Nouveaux vecteurs pour les attaques DDoS par amplification

Les experts de chez Akamai Technologies spécialisés dans la protection contre les attaques DDoS ont identifié trois nouveaux vecteurs pour les attaques par amplification. En guise d’intermédiaires chargés d’envoyer le trafic indésirable vers la cible, les individus malintentionnés ont commencé à utiliser des serveurs NS NetBIOS, les services RPC du contrôleur de domaines connectés via un port dynamique ainsi que les serveurs Sentinel développés par Western Digital pour le stockage de données.

« Bien que les attaques DDoS par amplification ne soient plus une nouveauté, il faut dire que dans ce cas, les individus malintentionnés utilisent trois services différents, ce qui témoigne de la quête permanente de nouvelles ressources Internet adaptées à l’organisation de telles attaques » explique Stuart Scholly, premier Vice-président et directeur des développements en technologie de l’information chez Akamai pour les entreprises. « Aucun service UDP n’est à l’abri d’une utilisation détournée par des organisateurs d’attaques DDoS. Les administrateurs système doivent désactiver les services inutiles ou les protéger comme il se doit contre une utilisation détournée. Le volume de services UDP qui entrent dans cette catégorie est énorme.

Notons que ces trois nouvelles versions d’attaque DDoS par amplification utilisent des outils similaires : elles sont toutes produites par le même code C. Chaque fois, l’attaque est organisée à l’aide d’un script qui envoie une fausse requête à tous les intermédiaires involontaires de la liste. La sélection de commandes est identique.

Les experts ont enregistré des attaques DDoS par amplification via des serveurs NetBIOS de mars à juillet inclus. NetBIOS permet aux applications installées sur différents ordinateurs d’interagir et d’ouvrir des sessions pour obtenir un accès aux ressources partagées ou pour se rechercher sur le réseau local. D’après Akamai, l’utilisation de NetBIOS dans une attaque DDoS permet de multiplier le trafic parasite par un facteur compris entre 2,56 et 3,85. Au cours de la période indiquée, les experts ont compté 4 attaques par amplification NetBIOS. La plus puissante d’entre elles a atteint un pic de 15,7 Gbits/s.

L’utilisation de PRC a été détectée pour la première fois en août dernier, lors d’une attaque DDoS à plusieurs vecteurs. La connexion des clients aux services PRC du contrôleur de domaine est rendue possible par le mécanisme baptisé endpoint mapper qui attribue des ports définis au client. D’après Akamai, l’utilisation de PRC permet aux organisateurs d’attaques DDoS d’amplifier celles-ci par un facteur égal à 9,65, voire 50,53 dans un cas en particulier. Parmi les quatre attaques DDoS organisées à l’aide de PRC et repoussées par Akamai, une a dépassé 100 Gbit/s. En septembre, les experts ont enregistrés presque chaque jour des requêtes malveillantes.

La première attaque organisée à l’aide de Sentinel remonte à juin et elle avait visé l’université de Stockholm. L’analyse de l’incident avait détecté une vulnérabilité sur le serveur de licences d’un logiciel de statistiques. En septembre, Akamai a déjoué deux autres attaques DDoS de ce genre. Le coefficient d’amplification des attaques Sentinel fut de 42,94. Seuls 745 serveurs vulnérables ont été identifiés. Dans ce cas, la puissance maximale des attaques DDoS repoussée avait atteint 11,7 Gbits/s.

Afin de se protéger contre ces nouveaux types d’attaques DDoS, Akamai recommande d’appliquer dans la mesure du possible des filtres en amont ou d’utiliser des services dans le nuage. Tous les détails des découvertes d’Akamai figurent dans le bulletin d’informations accessible sur le site de la société (enregistrement requis).

Source: Akamai

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *