В чем разница между DDoS-атакой и PDoS-атакой?

15

Я читал определенное количество о черве Mirai , вирусе, который атакует устройства Internet of Things с использованием имен пользователей и паролей по умолчанию и, по сути, связан с созданием распределенного отказа в обслуживании (DDoS).

Однако недавно я читал о другом черве, BrickerBot , также вирусной атаке на устройства Интернета вещей. Согласно этой статье на thenextweb.com приводит к постоянному отказу в обслуживании (PDoS).

В чем разница между этими двумя атаками в отношении отказа в обслуживании? В противном случае указано, в чем разница между DDoS и PDoS в отношении этих IoT-атак?

security mirai anonymous2
источник
Они оба DoS-атаки, но все остальное отличается.
user253751

Ответы:

16

DDoS против "PDoS"

1. DDoS (для справки)

Обычная распределенная атака типа «отказ в обслуживании» (DDos) - это класс атак типа «отказ в обслуживании» (DoS), в котором для потребления используется распределенная система (ботнет), состоящая из узлов, управляемых каким-либо приложением ( Mirai , LizardStresser , gafgyt и т. Д.). ресурсы целевой системы или систем до истощения. Хорошее объяснение этого дано на security.SE .

Объяснение того, как контролируемые Mirai ботнеты осуществляют отказ в обслуживании, можно найти в анализе Incapsula :

Как и большинство вредоносных программ в этой категории, Mirai создан для двух основных целей:

  • Найдите и скомпрометируйте устройства IoT для дальнейшего развития ботнета.
  • Запустите DDoS-атаки на основе инструкций, полученных от удаленного C & C.

Чтобы выполнить свою функцию набора персонала, Mirai выполняет широкое сканирование IP-адресов. Цель этих проверок состоит в том, чтобы найти недостаточно защищенные устройства IoT, к которым можно было получить удаленный доступ с помощью легко угадываемых учетных данных для входа в систему - обычно это стандартные имена пользователей и пароли (например, admin / admin).

Mirai использует метод грубой силы для угадывания паролей или словарных атак ...

Функция атаки Mirai позволяет запускать HTTP-потоки и различные сетевые (уровень OSI 3-4) DDoS-атаки. При атаке HTTP-флудов боты Mirai прячутся за следующими пользовательскими агентами по умолчанию ...

Для атак на сетевом уровне Mirai может запускать наводнения GRE IP и GRE ETH, а также наводнения SYN и ACK, наводнения STOMP (Simple Text Oriented Message Protocol), наводнения DNS и атаки UDP-наводнения.

Эти типы бот-сетей достигают исчерпания ресурсов, приводя к отказу в обслуживании, используя управляемые устройства для генерации такого большого объема сетевого трафика, направленного к целевой системе, что ресурсы, предоставляемые этой системой, становятся недоступными на время атаки. Как только атака прекращается, целевая система больше не использует ресурсы до точки исчерпания и может снова отвечать на законные входящие клиентские запросы.

2. «PDoS»

Кампания BrickerBot принципиально отличается: вместо интеграции встроенных систем в ботнет, который затем используется для организации крупномасштабных атак на серверы, сами встраиваемые системы являются целью.

Из сообщения Radware на BrickerBot « BrickerBot » приводит к постоянному отказу в обслуживании :

Представьте себе быструю атаку ботов, предназначенную для того, чтобы заставить аппарат жертвы функционировать. Эта форма кибератак, называемая постоянным отказом в обслуживании (PDoS), становится все более популярной в 2017 году, поскольку происходит все больше инцидентов, связанных с этой атакой, наносящей ущерб оборудованию.

В некоторых кругах также известный как «флешинг», PDoS - это атака, которая настолько сильно повреждает систему, что требует замены или переустановки оборудования. Используя недостатки безопасности или неправильную конфигурацию, PDoS может разрушить встроенное ПО и / или основные функции системы. В отличие от своего известного двоюродного брата, DDoS-атаки, которая перегружает системы запросами, предназначенными для насыщения ресурсов непреднамеренным использованием.

Во встроенных системах, предназначенных для постоянного выведения из строя, на них не загружается какое-либо приложение для целей удаленного управления, и они никогда не являются частью ботнета (выделено мое):

Компрометация устройства

PDoS-атака Bricker Bot использовала грубую силу Telnet - тот же вектор эксплойтов, который использовал Mirai - для взлома устройств жертвы. Bricker не пытается загрузить двоичный файл , поэтому у Radware нет полного списка учетных данных, которые использовались для попытки перебора, но они смогли зафиксировать, что первая попытка использования пары имя пользователя / пароль была последовательно «root» / «vizxv». '

Повреждение устройства

После успешного доступа к устройству бот PDoS выполнил серию команд Linux, которые в конечном итоге привели бы к повреждению хранилища, за которыми следовали команды, чтобы нарушить подключение к Интернету, производительность устройства и очистку всех файлов на устройстве.

Третье отличие состоит в том, что в этой кампании задействовано небольшое количество устройств, контролируемых злоумышленниками, вместо многих тысяч или миллионов:

В течение четырехдневного периода приманка Radware зафиксировала 1895 попыток PDoS, выполненных в нескольких точках мира.

