VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 3
IÇERIKLER YÖNETİCİ ÖZETİ 3 NDE VERISIGN TARAFINDAN GÖZLENEN DDOS SALDIRI TRENDLERI 4 Saldırı Boyutuna Göre Azaltmalar 4 Sektöre Göre Azaltmalar 5 Saldırı Sıklığına Göre Azaltmalar 6 ÖZELLIK: YANSITMA SALDIRILARI IÇIN KULLANILAN YENI PROTOKOL 7 Basit Hizmet Algılama Protokolü (SSDP) 7 GLOBAL GÖZLEMLER Verisign DBOT Linux DDoS Zararlı Yazılımını Gözlemliyor Linux DDoS Zararlı Yazılımını Dağıtmak için Kullanılan "SHELLSHOCK" 8 8 9 2 2
> YÖNETİCİ ÖZETİ YÜZDE 20 saldırılar 10 Gbps'den büyük olmuştur Bu rapor, Verisign DDoS Protection Services'in müşterileri adına ve onlarla işbirliği yaparak gerçekleştirilen azaltma işlemlerine ilişkin gözlemleri ve bilgileri ve Verisign idefense Security Intelligence Services'in güvenlik araştırmasını içermektedir. Rapor, önceki çeyrekte çevrimiçi yayılan saldırı trendlerine yönelik olarak saldırı istatistikleri, DDoS zararlı kod analizi ve davranış trendleri içeren benzersiz bir görüş yansıtmaktadır. BULGULARIN ÖZETI: 2014'ün 3. Çeyreğinde Güvenlik Açıkları ve Saldırı Trendleri 01 Temmuz 2014'ten başlayıp 30 Eylül 2014'e kadar süren dönemde, Verisign aşağıdaki önemli trendleri gözlemledi: 10 Gbps ve üzeri kategorisindeki saldırı sayısı, 3. çeyrekteki tüm saldırıların yüzde 20'sinden fazlasını temsil edecek şekilde 2. çeyrekten itibaren yüzde 38 büyümüştür. Saldırganlar, hedef başına üçten fazla ayrı deneme ortalamasıyla hedef müşterilere karşı sürekli saldırılar düzenlediler. Bu çeyrekte en sık hedeflenen sektör, tüm azaltma faaliyetlerinin yüzde 50'sinden fazlasını kapsayacak şekilde Medya ve Eğlence sektörüydü. Saldırganlar 3. çeyrekte müşteri başına ortalama 3,3 > ayrı saldırı denemesinde bulundular 2. çeyrekte görülen yüksek sıklıktaki yoğun saldırılar nedeniyle, Verisign, ortalama saldırı boyutunda çeyrekten çeyreğe yüzde 48'lik bir düşüş gözlemlemiş ancak 2014'ün 1. ve 3. çeyreği arasında ortalama saldırı boyutu %65 artmıştır. 2. çeyreğin veri setindeki çok büyük saldırılar hariç tutulduğunda ortalama saldırı boyutunun 4.6 Gbps olduğu görülür ve bu, 3. çeyreğin ortalama saldırı boyutuyla karşılaştırıldığında, yüzde 40'tan fazla bir artışa tekabül eder. Bu çeyrekteki en büyük saldırılarda E-Ticaret sektörü hedeflendi ve tepe düzey 90 Gbps'nin üzerindeydi. Verisign, Basit Hizmet Algılama Protokolü'nü (SSDP / UDP portu 1900) kullanarak yeni tür UDP yansıtma saldırıları doğrudan azalttı. Ağ Zaman Protokolü (NTP), 3. çeyrek süresince gözlenen SSDP'ye doğru bir kaymayla birlikte, UDP tabanlı yansıtıcı sorgulama saldırılarının çoğunluğunu oluşturmaya devam ediyor. Verisign idefense analistleri, DDoS botnetlerini etkili biçimde üretecek şekilde "Shellshock" Bash güvenlik açığından tüm dünyada faydalanıldığını bildirdiler. Linux DDoS zararlı yazılımının kullanımındaki artış, DDoS botnetlerinde yüksek bant genişliğine sahip sunucuların kullanımında bir artış olduğunu göstermektedir. 3 3
