VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 3 2014'ÜN 3. ÇEYREĞI



Benzer belgeler
VERİSİGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 1. ÇEYREĞİ

VERISIGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 4. ÇEYREĞİ

VERISIGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 2. ÇEYREĞİ

TEKNİK RAPOR VERISIGN OPENHYBRID BULUT SİNYALLEME API TEKNİK ÖZELLİKLERİ. Sürüm 1.0 Ocak VerisignInc.com

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

ERİŞİM ENGELLEME DOS VE DDOS:

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 'İN 1. ÇEYREĞI

Temmuz 2014 tarihli Frost & Sullivan ın Global DDoS Etkilerini Azaltma Piyasası Araştırma Raporu'ndan (NDD2-72) özel alıntı NDD2-74


Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Web Servis-Web Sitesi Bağlantısı

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

Kurumsal Güvenlik ve Web Filtreleme

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Yeni Nesil Ağ Güvenliği

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Kurumsal Güvenlik ve Web Filtreleme

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

AĞ HİZMETLERİ. Öğr.Gör.Volkan ALTINTAŞ. Version 4.0

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Peki şirketler kendilerini bu tip ataklara karşı nasıl koruyabilir?

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Linux İşletim Sistemi Tanıtımı

VIDEOCELL API. Versiyon 1.0.0

DM-501 Tak-Çalıştır GPRS-UART Köprüsü

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

BLGM 343 DENEY 8 * TCP İLE VERİ İLETİŞİMİ

HotelTV. HotelTV Kurulum Öngereksinimleri REV A0.2 D Ekim

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2


Firewall/IPS Güvenlik Testleri Eğitimi

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

DE-CIX GLOBEPEER ÖZEL HİZMET SEVİYESİ SÖZLEŞMESİ

FTP ve Güvenlik Duvarları

Google Play Zararlısı İnceleme Raporu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Saldırgan Bakış Açısı ile Değer Yaratmak

LOUPE, IP Data ağlarında çalışan katma değerli servislerinizi kolaylıkla izlemenizi sağlar.

Ağ Protokolleri. Aysel Aksu. Nisan, 2016

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 5. Yönlendiricilerde İşlem İzleme ve Hata Ayıklama

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

Plus500 Ltd. Gizlilik Politikası

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri

Çalıştay DDoS Saldırıları Nasıl Gerçekleştirilir? Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Ağ Topolojisi ve Ağ Yazılımları

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

E-postaya Tarama Hızlı Kurulum Kılavuzu

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

OSI REFERANS MODELI-II

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

Pardus. S.Çağlar Onur, 21 Aralık Pardus Projesi [TÜBİTAK / UEKAE] Linux Kullanıcıları Derneği

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

Google Cloud Print Kılavuzu

01 Şirket Profili

Bölüm 28 ve 29 : İstemci Sunucu Etkileşimi ve Soket API sine Giriş. Internet Protokolleri ve Ağ Uygulamaları. Internet Protokolleri Üzerinden İletişim

SİBER SUÇLARA KARŞI SİBER ZEKA

Bilişim Suçlarında IP Adres Analizi

MCR02-AE Ethernet Temassız Kart Okuyucu

Kaspersky DDoS Koruması. ile finansal ve tanınırlıkla ilgili kayıplara karşı işletmenizi korur

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

EKLER EK 12UY0106-5/A4-1:

Bilgisayar Yazılımları

KURUMSAL TANITIM. Kasım 2017

Hızlı Başlangıç Kılavuzu

COM API v2.0 Belge sürümü : 2.0.3

Değişen ve Gelişen Türkiye nin, Yenilikçi ve Atılımcı Elektronik Üreticisi

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Kerberos Kimlik Denetimi Altyapısı

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Altyapı Güvenliği. Prof. Dr. Eşref ADALI www. Adalı.net

Kurumsal Ağlarda Web Sistem Güvenliği

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

Bilgisayar Sistemleri ilk ortaya çıktığında...

