Sự khác biệt giữa tấn công DDoS và tấn công PDoS là gì?

Tôi đã đọc một số lượng nhất định về sâu Mirai , một loại virus tấn công các thiết bị Internet of Things bằng tên người dùng và mật khẩu mặc định và về cơ bản là có dây để tạo ra Từ chối dịch vụ phân tán (DDoS).

Tuy nhiên, gần đây tôi đã đọc về một con sâu khác, BrickerBot , cũng là một cuộc tấn công của virus vào các thiết bị Internet of Things. Theo bài viết này trên thenextweb.com dẫn đến việc từ chối dịch vụ vĩnh viễn (PDoS).

Sự khác biệt giữa hai cuộc tấn công này có liên quan đến việc từ chối dịch vụ là gì? Nói cách khác, sự khác biệt giữa DDoS và PDoS liên quan đến các cuộc tấn công IoT này là gì?

DDoS so với "PDoS"

1. DDoS (để tham khảo)

Tấn công từ chối dịch vụ phân tán thông thường (DDos) là một loại tấn công từ chối dịch vụ (DoS) trong đó một hệ thống phân tán (botnet) bao gồm các nút được điều khiển thông qua một số ứng dụng ( Mirai , LizardStresser , gafgyt , v.v.) được sử dụng để tiêu thụ các tài nguyên của hệ thống đích hoặc các hệ thống đến mức cạn kiệt. Một lời giải thích tốt về điều này được đưa ra trên security.SE .

Một lời giải thích về cách các botnet do Mirai kiểm soát hoàn thành việc từ chối dịch vụ có thể được tìm thấy trong một phân tích của Incapsula :

Giống như hầu hết các phần mềm độc hại trong danh mục này, Mirai được xây dựng cho hai mục đích cốt lõi:

• Xác định vị trí và thỏa hiệp các thiết bị IoT để tiếp tục phát triển botnet.
• Khởi chạy các cuộc tấn công DDoS dựa trên các hướng dẫn nhận được từ C & C từ xa.

Để thực hiện chức năng tuyển dụng của mình, Mirai thực hiện quét các địa chỉ IP trên phạm vi rộng. Mục đích của các lần quét này là để xác định vị trí các thiết bị IoT được bảo mật có thể truy cập từ xa thông qua thông tin đăng nhập có thể đoán được dễ dàng, thường là tên người dùng và mật khẩu mặc định (ví dụ: admin / admin).

Mirai sử dụng một kỹ thuật vũ phu để đoán mật khẩu hay còn gọi là tấn công từ điển ...

Chức năng tấn công của Mirai cho phép nó khởi động lũ HTTP và các cuộc tấn công DDoS mạng khác nhau (lớp OSI 3-4). Khi tấn công lũ HTTP, các bot Mirai ẩn đằng sau các tác nhân người dùng mặc định sau đây ...

Đối với các cuộc tấn công lớp mạng, Mirai có khả năng phát động lũ GRE IP và GRE ETH, cũng như lũ lụt SYN và ACK, lũ lụt STOMP (Giao thức tin nhắn văn bản đơn giản), lũ lụt DNS và tấn công lũ UDP.

Các loại botnet này hoàn thành cạn kiệt tài nguyên dẫn đến việc từ chối dịch vụ bằng cách sử dụng các thiết bị được kiểm soát để tạo ra lưu lượng mạng lớn như vậy hướng đến hệ thống đích mà tài nguyên do hệ thống đó cung cấp không thể truy cập được trong suốt thời gian bị tấn công. Khi cuộc tấn công chấm dứt, hệ thống đích không còn tiêu tốn tài nguyên của nó đến mức cạn kiệt và một lần nữa có thể đáp ứng các yêu cầu khách hàng hợp pháp.

2. "PDoS"

Chiến dịch BrickerBot về cơ bản là khác nhau: thay vì tích hợp các hệ thống nhúng vào mạng botnet, sau đó được sử dụng để điều phối các cuộc tấn công quy mô lớn vào máy chủ, chính các hệ thống nhúng là mục tiêu.

Từ bài đăng của Radware trên BrickerBot ngay BrickerBot Kết quả từ chối dịch vụ từ chối vĩnh viễn :

Hãy tưởng tượng một cuộc tấn công bot di chuyển nhanh được thiết kế để khiến phần cứng của nạn nhân hoạt động. Được gọi là Dịch vụ từ chối vĩnh viễn (PDoS), hình thức tấn công mạng này đang ngày càng trở nên phổ biến trong năm 2017 khi nhiều sự cố liên quan đến vụ tấn công gây thiệt hại phần cứng này xảy ra.

Còn được biết đến một cách lỏng lẻo như là phlashing, trong một số vòng tròn, PDoS là một cuộc tấn công làm hỏng hệ thống nghiêm trọng đến mức nó yêu cầu thay thế hoặc cài đặt lại phần cứng. Bằng cách khai thác các lỗi bảo mật hoặc cấu hình sai, PDoS có thể phá hủy phần sụn và / hoặc các chức năng cơ bản của hệ thống. Nó trái ngược với người anh em nổi tiếng của nó, cuộc tấn công DDoS, làm quá tải các hệ thống với các yêu cầu có nghĩa là bão hòa tài nguyên thông qua việc sử dụng ngoài ý muốn.

