Qual è la differenza tra un attacco DDoS e un attacco PDoS?

15

Ho letto una certa quantità sul worm Mirai , un virus che attacca i dispositivi Internet of Things utilizzando nomi utente e password predefiniti ed è essenzialmente cablato per produrre un DDoS (Distributed Denial of Service).

Tuttavia, di recente ho letto di un altro worm, BrickerBot , anche un attacco di virus su dispositivi Internet of Things. Secondo questo articolo su thenextweb.com risulta un Denial of Service (PDoS) permanente.

Qual è la differenza tra questi due attacchi in relazione alla negazione del servizio? Altrimenti dichiarato, qual è la differenza tra DDoS e PDoS rispetto a questi attacchi IoT?

security  mirai 
anonymous2
fonte
Sono entrambi attacchi DoS, ma tutto il resto è diverso.
user253751

Risposte:

16

DDoS vs. "PDoS"

1. DDoS (per riferimento)

Un attacco denos of service distribuito convenzionale (DDos) è una classe di attacchi denial of service (DoS) in cui viene utilizzato un sistema distribuito (botnet) costituito da nodi controllati tramite alcune applicazioni ( Mirai , LizardStresser , gafgyt , ecc.) le risorse del sistema o dei sistemi target fino al punto di esaurimento. Una buona spiegazione di ciò è data su security.SE .

Una spiegazione di come le botnet controllate da Mirai realizzano la negazione del servizio può essere trovata in un'analisi di Incapsula :

Come la maggior parte dei malware in questa categoria, Mirai è progettato per due scopi principali:

  • Individua e comprometti i dispositivi IoT per espandere ulteriormente la botnet.
  • Avvia attacchi DDoS in base alle istruzioni ricevute da un C&C remoto.

Per adempiere alla sua funzione di reclutamento, Mirai esegue scansioni ad ampio raggio di indirizzi IP. Lo scopo di queste scansioni è individuare dispositivi IoT non protetti a cui è possibile accedere in remoto tramite credenziali di accesso facilmente indovinabili, in genere nomi utente e password predefiniti in fabbrica (ad es. Admin / admin).

Mirai utilizza una tecnica di forza bruta per indovinare le password, ovvero gli attacchi del dizionario ...

La funzione di attacco di Mirai consente di avviare inondazioni HTTP e vari attacchi DDoS di rete (livello OSI 3-4). Quando si attaccano alluvioni HTTP, i robot Mirai si nascondono dietro i seguenti user-agent predefiniti ...

Per gli assalti a livello di rete, Mirai è in grado di lanciare alluvioni GRE IP e GRE ETH, nonché alluvioni SYN e ACK, alluvioni STOMP (Simple Text Oriented Message Protocol), alluvioni DNS e attacchi UDP.

Questi tipi di botnet compiono l'esaurimento delle risorse con conseguente negazione del servizio utilizzando dispositivi controllati per generare volumi di traffico di rete così diretti verso il sistema di destinazione che le risorse fornite da tale sistema diventano inaccessibili per la durata dell'attacco. Una volta cessato l'attacco, il sistema di destinazione non consuma più le proprie risorse fino al punto di esaurimento e può rispondere nuovamente alle legittime richieste dei clienti in arrivo.

2. "PDoS"

La campagna BrickerBot è fondamentalmente diversa: invece di integrare i sistemi embedded in una botnet che viene quindi utilizzata per orchestrare attacchi su larga scala sui server, i sistemi embedded stessi sono l'obiettivo.

Dal post di Radware su BrickerBot " BrickerBot " si traduce in Denial-of-Service permanente :

Immagina un attacco bot in rapido movimento progettato per far funzionare l'hardware della vittima. Chiamata Permanent Denial-of-Service (PDoS), questa forma di attacco informatico sta diventando sempre più popolare nel 2017 poiché si verificano più incidenti che coinvolgono questo attacco dannoso per l'hardware.

Conosciuto anche come "flashing" in alcuni ambienti, PDoS è un attacco che danneggia un sistema così gravemente da richiedere la sostituzione o la reinstallazione dell'hardware. Sfruttando difetti di sicurezza o configurazioni errate, PDoS può distruggere il firmware e / o le funzioni di base del sistema. È un contrasto con il suo noto cugino, l'attacco DDoS, che sovraccarica i sistemi con richieste intese a saturare le risorse attraverso un uso involontario.

I sistemi incorporati destinati all'inabilità permanente non hanno alcuna applicazione scaricata su di essi a scopo di controllo remoto e non fanno mai parte di una botnet (l'enfasi è mia):

Compromettere un dispositivo

L'attacco PDoS di Bricker Bot ha utilizzato la forza bruta di Telnet - lo stesso vettore di exploit utilizzato da Mirai - per violare i dispositivi di una vittima. Bricker non tenta di scaricare un file binario , quindi Radware non ha un elenco completo di credenziali utilizzate per il tentativo di forza bruta, ma è stato in grado di registrare che la prima coppia nome utente / password tentata era costantemente "root" / "vizxv". '

Corruzione di un dispositivo

Dopo un accesso riuscito al dispositivo, il bot PDoS ha eseguito una serie di comandi Linux che alla fine avrebbero portato a un archivio danneggiato, seguito da comandi per interrompere la connettività Internet, le prestazioni del dispositivo e la cancellazione di tutti i file sul dispositivo.

Una terza differenza è che questa campagna coinvolge un piccolo numero di dispositivi controllati dagli aggressori, anziché molte migliaia o milioni:

Per un periodo di quattro giorni, l'honeypot di Radware ha registrato 1.895 tentativi PDoS eseguiti da diverse località in tutto il mondo.

