מחקר: ספקי שירות גלובליים נמצאים יותר תחת התקפות DDoS

מחקר: ספקי שירות גלובליים נמצאים יותר תחת התקפות DDoS
מאת: מערכת Telecom News, 31.3.20, 11:50

על תחום ה-DDoS שהתחיל להתחמם, על דעיכת התקפות אימות (Attacks Authentication), ועל מכשירים שנפרצו, התקפות רשת ו-IoT Bots.
 
מחקר חדש של מעבדות F5 Labs מעלה, שמספרן של התקפות מניעת שירות (DDoS) על ספקי שירות נמצא במגמת עלייה משמעותית.

מניתוח נתוני אירועי אבטחה עולמיים ב-3 השנים האחרונות אצל לקוחות החברה, הן במכשירים ניידים והן בנייחים, נמצא גם, שמספר מתקפותbrute force  הולך ויורד, אם כי הן עדיין קיימות. איומים בולטים אחרים שנצפו כוללים התקנים שנפרצו והתקפות web injection.

תחום ה-DDoS מתחיל להתחמם
התקפות DDoS היו, ללא ספק, האיום הגדול ביותר על ספקי השירותים בין 2017 ל-2019, והיוו 49% מכל האירועים המדווחים בתקופה זו.

ב-2019 נרשמה קפיצה גדולה, כאשר ההתקפות עלו ל-77% מכלל האירועים, כאשר ב-2017 נרשמה עליה של 25% בלבד.
נמצא, שמרבית ההתקפות המדווחות התמקדו ב- DNS DDoS כמו התקפות השתקפות(reflection)  והתקפות water torture.

התקפות השתקפות ((reflection משתמשות במשאבים המתארחים ע"י ספקי שירותים (כגון DNS ו-NTP) כדי לשקף תנועה מזויפת. כך, שתגובות מהשירות הממונף, בסופו של דבר, עוברות למטרה ולא ליוזם.

DNS "water torture" הוא סוג של התקפת השתקפות (reflection) המשתמשת בשאילתות שגויות בכוונה כדי לייצר עומס מוגבר על שרתי ה-DNS של היעד. עם זאת, בקשות עדיין עוברות דרך שרתי ה-DNS המקומיים של ספק השירות, יוצרות עומס מוגבר ומדי פעם אף מגיעות לרמת DDoS.

האינדיקציה הראשונה לתקיפה היא בד"כ עלייה בתעבורת הרשת, שמתגלה ע"י צוות התפעול של ספק השירות. דגלים אדומים אחרים כוללים תלונות של לקוחות על שירות רשת איטי או שרתי DNS לא מגיבים.
 
התקפות אימות (Attacks Authentication) משמעותיות אך דועכות
התקפותbrute force , שכוללות שימוש במספר גדול של שמות משתמש וסיסמאות כנגד אימות נקודת קצה - היו האירוע השני המדווח ביותר.

תוקפים משתמשים לרוב בתעודות אימות המתקבלות מהתקפות אחרות, שמשמשות אז לתקיפה של שירותים באמצעות טקטיקה המכונה "credential stuffing". צורות אחרות של התקפות brute force  משתמשות ברשימות נפוצות של default credential pairs (admin/admin), סיסמאות נפוצות או מחרוזות סיסמאות, שנוצרו באופן אקראי.

נצפתה ירידה ניכרת בהתקפות  brute force, מ-72% מכלל ההתקפות ב-2017 ל-20% בלבד ב-2019. עם זאת, הייתה עליה קלה בהתקפות על ספקי השירות המתמקדים במגזר הפיננסי.  

עוד צוין בדו"ח, שהאינדיקציות הראשונות לסוגי התקפות אלו הן בד"כ תלונות לקוחות על נעילת חשבונות ולא סוג של איתור אוטומטי.
 
מכשירים שנפרצו, התקפות רשת ו-IoT Bots
התקפות בולטות אחרות כללו מכשירים שנפרצו, שפועלים בתשתית ספקי השירות, שהיוו 8% מהאירועים ב-2018. אלה התגלו בד"כ כתוצאה מגידול בתנועה היוצאת כאשר המכשירים שנפרצו שימשו להפעלת מתקפות מניעת שירות  (DDoS).

כ"כ, התקפות רשת כלליות היוו 8% מכל המקרים ב-2019, כאשר injections שלטו כטקטיקה ספציפית. התקפות אלו מנסות למנף באגים בקוד יישומי רשת כדי לבצע פקודה. במקרה של SQL injections, נעשים ניסיונות לבצע פקודות על שרתי מסדי נתונים אחוריים, דבר המוביל לרוב לסינון נתונים. התקפות כאלו נתפסות בד"כ ע"י טכנולוגיות WAF או באמצעות התראות המופעלות מיומני שרת אינטרנט.

בחזית האינטרנט של הדברים (IoT), המשיכה השפעה של בוט בשם Annie, גרסא של Mirai, שבאה בעקבותיה. הבוט התגלה לראשונה ב-2016, ומיקד את הפרוטוקולים המותאמים אישית TR-069 ו-TR-064 המשמשים את ספקי האינטרנט לניהול מרחוק של ציי נתבים גדולים מעל כניסה 7547.

למרות שהתוקף, שיצר את ,Annie הודה שלא השתמש בבוט בדצמבר 2016, המיקוד בכניסה 7547 עדיין רווח והמשיך להתעצם ב-2019. העניין, שגילה התוקף בכניסת הניהול המרוחק  Mikrotik 8291, גדל גם הוא באופן אקספוננציאלי במהלך 6 החודשים האחרונים.

כניסות 7547 ו-8291 היו הכניסות המותקפות ביותר במזרח התיכון ובאמריקה הלטינית ברבעון הרביעי של 2019, דבר המצביע על שימוש משתנה בכניסות אלה מאזור לאזור.

איתי אמויאל, מנהל המגזר הפיננסי ב-F5 Israel: "התקפות מניעת שירות (DDoS) בסביבה של ספק השירות נוטות לפנות ללקוח (כמו DNS) או ממוקדות ביישומים המאפשרים למשתמשים, למשל, להציג חשבונות או לעקוב אחר השימוש. רוב ההתקפות אותרו מתוך בסיס המנויים של ספק השירות. רבות מהתקפות אלו, במיוחד במקרה של התקפות DNS, ימנפו את משאבי ספק השירותים כדי לתקוף אחרים".
 
מלקולם הית', מומחה בכיר למחקר איומים ב-F5 Labs: "באופן כללי, ספקי שירותים עשו צעדים חשובים כדי להגן על הרשתות שלהם, אך עדיין יש מקום לשיפור. זה נכון במיוחד כשמדובר באיתור התקפות מוקדם מבלי לפגוע ביכולת להגדיל ולעמוד בדרישות הלקוחות.

ישנה חשיבות קריטית להשוואה מהירה של מאפייניי תנועת רשת תקינה וצפויה עם סטיות בתנאי התקפה. חשוב גם לאפשר רישום מעמיק ומהיר של שירותי רשת כמו DNS כדי לזהות שאילתות חריגות.

גילוי מוקדם הוא שוב המפתח. יש לסמן כחשודה עלייה בניסיונות כניסה כושלים לאורך תקופה קצרה, לעומת רמות פעילות רגילות. חשוב גם להתחיל בשימוש נרחב ב- multifactor authentication כדי לדאוג כי ההתקפות לא תצלחנה.

מחד, ספקי האינטרנט באירופה התוודעו ל-Annie לפני שנים, מאידך, התוקפים ממקדים את המאמצים שלהם במקום שיש להם פוטנציאל להרוויח. לכן חשוב, שספקי שירותי האינטרנט במזרח התיכון ובאמריקה הלטינית ידעו, שעבודה רבה מחכה להם".