RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE SERVIÇO DA VERISIGN 3A EDIÇÃO 3O TRIMESTRE DE 2014

Transcrição

1 RELATÓRIO SOBRE AS TENDÊNCIAS DO ATAQUE DISTRIBUÍDO DE NEGAÇÃO DE 3A EDIÇÃO 3O TRIMESTRE DE 2014

2 CONTEÚDO RESUMO EXECUTIVO 3 TENDÊNCIAS E ATAQUE DDoS OBSERVADAS PELA VERISIGN NO T3 DE Mitigações por tamanho do ataque 4 Mitigações por setor 5 Mitigações por frequência do ataque 6 DESTAQUE: NOVO PROTOCOLO UTILIZADO PARA ATAQUES REFLETIVOS 7 O protocolo de descoberta de serviço simples (SSDP) 7 OBSERVAÇÕES GLOBAIS 8 Verisign observa malware de DDoS Linux DBOT 8 "SHELLSHOCK" é aproveitado para implementar o malware de DDoS Linux 9 2 2

3 > RESUMO EXECUTIVO 20 POR CENTO dos ataques tinham mais de 10 Gbps Este relatório contém as observações e conhecimentos derivados de mitigações em nome dos clientes do DDoS Protection Services da Verisign, ou em colaboração com os mesmos, além da pesquisa de segurança do Verisign idefense Security Intelligence Services. Representa uma visão única sobre as tendências dos ataques on-line referentes ao trimestre anterior, incluindo estatísticas de ataque, análise de código malicioso DDoS e tendências de comportamento. RESUMO DAS CONCLUSÕES: Vulnerabilidades e tendências de ataque no T3 de 2014 No período de 1o de julho de 2014 a 30 de setembro de 2014, a Verisign observou as seguintes tendências: O número de ataques da categoria de 10 Gbps ou mais aumentou 38 por cento em comparação com o T2 e representa mais de 20 por cento de todos os ataques do T3. Os agressores persistiram no lançamento de ataques contra os clientes-alvo, com uma média de mais de três tentativas separadas por alvo. O setor que foi alvo com mais frequência foi o setor de mídia e entretenimento, que representou mais de 50 por cento de toda a atividade de mitigação. Os agressores realizaram em média 3,3 > tentativas de ataques separadas por cliente no T3 Devido à grande frequência de ataques massivos no T2, a Verisign observou uma diminuição no tamanho médio do ataque de 48 por cento em relação ao trimestre anterior, mas o tamanho médio do ataque aumentou 65 por cento entre o T1 e o T3 de Ao retirar os ataques muito grandes dos dados do T2, o tamanho médio dos ataques foi de 4,6 Gbps. Comparado com o tamanho médio dos ataques no T3, representa um aumento de mais de 40 por cento. Os maiores ataques observados nesse trimestre tiveram como alvo o setor de comércio eletrônico e chegaram a mais de 90 Gbps. A Verisign mitigou diretamente novos tipos de ataques refletivos de UDP com o uso do protocolo de descoberta de serviço simples (SSDP/porta 1900 UDP). O Network Time Protocol (NTP) continua a representar a maioria dos ataques refletivos de amplificação baseados em UDP, com uma mudança para SSDP durante o T3. Os analistas do Verisign idefense relataram que a vulnerabilidade do bash "Shellshock" foi aproveitada no mundo todo para gerar botnets DDoS de maneira eficiente. Um aumento na implementação do malware de DDoS Linux indica maior uso de servidores de grande largura de banda em botnets DDoS. 3 3

4 TENDÊNCIAS E ATAQUE DDoS OBSERVADAS PELA VERISIGN NO T3 DE 2014 Mitigações por tamanho do ataque A frequência dos ataques DDoS de grande escala continuou a aumentar à medida que o número de ataques da categoria de 10 Gbps ou mais aumentou 38 por cento em comparação com o T2, representando mais de 20 por cento de todos os ataques do T3 (Figura 1). As defesas e os dispositivos de mitigação no local se tornam ineficazes no momento em que o ataque DDoS excede a capacidade de upstream da empresa. Caso isso ainda não tenha acontecido, as empresas com foco na resiliência devem considerar a implementação de instalações híbridas ou baseadas na nuvem/soluções de proteção contra DDoS em nuvem para mitigar ataques volumétricos, multivetor e na camada de aplicativos, que excedem a largura de banda disponível com aumento mínimo dos custos operacionais indiretos. >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps 2014-T T T por cento Figura 1: Aumento dos ataques com mais de 10 Gbps 12,42 6,46 4,60 3,70 3,92 3,17 2,14 1, T T T T T T T Gbps Figura 2: Tamanho médio do ataque por trimestre (em Gbps) 4 4

