Jaka jest różnica między atakiem DDoS a atakiem PDoS?

15

Czytałem już pewną ilość o robaku Mirai , wirusie, który atakuje urządzenia Internet of Things przy użyciu domyślnych nazw użytkowników i haseł i zasadniczo jest podłączony do generowania rozproszonej odmowy usługi (DDoS).

Jednak ostatnio czytałem o innym robaku, BrickerBot , również ataku wirusa na urządzenia z Internet of Things. Zgodnie z tym artykułem na thenextweb.com skutkuje Permanent Denial of Service (PDoS).

Jaka jest różnica między tymi dwoma atakami w związku z odmową usługi? W innym przypadku, jaka jest różnica między DDoS i PDoS w odniesieniu do tych ataków IoT?

security mirai anonimowy 2
źródło
Oba są atakami DoS, ale cała reszta jest inna.
user253751 11.04.17

Odpowiedzi:

16

DDoS vs. „PDoS”

1. DDoS (w celach informacyjnych)

Konwencjonalny rozproszony atak typu „odmowa usługi” (DDos) to klasa ataków typu „odmowa usługi” (DoS), w których do konsumpcji wykorzystywany jest system rozproszony (botnet) składający się z węzłów kontrolowanych przez niektóre aplikacje ( Mirai , LizardStresser , gafgyt itp.) zasoby docelowego systemu lub systemów do wyczerpania. Dobre wyjaśnienie tego znajduje się w security.SE .

Wyjaśnienie, w jaki sposób botnety kontrolowane przez Mirai dokonują odmowy usługi, można znaleźć w analizie Incapsula :

Podobnie jak większość złośliwego oprogramowania w tej kategorii, Mirai ma dwa podstawowe cele:

  • Zlokalizuj i zagrozić urządzeniom IoT, aby dalej rozwijać botnet.
  • Uruchom ataki DDoS na podstawie instrukcji otrzymanych od zdalnego centrum kontroli.

Aby wypełnić swoją funkcję rekrutacyjną, Mirai wykonuje szerokie skanowanie adresów IP. Celem tych skanów jest zlokalizowanie niedostatecznie zabezpieczonych urządzeń IoT, do których można uzyskać zdalny dostęp za pomocą łatwo zgadywalnych poświadczeń logowania - zwykle fabrycznych domyślnych nazw użytkowników i haseł (np. Admin / admin).

Mirai używa techniki brutalnej siły do ​​odgadywania haseł, czyli ataków słownikowych ...

Funkcja ataku Mirai umożliwia mu uruchamianie powodzi HTTP i różnych ataków DDoS na sieć (warstwa OSI 3-4). Atakując powodzie HTTP, boty Mirai chowają się za następującymi domyślnymi klientami użytkownika ...

W przypadku ataków na warstwę sieci Mirai może uruchamiać powodzie GRE IP i GRE ETH, a także powodzie SYN i ACK, powodzie STOMP (Simple Text Oriented Message Protocol), powodzie DNS i ataki UDP.

Tego typu botnety wyczerpują zasoby, powodując odmowę usługi, wykorzystując kontrolowane urządzenia do generowania tak dużego ruchu sieciowego skierowanego do systemu docelowego, że zasoby dostarczone przez ten system stają się niedostępne na czas ataku. Po zakończeniu ataku system docelowy nie jest już wyczerpany do poziomu wyczerpania i może ponownie odpowiedzieć na prawidłowe żądania przychodzące od klientów.

2. „PDoS”

Kampania BrickerBot jest zasadniczo inna: zamiast integrować systemy osadzone w botnecie, który jest następnie wykorzystywany do organizowania ataków na serwery na dużą skalę, celem są same systemy wbudowane.

Z postu Radware na BrickerBot BrickerBot ” powoduje trwałą odmowę usługi :

Wyobraź sobie szybko poruszający się atak bota, którego celem jest uniemożliwienie działania sprzętu ofiary. Ta forma cyberataku, zwana Permanent Denial-of-Service (PDoS), staje się coraz bardziej popularna w 2017 r., Gdy dochodzi do większej liczby incydentów związanych z atakiem powodującym uszkodzenie sprzętu.

