News

Nuovi vettori per gli attacchi DDoS “amplificati”

Gli esperti di Akamai Technologies specializzati nelle tecniche di protezione contro gli attacchi DDoS hanno identificato tre nuovi vettori utilizzati dai malintenzionati per la conduzione di assalti informatici basati sulla famigerata tecnica del “reflection attack”. Nella fattispecie, i malfattori hanno iniziato ad utilizzare – in qualità di host intermedio (reflector), adibito all’invio di montagne di traffico “spazzatura” verso l’effettivo target dell’attacco DDoS – i server NS NetBIOS, i servizi RPC del controller di dominio, collegati attraverso una porta dinamica, ed ugualmente i server Sentinel per lo stoccaggio dei dati, prodotti da Western Digital.

“Anche se gli attacchi di tipo DRDoS (Distributed Reflection Denial of Service), ormai da tempo, non rappresentano più una novità, occorre sottolineare come, in questo caso, i malintenzionati utilizzino tre diversi servizi; ciò testimonia, in maniera inequivocabile, che i malfattori sono costantemente alla ricerca di nuove risorse Internet adatte alla conduzione di simili attacchi, – dichiara Stuart Scholly, primo Vice-presidente e General manager della Security Business Unit di Akamai. – Sembra proprio che nessun servizio UDP sia immune da possibili utilizzi malevoli da parte di coloro che organizzano gli attacchi DDoS; gli amministratori di sistema debbono pertanto disattivare i servizi non necessari, oppure proteggere efficacemente gli stessi nei confronti di un eventuale utilizzo improprio e nocivo. In Internet, il numero di servizi UDP che rientrano in tale categoria è davvero enorme”.

È di particolare interesse rilevare come le nuove varianti di attacco DDoS “amplificato” utilizzino, tutte e tre, strumenti simili; in pratica, esse derivano dal medesimo codice C. Ogni volta, l’attacco viene condotto per mezzo di un apposito script, preposto all’invio di una richiesta fasulla a tutti i reflector involontari della lista. Il set di comandi, poi, risulta identico.

Gli esperti hanno osservato la conduzione di attacchi DDoS – “amplificati” tramite server NetBIOS aventi funzione di reflector – dal mese di marzo sino a tutto lo scorso mese di luglio. NetBIOS permette alle applicazioni installate su computer diversi di interagire tra loro, e consente di avviare specifiche sessioni volte ad ottenere l’accesso alle risorse condivise; allo stesso modo, viene resa possibile l’effettuazione di ricerche reciproche nell’ambito della rete locale. Secondo quanto asserisce Akamai, l’utilizzo di NetBIOS nell’ambito degli attacchi DDoS consente di amplificare il traffico “spazzatura” di almeno 2,56-3,85 volte. Lungo tutto l’arco del periodo sopra indicato, gli esperti hanno individuato 4 attacchi con NetBIOS in qualità di reflector; il più potente di essi ha raggiunto un picco di 15,7 Gbit/sec.

L’utilizzo malevolo dei servizi RPC è stato rilevato, per la prima volta, nello scorso mese di agosto, durante un attacco DDoS multi-vettore. La connessione dei client ai servizi RPC del controller di dominio è resa possibile dal meccanismo denominato endpoint mapper, preposto ad assegnare al client determinate porte. Secondo Akamai, l’utilizzo dei servizi RPC permette, a coloro che allestiscono gli attacchi DDoS, di ottenere un coefficiente di amplificazione pari a 9,65; si è tuttavia registrato un caso in cui tale parametro ha raggiunto un valore di 50,53. Uno dei quattro attacchi DDoS condotti attraverso il metodo RPC – neutralizzati e respinti da Akamai – ha superato i 100 Gbit/sec. Nello scorso mese di settembre, gli esperti hanno registrato quasi quotidianamente richieste malevole dirette verso host intermedi con funzione di reflector.

Il primo attacco DDoS condotto attraverso i server Sentinel risale al mese di giugno passato; esso ha avuto, come target, l’Università di Stoccolma. L’analisi svolta riguardo a tale incidente informatico ha permesso di individuare una specifica vulnerabilità nel server delle licenze, il quale faceva uso di un pacchetto di software statistico. Nel mese di settembre 2015, Akamai è riuscita a respingere due attacchi DDoS riconducibili a questa particolare tipologia. Il coefficiente di amplificazione, nel caso degli attacchi Sentinel, è risultato pari a 42,94; sono stati complessivamente identificati 745 server vulnerabili. Nella circostanza, la potenza massima degli assalti DDoS condotti attraverso la tecnica del “reflection attack” ha raggiunto 11,7 Gbit/sec.

Per proteggersi al meglio nei confronti di queste nuove temibili tipologie di attacco DDoS, Akamai raccomanda, nella misura del possibile, l’utilizzo di appositi filtri, da installare a monte, a livello di provider; in alternativa, si può ricorrere ai servizi cloud. Maggiori dettagli riguardo alle nuove scoperte effettuate da Akamai sono disponibili nel bollettino informativo pubblicato sul sito web della società (è richiesta la registrazione dell’utente).

Fonte: Akamai

Nuovi vettori per gli attacchi DDoS “amplificati”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox