Akamai : 3 nouveaux vecteurs d’attaques DDoS par réflexion

0
103

Akamai Technologies, Inc. publie une nouvelle alerte cyber-sécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant de nouvelles techniques de réflexion.

Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel.

Qu’est-ce qu’une attaque DDoS par réflexion ?

Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs : l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.

« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique Stuart Scholly, senior vice président et général manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »

Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.

Attaque DDoS par réflexion via le serveur NetBIOS

L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal de NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.

Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.

Attaque DDoS par réflexion via le mécanisme RPC portmap

La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).

Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.

Attaque DDoS par réflexion via Sentinel

La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.

Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.

Neutralisation des attaques DDoS et renforcement des systèmes

Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cyber-sécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel.

« Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet », conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maitrisés avec un système de détection des intrusions. »

Pour en savoir plus sur ces menaces DDoS par réflexion et les techniques de neutralisation applicables, l’alerte de cyber-sécurité est téléchargeable gratuitement.