DDoSと「PDoS」
1. DDoS(参照用)
従来の分散型サービス拒否攻撃(DDos)は、何らかのアプリケーション(Mirai、LizardStresser、gafgytなど)を介して制御されるノードで構成される分散システム(ボットネット)が使用されるサービス拒否(DoS)攻撃のクラスです。ターゲットシステムのリソースまたは枯渇点までのシステム。これの適切な説明はsecurity.SEで与えられます。
Miraiが制御するボットネットがサービス拒否を達成する方法の説明は、Incapsulaの分析で見つけることができます。
このカテゴリのほとんどのマルウェアと同様に、Miraiは2つの主要な目的のために構築されています。
- IoTデバイスを見つけて侵害し、ボットネットをさらに成長させます。
- リモートC&Cから受信した指示に基づいてDDoS攻撃を開始します。
募集機能を実現するために、MiraiはIPアドレスの広範なスキャンを実行します。これらのスキャンの目的は、推測が容易なログイン資格情報(通常は工場出荷時のユーザー名とパスワード(例:admin / admin))を介してリモートアクセスできるセキュリティ保護されていないIoTデバイスを見つけることです。
みらいはパスワードを推測するためにブルートフォーステクニック、つまり辞書攻撃を使用しています...
Miraiの攻撃機能により、HTTPフラッドおよびさまざまなネットワーク(OSIレイヤー3-4)DDoS攻撃を開始できます。HTTPフラッドを攻撃する場合、Miraiボットは次のデフォルトユーザーエージェントの背後に隠れます...
ネットワーク層攻撃の場合、MiraiはGRE IPおよびGRE ETHフラッド、SYNおよびACKフラッド、STOMP(Simple Text Oriented Message Protocol)フラッド、DNSフラッド、UDPフラッド攻撃を起動できます。
これらのタイプのボットネットは、制御されたデバイスを使用してターゲットシステムに向けられた大量のネットワークトラフィックを生成し、そのシステムによって提供されるリソースが攻撃の間アクセスできないようにすることで、サービスを拒否するリソース枯渇を達成します。攻撃が停止すると、ターゲットシステムのリソースは使い果たされなくなり、正当な着信クライアント要求に再び応答できるようになります。
2.「PDoS」
BrickerBotキャンペーンは根本的に異なります。組み込みシステムをボットネットに統合してからサーバーへの大規模な攻撃を調整する代わりに、組み込みシステム自体が標的になります。
ラドウェアのBrickerBotの投稿「BrickerBot」の結果、永続的なサービス拒否が発生しています。
被害者のハードウェアが機能しなくなるように設計された高速移動ボット攻撃を想像してください。Permanent Denial-of-Service(PDoS)と呼ばれるこの形式のサイバー攻撃は、このハードウェアを破壊する攻撃に関連するインシデントが発生するにつれて、2017年にますます一般的になりつつあります。
一部のサークルでは「フラッシング」とも呼ばれているPDoSは、ハードウェアの交換または再インストールが必要になるほどシステムをひどく損傷する攻撃です。セキュリティの欠陥や設定ミスを悪用することにより、PDoSはファームウェアやシステムの基本機能を破壊する可能性があります。よく知られている従兄弟であるDDoS攻撃とは対照的です。DDoS攻撃は、意図しない使用によってリソースを飽和させることを目的とした要求でシステムを過負荷にします。
永続的な無力化を対象とした組み込みシステムには、リモートコントロールの目的でアプリケーションがダウンロードされておらず、ボットネット(エンファシスマイニング)の一部になることはありません。
デバイスの侵害
Bricker Bot PDoS攻撃では、Telnetのブルートフォース(Miraiが使用するのと同じエクスプロイトベクトル)を使用して、被害者のデバイスを侵害しました。Brickerはバイナリをダウンロードしようとしないため、Radwareにはブルートフォース攻撃に使用された資格情報の完全なリストはありませんが、最初に試行されたユーザー名/パスワードのペアが一貫して「root」/「vizxv」であることを記録できました。 '
デバイスの破損
デバイスへのアクセスに成功すると、PDoSボットは一連のLinuxコマンドを実行し、最終的にストレージが破損し、インターネット接続、デバイスのパフォーマンス、およびデバイス上のすべてのファイルを消去するコマンドが実行されます。
3番目の違いは、このキャンペーンには、数千または数百万ではなく、攻撃者が制御する少数のデバイスが関与することです。
ラドウェアのハニーポットは、4日間にわたって、世界中の複数の場所から実行された1,895 PDoSの試行を記録しました。
PDoSの試みは、世界中に広がる限られた数のIPアドレスから発生しました。すべてのデバイスはポート22(SSH)を公開し、Dropbear SSHサーバーの古いバージョンを実行しています。ほとんどのデバイスは、Shodanによってユビキティネットワークデバイスとして識別されました。その中には、ビーム指向性を備えたアクセスポイントとブリッジがあります。
概要
BrickerBotの「PDoS」キャンペーンがMiraiのような従来の「DDoS」キャンペーンと根本的に異なる多くの方法を考えると、類似した用語を使用すると混乱が生じる可能性があります。
- 通常、DDoS攻撃は、デバイスの分散ネットワークを制御するボットマスターによって実行され、クライアントが攻撃の間サーバーリソースにアクセスできないようにします。一方、「BrickerBot」は組み込みシステムを「ブリック」するキャンペーンです。
- ボットネットクライアントは、攻撃者によってクライアントにインストールされたアプリケーションを介して制御されます。BrickerBotキャンペーンでは、制御アプリケーション(マルウェアなど)を使用せずに、コマンドがtelnetを介してリモートで実行されます
- DDoS攻撃は多数(数千、数百万)の制御デバイスを使用しますが、BrickerBotキャンペーンは比較的少数のシステムを使用していわゆる「PDoS」攻撃を調整します
- BrickerBotキャンペーンは、無能力化のために組み込みシステムをターゲットにしていますが、Miraiなどは、それらをボットネットに統合するために組み込みシステムをターゲットにしています。