Насколько актуальны в 2021 году инструменты DoS-атак десятилетней давности?
This post is also available in:
Английский 
Французский 
Немецкий 
Итальянский 
Португальский, Бразилия 
Испанский
Как ни странно, они вполне актуальны.
После распада группы «Анонимус» в 2016 году картина угроз стремительно изменялась. Постепенно это движение, делавшее ставку на атаки типа «отказ в обслуживании» (DoS) с использованием простых инструментов с графическим интерфейсом, потеряло лидирующие позиции. Благодаря возможностям новых IoT-ботнетов, таких как Bashlite и Mirai, началась новая эра DDoS-атак, и они стали популярны в качестве услуги.
Несмотря на то, что активисты группы «Анонимус» продолжают свою деятельность, ее цифровой след за последние пять лет значительно уменьшился. Сегодня все еще можно найти учетные записи участников движения в популярных пабликах социальных сетей и на видеоплатформах, распространяющих локальные пропагандистские сообщения, но их значимость несравнима с влиянием прошлых лет. Однако в ходе недавней акции «Анонимуса» эксперт Radware с удивлением выяснил, что члены группы, до сих пор использующие PasteBin и GhostBin (для централизованного размещения оперативной информации), обновили список целей предыдущих лет и рекомендуют выбирать в качестве мишени Memcached и другие объекты, пригодные для атак с лавинообразным умножением данных. При этом они советуют использовать такие устаревшие инструменты DoS-атак, как LOIC, HOIC, ByteDoS и Pyloris, созданные почти 10 лет назад.
Инструменты прошлого
HOIC
High Orbit Ion Cannon (сокращенно HOIC) — это средство нагрузочного тестирования сети, усовершенствованный вариант LOIC. Оба инструмента используются для запуска атак типа «отказ в обслуживании», получивших популярность благодаря «Анонимусу». HOIC вызывает отказ в обслуживании с использованием HTTP-флуда. Кроме того, HOIC содержит встроенную систему создания сценариев, работающую с файлами .hoic, — так называемыми бустерами. Эти файлы позволяют злоумышленнику обходить защиту от DDoS-атак с использованием случайного выбора адресов отправки запросов.
Сценарии-бустеры с расширением .hoic не позволяют скрывать или обезличивать источник атаки, но с их помощью злоумышленник может указать список меняющихся целевых URL-адресов, источников ссылок, пользовательских агентов и заголовков. Подобная атака, направленная против нескольких страниц одного и того же сайта, приводит к отказу в обслуживании, при этом создается впечатление, что запросы отправляются разными пользователями.
Рисунок 1. HOIC
[Нажмите, чтобы получить полный отчет: «Квартальный отчет об угрозах безопасности».]
ByteDOS
Программа ByteDoS, в свое время считавшаяся опасным оружием, получила в 2021 году новую жизнь. ByteDoS — это DoS-приложение для настольных компьютеров на базе Windows. Это простой автономный исполняемый файл, не требующий установки, со встроенным преобразователем доменных имен в IP-адреса. Он дает возможность организовывать два типа атак по выбору пользователя: SYN-флуд и ICMP-флуд. ByteDoS также поддерживает атаки через прокси-серверы, позволяя злоумышленникам скрывать источник. Этот инструмент широко распространен среди хактивистов и сторонников группы «Анонимус» и наиболее эффективен в ходе коллективной DoS-атаки.
Рисунок 2. ByteDOS
Pyloris
Еще одно приложение, имевшее в прошлом серьезную репутацию среди злоумышленников. Pyloris — это инструмент для организации медленных маломощных DoS-атак по протоколу HTTP. Он позволяет создавать HTTP-запросы с настраиваемыми параметрами: заголовками пакетов, cookie-файлами, размером пакетов, временем ожидания и вариантами завершения строк (CRLF). Задача Pyloris — как можно дольше поддерживать открытыми TCP-соединения между источником и серверами жертвы. В результате в таблице подключений сервера не остается свободных ресурсов. Сервер не может обрабатывать новые подключения обычных легитимных пользователей, что приводит к отказу в обслуживании.
Рисунок 3. Pyloris
[Посмотрите последний выпуск альманаха Hacker’s Almanac Series 1:The Threat Actors.]
Насколько эффективны старые инструменты атак
Инструменты, рекомендуемые группой «Анонимус», формально давно устарели, но, как ни удивительно, их все еще используют. В мире быстро конструируемых IoT-ботнетов и недорогих услуг по организации атак эти инструменты десятилетней давности смотрятся достаточно странно. Хотя они не совершенны, их можно по-прежнему успешно использовать против владельцев веб-сайтов, которые не располагают достаточной защитой или информацией об угрозах. На графике ниже показана частота атак с использованием LOIC, HOIC, HULK и Slowloris за последний год.
Рисунок 4. DoS-атаки с использованием HOIC, LOIC, HULK и Slowloris (источник: Radware)
Судя по этим данным, подобные инструменты по-прежнему актуальны в 2020–2021 годах, хотя их популярность и эффективность снизилась в связи с эволюцией угроз и средств защиты. Несмотря на то, что «Анонимус» перестал быть одним из главных источников опасности, одиночки или группы любителей могут использовать эти инструменты для атак на незащищенные ресурсы.
