11月9日、ロシアの大手銀行が主要な公開Webサイトへの攻撃を記録しました。 イベントは、米国大統領選挙の総括に関連する多数の政治メディアイベントと時間的に一致しました。
この時点で、当社の専門家が銀行のインフラストラクチャの外部のペンテストを実施しました(仕事の初日は始まりました)。 世銀は、生産システムへの作業の影響について警告を受けたため、ウェブサイトの運用で観察された問題の原因に関する最初の仮定が結びついたのは外部のペンテストでした。
これが外部からの攻撃であることがすぐに明らかになりました。 銀行の専門家は、サイトのパフォーマンスを維持するための戦いを始めました。 Jet Infosystemsは、金融機関の専門家が共同で攻撃を撃退するのを助けるためにエンジニアを派遣しました。
ISイベントとWebサーバーログの分析に基づいて、次のイベントの年表が記録されました。
11月8日、サイバー犯罪者は、Webサイトスクリプトによるリクエストパラメータの処理に関連する脆弱性を悪用しようとしました(アプリケーションの中断につながるリクエストを生成しようとします)。 被害者の調査があり、特定の攻撃を作成する方法が検索されました。これにより、銀行のサイトを特に無効にすることが保証されます。 これは、サイトのアクセシビリティに大きな影響はありませんでした。 どうやら、攻撃者は興味深いものを見つけることができず、「総当たり」で行動することにしました。
11月9日、深夜から午前6時頃まで、低レベルの低電力洪水(最大10メガビット/秒)を使用して攻撃が行われました。 Webサーバーのリソースを使い果たすことを目的とした、古代のsyn Flood攻撃が使用されました。 ローカルのDDoS防御システムは、この小さな攻撃をうまく撃退しました。
銀行の専門家は、自身の経験から、はるかに強い打撃が続く可能性があることを知っていました。 実際、ハッカーは事前に自分自身を裏切り、銀行が防御を強化することを許可しました。 準備は、より強力で高周波の攻撃を撃退し始めました。特に、通信事業者のチャネルで保護が有効になりました。 これらのアクションは非常にタイムリーでした。
11月9日の前半に、チャネルが主要なチャネルとして選択された通信事業者は、最大350 Mbit / sの容量で攻撃を撃退しました。 銀行システム自体は、このような負荷に対処できませんでした。
攻撃の深刻度を評価し、銀行はDDoSから保護するためにロシアのクラウドサービスの1つに緊急に接続し始めました。 これは一日の終わりまでに行われました。 この脅威は、金融機関のリーダーに報告され、プロセスを可能な限り高速化することができました。
銀行のシステムとプロバイダーのレポートは、攻撃者が実行されている攻撃の非効率性を認識し、さまざまなオプションを整理していることを明らかにしました。 さまざまなタイプが試行されました:低レベルおよび単純(icmpフラッド、synフラッド、スプーフィングされたsynフラッド)、およびアプリケーションレベル。 それらのほとんどは、Webサーバーの利用可能なリソースを使い果たすことを目的としていました。
攻撃者のIPアドレスを分析した結果、ほとんどの場合、既知のプロキシサーバーまたは匿名TORネットワークの出力ノードには含まれておらず、パブリックサービスとして定義されていないことがわかりました。 ボットネットは主に実際のデバイスで使用されていました。 これと攻撃の詳細により、有名なMiraiボットネットの一部が攻撃に関与していると主張するアナリストに同意することができます。 ボットネットのコンポーネントのソースコードは最近ネットワークに投稿されたため、これは元のボットネットではなく、小規模の新しいボットネットであるが、ホームビデオレコーダーを含むハッキングされたIoTデバイスで構成されていると想定しています。
残念ながら、攻撃者は最終的に銀行の保護の弱点を見つけることができました。 プロバイダーもDDoS保護サービスも、合法と悪意のある暗号化トラフィック(HTTPS)を定性的に分離することはできませんでした。 攻撃者はこれを理解し、攻撃の主流を特定のベクトルに向けました。 感染したシステムは、HTTPS経由でサイトを単純に訪問しました。 暗号化には多くのコンピューティングリソースが必要なため、銀行のシステムは負荷に対処できませんでした。 サイトは「敷設」されました。 クライアントはメインページにアクセスできませんでした。インターネットバンキングを使用してください。
おそらく、銀行はWAF(Webを保護するための特殊なファイアウォール)によって支援される可能性があります。 それはインストールされましたが、彼らはそれを運用することができず、銀行のウェブサイトはそれに接続されていませんでした。
金融機関は、攻撃にサイトのインフラストラクチャを緊急に適応させる必要がありました。暗号化は、電力の増加する別のノードに送信され、サイトの一部のページでHTTPSを無効にする必要がありました。 これらの措置により、状況を修正することができましたが、それにもかかわらず、数時間にわたってサイトが誤動作していました。
明らかな損害に加えて、DDoS攻撃により銀行のインフラストラクチャ(仮想化ファーム、通信チャネル、および中間ネットワーク機器)の負荷が増大し、サイトに直接関係のない多くのシステムのパフォーマンスとパフォーマンスの低下につながりました。
敵の攻撃チームに敬意を払う必要があります。 睡眠と休息のない専門家は新しい波を反映しました。 攻撃は、エンジニアの即座の反応と経営陣の支援のおかげで、銀行に比較的小さな損害をもたらしました。 銀行の官僚機構の通常の条件の下で数ヶ月かかる決定は、数分で危機本部によって行われ、実行されました。
PS 11月11日、別のクライアントが攻撃されました。銀行はトップ10からはほど遠い状態です。 これが同じ攻撃の一部であることを明確に言うことは不可能ですが、一般的にそのプロファイルは非常に似ています。
著者:Andrei Yankin、Jet Infosystems、情報セキュリティセンター、コンサルティングヘッド、Sergey Pavlenko、Jet Infosystems、情報セキュリティセンター、エンジニアリングサポートおよびサービスヘッド
ロシアの銀行へのDDoS。 攻撃タイムライン
All Articles