Atacurile DDoS prin intermediul WordPress folosesc acum criptarea

31

Experții Kaspersky Lab au remarcat o tendință recentă – creșterea numărului de atacuri care folosesc criptarea, potrivit unui raport de informații despre atacurile DDoS pe T3 2016. Astfel de atacuri sunt foarte eficiente din cauza dificultății de a le identifica în fluxul de trafic normal. Recent, compania a găsit și mai multe dovezi în această privință: un atac care exploata vulnerabilitățile din WordPress, dar prin intermediul unui canal criptat.

 

Atacurile WordPress Pingback se folosesc din 2014. Acestea intră în categoria atacurilor de amplificare, resursa victimei fiind atacată prin intermediul serverelor unor terți, ale căror vulnerabilități sunt exploatate. În cazul WordPress Pingback, rolul serverului vulnerabil este jucat de site-uri create cu ajutorul WordPress CMS (de obicei, bloguri) cu funcția Pingback activată. Această funcție este creată pentru a notifica autorii în legătură cu orice activitate nouă privind articolele lor. Atacatorul trimite acestor site-uri un request HTTP creat special, cu o adresă falsă: cea a victimei, care primește toate răspunsurile.

 

Acest lucru înseamnă că e posibil să organizezi un atac puternic “HTTP GET” fără un botnet, prin urmare este vorba de un atac relativ simplu și necostisitor. Totuși, acest tip de atac are un header specific – User Agent – care face astfel de solicitări malware ușor de detectat și de blocat în fluxul general de trafic.

 

Deși recentul atac, remarcat de experții Kaspersky Lab, a folosit aceeași metodă, a fost diferit de un atac “clasic” WordPress Pingback prin aceea că a fost derulat prin intermediul protocolului HTTPS, nu al celui HTTP. Ținta atacului – un site de știri – s-a dovedit a fi unul dintre clienții Kaspersky Lab.

 

 “Folosirea criptării face mai dificile detecția și măsurile de protecție pentru că este nevoie de decriptarea traficului pentru a analiza solicitările și a verifica dacă este un trafic “curat” sau “junk”, explică Kirill Ilganaev, Head of Kaspersky DDoS Protection la Kaspersky Lab. În același timp, un astfel de atac încarcă mai mult hardware-ul resursei atacate decât un atac standard pentru că stabilirea unei conexiuni criptate implică folosirea unei matematici “grele”. O altă dificultate constă în faptul că mecanismele moderne de criptare nu permit accesul unor terți la conținutul traficului. În această privință, soluțiile de securitate vor trebui să-și regândească algoritmii de filtrare pentru a-și proteja clienții de răspândirea tot mai largă a atacurilor DDoS cu criptare.”