Securelist опублікував квартальний звіт про DDoS-атаках, виділивши ряд характерних для кінця минулого року тенденцій і представивши загальну статистику.

коротенько

• У четвертому кварталі DDoS-атакам піддалися ресурси в 69 країнах
• 94,9% атакованих ресурсів розташовані в 10 країнах, при цьому на що займає перше місце Китай припадає половина всіх постраждалих. Південна Корея в списку займає друге місце, США - третя
• Найтриваліша DDoS-атака в четвертому кварталі 2015 роки тривала 371 годину (або 15 з половиною днів)
• SYN DDoS, TCP DDoS і HTTP DDoS залишаються найпоширенішими сценаріями атак
• Популярність Linux-ботів продовжувала зростати: частка DDoS-атак ботнетів на базі Linux в четвертому кварталі склала 54,8%.

Що таке Linux-ботнети?

Ботнети на базі Linux стали в даний час величезною проблемою, при цьому частка атак Linux-ботів в порівнянні з ботами на Windows зросла з 45,6% в третьому кварталі до 54,8%. Простіше кажучи, ботнети Linux знову перевершили Windows-ботнети в четвертому кварталі.

Linux-боти, в основному, є шкідливі програми для зараження серверів на Linux, які часто залишають без захисту (ймовірно, з тих міркувань, що шкідливих програм для Linux майже не буває).

згідно звіту Securelist в минулому році , Linux-ботнети надають кіберзлочинцям можливість маніпулювати мережевими протоколами, до того ж, заражені сервери мають високошвидкісними інтернет-каналами (тому запущені з них атаки потенційно потужнішим, ніж у ботнетів на Windows). Проте, для створення ботнету Linux і управління ним зловмиснику потрібно добре знати Linux, а також знайти відповідний бот на чорному ринку або у вільному доступі.

А ще термін життя таких ботнетів, як правило, трохи довший, ніж у тих, що базуються на Windows PC, знову ж таки, через те, що сервери Linux часто залишаються незахищеними.

Крім того, багато пристроїв Інтернету речей (IoT), що входять до складу ботнетів, також працюють на різних варіантах Linux.

У жовтні 2015 року експерти зареєстрували потужний вал HTTP-запитів (до 20 000 в секунду), що йдуть від камер відеоспостереження. Дослідники виявили близько 900 камер по всьому світу, що утворюють ботнет, який використовували для DDoS-атак. Експерти попереджають, що найближчим часом з'являться нові ботнети на основі вразливих пристроїв IoT. Ботнети змішаного типу раніше вже спостерігалися.

Нові вектори атаки

Securelist також зазначив ряд нетрадиційних атак, що використовують скомпрометовані веб-додатки на основі CMS WordPress. Її сумнозвісна функція Pingback послідовно більше одного разу для посилення атак, але в четвертому кварталі злочинці здійснили масову компрометацію ресурсів на WordPress. Ймовірно, це викликано появою вразливостей нульового дня або в самій CMS, або в одному з її популярних плагінів. Хоч би якими були причини, в ряді випадків були відзначені ін'єкції коду JavaScript в тіло веб-ресурсів. Код звертався до ресурсу-мішені від імені браузера користувача. У той же час зловмисники використовували зашифроване HTTPS-з'єднання, щоб утруднити фільтрацію трафіку.

Потужність однієї такої DDoS-атаки, зафіксованої фахівцями «Лабораторії Касперського», склала 400 Мбіт / с, і тривала вона 10 годин. Нападники використовували скомпрометований веб-додаток на WordPress і зашифроване з'єднання для того, щоб ускладнити фільтрацію трафіку. Зловмисники ризикувати не збиралися.

Найпопулярніші методи атак залишилися колишніми: SYN DDoS - 57% атак, TCP DDoS - 21,8%, HTTP DDOS - 15,2%. Популярність останніх незначно знизилася, в той час як перші два види набрали кілька процентних пунктів у порівнянні з третім кварталом.

Максимальна тривалість атак теж зросла. Найдовша DDoS-атака в попередньому кварталі тривала 320 годин (13,3 дня); в четвертому кварталі цей рекорд був побитий атакою, яка тривала 371 годину (15,5 дня).

Основною причиною DDoS-атак був, в основному, грошовий інтерес - як і у випадку з будь-якого іншого кіберзлочини. DDoS-атаки використовуються як інструмент шантажу, а й немає нічого незвичайного в тому, що злочинці використовують DDoS-атаки як димову завісу для здійснення інших таємних і шкідливих дій, таких як підсадка шкідливого ПО в інфраструктуру компанії-мішені або ексфільтрація даних.

Повний звіт Securelist доступний тут .