PDoS to także atak, który tak bardzo niszczy system, że wymaga wymiany lub ponownej instalacji sprzętu. Wykorzystując luki w zabezpieczeniach lub błędne konfiguracje, PDoS może zniszczyć oprogramowanie wewnętrzne i / lub podstawowe funkcje systemu. Jest to przeciwieństwo jego dobrze znanego kuzyna, ataku DDoS, który przeciąża systemy żądaniami nasycającymi zasoby przez niezamierzone użycie.

Systemy wbudowane, których celem jest trwałe upośledzenie, nie mają pobranych aplikacji do celów zdalnego sterowania i nigdy nie są częścią botnetu (moje wyróżnienie):

Naruszenie bezpieczeństwa urządzenia

Atak PDoS Bricker Bot wykorzystał brutalną siłę Telnetu - ten sam wektor wykorzystany przez Mirai - do naruszenia urządzeń ofiary. Bricker nie próbuje pobrać pliku binarnego , więc Radware nie ma pełnej listy poświadczeń, które zostały użyte do próby użycia siły, ale były w stanie zarejestrować, że pierwsza para nazwa użytkownika / hasło była konsekwentnie „root” / „vizxv”. „

Uszkodzenie urządzenia

Po udanym dostępie do urządzenia bot PDoS wykonał szereg poleceń systemu Linux, które ostatecznie doprowadziłyby do uszkodzenia pamięci, a następnie polecenia, które zakłócałyby połączenie z Internetem, wydajność urządzenia i czyszczenie wszystkich plików na urządzeniu.

Trzecia różnica polega na tym, że ta kampania obejmuje niewielką liczbę urządzeń kontrolowanych przez atakującego, a nie wiele tysięcy lub milionów:

W ciągu czterech dni honeypot firmy Radware zarejestrował 1895 prób PDoS wykonanych z kilku lokalizacji na całym świecie.

Próby PDoS pochodziły z ograniczonej liczby adresów IP rozsianych po całym świecie. Wszystkie urządzenia udostępniają port 22 (SSH) i obsługują starszą wersję serwera Dropbear SSH. Większość urządzeń została zidentyfikowana przez Shodan jako urządzenia sieciowe Ubiquiti; wśród nich są Punkty Dostępu i Mosty z kierunkowością wiązki.

streszczenie

Biorąc pod uwagę liczbę sposobów, w jakie kampania BrickerBot „PDoS” zasadniczo różni się od konwencjonalnych kampanii „DDoS”, takich jak Mirai, stosowanie podobnie brzmiącej terminologii może doprowadzić do zamieszania.

  • Ataki DDoS są zazwyczaj przeprowadzane przez botmastera, który kontroluje rozproszoną sieć urządzeń, aby uniemożliwić klientom dostęp do zasobów serwera na czas trwania ataku, podczas gdy „BrickerBot” jest kampanią skierowaną na „wbudowane” systemy wbudowane
  • Klienci botnetu są kontrolowani przez osobę atakującą zainstalowaną na kliencie. W kampanii BrickerBot polecenia są wykonywane zdalnie przez telnet bez użycia aplikacji sterującej (np. Złośliwego oprogramowania)
  • Ataki DDoS wykorzystują dużą liczbę (tysiące, miliony) kontrolowanych urządzeń, podczas gdy kampania BrickerBot wykorzystuje stosunkowo niewielką liczbę systemów do organizowania tak zwanych ataków „PDoS”
  • kampania BrickerBot jest ukierunkowana na systemy wbudowane w celu obezwładnienia, podczas gdy Mirai i tym podobne atakują systemy wbudowane w celu zintegrowania ich z botnetem
juliański
źródło
Doskonała szczegółowa odpowiedź!
anonimowy2
Wow, czytasz to szybko. I dzięki, interesuję się bezpieczeństwem systemów wbudowanych
Julian
1
Świetna odpowiedź! Po twoim pierwszym akapicie na wyjaśnienie „PDoS” miałem moment „och, widzę”, kiedy zdałem sobie sprawę, że tytuł złośliwego oprogramowania jest dość oczywisty. Bot, który generuje urządzenia IoT. Hه!
Reece
1
@PierreLebon już trwała wojna o złośliwe oprogramowanie - Mirai oczywiście chce kontrolować urządzenia, które infekuje, i aby to zrobić, próbuje już wyeliminować (niektóre) inne złośliwe oprogramowanie, jeśli zostało już zainfekowane.
Baldrickk
1
@PierreLebon, jeśli spojrzysz na killer_init()linie funkcyjne 190 do 220 i memory_scan_match()linie funkcyjne 494 do 539 w pliku killer.c w kodzie źródłowym Mirai , przekonasz się, że Mirai skanuje pamięć urządzenia w poszukiwaniu procesów pasujących do konkurujących botnetów, a następnie zabija te procesy . Mirai zabija również telnet na urządzeniach, które infekuje, więc nie ma potrzeby „łatania” urządzenia; nie jest już podatny na bezpośredni atak z „BrickerBota”
Julian
7

