Ukrayna’da Birden Fazla Kuruluşu Hedefleyen DDoS Saldırıları

Ukrayna’da Birden Fazla Kuruluşu Hedefleyen DDoS Saldırıları

Şubat 2022’nin başlarından beri, Ukrayna’daki çok sayıda hükümet, askeri, finans ve ticari kuruluş, halka açık web sitelerinin, uygulamalarının ve yardımcı destek altyapılarının, düzenlenen bir DDoS saldırısında hedef alındığını bildirdi. Bu kuruluşlar ve bunların doğrudan bileşenleri ve müşterileri üzerinde önemli doğrudan etkinin yanı sıra, ilişkili web barındırma operatörleri gibi diğer kuruluşlar üzerinde de ikincil etki meydana geldi.

Çevrimiçi devlet hizmetlerine, çevrimiçi web ve mobil bankacılık uygulamalarına ve otomatik vezne makinelerine (ATM’ler) halkın erişimi bu saldırılar nedeniyle kesintiye uğradı. Kablolu ve kablosuz geniş bant İnternet erişimi ve mobil telefon hizmetleri Ukrayna’da büyük ölçüde işlevsel bakımdan kısıtlı kalırken, periyodik, yerel kesintiler de rapor edilmiştir.

NETSCOUT’un ASERT ekibi, devam eden Ukrayna çatışmasıyla ilgili aşağıdaki saldırı ayrıntılarını gözlemledi:

  • 15 Şubat 2022’den beri Ukrayna’yı hedef alan ~2800 DDoS saldırısı
  • 24 saatlik süre boyunca gözlemlenen maksimum saldırı sayısı 271
  • Bant genişliği açısından bugüne kadar gözlemlenen en büyük saldırı, UDP/80 ve UDP/443 hedef bağlantı noktalarını hedefleyen ~103,6 Gbps ntp yansıtma/yükseltme saldırısı.
  • Bugüne kadar gözlemlenen en yüksek volumlu saldırı, hedef bağlantı noktası UDP/7777’yi hedefleyen ~40mpps doğrudan yollu, küçük paket UDP taşma saldırısıydı.

Gözlemlenen Yansıma/Güçlendirme DDoS saldırı vektörleri şunları içerir:

ARMS

CLDAP

DNS

memcached

ntp

SNMP

SSDP

STUN

TCP

WS-DD

Ek olarak, birden çok doğrudan yol (muhtemelen botnet kaynaklı) vektörler şunları içerir:

DNS sorgusu taşmaları

SYN-flood saldırıları

RST-flood saldırıları

ACK-flood saldırıları

Küçük ve büyük paket UDP flood saldırıları

HTTP and HTTP/S flooding

Bugüne kadar nispeten az sayıda çok vektörlü DDoS saldırısı gözlemlendi; bu saldırılar boyunca tek bir saldırıda kullanılan maksimum 4 DDoS vektörü gözlemlendi.

Bugüne kadar bu saldırılarda kullanılan tüm gözlemlenen DDoS vektörlerinin özellikleri yerleşik normlar dahilindedir; saldırı dinamiklerinin ASERT analizi, bu saldırı kampanyasında standart DDoS özellikli botnetlerin ve kiralık DDoS hizmetlerinin kullanıldığını gösterir. Hem kiralık DDoS hem de özel olarak işletilen botnetler genellikle gözlemlenen ölçek, kapsam ve türlerde DDoS saldırıları oluşturmak için kullanılır.

Kullanılan botnetlerin birçoğu bölgesel görünmektedir ve saldırı merkezleri öncelikle Orta Avrupa’da bulunuyor. ASERT, Ukrayna, Rusya, Portekiz, Birleşik Krallık, Amerika Birleşik Devletleri ve Yeni Zelanda’da bulunan botnetlerin (“botlar”) bu saldırılara katıldığını gözlemledi.

Bu saldırı kampanyasında kullanılan hem UDP hem de TCP yansıtıcıların/yükselticilerin dağılımı, Orta Avrupa’daki hedeflere yönelik, kiralık DDoS hizmetleri aracılığıyla başlatılan diğer DDoS saldırılarıyla uyumludur.

Bir güvenlik araştırma firması, bu saldırı kampanyasında kullanılan botnetlerden birinin komuta ve kontrol (C2) merkezinin Hollanda’da bulunduğunu ve söz konusu botnetin bir Mirai botnet olduğunu bildirdi. ASERT analizi, gözlemlenen doğrudan yollu DDoS saldırı vektörlerinin, tipik olarak Mirai botnetleri tarafından sergilenen saldırı yetenekleriyle tutarlı olduğunu doğrulamaktadır.

Bu saldırılar sırasında ASERT tarafından gözlemlenen UDP yansıtma/yükseltme saldırı trafiği, gözlemlenen doğrudan UDP taşma saldırı trafiğiyle birlikte, hedeflenen ağlar/sunucular/hizmetler/uygulamalar için profil dışıdır; hedef bağlantı noktaları UDP/80, UDP/443 ve UDP/7777, görünüşte rastgele UDP yüksek bağlantı noktalarıyla birlikte sürekli olarak hedeflenmiştir. Hedef bağlantı noktası UDP/53’e yönelik DNS sorgusu floodların öncelikle yetkili DNS sunucularını hedef aldığı gözlemlenmiştir.

Görünüşe göre saldırganlar, canlı akışlı İnternet yayınlarını bozmaya niyetli görünmektedir, RTMP yatırımcılarına saldırırken yanlışlıkla birçok İnternet akış hizmeti tarafından kullanılan varsayılan bağlantı noktası ve protokol olan TCP/1935 yerine UDP/1935 hedef bağlantı noktasını hedeflemiş görünüyorlar. Söz konusu saldırganların, geniş izinli ağ erişim kontrol politikalarını ve/veya yetersiz şekilde sağlanan DDoS savunmalarını atlamayı umarak, DDoS saldırı trafiğini meşru RTMP canlı akış trafiği olarak maskelemeye çalışıyor olmaları da mümkündür.

Gözlemlenen SYN-flood, ACK-flood, RST-flood ve TCP yansıma/yükseltme saldırıları, hedeflenen web sunucularının trafik profilleriyle tutarlı olan TCP/80 ve TCP/443 hedef portlarını hedeflemiştir.

Etkiler:

  • Web barındırma ve VPS operatörlerine yönelik başarılı DDoS saldırıları, DDoS saldırılarının doğrudan hedefi olmayan ancak aynı ağ/hizmet/uygulama/içerik teslim altyapısını paylaşan kuruluşları önemli ölçüde etkileyebilir.
  • Devlet kurumları tarafından sağlanan çevrimiçi uygulamaların ve hizmetlerin kesintiye uğraması, kritik hizmetlerin bileşenlerine sunulamamasına neden olabilir.
  • Çevrimiçi finansal ve ticari hizmetlerin kesintiye uğraması, ürün ve hizmet teslimatlarında, bordro ödemelerinde, fatura ödemelerinde, çevrimiçi ve kişisel elektronik perakende ödemelerinde, nakite hazır erişimde vb. gecikmelere neden olabilir.
  • Yansıtma/yükseltme DDoS saldırılarının ikincil etkisi, yanlış yapılandırılmış sunucuları/hizmetleri yansıtıcı/yükseltici olarak kötüye kullanılan kuruluşlar ve bireyler için potansiyel olarak oldukça yüksektir. Bu, kritik görev uygulamalarının ve hizmetlerin kısmen veya tamamen kesintiye uğramasının yanı sıra taşıma kapasitesi tüketimi, durum bilgisi olan güvenlik duvarlarının ve yük dengeleyicilerin durum tablosunun tükenmesi vb. nedeniyle ek hizmet kesintisini içerebilir.

