Une attaque DDoS sur JavaScript a atteint 275 000 requêtes en une seconde

Il y a deux ans, lors d’une conférence Black Hat, les chercheurs Jeremiah Grossman et Matt Johansen de WhiteHat Security ont expliqué comment les pirates pouvaient en théorie exploiter un réseau de publicités en ligne en vue de diffuser des scripts JS malveillants de manière efficace et rapide.

Les possibilités offertes sont uniquement limitées par la quantité d’argent que l’individu malintentionné est prêt à dépenser. Cela peut aller des attaques par téléchargement à la dérobée jusqu’au attaque DDoS en passant par la contamination des résultats de recherche.

« Dans le cas d’une attaque DDoS, moins de 10 dollars suffisent à éliminer rapidement un serveur Apache et à le maintenir dans cet état pendant un long moment. Je ne sais pas combien coûterait l’attaque en présence d’une bonne protection contre les DDoS, mais je doute que cela dépasserait 100 dollars américains. Cela signifie que tout utilisateur qui ne dispose pas d’une protection contre les attaques DDoS est vulnérable à une attaque de 10 dollars qui pourrait viser son service » avait expliqué Jeremiah Grossman à Threatpost en 2013.

Le recours à JavaScript pour infecter une cible passe lentement de la théorie à la pratique, si l’on tient compte de l’étude Great Cannon, réalisée cette année par Citizen Lab,ainsi que de l’attaque JavaScript contre 8Chan qui avait été organisée via des fichiers d’image malveillants hébergés sur Imgur. Vendredi, CloudFlare a décrit une attaque d’envergure contre un client qui n’a pas été nommé. D’après les premières hypothèses, cette attaque aurait pu être organisée à l’aide d’un réseau de publicités mobile.

Le chercheur Marek Majkowski a indiqué que l’attaque de type flood avait atteint 275 000 requêtes HTTP par seconde, soit presque 1,2 milliard de requêtes par heure pendant une période de quatre heures. La majorité des requêtes provenait de navigateurs mobiles situés en Chine.

« Il est impossible d’affirmer avec certitude pourquoi tant de périphériques mobiles ont visité le site attaqué mais il semblerait qu’un réseau de publicités soit le vecteur de propagation le plus probable » a écrit Marek Majkowski. « Il est tout à fait possible que les utilisateurs ont téléchargé des bannières publicitaires contenant un JavaScript malveillant. Ces modules publicitaires ont certainement été affichés dans des iframes au sein d’applications mobiles ou dans des navigateurs tandis que les utilisateurs se contentaient de naviguer ».

Marek Majkowski a affirmé que cela n’avait aucun lien avec le type d’attaque par insertion de paquet. Au lieu de cela, les navigateurs mobiles des utilisateurs ont reçu des iframes avec des navigateurs publicitaires interrogés depuis le réseau de publicité mobile. Les réseaux renvoient les requêtes à des sites tiers malveillants qui ont remporté le créneau. L’utilisateur reçoit une page avec un JavaScript malveillant qui va envoyer des requêtes de type flood ou XHR à l’adresse du site Internet attaqué.

« Il semble que la partie la plus compliquée ne soit pas la création de JavaScript, mais bien sa distribution efficace. La méthode de diffusion efficace tient un rôle crucial dans la création de gros volumes, mais jusqu’à présent je n’ai vu aucun volume significatif généré par des navigateurs » a déclaré Marek Majkowski. Ce type d’attaques marque une nouvelle tendance. Elles sont très dangereuses car les exploitants de petits sites peuvent rencontrer des problèmes au moment de vouloir se protéger.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *