Nuovi vettori per gli attacchi DDoS “amplificati”

Gli esperti di Akamai Technologies specializzati nelle tecniche di protezione contro gli attacchi DDoS hanno identificato tre nuovi vettori utilizzati dai malintenzionati per la conduzione di assalti informatici basati sulla famigerata tecnica del “reflection attack”. Nella fattispecie, i malfattori hanno iniziato ad utilizzare – in qualità di host intermedio (reflector), adibito all’invio di montagne di traffico “spazzatura” verso l’effettivo target dell’attacco DDoS – i server NS NetBIOS, i servizi RPC del controller di dominio, collegati attraverso una porta dinamica, ed ugualmente i server Sentinel per lo stoccaggio dei dati, prodotti da Western Digital.

“Anche se gli attacchi di tipo DRDoS (Distributed Reflection Denial of Service), ormai da tempo, non rappresentano più una novità, occorre sottolineare come, in questo caso, i malintenzionati utilizzino tre diversi servizi; ciò testimonia, in maniera inequivocabile, che i malfattori sono costantemente alla ricerca di nuove risorse Internet adatte alla conduzione di simili attacchi, – dichiara Stuart Scholly, primo Vice-presidente e General manager della Security Business Unit di Akamai. – Sembra proprio che nessun servizio UDP sia immune da possibili utilizzi malevoli da parte di coloro che organizzano gli attacchi DDoS; gli amministratori di sistema debbono pertanto disattivare i servizi non necessari, oppure proteggere efficacemente gli stessi nei confronti di un eventuale utilizzo improprio e nocivo. In Internet, il numero di servizi UDP che rientrano in tale categoria è davvero enorme”.

È di particolare interesse rilevare come le nuove varianti di attacco DDoS “amplificato” utilizzino, tutte e tre, strumenti simili; in pratica, esse derivano dal medesimo codice C. Ogni volta, l’attacco viene condotto per mezzo di un apposito script, preposto all’invio di una richiesta fasulla a tutti i reflector involontari della lista. Il set di comandi, poi, risulta identico.

Gli esperti hanno osservato la conduzione di attacchi DDoS – “amplificati” tramite server NetBIOS aventi funzione di reflector – dal mese di marzo sino a tutto lo scorso mese di luglio. NetBIOS permette alle applicazioni installate su computer diversi di interagire tra loro, e consente di avviare specifiche sessioni volte ad ottenere l’accesso alle risorse condivise; allo stesso modo, viene resa possibile l’effettuazione di ricerche reciproche nell’ambito della rete locale. Secondo quanto asserisce Akamai, l’utilizzo di NetBIOS nell’ambito degli attacchi DDoS consente di amplificare il traffico “spazzatura” di almeno 2,56-3,85 volte. Lungo tutto l’arco del periodo sopra indicato, gli esperti hanno individuato 4 attacchi con NetBIOS in qualità di reflector; il più potente di essi ha raggiunto un picco di 15,7 Gbit/sec.

L’utilizzo malevolo dei servizi RPC è stato rilevato, per la prima volta, nello scorso mese di agosto, durante un attacco DDoS multi-vettore. La connessione dei client ai servizi RPC del controller di dominio è resa possibile dal meccanismo denominato endpoint mapper, preposto ad assegnare al client determinate porte. Secondo Akamai, l’utilizzo dei servizi RPC permette, a coloro che allestiscono gli attacchi DDoS, di ottenere un coefficiente di amplificazione pari a 9,65; si è tuttavia registrato un caso in cui tale parametro ha raggiunto un valore di 50,53. Uno dei quattro attacchi DDoS condotti attraverso il metodo RPC – neutralizzati e respinti da Akamai – ha superato i 100 Gbit/sec. Nello scorso mese di settembre, gli esperti hanno registrato quasi quotidianamente richieste malevole dirette verso host intermedi con funzione di reflector.

Il primo attacco DDoS condotto attraverso i server Sentinel risale al mese di giugno passato; esso ha avuto, come target, l’Università di Stoccolma. L’analisi svolta riguardo a tale incidente informatico ha permesso di individuare una specifica vulnerabilità nel server delle licenze, il quale faceva uso di un pacchetto di software statistico. Nel mese di settembre 2015, Akamai è riuscita a respingere due attacchi DDoS riconducibili a questa particolare tipologia. Il coefficiente di amplificazione, nel caso degli attacchi Sentinel, è risultato pari a 42,94; sono stati complessivamente identificati 745 server vulnerabili. Nella circostanza, la potenza massima degli assalti DDoS condotti attraverso la tecnica del “reflection attack” ha raggiunto 11,7 Gbit/sec.

Per proteggersi al meglio nei confronti di queste nuove temibili tipologie di attacco DDoS, Akamai raccomanda, nella misura del possibile, l’utilizzo di appositi filtri, da installare a monte, a livello di provider; in alternativa, si può ricorrere ai servizi cloud. Maggiori dettagli riguardo alle nuove scoperte effettuate da Akamai sono disponibili nel bollettino informativo pubblicato sul sito web della società (è richiesta la registrazione dell’utente).

Fonte: Akamai

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *