DDoS攻撃とPDoS攻撃の違いは何ですか?


15

デフォルトのユーザー名とパスワードを使用してモノのインターネットデバイスを攻撃し、本質的に分散型サービス拒否(DDoS)を生成するように配線されているウイルスであるMiraiワームについて、私はある程度読みました。

ただし、最近、別のワームであるBrickerBotについても読んでいます。これは、モノのインターネットデバイスに対するウイルス攻撃でもあります。thenextweb.comのこの記事によると、永続的なサービス拒否(PDoS)が発生します。

サービス拒否に関連するこれら2つの攻撃の違いは何ですか?そうでなければ、これらのIoT攻撃に関連するDDoSとPDoSの違いは何ですか?


どちらもDoS攻撃ですが、残りはすべて異なります。
user253751

回答:


16

DDoSと「PDoS」

1. DDoS(参照用)

従来の分散型サービス拒否攻撃(DDos)は、何らかのアプリケーション(MiraiLizardStressergafgytなど)を介して制御されるノードで構成される分散システム(ボットネット)が使用されるサービス拒否(DoS)攻撃のクラスです。ターゲットシステムのリソースまたは枯渇点までのシステム。これの適切な説明はsecurity.SEで与えられます。

Miraiが制御するボットネットがサービス拒否を達成する方法の説明は、Incapsulaの分析で見つけることができます。

このカテゴリのほとんどのマルウェアと同様に、Miraiは2つの主要な目的のために構築されています。

  • IoTデバイスを見つけて侵害し、ボットネットをさらに成長させます。
  • リモートC&Cから受信した指示に基づいてDDoS攻撃を開始します。

募集機能を実現するために、MiraiはIPアドレスの広範なスキャンを実行します。これらのスキャンの目的は、推測が容易なログイン資格情報(通常は工場出荷時のユーザー名とパスワード(例:admin / admin))を介してリモートアクセスできるセキュリティ保護されていないIoTデバイスを見つけることです。

みらいはパスワードを推測するためにブルートフォーステクニック、つまり辞書攻撃を使用しています...

Miraiの攻撃機能により、HTTPフラッドおよびさまざまなネットワーク(OSIレイヤー3-4)DDoS攻撃を開始できます。HTTPフラッドを攻撃する場合、Miraiボットは次のデフォルトユーザーエージェントの背後に隠れます...

ネットワーク層攻撃の場合、MiraiはGRE IPおよびGRE ETHフラッド、SYNおよびACKフラッド、STOMP(Simple Text Oriented Message Protocol)フラッド、DNSフラッド、UDPフラッド攻撃を起動できます。

これらのタイプのボットネットは、制御されたデバイスを使用してターゲットシステムに向けられた大量のネットワークトラフィックを生成し、そのシステムによって提供されるリソースが攻撃の間アクセスできないようにすることで、サービスを拒否するリソース枯渇を達成します。攻撃が停止すると、ターゲットシステムのリソースは使い果たされなくなり、正当な着信クライアント要求に再び応答できるようになります。

2.「PDoS」

BrickerBotキャンペーンは根本的に異なります。組み込みシステムをボットネットに統合してからサーバーへの大規模な攻撃を調整する代わりに、組み込みシステム自体が標的になります。

ラドウェアのBrickerBotの投稿「BrickerBot」の結果、永続的なサービス拒否が発生しています

被害者のハードウェアが機能しなくなるように設計された高速移動ボット攻撃を想像してください。Permanent Denial-of-Service(PDoS)と呼ばれるこの形式のサイバー攻撃は、このハードウェアを破壊する攻撃に関連するインシデントが発生するにつれて、2017年にますます一般的になりつつあります。

一部のサークルでは「フラッシング」とも呼ばれているPDoSは、ハードウェアの交換または再インストールが必要になるほどシステムをひどく損傷する攻撃です。セキュリティの欠陥や設定ミスを悪用することにより、PDoSはファームウェアやシステムの基本機能を破壊する可能性があります。よく知られている従兄弟であるDDoS攻撃とは対照的です。DDoS攻撃は、意図しない使用によってリソースを飽和させることを目的とした要求でシステムを過負荷にします。

永続的な無力化を対象とした組み込みシステムには、リモートコントロールの目的でアプリケーションがダウンロードされておらず、ボットネット(エンファシスマイニング)の一部になることはありません。

デバイスの侵害

Bricker Bot PDoS攻撃では、Telnetのブルートフォース(Miraiが使用するのと同じエクスプロイトベクトル)を使用して、被害者のデバイスを侵害しました。Brickerはバイナリをダウンロードしようとしないため、Radwareにはブルートフォース攻撃に使用された資格情報の完全なリストはありませんが、最初に試行されたユーザー名/パスワードのペアが一貫して「root」/「vizxv」であることを記録できました。 '

デバイスの破損

デバイスへのアクセスに成功すると、PDoSボットは一連のLinuxコマンドを実行し、最終的にストレージが破損し、インターネット接続、デバイスのパフォーマンス、およびデバイス上のすべてのファイルを消去するコマンドが実行されます。

