Vydírání DDoS útokem není nic nového. Velké botnety dokážou provést v dnešní době poměrně silný útok, který bez problémů ucpe i několik 100 Gbps tras (již jsme se s tím setkali). Naštěstí jsou poměrně vzácné, protože jsou drahé. Se středními útoky (nad 10 Gbps) se setkáváme už častěji (i několikrát za měsíc). A menší (pod 10 Gbps) jsou téměř na denním pořádku. Jenže tento klasický druh útoku hrubou silou (objemem dat anebo počtem paketů), se poměrně dobře detekuje a filtruje. Horší je to s útoky na aplikační vrstvě, takové které se snaží tvářit jako běžná návštěvnost.
Útok na aplikační vrstvě (také označovaný jako Layer 7 attack) je vesměs velice jednoduchý, ale přesto není snadné jej ihned detekovat a zabránit mu. Může se jednat o opakované volání nějaké konkrétní stránky, kdy vsází útočník na to, že vygeneruje více dotazů, než cílový server zvládne zpracovat anebo volání mohou být rozložena na více stránek s cílem znesnadnit detekci, případně hledat necachovaný obsah (tento druh útoku jsme popsali v článku Přichází vlna nových a zákeřných útoků a WEDOS je na ně připravený).
V první případě, kdy je útok směřovaný na jednu konkrétní stránku, jsou náklady pro útočníka nižší, takže takových útoků může provádět několik naráz. Když si to pěkně zautomatizuje a spojí s vydíráním, tak si zřejmě přijde i na pěkné peníze. Chcete vědět, jak to probíhá?
Jak chodí žádosti o výpalné
Zákazník většinou netuší, co se děje. V tomto konkrétním případě nám zákazník prostě napsal na podporu, že mu nejde web (eshop). Podpora to předala technikovi, který už mu za cca 20 minut odepsal, že jsou na něj vedeny útoky, které ve špičkách dosahují 50 tisíc requestů (dotazů na server) za 30 vteřin. Vzhledem k závažnosti útoku a díky tomu, že měl zákazník DNS vedené u nás, jsme mu rovnou v kooperaci s kolegy, co vyvíjí naši novou ochranu WEDOS Global Protection, rovnou nastavili.
Zákazník netrpělivě píše, co s tím může sám dělat. Do komunikace se vkládá náš šéf a vysvětluje mu, že nic. Objem requestů je tak velký, že zákazník nemůže udělat nic. Předá mu další statistiky a také kam útok směřuje.
Ve spolupráci se svým vývojářem se zákazník pokusí odstranit stránku, na kterou je útok veden. To vede k velkému množství chyb 404 (stránka neexistuje). Ty server odbavuje lépe, ale jednak to neřeší útok samotný (útočník může URL opět změnit) a také webserver stále musí řešit připojení.
V další konverzaci ještě šéf vysvětluje zákazníkovi, že to není ničí vina a sám to opravdu nemůže vyřešit, “prostě si na něj někdo zasedl”.
Zákazník na to reaguje, přeposláním vyděračského e-mailu, který mu ten den dorazil.
Předmět: DDoS
Hey,
as a ransom we want $3000 in Bitcoin for stopping all DDoS attacks.
After
payment, your service will resume as it was automatically.
BTC-Wallet: *****************************************
Thank you for your attention and have a nice rest of the day,
Dark Side
Na to mu šéf píše, že nemá rozhodně nic platit. Naše ochrana to vyřeší.
Mimochodem v původní konverzaci s podporou zmínil, že se jednalo o opakovaný výpadek. Zkusili jsme pro účely tohoto článku dohledat statistiky na serveru a našli jsme přetížení webhostingu přesně o týden předtím. To vedlo k řadě chyb 503. Tehdy to technici nijak dopodrobna nezkoumali. Vypadalo to na nezvládnutou nárazovou návštěvnost, a tak byl zákazník přesunut na speciální server pro “přetěžovače”, aby se to nedotklo ostatních zákazníků na stejném fyzickém serveru.
I vzhledem k tomu, musel útočník tentokrát o dost přitvrdit. Protože tyto servery jsou optimalizované právě na nárazovou návštěvnost. Pokud má zákazník dobře optimalizovaný web (využívá cache atd.), tak ustojí opravdu hodně (pár příkladů najdete v článku 20 webů s největší návštěvností na NoLimit, NoLimit Extra a WMS).
Anatomie útoku
Útok je opravdu jednoduchý. Nárazově v krátkých intervalech je volána jedna konkrétní URL cílového webu. Škodlivý provoz jde z napadených zařízení přes HTTP z mnoha IP adres. Útok tedy provádí nějaký větší botnet. Když útočník zjistí, že je web nedostupný, tak chvilku přestane. Poté, co web naběhne útok opakuje.
