Infos

Nouveaux vecteurs pour les attaques DDoS par amplification

Les experts de chez Akamai Technologies spécialisés dans la protection contre les attaques DDoS ont identifié trois nouveaux vecteurs pour les attaques par amplification. En guise d’intermédiaires chargés d’envoyer le trafic indésirable vers la cible, les individus malintentionnés ont commencé à utiliser des serveurs NS NetBIOS, les services RPC du contrôleur de domaines connectés via un port dynamique ainsi que les serveurs Sentinel développés par Western Digital pour le stockage de données.

« Bien que les attaques DDoS par amplification ne soient plus une nouveauté, il faut dire que dans ce cas, les individus malintentionnés utilisent trois services différents, ce qui témoigne de la quête permanente de nouvelles ressources Internet adaptées à l’organisation de telles attaques » explique Stuart Scholly, premier Vice-président et directeur des développements en technologie de l’information chez Akamai pour les entreprises. « Aucun service UDP n’est à l’abri d’une utilisation détournée par des organisateurs d’attaques DDoS. Les administrateurs système doivent désactiver les services inutiles ou les protéger comme il se doit contre une utilisation détournée. Le volume de services UDP qui entrent dans cette catégorie est énorme.

Notons que ces trois nouvelles versions d’attaque DDoS par amplification utilisent des outils similaires : elles sont toutes produites par le même code C. Chaque fois, l’attaque est organisée à l’aide d’un script qui envoie une fausse requête à tous les intermédiaires involontaires de la liste. La sélection de commandes est identique.

Les experts ont enregistré des attaques DDoS par amplification via des serveurs NetBIOS de mars à juillet inclus. NetBIOS permet aux applications installées sur différents ordinateurs d’interagir et d’ouvrir des sessions pour obtenir un accès aux ressources partagées ou pour se rechercher sur le réseau local. D’après Akamai, l’utilisation de NetBIOS dans une attaque DDoS permet de multiplier le trafic parasite par un facteur compris entre 2,56 et 3,85. Au cours de la période indiquée, les experts ont compté 4 attaques par amplification NetBIOS. La plus puissante d’entre elles a atteint un pic de 15,7 Gbits/s.

L’utilisation de PRC a été détectée pour la première fois en août dernier, lors d’une attaque DDoS à plusieurs vecteurs. La connexion des clients aux services PRC du contrôleur de domaine est rendue possible par le mécanisme baptisé endpoint mapper qui attribue des ports définis au client. D’après Akamai, l’utilisation de PRC permet aux organisateurs d’attaques DDoS d’amplifier celles-ci par un facteur égal à 9,65, voire 50,53 dans un cas en particulier. Parmi les quatre attaques DDoS organisées à l’aide de PRC et repoussées par Akamai, une a dépassé 100 Gbit/s. En septembre, les experts ont enregistrés presque chaque jour des requêtes malveillantes.

La première attaque organisée à l’aide de Sentinel remonte à juin et elle avait visé l’université de Stockholm. L’analyse de l’incident avait détecté une vulnérabilité sur le serveur de licences d’un logiciel de statistiques. En septembre, Akamai a déjoué deux autres attaques DDoS de ce genre. Le coefficient d’amplification des attaques Sentinel fut de 42,94. Seuls 745 serveurs vulnérables ont été identifiés. Dans ce cas, la puissance maximale des attaques DDoS repoussée avait atteint 11,7 Gbits/s.

Afin de se protéger contre ces nouveaux types d’attaques DDoS, Akamai recommande d’appliquer dans la mesure du possible des filtres en amont ou d’utiliser des services dans le nuage. Tous les détails des découvertes d’Akamai figurent dans le bulletin d’informations accessible sur le site de la société (enregistrement requis).

Source: Akamai

Nouveaux vecteurs pour les attaques DDoS par amplification

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception