores em redes.
A pesquisa da Netscout mostra que o Windows RDP foi usado para amplificar ataques DDoS e explorar novos vetores. O User Diagram Protocol (UDP) foi um componente importante usado por invasores para realizar ataques DDoS com os servidores.
UDP é um protocolo de comunicação usado para transmissões sensíveis ao tempo, como voz e vídeos. Sua velocidade é baseada no fato de que ele não estabelece formalmente uma conexão antes de transferir os dados. Isso tem várias desvantagens, incluindo pacotes sendo perdidos em trânsito e vulnerabilidades a ataques DDoS.
Embora nem todos os servidores RDP tenham sofrido abusos, os cibercriminosos usaram o Windows RDP para saltar e ampliar o tráfego de lixo para seus ataques DDoS. Os invasores aproveitaram os sistemas em que a autenticação RDP foi habilitada na porta UDP 3389 em cima da porta TCP 3389 padrão. Os invasores enviaram pacotes UDP às portas UDP dos servidores RDP antes de serem refletidos nos dispositivos de destino.
2. Servidores Jenkins
Jenkins é um servidor de código aberto usado para automatizar tarefas de desenvolvimento de software. Um servidor Jenkins pode ser usado para realizar uma variedade de tarefas críticas de desenvolvimento de software, incluindo construção, teste, implantação e integração contínua.
Foi identificada uma vulnerabilidade que possibilitou o lançamento de ataques DDoS com o Jenkins. Embora o bug tenha sido corrigido, a vulnerabilidade lançou luz sobre alguns dos riscos de DDoS relacionados a bugs em servidores.
Se você executar uma instância pública do Jenkins, atualize para 2.204.2 LTS ou para 2.219+ semanalmente. Versões mais antigas podem ser um alvo para ataques de negação de serviço. Consulte SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
– Jenkins (@jenkinsci) 13 de fevereiro de 2020
Os pesquisadores de segurança descobriram que um invasor poderia usar o protocolo de descoberta UDP Jenkins (na porta UDP 33848) para amplificar os ataques DDoS, devolvendo o tráfego do servidor ao alvo pretendido. Os invasores podem então usar os servidores vulneráveis do Jenkin para amplificar o tráfego em até 100 vezes.
O bug também tornou mais provável que os servidores fossem enganados para enviar pacotes contínuos entre si. Isso pode levar a loops e travamentos infinitos.
3. Protocolo de descoberta dinâmica de serviços da Web (WS-DD)
O protocolo WS-DD (Web Services Dynamic Discovery) é um protocolo de descoberta multicast usado para localizar serviços ou dispositivos em uma rede local. Monitoramento de vídeo e impressão são alguns exemplos de atividades para as quais o WS-DD é usado.
A pesquisa revela que os cibercriminosos usaram WS-DD como uma técnica de amplificação UDP. Em 2019, os atacantes realizaram mais de 130 ataques DDoS com o protocolo, usando mais de 630.000 dispositivos para amplificar os ataques DDoS. À medida que o uso de dispositivos IoT (Internet of Things) aumenta, esses tipos de vetores de ataque podem se tornar mais preocupantes.
4. Vulnerabilidades de DDoS em 5G
5G promete melhorar a velocidade e capacidade de resposta das redes sem fio. A rede móvel de 5ª geração conectará pessoas e seus dispositivos como nunca antes, com melhor largura de banda e tecnologia de antena avançada.
No entanto, um aumento no número de dispositivos conectados pode aumentar o risco de ataques DDoS.
A3:… Um exemplo de um novo nível de perigo seria até mesmo para organizações que não utilizam 5G – magnitudes aumentadas de ataque DDoS… Os “mocinhos” não são os únicos que podem aproveitar o aumento da largura de banda disponível… #BIZTALKS #CyberSecurity # InfoSec #Security # 5G
– Joseph Steinberg (@JosephSteinberg) 21 de outubro de 2020
Conforme o tamanho da rede de dispositivos IoT cresce junto com a introdução do 5G, a superfície de ataque para ataques DDoS pode aumentar. Existem muitos dispositivos IoT vulneráveis e desprotegidos.
Inevitavelmente, haverá muitas melhorias de segurança a serem feitas nos estágios iniciais de implementação de uma nova rede como a 5G. As vulnerabilidades combinadas dos dispositivos IoT e a nova estrutura de segurança das redes 5G podem tornar os dispositivos 5G um alvo fácil para cibercriminosos criativos.
Os cibercriminosos provavelmente usarão 5G para expandir sua largura de banda de ataque DDoS. A largura de banda extra pode aumentar o impacto de ataques volumétricos onde a largura de banda é usada para saturar a largura de banda do alvo.
5. ACK DDoS com ondas pulsantes
A empresa de infraestrutura da Web Cloudflare detectou um ataque DDoS que envia tráfego em ondas pulsantes, semelhantes à batida de um tambor. Os criadores do ataque podem ter optado por usar o método menos convencional de envio de tráfego para enganar os sistemas de segurança.
O ataque distribuído globalmente durou dois dias, usando nós para enviar números iguais de pacotes em taxas iguais. A criatividade não foi suficiente, no entanto. Mais de 700 ataques foram detectados e controlados.
6. Ataques de múltiplos vetores
Os ataques multivetoriais envolvem o uso de uma combinação de diferentes técnicas para realizar ataques a vários vetores de ataque da rede, do aplicativo e das camadas de dados.
Nos últimos anos, os ataques de múltiplos vetores se tornaram mais populares à medida que os hackers descobrem novas formas de atacar plataformas. Ataques de múltiplos vetores podem ser extremamente difíceis de se defender devido à dificuldade de preparar recursos para responder a ataques multifacetados.
À medida que mais protocolos são implementados na Internet, os vetores de ataque que os cibercriminosos podem usar aumentarão. Os avanços em hardware e software em todo o mundo dão origem a novas oportunidades para os cibercriminosos experimentarem novos ataques. BitTorrent, HTML e TFTP estão entre os vetores de ataque comumente usados.
Insights inteligentes sobre a anatomia de uma ameaça de DDoS @Imperva https://t.co/OgpF0d0d0g e o aumento de ataques multi-vetor #DDoS em empresas ( #video @ A10Networks ) #IoT #Cybersecurity #Infosecurity # Cloudsec #CISO #DataBreach #Botnet #Malware #Ransonmware #SMM #SEO pic.twitter.com/zecdoDe291
– Benson M | Dados acima e além (@Benson_Mwaura) 12 de setembro de 2018
7. Botnets que afetam dispositivos Android
Um novo botnet usa dispositivos Android para lançar ataques DDoS. O botnet Matryosh usa um utilitário de linha de comando, Android Debug Bridge (ADB), no Android Software Development Kit (SDK) do Google para realizar ataques. O ADB permite que os desenvolvedores executem comandos remotamente em dispositivos.
ADB não está autenticado. Isso significa que um invasor pode abusar dela ativando o Debug Bridge em um dispositivo Android. O que é pior é que muitos produtos foram enviados com o Debug Bridge habilitado. Esses dispositivos podem ser facilmente acessados remotamente e ter software malicioso instalado para realizar ataques DDoS.
Quando o Matryosh é executado em um dispositivo, ele obtém um proxy TOR para ocultar sua atividade. Isso pode tornar muito mais difícil para os sistemas de software antivírus identificar software malicioso e ataques.
Reduzindo os riscos de ataques DDoS
Os riscos de ataques DDoS podem ser bastante reduzidos com uma preparação adequada. A tecnologia da nuvem, os planos de resposta e a compreensão dos sinais de alerta estão entre os principais fatores que determinam se os riscos de ataque DDoS se materializam.
Provedores de serviços baseados em nuvem
A prevenção DDoS pode ser terceirizada para provedores de serviços baseados em nuvem. Embora isso possa ser caro no curto prazo, oferece benefícios que podem reduzir os custos no longo prazo. A nuvem geralmente tem mais recursos de largura de banda do que redes privadas. Além disso, é mais difícil para os invasores chegarem ao destino pretendido por meio de aplicativos baseados em nuvem devido à maior alocação de recursos e firewalls altamente sofisticados.
Sinais de alerta de ataque DDoS
É importante ter um bom entendimento das bandeiras vermelhas que podem indicar um ataque DDoS. Isso pode facilitar a implantação rápida de soluções para reduzir os riscos de perdas que um ataque pode causar. O desligamento de sites, a lentidão das redes e uma redução considerável na qualidade da experiência do usuário estão entre os sinais comuns de um ataque.
Plano de Resposta DDoS
Um plano de resposta DDoS é necessário para implementar uma boa estratégia de defesa. O plano deve ser baseado em uma avaliação de segurança completa. Um plano de resposta DDoS deve ser detalhado e executado com precisão. O plano deve incluir detalhes da equipe de resposta, contatos, procedimentos de notificação, procedimentos de escalonamento e uma lista de verificação de sistemas.
Adaptar e superar
Os cibercriminosos estão em constante evolução à medida que buscam novas maneiras de explorar sistemas para ganho pessoal. Conforme novas tecnologias são introduzidas, mais vetores de ataque inevitavelmente serão criados, dando origem a oportunidades para implementar métodos criativos de DDoS.
Não apenas temos que tomar medidas extras para nos proteger contra ataques originados de vulnerabilidades antigas, mas também precisamos enfrentar os riscos que vêm com uma nova era de tecnologias mais diversas e avançadas.