Zákazník se nám naštěstí ozval brzy a v práci u počítače byli i kolegové, kteří vyvíjí ochranu WEDOS Global Protection. Rychle jej přidali mezi chráněné weby a upravili DNS záznam, aby provoz šel přes ochranu. Okamžitě na to začali zachytávat útoky.
Jak vidíte, tak během 1 minuty ve špičce přišlo přes 91 tisíc závadných requestů na cílovou stránku, kterou ochrana zastavila.
Kolegové si s tím trochu hráli a zkoušeli tam, jak tento druh útoku, co možná nejlépe filtrovat. Střídali tam různé formy překážek pro útočníka (cookie, redirect, captcha) a trochu to optimalizovali. Stačilo však trochu povolit uzdu a i těch “pár” set requestů co za minutu prošlo, dokázalo napáchat škody.
Následující statistiky jsou z dat webserveru. Tedy to, co se do logu zapsalo před nasazením ochrany a to co prošlo, když kolegové kalibrovali ochranu. Před tím vším navíc ještě stojí náš velký filtr, který blokuje IP adresy se špatnou reputací, kterých jsou tam stovky tisíc.
V tomto případě to byl spíše takový nízkorozpočtový útok. Jednotlivé requesty se nesnažily nijak maskovat. Sice generovali v hlavičce různé prohlížeče a operační systémy, ale hned podle několika indicií se dalo poznat, že jsou to útoky a ne reálný provoz. Daly by se tedy zastavit i přes IDS/IPS ochranu s vhodnou konfigurací.
Co se týká zdroje útoku, tak většina útočících IP adres byla z Asie a Ameriky.
Sami byste si je blokovat nezvládli (například přes .htacces). Útočník se snažil provést útok vždy v jeden okamžik. Bylo to spíše něco jako 10 vteřin útok, 50 vteřin pauza. Takový test, jestli web žije. A opakovat.
Samozřejmě správci serveru mají více možností jak blokovat rychle celé IP rozsahy. Nicméně pokud je s vámi na serveru více zákazníků, tak jim rozhodně nechtějí odříznout dlouhodobě Evropu. Zvláště státy jako Slovensko a Polsko.
Nicméně i pokud byste odřízli naprosto všechno a nechali tam jen Českou republiku, tak si stejně nepomůžete. Jak vidíte na následujícím grafu, útoky šly i přes české IP adresy a bylo jich dost.
Projít si je můžete na abuseipdb.com/check/ jedná se převážně o IP adresy českých internetových poskytovatelů, které jsou často reportované, že z nich chodí útoky.
Možná si říkáte, že takovéto IP adresy by bylo nejlepší nějak permanentně omezit, když z nich chodí útoky na všechny strany. Jenomže za nimi může klidně být jeden panelák, ulice anebo i celé město. Také může být IP adresa dynamicky přidělována. Pokud ji tedy nějak zásadně omezíte, tak to bude mít dopad na ostatní. Přijdou o návštěvníky, zákazníky anebo nebudou moct poskytnout sjednanou službu. S banováním a omezováním IP adres to není tak jednoduché.
Jaké budeme mít řešení pro tyto problémové útoky?
Prozatím ideální řešení hledáme. Zatím to vypadá na kombinaci cookie/přesměrování v případě, že problémová IP adresa a request z ní bude vykazovat podezřelé chování, případně bude mít podezřelou hlavičku. Pak by příchozí na váš web 1x uviděl následující stránku, kde by došlo k rychlému přesměrování. Útok by tímto neprošel.
Podle nás je to dobrý kompromis. Nejlepší na tom je, že takto budeme moct k vám pouštět i jinak obecně problémové IP adresy, jako jsou například exit TOR nody. Ty mají sloužit k anonymnímu procházení webu, ale ve většině případů jsou s nimi jen problémy, protože je někdo zneužívá k útokům.
Závěr
Podobných útoků bude přibývat. Je třeba se na to připravit. Na rozdíl od ransomware, kde dojde k zašifrování vašich dat většinou vaší vinnou, tak v tomto případě nemusíte nic udělat špatně. Útočníci si vás ani nemusí vytipovat. Prostě jejich robot najde aktivní eshop, zjistí e-mail, vytvoří unikátní BTC peněženku, pošle vám výhružný e-mail a rozjede útok. Do toho vám ten vyděračský e-mail spadne do spamu a už netušíte vůbec nic.
Věříme, že něž se tento trend rozjede naplno, tak už budeme mít ochranu spuštěnou, odladěnou a nasazenou 🙂