6 nouveaux types d’attaques DDoS et comment ils affectent votre sécurité
Une attaque par déni de service distribué (DDoS) est un type de cyberattaque utilisé pour perturber le trafic normal d'un site ou d'un service avec des requêtes. L'attaque affecte différentes plates-formes, y compris les sites Web et les jeux vidéo.
Lors d'une attaque DDoS, l'infrastructure de serveur sur laquelle s'appuie un service en ligne subit un trafic inattendu, le forçant hors ligne.
Depuis la première attaque par déni de service en 1974, les attaques DDoS sont devenues le type de cyberattaque le plus important. Cet article explore comment les attaquants qui utilisent un DDoS sont devenus plus sophistiqués, ainsi que des méthodes pour atténuer les risques de leurs attaques.
Comment fonctionne un DDoS?
Des réseaux de machines connectées à Internet peuvent être utilisés pour mener des attaques DDoS. Les types de machines utilisées dans une attaque DDoS incluent les ordinateurs. L'ensemble des appareils utilisés pour un DDoS est appelé botnets.
Les attaquants DDoS utilisent des logiciels malveillants pour prendre le contrôle des appareils afin de pouvoir diriger les attaques à distance. Il est difficile de faire la distinction entre un botnet et un appareil normal car les systèmes reconnaissent généralement les botnets comme des appareils Internet légitimes.
Voici les types de façons dont les attaques DDoS peuvent être menées et comment elles peuvent vous affecter.
1. Protocole Windows Remote Desktop
Le protocole RDP (Windows Remote Desktop Protocol) est utilisé pour connecter des ordinateurs sur des réseaux. Le protocole de propriété de Microsoft a facilité la connexion d'ordinateurs via des réseaux.
Les recherches de Netscout montrent que Windows RDP a été utilisé pour amplifier les attaques DDoS et exploiter de nouveaux vecteurs. Le protocole UDP (User Diagram Protocol) était un composant important utilisé par les attaquants pour mener des attaques DDoS avec les serveurs.
UDP est un protocole de communication utilisé pour les transmissions sensibles au temps telles que la voix et les vidéos. Sa vitesse est basée sur le fait qu'il n'établit pas formellement de connexion avant de transférer des données. Cela présente plusieurs inconvénients, notamment la perte de paquets en transit et des vulnérabilités aux attaques DDoS.
Bien que tous les serveurs RDP n'aient pas été abusés, les cybercriminels ont utilisé Windows RDP pour rebondir et amplifier le trafic indésirable pour leurs attaques DDoS. Les attaquants ont profité des systèmes où l'authentification RDP était activée sur le port UDP 3389 en plus du port TCP standard 3389. Les attaquants ont envoyé des paquets UDP aux ports UDP des serveurs RDP avant qu'ils ne soient reflétés sur les périphériques ciblés.
2. Serveurs Jenkins
Jenkins est un serveur open source utilisé pour automatiser les tâches de développement logiciel. Un serveur Jenkins peut être utilisé pour effectuer diverses tâches de développement logiciel critiques, notamment la création, les tests, le déploiement et l'intégration continue.
Une vulnérabilité a été identifiée, qui a permis de lancer des attaques DDoS avec Jenkins. Alors que le bogue a été corrigé, la vulnérabilité a mis en lumière certains des risques DDoS liés aux bogues dans les serveurs.
Si vous exécutez une instance publique de Jenkins, veuillez mettre à jour vers 2.204.2 LTS ou vers 2.219+ chaque semaine. Les versions plus anciennes peuvent être la cible d'attaques par déni de service. Voir SECURITY-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
– Jenkins (@jenkinsci) 13 février 2020
Les chercheurs en sécurité ont découvert qu'un attaquant pouvait utiliser le protocole de découverte Jenkins UDP (sur le port UDP 33848) pour amplifier les attaques DDoS, renvoyant le trafic du serveur vers la cible prévue. Les attaquants pourraient alors utiliser les serveurs vulnérables de Jenkin pour amplifier le trafic jusqu'à 100 fois.