Попытки PDoS исходили из ограниченного числа IP-адресов, разбросанных по всему миру. Все устройства используют порт 22 (SSH) и работают с более старой версией сервера Dropbear SSH. Большинство устройств были идентифицированы Shodan как сетевые устройства Ubiquiti; среди них точки доступа и мосты с направлением луча.

Резюме

Учитывая количество способов, которыми кампания BrickerBot «PDoS» принципиально отличается от обычных кампаний «DDoS», таких как Mirai, использование терминологии с похожим звучанием может привести к путанице.

  • DDoS-атаки обычно проводятся ботмастером с контролем над распределенной сетью устройств, чтобы предотвратить доступ клиентов к ресурсам сервера на время атаки, тогда как «BrickerBot» - это кампания по «кирпичному» внедрению систем.
  • Клиенты ботнетов управляются через приложение, установленное на клиенте злоумышленником. В кампании BrickerBot команды выполняются удаленно через telnet без использования управляющего приложения (например, вредоносного ПО).
  • DDoS-атаки используют большое количество (тысячи, миллионы) управляемых устройств, тогда как в кампании BrickerBot используется сравнительно небольшое количество систем для организации так называемых «PDoS-атак».
  • кампания BrickerBot нацелена на встраиваемые системы для недееспособности, в то время как Mirai и тому подобное нацелены на встроенные системы для интеграции их в ботнет
юлианский
источник
Отличный подробный ответ!
anonymous2
Вау, ты так быстро читаешь. И спасибо, меня интересует безопасность встраиваемых систем
Юлиан
1
Отличный ответ! После вашего первого параграфа для объяснения «PDoS» у меня был момент «о, я вижу», когда я понял, что название вредоносного ПО в значительной степени говорит само за себя. Бот, который Bricks IoT устройства. Duh!
Рис
1
@PierreLebon уже началась война с вредоносными программами - Mirai, очевидно, хочет контролировать устройства, которые он заражает, и для этого он уже пытается вывести (некоторые) другие вредоносные программы, если они уже заражены.
Baldrickk
1
@PierreLebon Если вы посмотрите на функциональные killer_init()строки 190–220 и функциональные memory_scan_match()строки 494–539 в файле killer.c в исходном коде Mirai , вы обнаружите, что Mirai сканирует память устройства в поисках процессов, совпадающих с конкурирующими ботнетами, и впоследствии убивает эти процессы. , Mirai также убивает telnet на устройствах, которые он заражает, поэтому нет необходимости "исправлять" устройство; он уже не подвержен прямой атаке со стороны "BrickerBot"
юлиан
7

DDoSes эфемерны. После удаления вектора атаки или остановки DDoS устройство работает. (Или в случае с Mirai остальная часть интернета работает.)

PDoSes обновляет устройство, чтобы оно больше не могло работать.

Mirai использовал IoT-устройства в качестве источника DDoS . Зараженные Mirai устройства все еще работали; аспект DDoS был в дополнение к их нормальной функциональности. Это не был DDoS против самого устройства.

Если бы это устранило нормальное функционирование и не предоставило никакого способа удалить его, это была бы PDoS против устройства и источник DDoS против Интернета в целом.

Дэйв Ньютон
источник
Ах, это имеет смысл. Таким образом, червь brickerbot фактически уничтожает устройства IoT, в то время как Mirai просто взломал устройство, чтобы выполнить DDoS-атаку на другие серверы?
anonymous2
@ anonymous2 Это мое понимание, ага. Возможность блокировать подключенные устройства, как правило, просто раздражает, но это может привести к реальной опасности в достаточном количестве случаев, которые могут вызывать беспокойство.
Дейв Ньютон,
Укладка подключенных устройств - это то, что может привести к апокалипсису оговорку о больших городах! Как только бегун не сможет опубликовать или проверить свою последнюю игру, он начнет бродить, формируя целую орду ... О, я должен начать собирать пакет IOT apocalypse Emergencie.
Перетащите
5

Если немного остановиться на том, что написал Дэйв, то основным отличием является то, что в случае DDoS -ботинок устройства IoT используются в качестве атакующих, обычно даже не препятствуя функционированию устройств каким-либо существенным образом. В конце концов, эти злоумышленники не хотят терять способность иметь бот-сеть, способную проводить DDoS-атаки на третьи стороны. Потребитель IoT обычно ничего не замечает.

Однако BrickerBot атакует сами устройства и отключает его. Таким образом, потребитель IoT является целью атаки, а не невольным поставщиком потенциала атаки.

Как полагают многие блоги ( возьмем этот пример ), бот может быть превентивным ударом по снижению потенциальных целей для червей DDoS. Главным образом потому, что очень мало чего можно получить, просто уничтожая вещи, помимо снижения потенциала бот-сети или конкуренции.

Можно подумать, что это хорошо, так как это угроза, которая на самом деле угрожает производителям IoT («имидж») и потребителю, повышая срочную необходимость надлежащей защиты устройств IoT.

Хельмар
источник