I tentativi di PDoS hanno avuto origine da un numero limitato di indirizzi IP sparsi in tutto il mondo. Tutti i dispositivi stanno esponendo la porta 22 (SSH) e stanno eseguendo una versione precedente del server Dropbear SSH. La maggior parte dei dispositivi sono stati identificati da Shodan come dispositivi di rete Ubiquiti; tra questi ci sono Access Point e Ponti con direttività del raggio.

Sommario

Dato il numero di modi in cui la campagna "PDoS" di BrickerBot differisce sostanzialmente dalle campagne "DDoS" convenzionali come Mirai, l'uso di una terminologia dal suono simile rischia di creare confusione.

  • Gli attacchi DDoS sono in genere condotti da un botmaster con controllo su una rete distribuita di dispositivi al fine di impedire ai client di accedere alle risorse del server per la durata dell'attacco, mentre "BrickerBot" è una campagna per "integrare" i sistemi embedded
  • I client Botnet sono controllati tramite un'applicazione installata sul client dall'autore dell'attacco. Nella campagna BrickerBot, i comandi vengono eseguiti in remoto tramite telnet senza l'uso di un'applicazione di controllo (ad esempio malware)
  • Gli attacchi DDoS utilizzano un numero elevato (migliaia, milioni) di dispositivi controllati, mentre la campagna BrickerBot utilizza un numero relativamente piccolo di sistemi per orchestrare i cosiddetti attacchi "PDoS"
  • la campagna BrickerBot si rivolge a sistemi embedded per inabilità, mentre Mirai e simili si rivolgono a sistemi embedded per integrarli in una botnet
giuliano
fonte
Ottima risposta dettagliata!
anonymous2
Wow, hai letto così in fretta. E grazie, sono interessato alla sicurezza dei sistemi embedded
Julian
1
Bella risposta! Dopo il tuo primo paragrafo per la spiegazione di "PDoS" ho avuto il momento "oh vedo" in cui ho realizzato che il titolo del malware è praticamente autoesplicativo. Il Bot che brucia i dispositivi IoT. Duh!
Reece,
1
@PierreLebon c'è già stata una guerra di malware - Mirai ovviamente vuole il controllo dei dispositivi che infetta e, per farlo, cerca già di eliminare (alcuni) altri malware se è già stato infettato.
Baldrickk,
1
@PierreLebon se si guardano le killer_init()righe di funzione da 190 a 220 e le memory_scan_match()righe di funzione da 494 a 539 nel file killer.c nel codice sorgente di Mirai , si troverà che Mirai esegue la scansione della memoria del dispositivo alla ricerca di processi corrispondenti a quelli delle botnet concorrenti e successivamente li uccide . Mirai uccide anche telnet sui dispositivi che infetta, quindi non è necessario "patch" sul dispositivo; è già non suscettibile di attacco diretto da "BrickerBot"
julian
7

I DDoS sono effimeri. Una volta rimosso il vettore di attacco o il DDoS si arresta, il dispositivo funziona. (O nel caso di Mirai, il resto di Internet funziona.)

PDoSes aggiorna il dispositivo in modo che non possa mai più funzionare.

Mirai ha usato i dispositivi IoT come fonte DDoS . I dispositivi infetti da Mirai funzionavano ancora; l'aspetto DDoS era in aggiunta alla loro normale funzionalità. Non era un DDoS contro il dispositivo stesso.

Se avesse eliminato il normale funzionamento e non avesse fornito alcun modo per rimuoverlo, sarebbe stato un PDoS contro il dispositivo e la fonte di un DDoS contro Internet in generale.

Dave Newton
fonte
Ah, ha senso. Quindi il worm brickerbot sta effettivamente disinnescando i dispositivi IoT, mentre Mirai ha semplicemente hackerato il dispositivo in modo da eseguire un attacco DDoS su altri server?
anonymous2
@ anonymous2 Questa è la mia comprensione, sì. Essere in grado di murare i dispositivi collegati è in genere solo fastidioso, ma potrebbe portare a un pericolo reale in abbastanza casi di cui preoccuparsi.
Dave Newton,
Il bricolage dei dispositivi connessi è ciò che può portare all'apocalisse la clausola delle grandi città! Una volta che i corridori non saranno in grado di pubblicare o controllare la loro ultima esibizione, inizieranno a vagare formando un'intera orda ... Oh, devo iniziare a impacchettare un pacchetto emergencie di apocalisse IOT.
Trascina e rilascia l'
5

Elaborando un po 'ciò che Dave ha scritto, il principale fattore di differenziazione è che in caso di reti DDoS bot i dispositivi IoT sono usati come attaccanti, di solito nemmeno ostacolando il funzionamento dei dispositivi in ​​alcun modo importante. Dopo tutto, quegli aggressori non vogliono perdere il potere di avere una rete bot in grado di eseguire attacchi DDoS su terze parti. Il consumatore IoT di solito non nota nulla.

BrickerBot tuttavia attacca i dispositivi stessi e disabilita il dispositivo. Pertanto, il consumatore IoT è il bersaglio dell'attacco e non il fornitore inconsapevole del potenziale di attacco.

Come molti blog ipotizzano ( prendiamo questo esempio ), il bot potrebbe essere uno sciopero preventivo per ridurre i potenziali obiettivi per i worm DDoS. Principalmente perché ci sono pochissimi da guadagnare semplicemente distruggendo roba, oltre a ridurre il potenziale netto del bot o la concorrenza.

Si potrebbe considerare una cosa positiva, poiché si tratta di una minaccia che in realtà minaccia i produttori di IoT ('immagine) e il consumatore, aumentando l'urgenza di proteggere adeguatamente i dispositivi IoT.

Helmar
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.