Quelle est la différence entre une attaque DDoS et une attaque PDoS?

15

J'ai lu un certain nombre d'informations sur le ver Mirai , un virus qui attaque les appareils de l'Internet des objets en utilisant des noms d'utilisateur et des mots de passe par défaut et est essentiellement câblé pour produire un déni de service distribué (DDoS).

Cependant, j'ai récemment lu un autre ver, BrickerBot , également une attaque de virus sur les appareils de l'Internet des objets. Selon cet article sur thenextweb.com, il en résulte un déni de service permanent (PDoS).

Quelle est la différence entre ces deux attaques en ce qui concerne le déni de service? Autrement dit, quelle est la différence entre DDoS et PDoS en ce qui concerne ces attaques IoT?

security mirai anonyme2
la source
Ce sont deux attaques DoS, mais tout le reste est différent.
user253751

Réponses:

16

DDoS contre "PDoS"

1. DDoS (pour référence)

Une attaque par déni de service distribué classique (DDos) est une classe d'attaques par déni de service (DoS) dans laquelle un système distribué (botnet) composé de nœuds contrôlés via une application ( Mirai , LizardStresser , gafgyt , etc.) est utilisé pour consommer les ressources du ou des systèmes cibles jusqu'à l'épuisement. Une bonne explication est donnée sur security.SE .

Une analyse de Incapsula explique comment les botnets contrôlés par Mirai parviennent à un déni de service :

Comme la plupart des logiciels malveillants de cette catégorie, Mirai est conçu pour deux objectifs principaux:

  • Localisez et compromettez les appareils IoT pour développer davantage le botnet.
  • Lancez des attaques DDoS en fonction des instructions reçues d'un C&C distant.

Pour remplir sa fonction de recrutement, Mirai effectue des analyses étendues d'adresses IP. Le but de ces analyses est de localiser les appareils IoT sous-sécurisés qui pourraient être accessibles à distance via des informations de connexion facilement devinables, généralement des noms d'utilisateur et des mots de passe par défaut (par exemple, admin / admin).

Mirai utilise une technique de force brute pour deviner les mots de passe alias les attaques par dictionnaire ...

La fonction d'attaque de Mirai lui permet de lancer des inondations HTTP et diverses attaques DDoS réseau (couche OSI 3-4). Lors de l'attaque des inondations HTTP, les robots Mirai se cachent derrière les agents utilisateurs par défaut suivants ...

Pour les attaques de couche réseau, Mirai est capable de lancer des inondations GRE IP et GRE ETH, ainsi que des inondations SYN et ACK, des inondations STOMP (Simple Text Oriented Message Protocol), des inondations DNS et des attaques UDP.

Ces types de réseaux de zombies épuisent les ressources, ce qui entraîne un déni de service en utilisant des appareils contrôlés pour générer des volumes de trafic réseau si importants dirigés vers le système cible que les ressources fournies par ce système deviennent inaccessibles pendant la durée de l'attaque. Une fois l'attaque terminée, le système cible n'a plus ses ressources consommées au point d'épuisement et peut à nouveau répondre aux demandes entrantes légitimes des clients.

2. "PDoS"

La campagne BrickerBot est fondamentalement différente: au lieu d'intégrer des systèmes embarqués dans un botnet qui est ensuite utilisé pour orchestrer des attaques à grande échelle sur des serveurs, les systèmes embarqués eux-mêmes sont la cible.

Du message de Radware sur BrickerBot « BrickerBot » entraîne un déni de service permanent :

Imaginez une attaque de bot en mouvement rapide conçue pour empêcher le matériel de la victime de fonctionner. Appelée déni de service permanent (PDoS), cette forme de cyberattaque devient de plus en plus populaire en 2017, car de plus en plus d'incidents impliquant cette attaque dommageable pour le matériel se produisent.

Également connu sous le nom de «phlashing» dans certains cercles, PDoS est une attaque qui endommage un système si gravement qu'il nécessite le remplacement ou la réinstallation du matériel. En exploitant des failles de sécurité ou des erreurs de configuration, PDoS peut détruire le firmware et / ou les fonctions de base du système. C'est un contraste avec son cousin bien connu, l'attaque DDoS, qui surcharge les systèmes avec des demandes destinées à saturer les ressources par une utilisation non intentionnelle.

Les systèmes embarqués ciblés pour une incapacité permanente n'ont pas d'application téléchargée sur eux à des fins de contrôle à distance et ne font jamais partie d'un botnet (c'est moi qui souligne):

Compromettre un appareil

L'attaque Bricker Bot PDoS a utilisé la force brute Telnet - le même vecteur d'exploit utilisé par Mirai - pour violer les appareils d'une victime. Bricker n'essaie pas de télécharger un binaire , donc Radware ne dispose pas d'une liste complète des informations d'identification qui ont été utilisées pour la tentative de force brute, mais a pu enregistrer que la première paire nom d'utilisateur / mot de passe tentée était systématiquement `` root '' / `` vizxv. "

Corruption d'un appareil

Après un accès réussi à l'appareil, le bot PDoS a exécuté une série de commandes Linux qui conduiraient finalement à un stockage corrompu, suivies de commandes pour perturber la connectivité Internet, les performances de l'appareil et l'effacement de tous les fichiers sur l'appareil.

Une troisième différence est que cette campagne implique un petit nombre d'appareils contrôlés par des attaquants, au lieu de plusieurs milliers ou millions:

Sur une période de quatre jours, le pot de miel de Radware a enregistré 1 895 tentatives PDoS effectuées à partir de plusieurs endroits à travers le monde.

Les tentatives PDoS provenaient d'un nombre limité d'adresses IP réparties dans le monde. Tous les appareils exposent le port 22 (SSH) et exécutent une ancienne version du serveur Dropbear SSH. La plupart des appareils ont été identifiés par Shodan comme des appareils réseau Ubiquiti; parmi eux se trouvent des points d'accès et des ponts à directivité de faisceau.

Sommaire

Étant donné le nombre de différences entre la campagne "PDoS" de BrickerBot et les campagnes "DDoS" conventionnelles comme Mirai, l'utilisation d'une terminologie similaire semble entraîner de la confusion.

  • Les attaques DDoS sont généralement menées par un botmaster avec un contrôle sur un réseau distribué d'appareils afin d'empêcher les clients d'accéder aux ressources du serveur pendant la durée de l'attaque, tandis que "BrickerBot" est une campagne de "brique" des systèmes embarqués
  • Les clients Botnet sont contrôlés via une application installée sur le client par l'attaquant. Dans la campagne BrickerBot, les commandes sont exécutées à distance via telnet sans l'utilisation d'une application de contrôle (par exemple un malware)
  • Les attaques DDoS utilisent un grand nombre (des milliers, des millions) d'appareils contrôlés, tandis que la campagne BrickerBot utilise un nombre relativement faible de systèmes pour orchestrer les attaques dites «PDoS»
  • la campagne BrickerBot cible les systèmes embarqués pour incapacité, tandis que Mirai et similaires ciblent les systèmes embarqués afin de les intégrer dans un botnet
julien
la source
Excellente réponse détaillée!
anonymous2
Wow vous lisez aussi vite. Et merci, je m'intéresse à la sécurité des systèmes embarqués
julian
1
Très bonne réponse! Après votre premier paragraphe pour l'explication "PDoS", j'ai eu le moment "oh je vois" où j'ai réalisé que le titre du malware est à peu près explicite. Le robot qui brique les appareils IoT. Duh!
Reece
1
@PierreLebon, il y avait déjà une guerre contre les logiciels malveillants - Mirai veut évidemment contrôler les appareils qu'il infecte, et pour ce faire, il essaie déjà d'éliminer (certains) autres logiciels malveillants s'il a déjà été infecté.
Baldrickk
1
@PierreLebon si vous regardez les killer_init()lignes de fonction 190 à 220 et les memory_scan_match()lignes de fonction 494 à 539 dans le fichier killer.c du code source de Mirai , vous constaterez que Mirai analyse la mémoire de l'appareil à la recherche de processus correspondant à ceux des botnets concurrents et tue ensuite ces processus . Mirai tue également telnet sur les appareils qu'il infecte, il n'est donc pas nécessaire de "patcher" l'appareil; il n'est déjà pas susceptible d'attaque directe de "BrickerBot"
julian
7

Les DDoS sont éphémères. Une fois le vecteur d'attaque supprimé ou le DDoS arrêté, l'appareil fonctionne. (Ou dans le cas de Mirai, le reste d'Internet fonctionne.)

PDoSes met à jour l'appareil pour qu'il ne puisse plus jamais fonctionner.

Mirai a utilisé des appareils IoT comme source DDoS . Les appareils infectés par Mirai fonctionnaient toujours; l'aspect DDoS s'ajoutait à leur fonctionnalité normale. Ce n'était pas un DDoS contre l'appareil lui-même.

S'il avait éliminé le fonctionnement normal et n'avait fourni aucun moyen de le supprimer, il aurait été un PDoS contre l'appareil et la source d'un DDoS contre Internet en général.

Dave Newton
la source
Ah, ça a du sens. Ainsi, le ver brickerbot est en train de faire disparaître les appareils IoT, alors que Mirai a simplement piraté l'appareil afin d'effectuer une attaque DDoS sur d'autres serveurs?
anonymous2
@ anonymous2 C'est ma compréhension, yup. Être capable de briquer des appareils connectés est généralement ennuyeux, mais cela peut conduire à un danger réel dans suffisamment de cas.
Dave Newton
La brique des appareils connectés est ce qui peut amener la clause des grandes villes à l'apocalypse! Une fois que le coureur ne pourra pas publier ou vérifier sa dernière performance, il commencera à errer en formant une horde entière ... Oh je dois commencer à emballer un pack d'émergence apocalypse IOT.
Drag and Drop
5

En développant un peu ce que Dave a écrit, le principal facteur de différenciation est qu'en cas de réseaux de robots DDoS, les appareils IoT sont utilisés comme attaquants, ce qui n'entrave généralement pas le fonctionnement des appareils de manière majeure. Après tout, ces attaquants ne veulent pas perdre le pouvoir d'avoir un bot net capable de mener des attaques DDoS sur des tiers. Le consommateur IoT ne remarque généralement rien.

Le BrickerBot attaque cependant les appareils eux-mêmes et désactive l'appareil. Ainsi, le consommateur IoT est la cible de l'attaque et non le fournisseur involontaire de potentiel d'attaque.

Comme de nombreux blogs le supposent ( prenez cet exemple ), le bot peut être une attaque préventive pour réduire les cibles potentielles des vers DDoS. Principalement parce qu'il y a très peu à gagner en détruisant simplement des trucs, en plus de réduire le potentiel net du bot - ou la concurrence.

On pourrait considérer cela comme une bonne chose, car il s'agit d'une menace qui menace réellement les fabricants IoT ('image) et le consommateur, augmentant l'urgence de sécuriser correctement les appareils IoT.

Helmar
la source