Le bogue a également rendu les serveurs plus susceptibles d'être incités à s'envoyer des paquets continus les uns aux autres. Cela peut entraîner des boucles et des plantages infinis.
3. Protocole WS-DD (Web Services Dynamic Discovery)
Le protocole WS-DD (Web Services Dynamic Discovery) est un protocole de découverte multicast utilisé pour localiser des services ou des périphériques sur un réseau local. La surveillance vidéo et l'impression sont quelques exemples d'activités pour lesquelles WS-DD est utilisé.
La recherche révèle que les cybercriminels ont utilisé WS-DD comme technique d'amplification UDP. En 2019, les attaquants ont mené plus de 130 attaques DDoS avec le protocole, en utilisant plus de 630 000 appareils pour amplifier les attaques DDoS. À mesure que l'utilisation d'appareils IoT (Internet of Things) augmente, ces types de vecteurs d'attaque pourraient devenir plus préoccupants.
4. Vulnérabilités DDoS sur la 5G
La 5G promet d'améliorer la vitesse et la réactivité des réseaux sans fil. Le réseau mobile de 5e génération connectera les personnes et leurs appareils comme jamais auparavant, avec une meilleure bande passante et une technologie d'antenne avancée.
Cependant, une augmentation du nombre d'appareils connectés pourrait augmenter le risque d'attaques DDoS.
A3:… Un exemple d'un nouveau niveau de danger serait même pour les organisations qui n'utilisent pas elles-mêmes la 5G – augmentation de l'ampleur des attaques DDoS… Les «bons» ne sont pas les seuls à pouvoir exploiter une bande passante disponible accrue… #BIZTALKS #CyberSecurity # InfoSec # Sécurité # 5G
– Joseph Steinberg (@JosephSteinberg) 21 octobre 2020
À mesure que la taille du réseau d'appareils IoT augmente avec l'introduction de la 5G, la surface d'attaque pour les attaques DDoS pourrait s'élargir. Il existe de nombreux appareils IoT vulnérables et non protégés.
Inévitablement, il y aura de nombreuses améliorations de sécurité à apporter dans les premières étapes de la mise en œuvre pour un nouveau réseau comme la 5G. Les vulnérabilités combinées des appareils IoT et la nouvelle structure de sécurité des réseaux 5G peuvent faire des appareils 5G une cible facile pour les cybercriminels créatifs.
Les cybercriminels utiliseront probablement la 5G pour étendre leur bande passante d'attaque DDoS. La bande passante supplémentaire pourrait améliorer l'impact des attaques volumétriques où la bande passante est utilisée pour saturer la bande passante de la cible.
5. ACK DDoS avec des ondes pulsées
La société d'infrastructure Web Cloudflare a repéré une attaque DDoS qui envoie du trafic par ondes pulsantes, semblable au battement d'un tambour. Les créateurs de l'attaque peuvent avoir choisi d'utiliser la méthode moins conventionnelle d'envoi de trafic pour tromper les systèmes de sécurité.
L'attaque distribuée à l'échelle mondiale a duré deux jours, utilisant des nœuds pour envoyer un nombre égal de paquets à des débits égaux. La créativité n'était cependant pas suffisante. Plus de 700 attaques ont été détectées et contrôlées.
6. Attaques multi-vecteurs
Les attaques multi-vecteurs impliquent l'utilisation d'une combinaison de différentes techniques pour mener des attaques sur plusieurs vecteurs d'attaque du réseau, de l'application et des couches de données.
Ces dernières années, les attaques multi-vecteurs sont devenues plus populaires à mesure que les pirates trouvent de nouvelles façons d'attaquer les plates-formes. Les attaques multi-vecteurs peuvent être extrêmement difficiles à défendre en raison de la difficulté à préparer les ressources pour répondre à des attaques à multiples facettes.
