Les outils d’attaque DoS d’il y a dix ans sont-ils encore dangereux en 2021?


This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Étonnamment, oui.

Suite à la dislocation des Anonymous en 2016, l’environnement de menaces a évolué rapidement. Ce groupe auparavant très présent qui organisait des attaques par déni de service (DoS) avec de simples outils basés sur une interface graphique a disparu des radars, laissant la place à des attaques par déni de service distribué (DDoS) et DDoS-as-a-Service menées par de nouveaux botnets IoT tels que Bashlite et Mirai.

Si les Anonymous n’ont pas totalement disparu, leur empreinte numérique s’est considérablement réduite au cours des 5 dernières années. On trouve encore aujourd’hui des comptes Anonymous sur des réseaux sociaux et des plateformes vidéo populaires, qui diffusent de la propagande opérationnelle, mais leur impact est limité par rapport à ce qu’il était. Cependant, lors d’une récente opération des Anonymous, j’ai été surpris de constater que le groupe, qui utilise toujours PasteBin et GhostBin pour centraliser les détails opérationnels, avait mis à jour sa liste de cibles et suggérait l’utilisation de Memcached et d’autres vecteurs d’attaque réflexifs. Ils préconisaient de se servir d’outils DoS obsolètes, tels que LOIC, HOIC, ByteDoS et PyLoris, tous vieux de près de 10 ans.

Des outils du passé

HOIC

Un HOIC (High Orbit Ion Cannon) est un outil de test de réseau apparenté au LOIC. Ces deux outils sont utilisés pour lancer des attaques DoS telles que pratiquées par les Anonymous. Un HOIC peut provoquer un déni de service par le biais d’inondations HTTP. Il intègre un système de script qui accepte les fichiers .hoic, appelés boosters. Ces fichiers permettent à l’utilisateur de déployer des contre-mesures de randomisation anti-DDoS et d’augmenter l’ampleur de l’attaque.

Bien qu’HOIC ne comporte pas de techniques d’obscurcissement ou d’anonymisation suffisantes pour protéger l’origine de l’utilisateur, les scripts « boosters » .hoic permettent de spécifier une liste tournante d’URL cibles, de référents, d’agents utilisateurs et d’en-têtes. En attaquant plusieurs pages d’un même site tout en faisant croire que les attaques proviennent de plusieurs utilisateurs, un déni de service est provoqué.

Figure 1 : HOIC

[Cliquez pour consulter le rapport trimestriel complet sur les menaces]

ByteDOS

Autrefois considéré comme un outil de destruction, ByteDoS fait figure de nouveauté en 2021. ByteDos est une application DoS pour le bureau Windows. Cet outil d’attaque est un simple fichier exécutable autonome qui ne nécessite pas d’installation et qui intègre des fonctionnalités de résolution d’adresses IP à partir de noms de domaine. Il prend en charge deux vecteurs d’attaque : SYN Flood et ICMP Flood, l’utilisateur peut choisir son préféré. ByteDos permet également de mener des attaques par le biais de proxys, les pirates pouvant ainsi dissimuler leur source et leur identité. Cet outil est assez répandu parmi les hacktivistes et les sympathisants des Anonymous (il devient très efficace lorsqu’il est utilisé collectivement par de nombreux attaquants dans le cadre d’une attaque par déni de service coordonnée.

Figure 2 : ByteDOS

PyLoris

PyLoris est un autre outil qui était autrefois considéré comme destructeur. Il permet de mener des attaques DoS HTTP lentes et discrètes. Avec PyLoris, l’attaquant peut créer des requêtes HTTP assorties d’options variées pour les en-têtes de paquets, les cookies, la taille des paquets, le délai d’expiration et les fins de ligne (CRLF). PyLoris s’efforce de maintenir les connexions TCP ouvertes le plus longtemps possible entre l’attaquant et les serveurs de la victime, afin d’épuiser les ressources des tables de connexion des serveurs. Une fois ces ressources épuisées, les serveurs ne peuvent plus traiter les nouvelles connexions des utilisateurs légitimes, ce qui entraîne un déni de service.

[Vous avez aimé cet article ? Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

Figure 3 : PyLoris

[Consultez la dernière édition du Hacker’s Almanac, série 1 : The Threat Actors]

Quelle est l’efficacité des anciens outils ?

Les outils proposés pour cette opération des Anonymous, et bien d’autres, sont obsolètes, mais curieusement, ils gardent toujours leur place dans l’environnement de menaces. Alors qu’il est facile et peu onéreux de créer des botnets IoT et des services d’attaque, il est étrange de constater que certains suggèrent d’utiliser des outils vieux de près de 10 ans. Et même si leur utilisation n’est pas très répandue, ces outils peuvent s’avérer efficaces lorsqu’ils sont correctement utilisés contre des sites Web peu protégés. Le tableau ci-dessous montre les événements survenus l’année dernière relatifs à des attaques LOIC, HOIC, HULK et SlowLoris.

Figure 4 : Événements DoS HOIC, LOIC, HULK, SlowLoris (source : Radware)

On voit que ces outils sont toujours pertinents en 2020/21, mais qu’ils ne sont plus aussi populaires ni aussi efficaces qu’avant en raison de l’évolution de l’environnement de menaces et des progrès de la technologie de mitigation. Si les Anonymous ne représentent plus une menace aussi sérieuse qu’auparavant, le risque qu’un loup solitaire ou un groupe de pirates amateurs se servent de ces outils et présentent un certain niveau de risque pour les personnes non protégées est toujours présent.

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center