NDE VERISIGN TARAFINDAN GÖZLENEN DDoS SALDIRI TRENDLERI Saldırı Boyutuna Göre Azaltmalar Büyük ölçekli DDoS saldırısı sıklığı yükselme eğiliminde olmaya devam etmiş ve 10 Gbps ve üzeri kategorisindeki saldırı sayısı, 3. çeyrekteki tüm saldırıların yüzde 20'sinden fazlasını temsil edecek şekilde 2. çeyrekten itibaren yüzde 38 büyümüştür (Şekil 1). Yerinde azaltma savunmaları ve cihazları, bir DDoS saldırısı işletmenin üst kapasitesini aştığı anda etkisiz hale gelmiştir. Eğer bunlar henüz etkisiz hale gelmemişse, esnekliğe odaklanan işletmeler, işletme masraflarında minimum düzeydeki bir artışla mevcut bant genişliklerini aşan uygulama katmanlı, çok vektörlü ve hacimsel saldırıları azaltmak için bulut tabanlı veya karma yerinde/bulut DDoS koruması çözümlerini kullanmayı göz önünde bulundurmalıdır. >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps Şekil 1: 10 Gbps'den Büyük Saldırılarda Artış 2014-Ç1 2014-Ç2 2014-Ç3 120 100 80 60 40 20 0 Yüzde 12,42 6,46 4,60 3,70 3,92 3,17 2,14 1,51 2013-Ç1 2013-Ç2 2013-Ç3 2013-Ç4 2014-Ç1 2014-Ç2 2014-Ç3 14 12 10 8 6 4 2 0 Gbps Şekil 2: Çeyreğe göre Ortalama Saldırı Boyutu (Gbps) 4 4
Üçüncü çeyrekte Verisign tarafından azaltılan saldırılar ortalama 6,46 Gbps olmuştur (Şekil 2) ve bu, ortalama saldırı boyutunda çeyrekten çeyreğe yüzde 48'lik bir düşüşü ancak 2014'ün 1. çeyreğinden itibaren ortalama saldırı boyutunda %65'lik bir artışı göstermektedir. 2. çeyrekte ortalama saldırı boyutundaki olağanüstü artış (12,42 Gbps), 200-300 Gbps aralığındaki birden çok sürekli hacimsel saldırıdan kaynaklanmıştır. 2. çeyreğin veri setindeki çok büyük saldırılar hariç tutulduğunda ortalama saldırı boyutunun 4.6 Gbps olduğu görülür ve bu, 3. çeyreğin ortalama saldırı boyutuyla karşılaştırıldığında, yüzde 40'tan fazla bir artışa tekabül eder. 3. çeyrekte Verisign tarafından azaltılan en büyük hacimsel UDB tabanlı DDoS saldırısı 90 Gbps olmuş ve en büyük TCP tabanlı saldırı 30 Gbps'den fazla olmuştur. Sektöre Göre Azaltmalar DDoS saldırıları bir global tehdittir ve Şekil 3'te gösterildiği gibi herhangi bir spesifik sektörle sınırlı değildir. Bu karşılaştırmalı veriler, sektörünüzde gözlemlenen bu tehdide maruz kalma yoğunluğu temelinde güvenlik harcamalarının önceliğinin belirlenmesine yardımcı olabilir. En yüksek riskin olduğu sektörler, genellikle politik olarak aktif olan veya hizmet dışı kalma süresi arttıkça ciddi finansal kayıp yaşayacak olan sektörlerdir. Bununla birlikte Verisign'ın geçen on yıldaki gözlemleri temelinde, bir hedef, giderek genişleyen bir sebep yelpazesiyle birlikte bir hedefe dönüşebilir ve her işletmenin kendi riskini ve bu soruna maruz kalma potansiyelini değerlendirmesi gerekir. Medya ve Eğlence sektörü müşterileri, 3. çeyrekte yerinde azaltma kapasitelerinin çoğunun üstesinden gelmek için gayet yeterli olan 20 Gbps'nin üzerindeki bir tepe noktası boyutuyla (Şekil 4) en yüksek hacimde saldırıya halen maruz kalmaktadır. Daha az sıklıkta saldırıya maruz kalan E-Ticaret sektörü, 90 Gbps'nin üzerine çıkan çeyreğin en büyük saldırısının hedefi olmuştur (Şekil 4). Bu saldırı, 30 dakika veya daha kısa süreli kısa hamlelerin kullanıldığı bir yoklama UDP saldırısıydı. Birincil olarak NTP yansıtıcı sorgulama saldırısı trafiğinden oluşuyordu. Bu faaliyet, müşterinin kritik önemdeki çevrimiçi ticaret kabiliyetini bozmayı hedefliyordu ve Verisign tarafından başarıyla azaltıldı. 