Οι επιθέσεις denial-of-service (DDoS) αξιοποιούν μια νέα τεχνική ενίσχυσης που ονομάζεται TCP Middlebox Reflection έχουν εντοπιστεί για πρώτη φορά στη φύση, έξι μήνες μετά την παρουσίαση του νέου μηχανισμού επίθεσης στη θεωρία.
«Η επίθεση […] καταχράται ευάλωτα τείχη προστασίας και συστήματα φιλτραρίσματος περιεχομένου για να αντανακλά και να ενισχύσει την κυκλοφορία TCP σε μια μηχανή-θύμα, δημιουργώντας μια ισχυρή επίθεση DDoS», ανέφεραν οι ερευνητές της Akamai σε μια έκθεση που δημοσιεύθηκε την Τρίτη.
“Αυτός ο τύπος επίθεσης μειώνει επικίνδυνα τις άμυνες για επιθέσεις DDoS, καθώς ο εισβολέας χρειάζεται μόλις το 1/75 (σε ορισμένες περιπτώσεις) του εύρους ζώνης από ογκομετρική άποψη”, αναφέρουν ερευνητές.
Μια κατανεμημένη αντανακλαστική denial-of-servic (DRDoS) είναι μια μορφή κατανεμημένης επίθεσης denial-of-servic (DDoS) που βασίζεται σε διακομιστές UDP που είναι προσβάσιμοι στο κοινό και ενισχύουν το εύρους ζώνης (BAF) για να κατακλύσουν το σύστημα του θύματος με μεγάλο όγκο UDP απαντήσεων.
Σε αυτές τις επιθέσεις, ο αντίπαλος στέλνει μια πλειάδα αιτημάτων DNS ή NTP που περιέχουν μια πλαστή διεύθυνση IP στο στοχευμένο στοιχείο, αναγκάζοντας τον διακομιστή προορισμού να παραδώσει τις απαντήσεις πίσω στον κεντρικό υπολογιστή που βρίσκεται στην πλαστογραφημένη διεύθυνση με ενισχυμένο τρόπο που εξαντλεί το εύρος ζώνης εκδίδεται στον στόχο.
Η εξέλιξη έρχεται μετά από μια ακαδημαϊκή μελέτη που δημοσιεύτηκε τον Αύγουστο του 2021 σχετικά με ένα νέο φορέα επίθεσης που εκμεταλλεύεται τις αδυναμίες στην εφαρμογή του πρωτοκόλλου TCP στα μεσαία κουτιά και την υποδομή λογοκρισίας για να σκηνοθετήσει επιθέσεις ενίσχυσης denial-of-servic (DoS) εναντίον στόχων.
Ενώ οι επιθέσεις ενίσχυσης DoS παραδοσιακά κάνουν κατάχρηση των διανυσμάτων ανάκλασης UDP – λόγω της φύσης του πρωτοκόλλου χωρίς σύνδεση – η νέα τεχνική επίθεσης εκμεταλλεύεται τη μη συμμόρφωση με το TCP σε μεσαία κουτιά όπως τα εργαλεία επιθεώρησης πακέτων σε βάθος (DPI) για να πραγματοποιήσει επιθέσεις ανακλαστικής ενίσχυσης που βασίζονται σε TCP .
Το πρώτο κύμα «αισθητών» εκστρατειών επίθεσης που εκμεταλλεύονταν την τεχνική λέγεται ότι έλαβε χώρα γύρω στις 17 Φεβρουαρίου, χτυπώντας πελάτες της Akamai σε κλάδους τραπεζών, ταξιδιών, τυχερών παιχνιδιών, μέσων ενημέρωσης και φιλοξενίας ιστοσελίδων με υψηλά ποσοστά επισκεψιμότητας που κορυφώθηκαν στα 11 Gbps στο 1,5 εκατομμύρια πακέτα ανά δευτερόλεπτο (Mpps).
«Το διάνυσμα έχει δει να χρησιμοποιείται μόνο του και ως μέρος εκστρατειών πολλαπλών διανυσμάτων, με τα μεγέθη των επιθέσεων να αυξάνονται σιγά-σιγά», είπε ο Chad Seaman, επικεφαλής της ερευνητικής ομάδας πληροφοριών ασφαλείας (SIRT) στο Akamai, στο The Hacker News.
Η βασική ιδέα με την ανάκλαση που βασίζεται σε TCP είναι να αξιοποιηθούν τα ενδιάμεσα κουτιά που χρησιμοποιούνται για την επιβολή νόμων λογοκρισίας και πολιτικών φιλτραρίσματος εταιρικού περιεχομένου, στέλνοντας ειδικά κατασκευασμένα πακέτα TCP για να ενεργοποιήσουν μια ογκομετρική απόκριση.
Πράγματι, σε μία από τις επιθέσεις που παρατηρήθηκαν από την εταιρεία ασφάλειας cloud, ένα μεμονωμένο πακέτο SYN με ωφέλιμο φορτίο 33 byte πυροδότησε απόκριση 2.156 byte, επιτυγχάνοντας ουσιαστικά συντελεστή ενίσχυσης 65x (6.533%).
“Το κύριο στοιχείο είναι ότι ο νέος φορέας αρχίζει να βλέπει τον πραγματικό κόσμο κατάχρησης στη φύση”, είπε ο Seaman. “Συνήθως, αυτό είναι ένα μήνυμα ότι είναι πιθανό να ακολουθήσει πιο εκτεταμένη κατάχρηση ενός συγκεκριμένου φορέα, καθώς η γνώση και η δημοτικότητα αυξάνεται σε όλο το τοπίο DDoS και περισσότεροι εισβολείς αρχίζουν να δημιουργούν εργαλεία για να αξιοποιήσουν το νέο φορέα.”
«Οι αμυντικοί πρέπει να γνωρίζουν ότι έχουμε περάσει από τη θεωρία στην πράξη και θα πρέπει να αναθεωρήσουν τις αμυντικές στρατηγικές τους σύμφωνα με αυτό το νέο διάνυσμα, που μπορεί να δουν σύντομα στον πραγματικό κόσμο», πρόσθεσε ο Seaman.