DDoSes są efemeryczne. Po usunięciu wektora ataku lub zatrzymaniu DDoS urządzenie działa. (Lub w przypadku Mirai reszta Internetu działa.)

PDoSes aktualizują urządzenie, aby nigdy więcej nie działało.

Mirai używał urządzeń IoT jako źródła DDoS . Urządzenia zainfekowane Mirai nadal działały; aspekt DDoS był dodatkiem do ich normalnej funkcjonalności. To nie był DDoS przeciwko samemu urządzeniu.

Gdyby wyeliminował normalne funkcjonowanie i nie zapewnił możliwości jego usunięcia, byłby to PDoS przeciwko urządzeniu i źródło DDoS ogólnie przeciwko Internetowi.

Dave Newton
źródło
Ach, to ma sens. Więc robak brickerbot dezaktywuje urządzenia IoT, podczas gdy Mirai po prostu zhakował urządzenie, aby wykonać atak DDoS na inne serwery?
anonimowy2
@ anonymous2 To jest moje zrozumienie, tak. Możliwość blokowania podłączonych urządzeń jest na ogół denerwująca, ale może prowadzić do faktycznego zagrożenia w wystarczającej liczbie przypadków, o które należy się martwić.
Dave Newton,
Przeszukiwanie podłączonych urządzeń może doprowadzić do apokalipsy klauzulę wielkich miast! Gdy biegacz nie będzie w stanie opublikować ani sprawdzić swojego ostatniego występu, zacznie błąkać się, tworząc całą hordę ... Och, muszę zacząć pakować pakiet apokalipsy IOT.
Przeciągnij i upuść
5

Rozwijając nieco to, co napisał Dave, głównym czynnikiem różnicującym jest to, że w przypadku botów DDoS urządzenia IoT są używane jako atakujący, zwykle nawet nie zakłócając działania urządzeń w znaczący sposób. Przecież ci wszyscy atakujący nie chcą stracić mocy posiadania siatki botów, która jest w stanie przeprowadzać ataki DDoS na osoby trzecie. Konsument Internetu Rzeczy zwykle niczego nie zauważa.

BrickerBot atakuje jednak same urządzenia i wyłącza je. Tak więc konsument Internetu Rzeczy jest celem ataku, a nie nieświadomym dostawcą potencjału ataku.

Jak wiele blogów zakłada ( weźmy ten przykład ), bot może być atakiem zapobiegawczym w celu zmniejszenia potencjalnych celów dla robaków DDoS. Głównie dlatego, że niewiele można zyskać, niszcząc rzeczy, oprócz zmniejszenia potencjału botnetu - lub konkurencji.

Można to uznać za dobrą rzecz, ponieważ jest to zagrożenie, które w rzeczywistości zagraża producentom IoT („obrazowi”) i konsumentowi, zwiększając pilną potrzebę odpowiedniego zabezpieczenia urządzeń IoT.

Helmar
źródło