2014 tatil sezonunda tam kapasiteyle çalışan E-Ticaret ve Finans sektörleri, gelirlerinin en yüksek düzeyde olduğu ve müşteriyle etkileşim halinde oldukları bu dönemde artan DDoS saldırılarına karşı özellikle hazırlıklı ve uyanık olmalıdır. Verisign, geçmiş yıllara bakıldığında tatil sezonunda bu sektörlere karşı DDoS faaliyetinde bir artış olduğunu görmüştür ve bu trendin devam etmesini beklemektedir. Medya ve Eğlence %55 0 IT Hizmetleri/Bulut Bilişim/Saas %28 E-Ticaret Finans %10 %7 100 Şekil 3: Sektöre göre Saldırı Yüzdesi 5 5
350 300,0 300 200 150 64,0 27,0 90,0 36,0 100 11,8 20,9 22,3 2014-Ç1 2014-Ç2 2014-Ç3 E-ticaret Gbps 250 IT Hizmetleri/Bulut/SaaS 50 0 Medya ve Eğlence Şekil 4: Üst Sıradaki Sektörlere göre Tepe Noktası Atak Boyutu Saldırı Sıklığına Göre Azaltmalar 2014 boyunca Verisign, işlemin ortasında taktik değiştiren saldırıları da içerecek şekilde müşteri başına saldırı sayısında sürekli bir artış gözlemlemiştir. 3. çeyrekte, hedeflenen müşteri başına ortalama üçten fazla saldırıya ulaşan (2. çeyreğe göre yüzde 60 daha yüksek bir rakam), saldırı sıklığındaki en yüksek artış görülmüştür (Şekil 5). Saldırı boyutundaki artışta olduğu gibi saldırı sıklığındaki artış, saldırganların olgunlaşması, hazır DDoS botnetlerine daha kolay erişim ve saldırının hedefleri üzerinde etkisinin rakip tarafından gözlemlenmesiyle ilişkilendirilebilir. Saldırganlar evrimleşmeye ve daha karmaşık hale gelmeye devam ettiği için Verisign öngörülebilir gelecekte bu trendin devam etmesini beklemektedir. 3,33 3,0 2,5 2,00 2,06 2,0 1,5 1,0 0,5 3.17 1.51 2014-Ç1 2014-Ç2 2014-Ç3 Müşteri Başına Ortalama Saldırı 3,5 0,0 Şekil 5: Hedeflenen Müşteri başına Ortalama Saldırı Sayısı (çeyreğe göre) 6 6
Özellik: YANSITMA SALDIRILARI IÇIN KULLANILAN YENI PROTOKOL 3. çeyrekteki en büyük SSDP saldırıları 15 GBPS ve 4,58 MPPS Basit Hizmet Algılama Protokolü (SSDP) Bu çeyrekte, NTP tabanlı saldırılara ek olarak, UDP tabanlı DDoS sorgulama saldırılarında kullanılan SSDP'yi gözlemledik. Verisign tarafından 3. çeyrekte azaltılan en büyük SSDP tabanlı saldırılar, IT Hizmetleri sektörünü hedeflemiş ve 15 Gbps'nin biraz altında ve saniye başına 4,58 milyon paketle (Mpps) tepe noktasına ulaşmıştır. Verisign, kendi izleme hizmetini ve global olarak bağlı DDoS azaltma platformunu kullanarak bu çeyrekte karşılaşılan SSDP saldırılarını hızlı bir şekilde saptamış ve azaltmıştır. Christian Rossow, 22 Şubat 2014 tarihinde bant genişliği sorgulama faktörünü tanımlayan Amplification Hell: Revisiting Network Protocols for DDoS Abuse1 isimli bir makale yayınladı. SSDP'nin 30,8 değerinde bir bant genişliği uygulama faktörüne sahip olduğunu tanımladı, yani bu protokoldeki bir arama komutu, talebin boyutunun 30,8 katı olan bir yanıt geri döndürecektir. US CERT2 takımı, 17 Ocak 2014 tarihindeki ilk araştırma temelinde bir uyarı yayınladı. Her ne kadar ürettiği sorgulama, DNS veya NTP yansıtma saldırılarıyla mümkün olandan daha küçük olsa da, halen SSDP saldırıları, varlıklarını korumak için geleneksel güvenlik cihazları kullanan işletmelerin üstesinden gelme kapasitesine sahiptir. Diğer yansıtıcı sorgulama saldırılarıyla tutarlı olarak, zararlı aktörler, bir kurbanı hedeflemek