3番目の違いは、このキャンペーンには、数千または数百万ではなく、攻撃者が制御する少数のデバイスが関与することです。

ラドウェアのハニーポットは、4日間にわたって、世界中の複数の場所から実行された1,895 PDoSの試行を記録しました。

PDoSの試みは、世界中に広がる限られた数のIPアドレスから発生しました。すべてのデバイスはポート22(SSH)を公開し、Dropbear SSHサーバーの古いバージョンを実行しています。ほとんどのデバイスは、Shodanによってユビキティネットワークデバイスとして識別されました。その中には、ビーム指向性を備えたアクセスポイントとブリッジがあります。

概要

BrickerBotの「PDoS」キャンペーンがMiraiのような従来の「DDoS」キャンペーンと根本的に異なる多くの方法を考えると、類似した用語を使用すると混乱が生じる可能性があります。

  • 通常、DDoS攻撃は、デバイスの分散ネットワークを制御するボットマスターによって実行され、クライアントが攻撃の間サーバーリソースにアクセスできないようにします。一方、「BrickerBot」は組み込みシステムを「ブリック」するキャンペーンです。
  • ボットネットクライアントは、攻撃者によってクライアントにインストールされたアプリケーションを介して制御されます。BrickerBotキャンペーンでは、制御アプリケーション(マルウェアなど)を使用せずに、コマンドがtelnetを介してリモートで実行されます
  • DDoS攻撃は多数(数千、数百万)の制御デバイスを使用しますが、BrickerBotキャンペーンは比較的少数のシステムを使用していわゆる「PDoS」攻撃を調整します
  • BrickerBotキャンペーンは、無能力化のために組み込みシステムをターゲットにしていますが、Miraiなどは、それらをボットネットに統合するために組み込みシステムをターゲットにしています。

優れた詳細な答え!
匿名

早く読みます。おかげで、組み込みシステムのセキュリティに関心があります。
ジュリアン

1
素晴らしい答えです!「PDoS」の説明の最初の段落の後、マルウェアのタイトルが自明であることに気付いた「ああ、わかりました」瞬間がありました。IoTデバイスをブロックするボット。ああ!
リース

1
@PierreLebonはすでにマルウェア戦争がありました-Miraiは明らかに感染したデバイスの制御を望んでいます。
Baldrickk

1
@PierreLebon Miraiのソースコードのkiller.cファイルの関数killer_init()行190から220および関数memory_scan_match()行494から539を見ると、Miraiは競合するボットネットのプロセスと一致するプロセスを検索してデバイスメモリをスキャンし、それらのプロセスを強制終了します。 。Miraiはまた、感染したデバイス上のtelnetを強制終了するため、デバイスを「パッチ」する必要はありません。それはすでに「BrickerBot」から直接攻撃を受けないで
ジュリアン

7

DDoSは短命です。攻撃ベクトルが削除されるか、DDoSが停止すると、デバイスは機能します。(またはミライの場合、残りのインターネットは機能します。)

それはのでPDoSesは、デバイスを更新することはできません二度と、働きます。

MiraiはIoTデバイスをDDoS ソースとして使用しました。Miraiに感染したデバイスは引き続き機能しました。DDoSアスペクトは通常の機能に追加されました。デバイス自体に対するDDoSではありませんでした。

それが正常な機能を排除し、それを削除する方法を提供していなかった場合は、デバイスに対するPDOSされているだろう一般のインターネットに対するDDoS攻撃の源。


ああ、それは理にかなっています。では、brickerbotワームは実際にIoTデバイスを無効にしているのに対し、Miraiは他のサーバーでDDoS攻撃を実行するために単にデバイスをハッキングしただけですか?
匿名

@ anonymous2それは私の理解です、うん。接続されたデバイスをレンガにすることができるのは一般的に迷惑ですが、十分な場合に懸念される実際の危険につながる可能性があります。
デイブニュートン

接続されたデバイスをブリックすることは、大都市の条項を黙示録にもたらすことができるものです!ランナーが最後のパフォーマンスを公開または確認できなくなると、ランナーは大群を形成してさまようようになります...ああ、IOT黙示録のemergencieパックの梱包を開始する必要があります。
ドラッグアンドドロップ

5

Daveが書いたものについて少し詳しく説明すると、主な差別化要因は、DDoSボットネットの場合、IoTデバイスが攻撃者として使用され、通常はデバイスが主要な方法で機能することさえ妨げないことです。これらの攻撃者はすべて、第三者に対してDDoS攻撃を実行できるボットネットを持つ力を失いたくありません。IoTの消費者は通常、何にも気付きません。

ただし BrickerBotはデバイス自体を攻撃し、デバイスを無効にします。したがって、IoTコンシューマは攻撃の標的であり、攻撃の可能性を意図しないプロバイダーではありません。

多くのブログが想定しているように(この例を取り上げます)、ボットはDDoSワームの潜在的なターゲットを減らすための予防攻撃である可能性があります。主に、ボットのネットポテンシャルまたは競合を減らす以外に、単に物を破壊することによって得られるものがほとんどないためです。

これは、IoTメーカー(「イメージ」)と消費者を実際に脅かし、IoTデバイスを適切に保護する緊急性を高める脅威であるため、これは良いことだと考えるかもしれません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.