Dirt Jumper Drive знову піднімає планку, Threatpost
Експерти Arbor Networks проаналізували новий варіант версії DDoS-бота Dirt Jumper, яку вони називають Drive. За їхніми свідченнями, нова ітерація Drive — один із перших таких інструментів, здатний відстежити та обійти відомі механізми спеціалізованого захисту.
Показати пов'язані повідомлення
Виявлено наступника Mirai, озброєного 27 експлойтами
У Нідерландах 20-річний організатор DDoS-атак уникнув в'язниці
POS-зловред DMSniff атакує кінотеатри та ресторани
Модифікація Dirt Jumper Drive, як було зазначено раніше, підтримує атаки на кшталт HTTP flood, IP flood і UDP flood, зумовлені командами -get, -post1, -post2, -ip, -ip2 і -udp, і навіть -timeout (тривалість ), -thread (кількість потоків, за замовчуванням 30) і -request (використовується тільки в атаках HTTP flood). Після оновлення в арсеналі Drive з'явилися чотири нові команди на атаку:—icmp,—byte,—longта—smart.
Найменш цікавий перший тип атаки, це звичайний потік луна-запитів, що направляються на хост, що атакується, по ICMP-протоколу. Атака, ініційована командою BYTE, за словами дослідників, нагадує попередні IP flood, націлені на утримання відкритих з'єднань шляхом відправлення випадково згенерованих даних. Такі атаки покликані обійти традиційний захист, що відстежує сміттєві потоки по пакетах, що не містять жодної інформації. За свідченням Arbor, Drive здатний проводити IP-flood-атаки на різні об'єкти, включаючиHTTPS, SSH та MySQL. Виконуючи команду BYTE, бот відправляє один довільний байт із малою літерою перед кожною спробою мішені закрити сокет. Такі ініційовані Drive атаки були помічені лише на порту80.
Атака, яку запускає команда LONG, націлена на утримання сокету відкритим протягом тривалого часу. Бот генерує та відсилає невеликі пакети довільних даних, чергуючи періоди активності та бездіяльності. Він може виконувати відправку до 10240 разів, роблячи перерви по 2-6 секунд. На думку дослідників, Drive навряд чи вдасться здійснити весь закладений цикл такої атаки, оскільки більшість веб-сервісів зазвичай закривають сокет при отриманні даних, які відповідно до встановлених правил визначають як некоректні. Тим не менш, на деяких сервісах такий захист відсутній, і тривала атака даного типу зможе виснажити всі готівкові ресурси. Від себе додамо, що наведений Arbor опис відповідних BYTE- та LONG-атак перегукується з Low & Slow DoS у термінології Radware.
Найбільш цікавою атакою в новому арсеналі Drive є та, що виконується за командоюSMART. Експерти поки що виявили цю функцію лише в одному семпле, який намагався застосувати цю техніку в атаках на веб-сайти. Ініціювана командою SMART атака починається з відправки пробного пакета. Отримавши відповідь з атакованого сервера, бот шукає в заголовку рядок Set-Cookie або Location і піддає її аналізу, намагаючись встановити значення Cookie або новий URL, щоб використовувати їх у наступному запиті. Крім того, Drive шукає у відповіді жертви тег meta equiv refresh, location = або document.location.href і намагається також їх використовувати у своїх запитах для обходу захисних рішень. Перевірка наявності захисту проводиться перед кожною подачею http-запиту.
За свідченням дослідників, механізм парсингу, реалізований у новому Drive, поки що недосконалий. Це лише проба пера, але за нею не проминуть наслідувати аналогічні експерименти, до яких борціз інтернет-загрозами мають бути готові.