Специалисты компании Corero Network Security описали интересный случай, который был зафиксирован в ходе отражения DDoS-атаки, направленной против одного из клиентов фирмы. Злоумышленники использовали для усиления атаки протокол LDAP, а подобного ранее не наблюдал никто.
Изучив, каким образом атакующие используют LDAP-серверы, исследователи пришли к выводу, что злоумышленники нашли 0-day уязвимость в CLDAP (Connection-less Lightweight Directory Access Protocol), имплементации протокола LDAP, которую использует Active Directory. В результате атакующие смогли использовать уязвимые серверы с поддержкой CLDAP для перенаправления мусорного трафика на свои цели. Данная техника известна как отраженный DDoS, и для этих целей часто используют DNS, NTP и SMTP. На этот раз атакующие отправляли множество запросов, обращенных к порту LDAP, при этом подменяя IP-адреса отправителей на адрес жертвы. В результате серверы заваливали жертву хакеров ответами, чей размер значительно превышает размер запроса.
Исследователи пишут, что такой метод отражения DDoS-атак оказался весьма эффективным. Злоумышленникам удалось усилить атаку в среднем в 46 раз, а на пике атаки мощность возросла в 55 раз.
Эксперты обеспокоены тем, что если подобные техники усиления атак возьмут на вооружение операторы IoT-ботнетов, то мощность DDoS’а в ближайшем будущем может возрасти до десятков терабит в секунду. В качестве примера исследователи напоминают, что недавняя атака на сайт известного ИБ-журналиста Брайана Кребса достигала мощности 620 Гбит/с и осуществлялась именно при помощи IoT-ботнета.
