Qual é a diferença entre um ataque DDoS e um ataque PDoS?

15

Eu li uma certa quantidade sobre o worm Mirai , um vírus que ataca dispositivos da Internet das Coisas usando nomes de usuário e senhas padrão e, essencialmente, está conectado para produzir um DDoS (Distributed Denial of Service).

No entanto, li recentemente sobre outro worm, o BrickerBot , também um ataque de vírus em dispositivos da Internet das Coisas. De acordo com este artigo no thenextweb.com, resulta em uma negação de serviço permanente (PDoS).

Qual é a diferença entre esses dois ataques em relação à negação de serviço? Em outras palavras, qual é a diferença entre DDoS e PDoS em relação a esses ataques de IoT?

security mirai anonymous2
fonte
Ambos são ataques de DoS, mas todo o resto é diferente.
user253751

Respostas:

16

DDoS vs. "PDoS"

1. DDoS (para referência)

Um ataque de negação de serviço distribuído (DDos) convencional é uma classe de ataques de negação de serviço (DoS) na qual um sistema distribuído (botnet) consistindo em nós controlados por algum aplicativo ( Mirai , LizardStresser , gafgyt etc.) é usado para consumir os recursos do sistema ou sistemas de destino até o ponto de exaustão. Uma boa explicação disso é dada em security.SE .

Uma explicação de como as botnets controladas pela Mirai realizam negação de serviço pode ser encontrada em uma análise da Incapsula :

Como a maioria dos malwares desta categoria, o Mirai é desenvolvido para dois propósitos principais:

  • Localize e comprometa os dispositivos de IoT para aumentar ainda mais a botnet.
  • Inicie ataques DDoS com base nas instruções recebidas de um C&C remoto.

Para cumprir sua função de recrutamento, a Mirai realiza varreduras abrangentes de endereços IP. O objetivo dessas varreduras é localizar dispositivos IoT com segurança insuficiente que possam ser acessados ​​remotamente por credenciais de login fáceis de adivinhar - geralmente nomes de usuário e senhas padrão de fábrica (por exemplo, admin / admin).

Mirai usa uma técnica de força bruta para adivinhar senhas aka ataques de dicionário ...

A função de ataque da Mirai permite lançar inundações HTTP e vários ataques DDoS de rede (camada OSI 3-4). Ao atacar inundações HTTP, os Mirai bots se escondem atrás dos seguintes user-agents padrão ...

Para ataques de camada de rede, a Mirai é capaz de lançar inundações GRE IP e GRE ETH, bem como inundações SYN e ACK, inundações STOMP (Simple Text Oriented Message Protocol), inundações DNS e ataques de inundação UDP.

Esses tipos de botnets realizam a exaustão de recursos, resultando em negação de serviço usando dispositivos controlados para gerar volumes tão grandes de tráfego de rede direcionados ao sistema de destino que os recursos fornecidos por esse sistema se tornam inacessíveis durante o ataque. Depois que o ataque é interrompido, o sistema de destino não tem mais seus recursos consumidos até o ponto de exaustão e pode novamente responder a solicitações legítimas de clientes recebidos.

2. "PDoS"

A campanha BrickerBot é fundamentalmente diferente: em vez de integrar sistemas incorporados a uma botnet que é usada para orquestrar ataques em larga escala em servidores, os próprios sistemas embarcados são o alvo.

Da publicação de Radware no BrickerBot "BrickerBot" resulta em negação de serviço permanente :

Imagine um ataque de bot em movimento rápido, projetado para impedir o funcionamento do hardware da vítima. Chamada de negação de serviço permanente (PDoS), essa forma de ataque cibernético está se tornando cada vez mais popular em 2017, à medida que ocorrem mais incidentes envolvendo esse ataque prejudicial ao hardware.

Também conhecido livremente como "phlashing" em alguns círculos, o PDoS é um ataque que danifica tanto um sistema que requer substituição ou reinstalação de hardware. Ao explorar falhas de segurança ou configurações incorretas, o PDoS pode destruir o firmware e / ou as funções básicas do sistema. É um contraste com seu conhecido primo, o ataque DDoS, que sobrecarrega os sistemas com solicitações destinadas a saturar recursos por meio de uso não intencional.

Os sistemas embarcados direcionados à incapacidade permanente não têm alguns aplicativos baixados para fins de controle remoto e nunca fazem parte de uma botnet (ênfase minha):

Comprometendo um dispositivo

O ataque PDoS da Bricker Bot usou a força bruta do Telnet - o mesmo vetor de exploração usado pela Mirai - para violar os dispositivos de uma vítima. Como o Bricker não tenta fazer o download de um binário , o Radware não possui uma lista completa de credenciais que foram usadas para a tentativa de força bruta, mas conseguiu registrar que o primeiro par de nome de usuário / senha foi consistentemente 'root' / 'vizxv. "

Corromper um dispositivo

Com o acesso bem-sucedido ao dispositivo, o bot do PDoS executou uma série de comandos do Linux que levariam ao armazenamento corrompido, seguidos de comandos para interromper a conectividade da Internet, o desempenho do dispositivo e a limpeza de todos os arquivos no dispositivo.

Uma terceira diferença é que esta campanha envolve um pequeno número de dispositivos controlados por invasores, em vez de muitos milhares ou milhões:

Durante um período de quatro dias, o honeypot da Radware registrou 1.895 tentativas de PDoS realizadas em vários locais ao redor do mundo.

As tentativas PDoS se originaram de um número limitado de endereços IP espalhados pelo mundo. Todos os dispositivos estão expondo a porta 22 (SSH) e executando uma versão mais antiga do servidor SSH Dropbear. A maioria dos dispositivos foi identificada pela Shodan como dispositivos de rede Ubiquiti; entre eles, pontos de acesso e pontes com diretividade de feixe.

Sumário

Dado o número de maneiras pelas quais a campanha "PDoS" da BrickerBot difere fundamentalmente das campanhas convencionais "DDoS" como a Mirai, o uso de terminologia com som semelhante provavelmente resultará em confusão.

  • Os ataques DDoS geralmente são conduzidos por um botmaster com controle sobre uma rede distribuída de dispositivos, a fim de impedir que os clientes acessem os recursos do servidor durante a duração do ataque, enquanto "BrickerBot" é uma campanha para "incorporar" sistemas embarcados
  • Os clientes de botnet são controlados por um aplicativo instalado no cliente pelo atacante. Na campanha BrickerBot, os comandos são executados remotamente via telnet sem o uso de um aplicativo de controle (por exemplo, malware)
  • Os ataques DDoS empregam um grande número (milhares, milhões) de dispositivos controlados, enquanto a campanha BrickerBot usa um número comparativamente pequeno de sistemas para orquestrar os chamados ataques "PDoS"
  • a campanha BrickerBot visa sistemas embarcados para incapacitação, enquanto Mirai e similares visam sistemas embarcados para integrá-los a uma botnet
juliano
fonte
Excelente resposta detalhada!
anonymous2
Uau, você leu tão rápido. E graças, tenho um interesse na segurança de sistemas embarcados
Julian
11
Ótima resposta! Após seu primeiro parágrafo para a explicação "PDoS", tive o momento "oh, eu vejo", em que percebi que o título do malware é praticamente auto-explicativo. O Bot que os dispositivos IoT de tijolos. Duh!
Reece
11
@PierreLebon já houve uma guerra de malware - a Mirai obviamente deseja controlar os dispositivos que infecta e, para isso, já tenta derrubar (alguns) outros malwares se já estiver infectado.
precisa
11
@PierreLebon se você observar as killer_init()linhas de função 190 a 220 e as memory_scan_match()linhas de função 494 a 539 no arquivo killer.c no código-fonte da Mirai , descobrirá que a Mirai varre a memória do dispositivo em busca de processos correspondentes aos das redes de bots concorrentes e, posteriormente, mata esses processos . O Mirai também mata o telnet nos dispositivos infectados, portanto não há necessidade de "corrigir" o dispositivo; já não é suscetível ao ataque direto a partir de "BrickerBot"
Julian
7

DDoSes são efêmeros. Depois que o vetor de ataque é removido ou o DDoS para, o dispositivo funciona. (Ou, no caso de Mirai, o resto da internet funciona.)

Os PDoSes atualizam o dispositivo para que ele não funcione mais uma vez.

A Mirai usou dispositivos de IoT como uma fonte DDoS . Os dispositivos infectados com Mirai ainda funcionavam; o aspecto DDoS era um acréscimo à funcionalidade normal. Não era um DDoS contra o próprio dispositivo.

Se ele tivesse eliminado o funcionamento normal e não tivesse como removê-lo, seria um PDoS contra o dispositivo e a fonte de um DDoS contra a Internet em geral.

Dave Newton
fonte
Ah, isso faz sentido. Portanto, o worm brickerbot está na verdade desativando os dispositivos IoT, enquanto o Mirai simplesmente invadiu o dispositivo para executar um ataque DDoS em outros servidores?
anonymous2
@ anonymous2 Esse é o meu entendimento, sim. Ser capaz de bloquear dispositivos conectados geralmente é apenas irritante, mas pode levar a um perigo real em casos suficientes para se preocupar.
Dave Newton
Bricks dispositivos conectados é o que pode levar a cláusula das grandes cidades ao apocalipse! Uma vez que o corredor não possa publicar ou verificar sua última apresentação, ele começará a vagar formando uma horda inteira ... Oh, eu devo começar a empacotar um pacote de emergências de apocalipse da IOT.
Drag and Drop
5

Elaborando um pouco o que Dave escreveu, o principal fator de diferenciação é que, no caso de redes DDoS bot, os dispositivos IoT são usados ​​como atacantes, geralmente nem mesmo impedindo que os dispositivos funcionem de maneira importante. Afinal, esses invasores não querem perder o poder de ter uma rede de bots capaz de realizar ataques DDoS a terceiros. O consumidor de IoT geralmente não percebe nada.

O BrickerBot, no entanto, ataca os próprios dispositivos e desativa o dispositivo. Portanto, o consumidor da IoT é o alvo do ataque e não o provedor inconsciente do potencial de ataque.

Como muitos blogs assumem ( veja este exemplo ), o bot pode ser um ataque preventivo para reduzir os alvos em potencial para worms DDoS. Principalmente porque há muito pouco a ganhar apenas destruindo coisas, além de reduzir o potencial líquido de bot - ou a concorrência.

Pode-se considerar isso uma coisa boa, pois é uma ameaça que realmente ameaça os fabricantes de IoT ('imagem) e o consumidor, aumentando a urgência de proteger adequadamente os dispositivos da IoT.

Helmar
fonte