Bilgisayar Ağlarında Güvenlik. Prof. Dr. Eşref ADALI www. Adalı.net

Free PowerPoint Templates ECZANELERDE AĞ VE BİLGİSAYAR GÜVENLİĞİ

DOS vs Kurumsal Güvenlik. 15 Şubat 2011 Murat H. CANDAN

Sibergüvenlik Faaliyetleri

ABB Tek Fazlı Dizi İnverterler

Armitage Nedir? Kullanım Öncesi

Pardus. A. Murat Eren, 25 Mart Pardus Geliştiricisi. Pardus Yenilikleri Sık Sorulan Sorular

BLGM 344 DENEY 3 * AĞ PROGRAMLAMAYA GİRİŞ

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Görsel Programlama DERS 12. Görsel Programlama - Ders12/

Transkript:

VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 3

IÇERIKLER YÖNETİCİ ÖZETİ 3 NDE VERISIGN TARAFINDAN GÖZLENEN DDOS SALDIRI TRENDLERI 4 Saldırı Boyutuna Göre Azaltmalar 4 Sektöre Göre Azaltmalar 5 Saldırı Sıklığına Göre Azaltmalar 6 ÖZELLIK: YANSITMA SALDIRILARI IÇIN KULLANILAN YENI PROTOKOL 7 Basit Hizmet Algılama Protokolü (SSDP) 7 GLOBAL GÖZLEMLER Verisign DBOT Linux DDoS Zararlı Yazılımını Gözlemliyor Linux DDoS Zararlı Yazılımını Dağıtmak için Kullanılan "SHELLSHOCK" 8 8 9 2 2

> YÖNETİCİ ÖZETİ YÜZDE 20 saldırılar 10 Gbps'den büyük olmuştur Bu rapor, Verisign DDoS Protection Services'in müşterileri adına ve onlarla işbirliği yaparak gerçekleştirilen azaltma işlemlerine ilişkin gözlemleri ve bilgileri ve Verisign idefense Security Intelligence Services'in güvenlik araştırmasını içermektedir. Rapor, önceki çeyrekte çevrimiçi yayılan saldırı trendlerine yönelik olarak saldırı istatistikleri, DDoS zararlı kod analizi ve davranış trendleri içeren benzersiz bir görüş yansıtmaktadır. BULGULARIN ÖZETI: 2014'ün 3. Çeyreğinde Güvenlik Açıkları ve Saldırı Trendleri 01 Temmuz 2014'ten başlayıp 30 Eylül 2014'e kadar süren dönemde, Verisign aşağıdaki önemli trendleri gözlemledi: 10 Gbps ve üzeri kategorisindeki saldırı sayısı, 3. çeyrekteki tüm saldırıların yüzde 20'sinden fazlasını temsil edecek şekilde 2. çeyrekten itibaren yüzde 38 büyümüştür. Saldırganlar, hedef başına üçten fazla ayrı deneme ortalamasıyla hedef müşterilere karşı sürekli saldırılar düzenlediler. Bu çeyrekte en sık hedeflenen sektör, tüm azaltma faaliyetlerinin yüzde 50'sinden fazlasını kapsayacak şekilde Medya ve Eğlence sektörüydü. Saldırganlar 3. çeyrekte müşteri başına ortalama 3,3 > ayrı saldırı denemesinde bulundular 2. çeyrekte görülen yüksek sıklıktaki yoğun saldırılar nedeniyle, Verisign, ortalama saldırı boyutunda çeyrekten çeyreğe yüzde 48'lik bir düşüş gözlemlemiş ancak 2014'ün 1. ve 3. çeyreği arasında ortalama saldırı boyutu %65 artmıştır. 2. çeyreğin veri setindeki çok büyük saldırılar hariç tutulduğunda ortalama saldırı boyutunun 4.6 Gbps olduğu görülür ve bu, 3. çeyreğin ortalama saldırı boyutuyla karşılaştırıldığında, yüzde 40'tan fazla bir artışa tekabül eder. Bu çeyrekteki en büyük saldırılarda E-Ticaret sektörü hedeflendi ve tepe düzey 90 Gbps'nin üzerindeydi. Verisign, Basit Hizmet Algılama Protokolü'nü (SSDP / UDP portu 1900) kullanarak yeni tür UDP yansıtma saldırıları doğrudan azalttı. Ağ Zaman Protokolü (NTP), 3. çeyrek süresince gözlenen SSDP'ye doğru bir kaymayla birlikte, UDP tabanlı yansıtıcı sorgulama saldırılarının çoğunluğunu oluşturmaya devam ediyor. Verisign idefense analistleri, DDoS botnetlerini etkili biçimde üretecek şekilde "Shellshock" Bash güvenlik açığından tüm dünyada faydalanıldığını bildirdiler. Linux DDoS zararlı yazılımının kullanımındaki artış, DDoS botnetlerinde yüksek bant genişliğine sahip sunucuların kullanımında bir artış olduğunu göstermektedir. 3 3

NDE VERISIGN TARAFINDAN GÖZLENEN DDoS SALDIRI TRENDLERI Saldırı Boyutuna Göre Azaltmalar Büyük ölçekli DDoS saldırısı sıklığı yükselme eğiliminde olmaya devam etmiş ve 10 Gbps ve üzeri kategorisindeki saldırı sayısı, 3. çeyrekteki tüm saldırıların yüzde 20'sinden fazlasını temsil edecek şekilde 2. çeyrekten itibaren yüzde 38 büyümüştür (Şekil 1). Yerinde azaltma savunmaları ve cihazları, bir DDoS saldırısı işletmenin üst kapasitesini aştığı anda etkisiz hale gelmiştir. Eğer bunlar henüz etkisiz hale gelmemişse, esnekliğe odaklanan işletmeler, işletme masraflarında minimum düzeydeki bir artışla mevcut bant genişliklerini aşan uygulama katmanlı, çok vektörlü ve hacimsel saldırıları azaltmak için bulut tabanlı veya karma yerinde/bulut DDoS koruması çözümlerini kullanmayı göz önünde bulundurmalıdır. >10 Gbps >5<10 Gbps >1<5 Gbps >1 Gbps Şekil 1: 10 Gbps'den Büyük Saldırılarda Artış 2014-Ç1 2014-Ç2 2014-Ç3 120 100 80 60 40 20 0 Yüzde 12,42 6,46 4,60 3,70 3,92 3,17 2,14 1,51 2013-Ç1 2013-Ç2 2013-Ç3 2013-Ç4 2014-Ç1 2014-Ç2 2014-Ç3 14 12 10 8 6 4 2 0 Gbps Şekil 2: Çeyreğe göre Ortalama Saldırı Boyutu (Gbps) 4 4

Üçüncü çeyrekte Verisign tarafından azaltılan saldırılar ortalama 6,46 Gbps olmuştur (Şekil 2) ve bu, ortalama saldırı boyutunda çeyrekten çeyreğe yüzde 48'lik bir düşüşü ancak 2014'ün 1. çeyreğinden itibaren ortalama saldırı boyutunda %65'lik bir artışı göstermektedir. 2. çeyrekte ortalama saldırı boyutundaki olağanüstü artış (12,42 Gbps), 200-300 Gbps aralığındaki birden çok sürekli hacimsel saldırıdan kaynaklanmıştır. 2. çeyreğin veri setindeki çok büyük saldırılar hariç tutulduğunda ortalama saldırı boyutunun 4.6 Gbps olduğu görülür ve bu, 3. çeyreğin ortalama saldırı boyutuyla karşılaştırıldığında, yüzde 40'tan fazla bir artışa tekabül eder. 3. çeyrekte Verisign tarafından azaltılan en büyük hacimsel UDB tabanlı DDoS saldırısı 90 Gbps olmuş ve en büyük TCP tabanlı saldırı 30 Gbps'den fazla olmuştur. Sektöre Göre Azaltmalar DDoS saldırıları bir global tehdittir ve Şekil 3'te gösterildiği gibi herhangi bir spesifik sektörle sınırlı değildir. Bu karşılaştırmalı veriler, sektörünüzde gözlemlenen bu tehdide maruz kalma yoğunluğu temelinde güvenlik harcamalarının önceliğinin belirlenmesine yardımcı olabilir. En yüksek riskin olduğu sektörler, genellikle politik olarak aktif olan veya hizmet dışı kalma süresi arttıkça ciddi finansal kayıp yaşayacak olan sektörlerdir. Bununla birlikte Verisign'ın geçen on yıldaki gözlemleri temelinde, bir hedef, giderek genişleyen bir sebep yelpazesiyle birlikte bir hedefe dönüşebilir ve her işletmenin kendi riskini ve bu soruna maruz kalma potansiyelini değerlendirmesi gerekir. Medya ve Eğlence sektörü müşterileri, 3. çeyrekte yerinde azaltma kapasitelerinin çoğunun üstesinden gelmek için gayet yeterli olan 20 Gbps'nin üzerindeki bir tepe noktası boyutuyla (Şekil 4) en yüksek hacimde saldırıya halen maruz kalmaktadır. Daha az sıklıkta saldırıya maruz kalan E-Ticaret sektörü, 90 Gbps'nin üzerine çıkan çeyreğin en büyük saldırısının hedefi olmuştur (Şekil 4). Bu saldırı, 30 dakika veya daha kısa süreli kısa hamlelerin kullanıldığı bir yoklama UDP saldırısıydı. Birincil olarak NTP yansıtıcı sorgulama saldırısı trafiğinden oluşuyordu. Bu faaliyet, müşterinin kritik önemdeki çevrimiçi ticaret kabiliyetini bozmayı hedefliyordu ve Verisign tarafından başarıyla azaltıldı. 2014 tatil sezonunda tam kapasiteyle çalışan E-Ticaret ve Finans sektörleri, gelirlerinin en yüksek düzeyde olduğu ve müşteriyle etkileşim halinde oldukları bu dönemde artan DDoS saldırılarına karşı özellikle hazırlıklı ve uyanık olmalıdır. Verisign, geçmiş yıllara bakıldığında tatil sezonunda bu sektörlere karşı DDoS faaliyetinde bir artış olduğunu görmüştür ve bu trendin devam etmesini beklemektedir. Medya ve Eğlence %55 0 IT Hizmetleri/Bulut Bilişim/Saas %28 E-Ticaret Finans %10 %7 100 Şekil 3: Sektöre göre Saldırı Yüzdesi 5 5