için bir SSDP talebinde bulunurken kaynak IP'sinde yanıltma gerçekleştirecektir. Çoğu işletmede, SSDP uygulamaları İnternet'e açık olmak zorunda değildir. Bu tür bir durumda, bu protokolü hedefleyen İnternet'ten gelen giriş sorguları, ağ aşamasında engellenerek bu özel vektörden korunabilir. Verisign, işletmenizin SSDP tabanlı DDoS saldırılarında farkında olmadan kullanılmamasını sağlamak için giden ağ akışları dahil olmak üzere şirket içi varlıkların denetlenmesini tavsiye eder. SSDP NEDIR? SSDP, ağ hizmetlerinin reklamı ve algılanması ve mevcudiyet bilgileri için kullanılan bir ağ protokolüdür ve en sık olarak Universal Plug-and-Play için algılama protokolünün temeli olarak kullanılır. Uygulamalar, port numarası 1900 üzerinden UDP kullanarak bilgi gönderir ve alır. SSDP, temel olarak bağlantısız durumu (bu durum kaynak IP adresinin yanıltılmasına izin verir) ve yanıttaki sorgulama faktörü nedeniyle diğer birçok UDP tabanlı protokol gibi kötüye kullanılır. ShadowServer verilerine3 göre, İnternet üzerinde SSDP'nin etkin olduğu ve bir DDoS saldırısında kullanıma karşı savunmasız olabilecek 15 milyonun üzerinde cihaz bulunmaktadır. Herhangi bir yansıtıcı saldırıya benzer şekilde, bir saldırgan, tüm savunmasız cihazların SSDP yanıtlarıyla hedefe saldırmasına neden olmak amacıyla ilgili hedefin kaynak IP adresiyle eşleştirmek için talebin kaynak IP adresinde yanıltma işlemi gerçekleştirmelidir. 1 Christian Rossow. Amplification Hell: Revisiting Network Protocols for DDoS abuse 2 www.us-cert.gov/ncas/alerts/ta14-017a 3 https://ssdpscan.shadowserver.org/ 7
GLOBAL GÖZLEMLER Verisign DBOT Linux DDoS Zararlı Yazılımını Gözlemliyor Verisign idefense analistleri, Unix benzeri sistemlerde çalışan ve birincil olarak DDoS saldırılarında kullanılan bir DBOT arka kapı türü keşfettiler. Bu zararlı yazılım, bir Internet Relay Chat (IRC) komuta ve kontrol (C&C) kanalı yoluyla kontrol edilir ve işlem adını genel sistem işlemleri gibi görünecek şekilde ayarlar (örn. syslogd veya crond). Yalnızca DDoS saldırıları gerçekleştirmek için kullanılmaz, aynı zamanda tehlikeli sistemlerde tam reverse-shell erişimi ve posta gönderme özellikleri (örneğin istenmeyen e-posta için) içerir. Saldırganlar, DBOT arka kapısının kontrolünü ele geçirmek için IRC protokolünü kullanır ve ardından ihlal edilmiş sunucuya görevleri yürütme talimatını verecek komutları göndermek için belirlenmiş IRC C&C sunucusunun kanalını kullanır. Verisign idefense analistleri aşağıdaki DDoS komutlarını gözlemlemiştir: Komut Tanım udp1 Bir kullanıcıya karşı UDP saldırısı: Rastgele sayıda tekrarlanan "Tr0x" dizesinden oluşan bir yüke sahip olan port ve tanımlı IP adresi. udp2 Bir kullanıcıya karşı eşzamanlı saldırı: Tekrarlanan "A" karakterinden oluşan bir yüke sahip olan UDP, TCP, ICMP ve IGMP için artan portlarda tanımlı IP adresi. udp3 Bir kullanıcıya karşı UDP saldırısı: Tamamen sıfırlardan oluşan bir yüke sahip olan rastgele port ve tanımlı IP adresi; bu işlev, güvenilir şekilde çalışmamasına neden olabilecek bazı açıklara sahiptir. tcp Bir kullanıcıya karşı TCP SYN saldırısı: Bağlantı kurulur kurulmaz kapanan 1000 eşzamanlı bağlantıdan oluşan port ve