Genel amaçlı ve/veya Nesnelerin İnterneti (IoT) cihazları botnetlere dahil edilen kişiler ve kuruluşlar, güvenliği ihlal edilmiş bu sistemler giden DDoS saldırılarını başlatmak için kullanıldığında olumsuz etkilenebilir. Yansıma/yükseltme saldırılarında olduğu gibi, bu, kritik görev uygulamalarının ve hizmetlerin kısmen veya tamamen kesintiye uğramasının yanı sıra; taşıma kapasitesi tüketimi, durum bilgisi olan güvenlik duvarlarının ve yük dengeleyicilerin durum tablosunun tükenmesi vb. nedeniyle ek hizmet kesintisini içerebilir.

Güvenliği ihlal edilmiş extranet ortak sunucuları, ilgili sunuculara/hizmetlere/uygulamalara karşı DDoS saldırıları başlatmak için kullanılabilir ve genellikle aşırı izin verilen ağ erişim denetimi politikaları, DDoS karşı önlem muafiyetleri vb. nedeniyle mevcut DDoS savunmalarını atlar.

Önerilen Eylemler:

AIF Filtre Listeleri, 30’dan fazla yansıma/amplifikasyon DDoS vektörünün azaltılmasına izin verir ve belirtildiği gibi Sightline/TMS azaltma şablonlarına dahil edilmelidir. AIF Şablonları, birden çok DDoS saldırı vektörünü azaltmak ve ortak sunucu/hizmet/uygulama türlerini korumak için karşı önlem yapılandırma örnekleri sağlar. AIF Filtre Listeleri ve AIF Şablonları, AIF hakkına sahip Sightline/TMS müşterileri tarafından kullanılabilir.

UDP Yansıma/Güçlendirme Koruma önlemi, UDP yansıma/yükseltme DDoS saldırılarını azaltmak için Sightline/TMS operatörleri tarafından kullanılabilir.

İzin Ver/Reddet Listeleri, Sightline/TMS ve AED/APS müşterileri tarafından duruma uygun ağ erişim kontrol politikalarını uygulamak ve ayrıca UDP yansıtma/büyütme saldırılarını ve diğer doğrudan yollu DDoS saldırı türlerini azaltmak için kullanılabilir.

Sightline/TMS operatörleri, HTTP tabanlı uygulama katmanı DDoS saldırılarını azaltmak için aşağıdaki güvenlik önlemleri kullanabilir:

  • HTTP Kimlik Doğrulaması
  • HTTP Hız Sınırlama
  • HTTP İstek Hızı Sınırlama
  • HTTP Yükü Normal İfadesi

AED/APS operatörleri, HTTP tabanlı uygulama katmanı DDoS saldırılarını azaltmak için aşağıdaki korumalardan yararlanabilir:

  • HTTP Hız Sınırlama
  • HTTP Başlığı Normal İfadeleri
  • Uygulama Hatalı Davranış Analizi

Netscout Arbor Sightline müşterileri, Profilli Yönlendirici TCP uyarıları aracılığıyla HTTP ve HTTP/S uygulama katmanı DDoS saldırılarını algılayabilir ve sınıflandırabilir; Toplam Trafik uyarıları; veya protokol 6’yı (TCP), 1024-65535 kaynak bağlantı noktalarını ve tüm geçerli hedef TCP bağlantı noktalarını veya TCP/80 ve TCP/443 gibi ortak hedef TCP bağlantı noktalarını kapsayacak şekilde yapılandırılmış özel hatalı kullanım uyarıları. Bu aynı kriterleri kullanan Profilli Yönetilen Nesnelerin oluşturulması, saldırı trafiğini daha fazla karakterize etmede ve meşru trafikten ayırmada da kullanılabilir.

