Невинных посетителей сайта обманом втянули в ДДОС-атаку

Исследователи обнаружили новую атаку на отказ в обслуживании, применявшую невиданную ранее технику, чтобы тайком заставить тысячи обычных пользователей интернета бомбить цель огромным количеством мусорного трафика.

Эксплуатировалась уязвимость веб-приложения на одном из крупнейших и наиболее популярных видеосайтов интернета. Вредоносный jаvascript, внедренный в иконки учетных записей, созданных злоумышленниками, заставил всех, кто просматривал посты пользователей, выполнять атакующий код, приказывавший их браузеру отправлять жертве DoS-атаки один запрос в секунду. Данный прием заставил 22,000 простых веб-пользователей невольно завалить цель 20 миллионами GET запросов.

Один запрос в секунду – немного, но если речь идет о видео длиной 10, 20 или 30 минут с тысячами просмотров ежеминутно, атака быстро становится очень крупной и крайне опасной. Понимая это, нарушитель продуманно прокомментировал популярные видео, тем самым создав самоподдерживающийся ботнет, состоящий из десятков тысяч захваченных браузеров и управляемый невинными посетителями сайта, пришедшие посмотреть забавные видео с кошками.

Новую атаку позволило осуществить наличие уязвимости хранимого межсайтового скриптинга (XSS) на видеосайте, входившем в список 50 лучших сайтов Alexa. Эксплойты XSS позволяют злоумышленникам хранить на сайте вредоносный jаvascript, вызываемый при каждом посещении сайта кем-либо. Зловредные иконки пользователей содержали тег iframe, загружавший вредоносные команды с контролируемого злоумышленниками управляющего сервера. Зловредные команды вынуждали браузеры незаметно затопить цель DDoS чрезвычайно большим количеством запросов GET. Последствия атаки удалось смягчить с помощью сочетания поступательных проверок и поведенческих защитных алгоритмов.

Помните червь Samy?

Атаки, использующие колоссальную мощь уязвимостей XSS, - не новость. Они вошли в моду в 2005 с появлением червя Samy. Названный в честь его создателя, хакера по имени Samy Kamkar, XSS-эксплойт вывел из строя MySpace на день, заставив всех, кто просмотрел профиль хакера, стать его друзьями на MySpace. Менее чем за 24 часа Kamkar, позже отсидевший в тюрьме за свою выходку, приобрел более миллиона подписчиков.

Суть хранимого XSS в том, что хакеру не нужно нацеливаться на определенных пользователей. Вредоносный jаvascript хранится на сайте и воспроизводится для всех, кто посещает его в дальнейшем. Данный конкретный jаvascript вынуждал каждый выполнявший его браузер ежесекундно делать запрос.

В прошлом году специалисты продемонстрировали экспериментальную рекламную сеть, создавшую ботнет на базе браузера с помощью методики, подобной произошедшей эксплуатации уязвимости XSS.

Механизм доставки в наблюдавшейся атаке был иным, так как происходил из хранимой XSS на сайте, а не в рекламной сети. Единственное отличие заключалось в том, как вредоносный jаvascript выполнялся в браузере пользователя(бота). Вместо тегов изображений злоумышленники использовали теги, делавшие один запрос каждую секунду, тогда как в эксперименте загружалось как можно больше изображений во время выполнения кода jаvascript.

Три месяца назад хакеры использовали другой новый метод, чтобы резко увеличить объем DDoS атак на онлайн-игры и другие сайты. Вместо того чтобы непосредственно заваливать целевые сайты потоками данных, злоумышленники отправляли мелкие запросы данных на серверы синхронизации времени, работающие по протоколу сетевого времени. Подделывая запросы так, чтобы они казались поступившими от одного из игровых сайтов, хакеры смогли резко увеличить мощь атаки. Техника, использующая протокол сетевого времени, дает 58-кратный прирост интенсивности атаки или даже больше. Негодяи давно эксплуатируют незащищенные сервера службы доменных имен для увеличения объема мусорного трафика в ходе DDoS атак.

Вышеуказанная атака говорит о постоянно развивающейся природе интернет-атак и показывает, как единственная уязвимость на сайте может иметь серьезные последствия для всего интернета, даже для тех, кто никак не касается дефектного сайта.