350 300,0 300 200 150 64,0 27,0 90,0 36,0 100 11,8 20,9 22,3 2014-Ç1 2014-Ç2 2014-Ç3 E-ticaret Gbps 250 IT Hizmetleri/Bulut/SaaS 50 0 Medya ve Eğlence Şekil 4: Üst Sıradaki Sektörlere göre Tepe Noktası Atak Boyutu Saldırı Sıklığına Göre Azaltmalar 2014 boyunca Verisign, işlemin ortasında taktik değiştiren saldırıları da içerecek şekilde müşteri başına saldırı sayısında sürekli bir artış gözlemlemiştir. 3. çeyrekte, hedeflenen müşteri başına ortalama üçten fazla saldırıya ulaşan (2. çeyreğe göre yüzde 60 daha yüksek bir rakam), saldırı sıklığındaki en yüksek artış görülmüştür (Şekil 5). Saldırı boyutundaki artışta olduğu gibi saldırı sıklığındaki artış, saldırganların olgunlaşması, hazır DDoS botnetlerine daha kolay erişim ve saldırının hedefleri üzerinde etkisinin rakip tarafından gözlemlenmesiyle ilişkilendirilebilir. Saldırganlar evrimleşmeye ve daha karmaşık hale gelmeye devam ettiği için Verisign öngörülebilir gelecekte bu trendin devam etmesini beklemektedir. 3,33 3,0 2,5 2,00 2,06 2,0 1,5 1,0 0,5 3.17 1.51 2014-Ç1 2014-Ç2 2014-Ç3 Müşteri Başına Ortalama Saldırı 3,5 0,0 Şekil 5: Hedeflenen Müşteri başına Ortalama Saldırı Sayısı (çeyreğe göre) 6 6