5 O tamanho médio dos ataques mitigados pela Verisign no terceiro trimestre foi de 6,46 Gbps (Figura 2), o que representa uma queda de 48 por cento no tamanho médio do ataque, comparado com o trimestre anterior, mas um aumento de 65 por cento no tamanho médio do ataque comparado com o T1 de O grande aumento do tamanho médio do ataque no T2 (12,42 Gbps) foi causado por vários ataques volumétricos sustentados na faixa de 200 a 300 Gbps. Ao retirar os ataques muito grandes dos dados do T2, o tamanho médio dos ataques foi de 4,6 Gbps. Comparado com o tamanho médio dos ataques do T3, representa um aumento de mais de 40 por cento. O maior ataque DDoS volumétrico baseado em UDP mitigado pela Verisign no T3 tinha mais de 90 Gbps. O maior ataque baseado em TCP tinha mais de 30 Gbps. Mitigações por setor Os ataques DDoS são uma ameaça global e não se limitam a um setor específico, conforme mostra a Figura 3. Esses dados comparativos podem ser úteis para priorizar os gastos com segurança sobre a exposição observada do seu setor a essa ameaça. Normalmente, os setores de maior risco são aqueles politicamente ativos ou que terão um prejuízo financeiro significativo com o tempo de inatividade. Assim, durante a última década, a Verisign observou que uma empresa pode se tornar alvo por uma variedade muito ampla de motivos, e todas as empresas devem considerar seu risco e a exposição potencial nesse contexto. Os clientes de mídia e entretenimento continuam a sofrer o maior número de ataques, cujo tamanho chegou a 20 Gbps no T3 (Figura 4), o que é mais do que suficiente para dominar a maioria das capacidades de mitigação locais. O setor de comércio eletrônico, embora tenha sido atacado com menos frequência, foi alvo dos maiores ataques do trimestre, que chegaram a mais de 90 Gbps (Figura 4). Esse ataque foi uma inundação de UDP em pequenas explosões de 30 minutos ou menos. Consistia principalmente em tráfego de ataque refletivo de amplificação de NTP. O objetivo dessa atividade era desregular a capacidade crítica de comércio on-line do cliente, e foi mitigada com sucesso pela Verisign. Com a temporada de férias de 2014 em pleno andamento, os setores financeiro e de comércio eletrônico devem ficar particularmente atentos e preparados para o aumento dos ataques DDoS durante a temporada de maior receita e interação com o cliente. Historicamente, a Verisign observou um aumento na atividade de DDoS contra esses setores verticais durante a temporada de férias e prevê que essa tendência continuará. Mídia e entretenimento 55% 0 Serviços de TI/Nuvem/Saas Comércio eletrônico Financeiro 28% 10% 7% 100 Figura 3: Porcentagem de ataques por setor 5 5

6 , ,0 27,0 90,0 36, ,8 20,9 22, T T T3 Comércio eletrônico Serviços de TI/Nuvem/Saas Gbps Mídia e entretenimento Figura 4: Tamanho máximo do ataque pelos principais setores Mitigações por frequência do ataque Durante o ano de 2014, a Verisign observou um aumento constante no número de ataques por cliente, inclusive ataques que mudaram a tática no setor intermediário. O T3 apresentou o maior aumento na frequência de ataques, com uma média de mais de três ataques por cliente-alvo, um número 60 por cento maior do que no T2 (Figura 5). O aumento da frequência de ataques, assim como o aumento do tamanho dos ataques, pode ser atribuído ao amadurecimento dos agressores, ao acesso mais fácil aos botnets DDoS e kits de ferramentas prontos para uso e à observação do adversário sobre impacto dos ataques em seus alvos. Como os agressores continuam a se desenvolver e se tornam mais sofisticados, a Verisign acredita que essa tendência continuará no futuro previsível. 3,33 3,0 2,5 2,00 2,06 2,0 1,5 1,0 0, T T T3 Média de ataques por cliente 3,5 0,0 Figura 5: Média de ataques por cliente-alvo (por trimestre) 6 6