tanımlı IP adresi. http Bir kullanıcı üzerinden TCP portu 80'e bağlanma: Tanımlı IP adresi ve HTTP "GET /" taleplerini tekrarlanan şekilde gerçekleştirme. Verisign idefense, yukarıda belirtilen yerleşik DDoS saldırısı komutlarından herhangi birinin yürütülmesi esnasında hiçbir IP adresi sahteciliğinin meydana gelmediğini belirlemiştir; buna paralel olarak gözlenen çoğu saldırgan IP'si, azaltma hızını artıracak şekilde yasal olacaktır. Ancak DBOT zararlı yazılımı, reverse shell işlevi sayesinde bir tehlikeli sistemde isteğe bağlı komut yürütmeye izin verir ve bu da saldırgana, manuel olarak saldırı biçimlerini değiştirmek veya gerektiğinde ek DDoS araçları kurmak için sınırsız bir imkan verir. idefense tarafından analiz edilen zararlı yazılım örneği, 579190b74b86f591097b9b6773c1176b şeklindeki bir MD5 karmasına sahipti. 8
Linux DDoS Zararlı Yazılımını Dağıtmak için Kullanılan "SHELLSHOCK" Verisign idefense araştırmacıları, "Shellshock" Bash güvenlik açığı yoluyla dağıtıldığı gözlenen ELF zararlı yazılımını analiz ettiler. "Shellshock", her tarafa yayılacak şekilde çok sayıda işletim sisteminde (OSX, RedHat, Debian ve birçok gömülü cihaz dahil) kullanılan, Bash shell uygulamasındaki bir dizi kritik güvenlik açığının (CVE-2014-6271 ve sonrası, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 ve CVE-2014-7187) genel adıdır. Güvenlik açığı, GNU Bash sürümleri 1.14 ila 4.3'ün bağımsız değişken ayrıştırıcısındaki ve komutundaki bir kusurdan kaynaklanır. Kusur, eklenen ortam değişkenindeki işlev tanımlarının ardından verilen komutların yanlış işlenmesiyle sonuçlanır. Sorun, ağ tabanlı açıklardan yararlanmayı mümkün kılan oluşturulmuş bir ortam yoluyla saldırganların isteğe bağlı ve zararlı ikili kod yürütmesini olanaklı kılar. Bu güvenlik açığını kullanan zararlı yazılım, özel sabit kodlanmış C&C sunucularıyla iletişim kurar. Bu C&C sunucularıyla oluşturulan bağlantılar, gidip gelen iletişim, komutların alınması ve ham Pastebin bağlantıları formunda ek zararlı içerikler veya yüklere bağlantılar ile sonuçlanır. Zararlı yazılım, Shellshock'u kullanan en son kampanyada dağıtılmadan önce kullanımdadır. Verisign idefense, henüz 20 Ağustos 2014'te Pastebin'de gönderildiği haliyle zararlı yazılım tarafından dağıtılan tam dizelerin kayıtlarına sahiptir. Zararlı yazılım, DDoS saldırıları başlatmak ve İnternet'teki savunmasız sistemlerde yoğun taramalar gerçekleştirmek için ele geçirilmiş sistemi yaygın olarak kullanılan kullanıcı adı ve zayıf parola grubu (yani kök, yönetici, kullanıcı, oturum açma vb.) açısından kontrol eder. Analiz sürecinde Verisign idefense araştırmacıları, yeni bulunan güvenlik açığını kullanan birkaç örnek keşfettiler. idefense tarafından analiz edilen zararlı yazılım örneği, 5B345869F7785F980E8FF7EBC001E0C7 şeklindeki bir MD5 karmasına sahipti. 9
NOTLAR VerisignInc.com 2014 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN, VERISIGN logosu ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc.'in ve Amerika Birleşik Devletleri ve dış ülkelerdeki bağlı kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Tüm diğer ticari markalar ilgili sahiplerinin mülkiyetidir. Verisign Public 201411