Các hệ thống nhúng được nhắm mục tiêu cho việc mất khả năng vĩnh viễn không có một số ứng dụng được tải xuống trên chúng cho mục đích điều khiển từ xa và không bao giờ là một phần của botnet (nhấn mạnh của tôi):

Thỏa hiệp một thiết bị

Cuộc tấn công PDoS của Bricker Bot đã sử dụng lực lượng vũ trang Telnet - vectơ khai thác tương tự được Mirai sử dụng - để vi phạm các thiết bị của nạn nhân. Bricker không cố tải xuống tệp nhị phân , vì vậy Radware không có danh sách đầy đủ các thông tin được sử dụng cho nỗ lực vũ phu, nhưng có thể ghi lại rằng cặp tên người dùng / mật khẩu đã thử đầu tiên luôn là 'root' / 'vizxv. '

Lỗi thiết bị

Khi truy cập thành công vào thiết bị, bot PDoS đã thực hiện một loạt các lệnh Linux cuối cùng sẽ dẫn đến lưu trữ bị hỏng, sau đó là các lệnh phá vỡ kết nối Internet, hiệu suất thiết bị và xóa sạch tất cả các tệp trên thiết bị.

Một điểm khác biệt thứ ba là chiến dịch này liên quan đến một số lượng nhỏ các thiết bị do kẻ tấn công kiểm soát, thay vì hàng ngàn hoặc hàng triệu:

Trong thời gian bốn ngày, honeypot của Radware đã ghi nhận 1.895 lần thử PDoS được thực hiện từ một số địa điểm trên khắp thế giới.

Các nỗ lực PDoS có nguồn gốc từ một số lượng hạn chế các địa chỉ IP được lan truyền trên toàn thế giới. Tất cả các thiết bị đều hiển thị cổng 22 (SSH) và chạy phiên bản cũ hơn của máy chủ Dropbear SSH. Hầu hết các thiết bị được Shodan xác định là thiết bị mạng Ubiquiti; trong số đó là Điểm truy cập và Cầu với chỉ thị chùm tia.

Tóm lược

Dựa vào số cách mà chiến dịch "PDoS" của BrickerBot khác về cơ bản so với các chiến dịch "DDoS" thông thường như Mirai, sử dụng thuật ngữ nghe có vẻ tương tự có thể dẫn đến nhầm lẫn.

• Các cuộc tấn công DDoS thường được thực hiện bởi một quản trị viên bot có quyền kiểm soát một mạng thiết bị phân tán để ngăn khách hàng truy cập tài nguyên máy chủ trong suốt thời gian của cuộc tấn công, trong khi "BrickerBot" là một chiến dịch nhằm "gạch" các hệ thống nhúng
• Máy khách Botnet được điều khiển thông qua một ứng dụng được cài đặt trên máy khách bởi kẻ tấn công. Trong chiến dịch BrickerBot, các lệnh được thực thi từ xa qua telnet mà không cần sử dụng ứng dụng kiểm soát (ví dụ như phần mềm độc hại)
• Các cuộc tấn công DDoS sử dụng một số lượng lớn (hàng nghìn, hàng triệu) thiết bị được kiểm soát, trong khi chiến dịch BrickerBot sử dụng một số lượng nhỏ các hệ thống tương đối để dàn xếp các cuộc tấn công được gọi là "PDoS"
• chiến dịch BrickerBot nhắm mục tiêu các hệ thống nhúng để mất khả năng, trong khi Mirai và các hệ thống nhúng mục tiêu tương tự để tích hợp chúng vào mạng botnet

DDoS là phù du. Khi vectơ tấn công được loại bỏ hoặc DDoS dừng thiết bị hoạt động. (Hoặc trong trường hợp của Mirai, phần còn lại của internet hoạt động.)

PDoSes cập nhật thiết bị để nó không thể hoạt động trở lại.

Mirai đã sử dụng các thiết bị IoT làm nguồn DDoS . Các thiết bị bị nhiễm Mirai vẫn hoạt động; khía cạnh DDoS ngoài chức năng bình thường của chúng. Đó không phải là một DDoS chống lại chính thiết bị.

Nếu nó đã loại bỏ chức năng bình thường và không có cách nào để loại bỏ nó, thì đó sẽ là một PDoS chống lại thiết bị và nguồn DDoS chống lại internet nói chung.

Xây dựng một chút về những gì Dave viết, yếu tố khác biệt chính là trong trường hợp bot DDoS , các thiết bị IoT được sử dụng như kẻ tấn công, thường không cản trở chức năng của thiết bị theo bất kỳ cách chính nào. Sau khi tất cả những kẻ tấn công đó không muốn mất sức mạnh của việc có một mạng bot có thể thực hiện các cuộc tấn công DDoS vào bên thứ ba. Người tiêu dùng IoT thường không nhận thấy bất cứ điều gì.

BrickerBot tuy nhiên tấn công chính các thiết bị và vô hiệu hóa thiết bị. Do đó, người tiêu dùng IoT là mục tiêu của cuộc tấn công và không phải là nhà cung cấp tiềm năng tấn công vô tình.

Như rất nhiều blog giả định ( lấy ví dụ này ), bot có thể là một cuộc tấn công phòng ngừa nhằm giảm các mục tiêu tiềm năng cho sâu DDoS. Chủ yếu là vì có rất ít để đạt được chỉ bằng cách phá hủy các công cụ, bên cạnh việc giảm tiềm năng hoặc mạng cạnh tranh bot bot.

Người ta có thể coi đây là một điều tốt, vì đây là một mối đe dọa thực sự đe dọa các nhà sản xuất IoT ('hình ảnh) và người tiêu dùng, làm tăng sự cấp bách để bảo mật các thiết bị IoT đúng cách.