7 Destaque: NOVO PROTOCOLO UTILIZADO PARA ATAQUES REFLETIVOS Maiores ataques SSDP no T3 15 GBPS e 4,58 MPPS O protocolo de descoberta de serviço simples (SSDP) Durante este trimestre, além dos ataques baseados em NTP, observamos que o SSDP foi explorado em ataques DDoS de amplificação baseados em UDP. Os maiores ataques baseados em SSDP mitigados pela Verisign no T3 tinham como alvo o setor de serviços de TI, e seu pico foi de quase 15 Gbps e 4,58 milhões de pacotes por segundo (Mpps). A Verisign conseguiu detectar com rapidez e mitigar os ataques SSDP encontrados neste trimestre com o uso do seu serviço de monitoramento e da plataforma de mitigação contra DDoS conectada globalmente. Christian Rossow publicou um documento no dia 22 de fevereiro de 2014, intitulado Amplification Hell: Revisiting Network Protocols for DDoS Abuse1, que identificava o fator de amplificação da largura de banda. Ele identificou que o SSDP tinha um fator de amplificação de largura de banda de 30,8, o que significa que um comando de pesquisa nesse protocolo terá uma resposta 30,8 vezes maior do que o tamanho da solicitação. A equipe US CERT2 emitiu um alerta sobre a pesquisa inicial em 17 de janeiro de Embora a amplificação gerada pelos ataques SSDP seja menor do que com ataques refletivos de DNS ou NTP, os ataques SSDP ainda são capazes de impressionar as empresas que utilizam equipamentos tradicionais de segurança para proteger seus ativos. De maneira consistente com outros ataques refletivos de amplificação, os agentes maliciosos imitarão o IP de origem ao fazer uma solicitação de SSDP para escolher uma vítima. Para a maioria das empresas, as implementações de SSDP não deveriam ser abertas para a Internet. Nesse caso, as consultas de ingresso da Internet que têm esse protocolo como alvo podem ser bloqueadas na entrada da rede para proteger a empresa contra esse vetor em particular. A Verisign recomenda uma auditoria de ativos internos, incluindo fluxos de rede de saída, para garantir que sua empresa não seja aproveitada, sem seu conhecimento, em ataques DDoS baseados em SSDP. O QUE É SSDP? O SSDP é um protocolo de rede utilizado para o anúncio e a descoberta de serviços de rede e informação de presença. É utilizado com mais frequência como a base do protocolo de descoberta para plug-and-play universal. As implementações enviam e recebem informações com o uso de UDP na porta número O SSDP é abusado, como vários outros protocolos baseados em UDP, principalmente por seu estado não conectado, que permite a falsificação do endereço IP de origem, e devido ao fator de amplificação na resposta. De acordo com dados3 da ShadowServer, há mais de 15 milhões de dispositivos na Internet habilitados para SSDP, que podem ficar vulneráveis e ser utilizados em um ataque DDoS. De maneira similar a qualquer ataque refletivo, o agressor pode falsificar o endereço IP de origem da solicitação para criar uma correspondência com o alvo e fazer com que todos os dispositivos vulneráveis inundem o alvo com respostas SSDP. 1 Christian Rossow. Amplification Hell: Revisiting Network Protocols for DDoS abuse