Özellik: YANSITMA SALDIRILARI IÇIN KULLANILAN YENI PROTOKOL 3. çeyrekteki en büyük SSDP saldırıları 15 GBPS ve 4,58 MPPS Basit Hizmet Algılama Protokolü (SSDP) Bu çeyrekte, NTP tabanlı saldırılara ek olarak, UDP tabanlı DDoS sorgulama saldırılarında kullanılan SSDP'yi gözlemledik. Verisign tarafından 3. çeyrekte azaltılan en büyük SSDP tabanlı saldırılar, IT Hizmetleri sektörünü hedeflemiş ve 15 Gbps'nin biraz altında ve saniye başına 4,58 milyon paketle (Mpps) tepe noktasına ulaşmıştır. Verisign, kendi izleme hizmetini ve global olarak bağlı DDoS azaltma platformunu kullanarak bu çeyrekte karşılaşılan SSDP saldırılarını hızlı bir şekilde saptamış ve azaltmıştır. Christian Rossow, 22 Şubat 2014 tarihinde bant genişliği sorgulama faktörünü tanımlayan Amplification Hell: Revisiting Network Protocols for DDoS Abuse1 isimli bir makale yayınladı. SSDP'nin 30,8 değerinde bir bant genişliği uygulama faktörüne sahip olduğunu tanımladı, yani bu protokoldeki bir arama komutu, talebin boyutunun 30,8 katı olan bir yanıt geri döndürecektir. US CERT2 takımı, 17 Ocak 2014 tarihindeki ilk araştırma temelinde bir uyarı yayınladı. Her ne kadar ürettiği sorgulama, DNS veya NTP yansıtma saldırılarıyla mümkün olandan daha küçük olsa da, halen SSDP saldırıları, varlıklarını korumak için geleneksel güvenlik cihazları kullanan işletmelerin üstesinden gelme kapasitesine sahiptir. Diğer yansıtıcı sorgulama saldırılarıyla tutarlı olarak, zararlı aktörler, bir kurbanı hedeflemek için bir SSDP talebinde bulunurken kaynak IP'sinde yanıltma gerçekleştirecektir. Çoğu işletmede, SSDP uygulamaları İnternet'e açık olmak zorunda değildir. Bu tür bir durumda, bu protokolü hedefleyen İnternet'ten gelen giriş sorguları, ağ aşamasında engellenerek bu özel vektörden korunabilir. Verisign, işletmenizin SSDP tabanlı DDoS saldırılarında farkında olmadan kullanılmamasını sağlamak için giden ağ akışları dahil olmak üzere şirket içi varlıkların denetlenmesini tavsiye eder. SSDP NEDIR? SSDP, ağ hizmetlerinin reklamı ve algılanması ve mevcudiyet bilgileri için kullanılan bir ağ protokolüdür ve en sık olarak Universal Plug-and-Play için algılama protokolünün temeli olarak kullanılır. Uygulamalar, port numarası 1900 üzerinden UDP kullanarak bilgi gönderir ve alır. SSDP, temel olarak bağlantısız durumu (bu durum kaynak IP adresinin yanıltılmasına izin verir) ve yanıttaki sorgulama faktörü nedeniyle diğer birçok UDP tabanlı protokol gibi kötüye kullanılır. ShadowServer verilerine3 göre, İnternet üzerinde SSDP'nin etkin olduğu ve bir DDoS saldırısında kullanıma karşı savunmasız olabilecek 15 milyonun üzerinde cihaz bulunmaktadır. Herhangi bir yansıtıcı saldırıya benzer şekilde, bir saldırgan, tüm savunmasız cihazların SSDP yanıtlarıyla hedefe saldırmasına neden olmak amacıyla ilgili hedefin kaynak IP adresiyle eşleştirmek için talebin kaynak IP adresinde yanıltma işlemi gerçekleştirmelidir. 1 Christian Rossow. Amplification Hell: Revisiting Network Protocols for DDoS abuse 2 www.us-cert.gov/ncas/alerts/ta14-017a 3 https://ssdpscan.shadowserver.org/ 7

GLOBAL GÖZLEMLER Verisign DBOT Linux DDoS Zararlı Yazılımını Gözlemliyor Verisign idefense analistleri, Unix benzeri sistemlerde çalışan ve birincil olarak DDoS saldırılarında kullanılan bir DBOT arka kapı türü keşfettiler. Bu zararlı yazılım, bir Internet Relay Chat (IRC) komuta ve kontrol (C&C) kanalı yoluyla kontrol edilir ve işlem adını genel sistem işlemleri gibi görünecek şekilde ayarlar (örn. syslogd veya crond). Yalnızca DDoS saldırıları gerçekleştirmek için kullanılmaz, aynı zamanda tehlikeli sistemlerde tam reverse-shell erişimi ve posta gönderme özellikleri (örneğin istenmeyen e-posta için) içerir. Saldırganlar, DBOT arka kapısının kontrolünü ele geçirmek için IRC protokolünü kullanır ve ardından ihlal edilmiş sunucuya görevleri yürütme talimatını verecek komutları göndermek için belirlenmiş IRC C&C sunucusunun kanalını kullanır. Verisign idefense analistleri aşağıdaki DDoS komutlarını gözlemlemiştir: Komut Tanım udp1 Bir kullanıcıya karşı UDP saldırısı: Rastgele sayıda tekrarlanan "Tr0x" dizesinden oluşan bir yüke sahip olan port ve tanımlı IP adresi. udp2 Bir kullanıcıya karşı eşzamanlı saldırı: Tekrarlanan "A" karakterinden oluşan bir yüke sahip olan UDP, TCP, ICMP ve IGMP için artan portlarda tanımlı IP adresi. udp3 Bir kullanıcıya karşı UDP saldırısı: Tamamen sıfırlardan oluşan bir yüke sahip olan rastgele port ve tanımlı IP adresi; bu işlev, güvenilir şekilde çalışmamasına neden olabilecek bazı açıklara sahiptir. tcp Bir kullanıcıya karşı TCP SYN saldırısı: Bağlantı kurulur kurulmaz kapanan 1000 eşzamanlı bağlantıdan oluşan port ve tanımlı IP adresi. http Bir kullanıcı üzerinden TCP portu 80'e bağlanma: Tanımlı IP adresi ve HTTP "GET /" taleplerini tekrarlanan şekilde gerçekleştirme. Verisign idefense, yukarıda belirtilen yerleşik DDoS saldırısı komutlarından herhangi birinin yürütülmesi esnasında hiçbir IP adresi sahteciliğinin meydana gelmediğini belirlemiştir; buna paralel olarak gözlenen çoğu saldırgan IP'si, azaltma hızını artıracak şekilde yasal olacaktır. Ancak DBOT zararlı yazılımı, reverse shell işlevi sayesinde bir tehlikeli sistemde isteğe bağlı komut yürütmeye izin verir ve bu da saldırgana, manuel olarak saldırı biçimlerini değiştirmek veya gerektiğinde ek DDoS araçları kurmak için sınırsız bir imkan verir. idefense tarafından analiz edilen zararlı yazılım örneği, 579190b74b86f591097b9b6773c1176b şeklindeki bir MD5 karmasına sahipti. 8