Au fur et à mesure que de plus en plus de protocoles seront mis en œuvre sur Internet, les vecteurs d'attaque que les cybercriminels pourront utiliser augmenteront. Les progrès du matériel et des logiciels dans le monde offrent de nouvelles opportunités aux cybercriminels d'expérimenter de nouvelles attaques. BitTorrent, HTML et TFTP font partie des vecteurs d'attaque couramment utilisés.
Insights intelligents sur l'anatomie d'une menace DDoS @Imperva https://t.co/OgpF0d0d0g & la montée des attaques multi-vecteurs #DDoS sur les entreprises ( #video @ A10Networks ) #IoT #Cybersecurity #Infosecurity # Cloudsec #CISO #DataBreach #Botnet #Malware #Ransonmware #SMM #SEO pic.twitter.com/zecdoDe291
– Benson M | Au-delà des données (@Benson_Mwaura) 12 septembre 2018
7. Botnets affectant les appareils Android
Un nouveau botnet utilise des appareils Android pour lancer des attaques DDoS. Le botnet, Matryosh, utilise un utilitaire de ligne de commande, Android Debug Bridge (ADB), dans le kit de développement logiciel (SDK) Android de Google pour mener des attaques. ADB permet aux développeurs d'exécuter à distance des commandes sur les appareils.
ADB n'est pas authentifié. Cela signifie qu'un attaquant peut en abuser en activant le pont de débogage sur un appareil Android. Le pire, c'est que de nombreux produits ont été livrés avec Debug Bridge activé. Ces appareils sont facilement accessibles à distance et contiennent des logiciels malveillants pour mener des attaques DDoS.
Lorsque Matryosh est exécuté sur un périphérique, il obtient un proxy TOR pour masquer son activité. Cela pourrait rendre beaucoup plus difficile pour les systèmes antivirus d'identifier les logiciels malveillants et les attaques.
Réduire les risques d'attaques DDoS
Les risques d'attaques DDoS peuvent être considérablement réduits avec une préparation adéquate. La technologie cloud, les plans de réponse et la compréhension des signes avant-coureurs font partie des facteurs clés qui déterminent si les risques d'attaque DDoS se matérialisent.
Fournisseurs de services basés sur le cloud
La prévention DDoS peut être sous-traitée à des fournisseurs de services basés sur le cloud. Bien que cela puisse être coûteux à court terme, cela offre des avantages qui peuvent réduire les coûts à long terme. Le cloud a généralement plus de ressources de bande passante que les réseaux privés. De plus, il est plus difficile pour les attaquants d'atteindre leur destination prévue via des applications basées sur le cloud en raison de l'allocation plus large des ressources et des pare-feu très sophistiqués.
Signes d'avertissement d'attaque DDoS
Il est important de bien comprendre les signaux d'alarme qui pourraient indiquer une attaque DDoS. Cela peut faciliter le déploiement rapide de solutions pour réduire les risques de pertes qu'une attaque peut entraîner. Les fermetures de sites Web, le ralentissement des réseaux et la réduction considérable de la qualité de l'expérience utilisateur font partie des signes courants d'une attaque.
Plan de réponse DDoS
Un plan de réponse DDoS est nécessaire pour mettre en œuvre une bonne stratégie de défense. Le plan doit être basé sur une évaluation approfondie de la sécurité. Un plan de réponse DDoS doit être détaillé et exécuté avec précision. Le plan doit inclure les détails de l'équipe d'intervention, les contacts, les procédures de notification, les procédures d'escalade et une liste de contrôle des systèmes.
S'adapter et surmonter
Les cybercriminels évoluent constamment alors qu'ils recherchent de nouvelles façons d'exploiter les systèmes à des fins personnelles. Au fur et à mesure que de nouvelles technologies seront introduites, davantage de vecteurs d'attaque seront inévitablement créés, donnant lieu à des opportunités de mise en œuvre de méthodes DDoS créatives.
Non seulement nous devons prendre des mesures supplémentaires pour nous protéger contre les attaques résultant de vulnérabilités séculaires, mais nous devons également nous attaquer aux risques associés à une nouvelle ère de technologies plus diverses et avancées.