8 OBSERVAÇÕES GLOBAIS Verisign observa malware de DDoS Linux DBOT Os analistas do Verisign idefense descobriram uma variante do DBOT clandestino que opera em sistemas do tipo Unix e é utilizado principalmente para ataques DDoS. Esse malware é controlado por meio de um canal de comando e controle (C&C) de uma conversa interativa na Internet (Internet Relay Chat, IRC), e configurará o nome do processo para que pareça um processo comum do sistema (como syslogd ou crond). Além de ser utilizado para realizar ataques DDoS, conta com acesso de conexão reversa e recursos de envio de (ex.: lixo eletrônico) em sistemas comprometidos. Os agressores usam o protocolo IRC para controlar o DBOT clandestino e, em seguida, utilizam o canal C&C do servidor de IRC estabelecido para enviar comandos que instruirão o servidor comprometido a executar tarefas. Os analistas do Verisign idefense identificaram os seguintes comandos de DDoS: Comando Descrição udp1 Inundação de UDP contra um usuário: endereço IP definido e porta com carga que consiste no string "Tr0x" repetido várias vezes udp2 Inundação simultânea contra um usuário: endereço IP definido para portas incrementadas para UDP, TCP, ICMP e IGMP com uma carga que consiste no caractere "A" repetidas vezes udp3 Inundação de UDP contra um usuário: endereço IP definido e portas aleatórias com uma carga de todos os zeros. Essa função tem algumas falhas que podem fazer com que não funcione de maneira confiável. tcp Inundação de TCP SYN contra um usuário: endereço IP definido e porta que consiste em conexões simultâneas, que são fechadas logo após a conexão ser estabelecida http Conexão à porta 80 TCP em um usuário: endereço IP definido e solicitação de HTTP "GET/" várias vezes O Verisign idefense estabeleceu que, atualmente, não ocorre nenhuma falsificação de endereço IP durante a execução dos comandos integrados de ataque DDoS mencionados. Assim, a maioria dos IPs dos agressores observados são legítimos, o que acelera a mitigação. No entanto, o malware de DBOT permite, por meio da função de conexão reversa, que um comando arbitrário seja executado em um sistema comprometido, o que proporciona ao agressor a capacidade ilimitada de modificar manualmente os padrões do ataque ou instalar ferramentas de DDoS adicionais, conforme a necessidade. A amostra de malware analisada pelo idefense tinha um hash MD5 de b74b86f591097b9b6773c1176b. 8

9 "SHELLSHOCK" é aproveitado para implementar o malware de DDoS Linux Os pesquisadores do Verisign idefense analisaram o malware ELF, que é enviado por meio da vulnerabilidade do bash "Shellshock". "Shellshock" é o nome dado a uma série de vulnerabilidades críticas (CVE e posterior, CVE , CVE , CVE , CVE e CVE ) no aplicativo reverso bash, que é utilizado de maneira penetrante em uma ampla gama de sistemas operacionais (entre eles OSX, RedHat, Debian e vários dispositivos integrados). A vulnerabilidade é causada por uma falha no comando e no analisador de argumentos do bash GNU versões 1.14 a 4.3. A falha leva ao processamento incorreto dos comandos enviados após as definições de funções na variável de ambiente adicionada. Isso permite que os agentes maliciosos executem códigos binários arbitrários e maliciosos por meio de um ambiente trabalhado, que permite a exploração baseada na rede. O malware que aproveita essa vulnerabilidade se comunica com servidores C&C específicos codificados permanentemente. As conexões por meio desse servidores C&C resultam em comunicações em todos os sentidos, no recebimento dos comandos e links para conteúdos maliciosos adicionais ou cargas na forma de links Pastebin. O malware já existia antes de ser implementado na última campanha de aproveitamento do Shellshock. O Verisign idefense possui registros dos strings exatos que foram distribuídos pelo malware, conforme publicado no Pastebin em 20 de agosto de O malware verifica o sistema infectado e procura os nomes de usuário mais comuns e senhas fracas (ex.: root, admin, user, login, etc.) para lançar ataques DDoS e fazer varreduras massivas em busca de sistemas vulneráveis na Internet. Durante a análise, os pesquisadores do Verisign idefense descobriram várias amostras que aproveitaram a vulnerabilidade recém-encontrada. A amostra de malware analisada pelo idefense tinha um hash MD5 de 5B345869F7785F980E8FF7EBC001E0C7. 9

10 NOTAS VerisignInc.com 2014 VeriSign, Inc. Todos os direitos reservados. VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários. Material público da Verisign