Специалисты «Лаборатории Касперского» зафиксировали на территории России DDoS-атаки типа WordPress Pingback, реализованные посредством защищенных шифрованием соединений. По данным исследователей, этот сравнительно новый способ атак начал набирать популярность у злоумышленников в третьем квартале 2016 года. DDoS-атаки с использованием шифрования были направлены на известное российское СМИ – «Новую газету». Все атаки были успешно отражены и веб-сайт «Новой газеты» продолжает нормально функционировать.
Исследователи объясняют, что атакующие эксплуатировали уязвимости платформы WordPress. Атаки типа WordPress Pingback известны с 2014 года и относятся к классу атак с отражением: ресурс жертвы атакуют не с помощью классического ботнета, а применяя для этого серверы, содержащие уязвимости в логике работы установленного на них ПО. В случае с WordPress Pingback в качестве таких серверов используются сайты, построенные с применением WordPress CMS с включенным режимом Pingback, изначально созданным для автоматического оповещения авторов об обновлениях в их постах. Злоумышленник отправляет на такие сайты специально созданный http-запрос с ложным обратным адресом (адресом жертвы), на который сервер отсылает ответы. Атака формируется из десятков подобных ответов.
Но случай, замеченный специалистами «Лаборатории Касперского», отличался от описанной классической схемы. Дело в том, что поток трафика, направленный на атакуемый сайт, был зашифрован.
«Использование шифрования значительно затрудняет обнаружение атаки и защиту от нее, поскольку требует расшифровки трафика для того, чтобы определить чистый он или “мусорный”. В то же время такая атака создает большую нагрузку на атакованный ресурс, чем стандартная, поскольку установка зашифрованного соединения является более сложной с технологической точки зрения. Наконец, еще одна трудность заключается в том, что современные защитные механизмы шифрования не предоставляют доступ к содержимому трафика третьей стороне. Так что, скорее всего, в мире DDoS-атак наступают новые времена», – говорит Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России.
UPD.
CTO Qrator Labs Артем Гавриченков прокомментировал выводы специалистов «Лаборатории Касперского» и пояснил, что pingback-атаки совсем не новы, да и применение шифрования в данном случае — это вопрос замены одного символа:
«Изначально WordPress создавался как удобный и функциональный движок для блогов, и в нем была реализована и включена по умолчанию функциональность Pingback.
Pingback позволял двум различным standalone-блогам обмениваться информацией о комментариях и взаимных упоминаниях. Это полезная функция, но реализована она таким образом, что произвольный пользователь интернета посредством XML-запроса, подготовленного определенным образом, может заставить WordPress-сервер запросить любую страницу с любого сайта.
Это может применяться (и широко применяется) как для маскировки исходных IP-адресов атакующего ботнета (что в случае обычного HTTP-флуда сделать нельзя), так и в ряде случаев для усиления атаки. Такая атака, использующая уязвимые WordPress-серверы, носит название WordPress Pingback DDoS.
XML-запрос, заставляющий WordPress-сервер обращаться к атакуемому серверу, выглядит примерно так:
<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://victim.com/</string></value></param>
<param><value><string>http://reflector.blog/2016/12/01/blog_post</string></value></param>
</params>
</methodCall>
Важно понимать, что pingback-атака на HTTPS для атакующего ничуть не сложнее, чем атака на HTTP. Для этого злоумышленнику достаточно добавить буквально один символ: выделенную жирным строку «http» заменить на «https». Как правило, если сайт по умолчанию работает по HTTPS (например, если это финансовая организация), то атака и пойдет на HTTPS.
Ввиду простоты и эффективности использования WordPress-серверов атаки такого вида, само собой, давно появились и в России. Еще в 2015 году WordPress Pingback стал самой популярной разновидностью атак прикладного уровня в России, как по HTTP, так и по HTTPS, и продолжает им оставаться (хотя распространение Mirai в последние месяцы может изменить эту ситуацию).
Использование шифрования в DDoS-атаках, конечно же, затрудняет противодействие им. Само собой, атаки с использованием шифрования стали популярны задолго до Pingback DDoS, однако Pingback вывел их на качественно иной уровень. Дело в том, что на сегодня в мире существуют миллионы уязвимых WordPress-установок, и в одной атаке может использоваться порядка 150-200 тысяч серверов. Естественно, почти каждый из этих серверов имеет неплохую производительность и надежный канал доступа в интернет. В результате для фильтрации Pingback-атаки необходимо производительное решение, способное обрабатывать трафик атаки полосой от 20 Гбит/с вплоть до прикладного уровня сети. Само собой, необходимость дешифровывать «на лету» TLS-соединения дополнительно усложняет эту задачу. Обычно решения, например, операторского уровня не могут справляться с этой атакой без дополнительных настроек шифрования как на фильтрующем устройстве, так и на самом защищаемом сервере.
В силу этих факторов с самого момента появления Pingback DDoS доля атак с использованием шифрования была значительной, а в начале 2016 года, с появлением бесплатного Let's Encrypt и распространением HTTPS в интернете, эта доля еще возросла. Ориентировочно, до 30-40% от всех Pingback-атак в середине 2016 года проходили с использованием HTTPS».