Sightline/TMS ve AED/APS IP Filter List karşı önlemi, saldırı kaynağı tanımlamasına dayalı olarak tüm DDoS saldırı türlerini azaltmak için kullanılabilir. Engellenecek kaynakları belirlemek için ilgili sunucu/uygulama/hizmet yöneticileriyle birlikte saldırı kaynağı analizi kullanılmalıdır. IP Filtre Listesi karşı önleminin, engellenen kaynaklardan kaynaklanan tüm gelen trafiği düşüreceğine dikkat edilmelidir. Görüş Hattı/TMS ve AED/APS Zombi Tespiti karşı önlemi [AED/APS’de Esnek Hıza Dayalı Engelleme], saldırı trafiğine karşı meşru trafik için belirli sınıflandırma kriterlerinin belirlenmesine dayalı olarak doğrudan yollu DDoS saldırılarını azaltmak için kullanılabilir.

Bu tür sınıflandırma kriterlerini belirlemek için yukarıda belirtilen trafik sınıflandırma mekanizmaları kullanılmalıdır. Hem aşırı engellemenin hem de yetersiz engellemenin en aza indirilmesini sağlamak için özen gösterilmelidir. Sightline/TMS ve AED/APS Payload Regexp karşı önlemleri, ayrıntılı paket özelliklerine dayalı olarak DDoS saldırılarını azaltmak için kullanılabilir. Görüş Hattı/TMS Yük Normal İfadesi önleminin Dinamik Trafik Analizi (DTA) işlevi, ‘Trafiğe Dayalı Yapılandır’ seçeneğini seçerek ve sistem tarafından oluşturulan sınıflandırıcıları değerlendirerek, gerektiğinde değiştirerek ve bunları kullanarak uygulanabilir. PCRE sınıflandırıcılarını türetmek için kullanılabilir. DDoS saldırı trafiğini sınıflandırır.

Payload Regexp önlemi, HTTP/S trafiğinin şifre çözme sonrasında incelenmesine izin verecek şekilde yerleştirilmiş TMS’ler aracılığıyla HTTP/S saldırılarını azaltmak için kullanılabilir. HTTP/S trafiğini denetlemek için yapılandırılan AED/APS sistemleri, HTTP/S uygulama katmanı saldırılarını azaltmak için kullanılabilir; aksi takdirde, şifre çözme sonrası HTTP/S trafiğinin incelenmesine izin verecek şekilde yerleştirilmelidirler.

Görüş hattı/TMS ve AED/APS operatörleri, kaynak düğümlerin GeoIP sınıflandırmasına dayalı olarak DDoS saldırılarını azaltmak için IP Konum Filtre Listeleri karşı önlemini [AED/APS’de IP Konumu] kullanabilir.

Karşı önlem seçimi, ayarlanması ve konuşlandırılmasının özellikleri, bireysel ağların/kaynakların özelliklerine bağlı olarak değişecektir; optimal karşı önlem seçimi ve istihdamı ile ilgili olarak ilgili Netscout Arbor hesap ekiplerine ve/veya ATAC’a danışılabilir.

Tüm olası DDoS saldırı azaltma önlemleri, ağlara dağıtılmadan önce duruma uygun bir şekilde test edilmeli ve özelleştirilmelidir.

Uygulanabilir Netscout Arbor Çözümleri: Netscout Arbor Sightline, Netscout Arbor TMS, Netscout Arbor AED/APS.

Yorum yok

Yorum yaz

Yorum
İsim
E-Mail
Website

Inforte Bilişim A.Ş. tarafından işbu form ile elde edilen kişisel verileriniz esas olarak iş süreçlerimizin iyileştirilmesine yönelik çalışmaların yürütülmesi amacıyla işlenebilecek ve yurt dışında yerleşik hosting firmamıza aktarılabilecektir. Mevzuat kapsamındaki haklarınız ile ilgili diğer detaylara ilişkin aydınlatma metnine buradan erişebilirsiniz.