Linux DDoS Zararlı Yazılımını Dağıtmak için Kullanılan "SHELLSHOCK" Verisign idefense araştırmacıları, "Shellshock" Bash güvenlik açığı yoluyla dağıtıldığı gözlenen ELF zararlı yazılımını analiz ettiler. "Shellshock", her tarafa yayılacak şekilde çok sayıda işletim sisteminde (OSX, RedHat, Debian ve birçok gömülü cihaz dahil) kullanılan, Bash shell uygulamasındaki bir dizi kritik güvenlik açığının (CVE-2014-6271 ve sonrası, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 ve CVE-2014-7187) genel adıdır. Güvenlik açığı, GNU Bash sürümleri 1.14 ila 4.3'ün bağımsız değişken ayrıştırıcısındaki ve komutundaki bir kusurdan kaynaklanır. Kusur, eklenen ortam değişkenindeki işlev tanımlarının ardından verilen komutların yanlış işlenmesiyle sonuçlanır. Sorun, ağ tabanlı açıklardan yararlanmayı mümkün kılan oluşturulmuş bir ortam yoluyla saldırganların isteğe bağlı ve zararlı ikili kod yürütmesini olanaklı kılar. Bu güvenlik açığını kullanan zararlı yazılım, özel sabit kodlanmış C&C sunucularıyla iletişim kurar. Bu C&C sunucularıyla oluşturulan bağlantılar, gidip gelen iletişim, komutların alınması ve ham Pastebin bağlantıları formunda ek zararlı içerikler veya yüklere bağlantılar ile sonuçlanır. Zararlı yazılım, Shellshock'u kullanan en son kampanyada dağıtılmadan önce kullanımdadır. Verisign idefense, henüz 20 Ağustos 2014'te Pastebin'de gönderildiği haliyle zararlı yazılım tarafından dağıtılan tam dizelerin kayıtlarına sahiptir. Zararlı yazılım, DDoS saldırıları başlatmak ve İnternet'teki savunmasız sistemlerde yoğun taramalar gerçekleştirmek için ele geçirilmiş sistemi yaygın olarak kullanılan kullanıcı adı ve zayıf parola grubu (yani kök, yönetici, kullanıcı, oturum açma vb.) açısından kontrol eder. Analiz sürecinde Verisign idefense araştırmacıları, yeni bulunan güvenlik açığını kullanan birkaç örnek keşfettiler. idefense tarafından analiz edilen zararlı yazılım örneği, 5B345869F7785F980E8FF7EBC001E0C7 şeklindeki bir MD5 karmasına sahipti. 9

NOTLAR VerisignInc.com 2014 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN, VERISIGN logosu ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc.'in ve Amerika Birleşik Devletleri ve dış ülkelerdeki bağlı kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Tüm diğer ticari markalar ilgili sahiplerinin mülkiyetidir. Verisign Public 201411

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim