Τρίτη, 23 Ιανουάριος 2018, 11:57 μμ

Επίθεση DDoS μέσω δικτύων διαφημίσεων

Δίκτυο διαφημίσεων σε φορητές συσκευές φαίνεται ότι χρησιμοποιήθηκε προκειμένου περιηγητές εκατοντάδων χιλιάδων κινητών τηλεφώνων να επισκεφθούν μια συγκεκριμένη ιστοσελίδα ταυτόχρονα, ώστε να την “αχρηστεύσουν”.

Δίκτυο διαφημίσεων σε φορητές συσκευές φαίνεται ότι χρησιμοποιήθηκε προκειμένου περιηγητές εκατοντάδων χιλιάδων κινητών τηλεφώνων να επισκεφθούν μια συγκεκριμένη ιστοσελίδα ταυτόχρονα, ώστε να την “ρίξουν”.

Σύμφωνα με όσα αναφέρει η CloudFlare, γνωστή εταιρεία για την προστασία από επιθέσεις denial-of-service, ο ιστότοπος ενός πελάτη της δέχθηκε 4,5 δισεκατομμύρια request μέσα σε λίγες ώρες, προερχόμενα από browsers κινητών τηλεφώνων και μέσω κινεζικών διευθύνσεων IP.

Όπως παρατηρεί ο ειδικός της CloudFlare Marek Majkowski, επιθέσεις Layer 7” flood είχαν έως σήμερα μελετηθεί σε θεωρητικό επίπεδο, αλλά δεν είχαν καταγραφεί σε πραγματικές συνθήκες, λόγω δυσκολιών στον αποτελεσματικό διαμοιρασμό κακόβουλου JavaScript που θα οδηγούσε τόσο μεγάλο αριθμό browser να στείλει HTTP requests σε ένα συγκεκριμένο site.

Βέβαια, ερευνητές ασφαλείας είχαν ήδη προειδοποιήσει για τη δυνατότητα διαμοιρασμού κακόβουλου JavaScript μέσω διαφημίσεων στο Διαδίκτυο.

Από την ανάλυση των log files, ο Majkowski διαπίστωσε ότι η επίθεση μέσω browser κινητών τηλεφώνων έφτασε στο αποκορύφωμά της με 275.000 HTTP requests το δευτερόλεπτο, όπου 80% εξ αυτών προερχόταν από φορητές συσκευές και το 98% αυτών από κινεζικές διευθύνσεις IP. Μεταξύ των browser που καταγράφηκαν περιλαμβάνονται οι εκδόσεις για κινητά τηλέφωνα των Safari, Chrome και MIUI της Xiaomi.

Σύμφωνα με τον Majkowski, «συμβολοσειρές όπως “iThunder” παραπέμπουν σε request προερχόμενα από εφαρμογές φορητών συσκευών. Άλλες όπως “MetaSr”, “F1Browser”, “QQBrowser”, “2345Explorer” και “UCBrowser” παραπέμπουν σε περιηγητές ή εφαρμογές περιηγητών που είναι αρκετά δημοφιλείς στην Κίνα».

Ο ειδικός της CloudFlare εκτιμά ότι η επίθεση πραγματοποιήθηκε μέσω ενός δικτύου διαφημίσεων και μια λογική εξήγηση για τον υπερβολικά μεγάλο αριθμό επισκέψεων σε έναν ιστότοπο που περιείχε κακόβουλο JavaScript είναι να υπήρξε “καθοδήγηση” των browser και των εφαρμογών μέσω διαφημίσεων σε iframes.

Στους χρήστες εμφανίστηκε μια σελίδα που περιείχε κακόβουλο JavaScript, εξαιτίας του οποίου ξεκίνησε ένας τεράστιος αριθμός XHR request εναντίον των server της CloudFlare”, καταλήγει ο Majkowski.

Το ιδιαίτερο ενδιαφέρον που παρουσίαζε η συγκεκριμένη επίθεση οφείλεται στο γεγονός ότι τα request φαινόταν να ξεκινούν από έναν πραγματικό browser και όχι script ή malware, όπως γίνεται συνήθως σε επιθέσεις DdoS.

Από την έρευνα που διεξήγαγαν οι ειδικοί, διαπιστώθηκε ότι τα request σχετίζονταν με μια ιστοσελίδα που περιείχε πλήθος διαφημίσεων και είχε ενσωματωμένο κώδικα JavaScript που φόρτωνε επιπλέον script από άλλα domain. Αυτό το τελευταίο script έδινε οδηγίες στους browsers να πραγματοποιούν κατ’ επανάληψη XHR requests προς τον ιστότοπο – στόχο.

Δίκτυο διαφημίσεων σε φορητές συσκευές φαίνεται ότι χρησιμοποιήθηκε προκειμένου περιηγητές εκατοντάδων χιλιάδων κινητών τηλεφώνων να επισκεφθούν μια συγκεκριμένη ιστοσελίδα ταυτόχρονα, ώστε να την “ρίξουν”. Σύμφωνα με όσα αναφέρει η CloudFlare, γνωστή εταιρεία για την προστασία από επιθέσεις denial-of-service, ο ιστότοπος ενός πελάτη της δέχθηκε 4,5 δισεκατομμύρια request μέσα σε λίγες…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
87

Δείτε επίσης:

Άγνωστοι εξαπέλυσαν μια μεγάλης κλίμακας επίθεση τύπου DDoS στους servers που κρατούν τις top-level διευθύνσεις του παγκόσμιου Internet. Η επίθεση έγινε από αγνώστους στους 13 servers που είναι το root του παγκόσμιου Internet, καθώς σε αυτούς γίνεται η αντιστοίχιση των top-level domain name [.com, .org, .net και εκείνες που αφορούν συγκεκριμένες χώρες ] με τις διευθύνσεις IP των websites.

Επίθεση DDoS στους παγκόσμιους DNS root servers

Άγνωστοι εξαπέλυσαν μια μεγάλης κλίμακας επίθεση τύπου DDoS στους servers που κρατούν τις top-level διευθύνσεις …