DDoS vs. "PDoS"
1. DDoS (para referência)
Um ataque de negação de serviço distribuído (DDos) convencional é uma classe de ataques de negação de serviço (DoS) na qual um sistema distribuído (botnet) consistindo em nós controlados por algum aplicativo ( Mirai , LizardStresser , gafgyt etc.) é usado para consumir os recursos do sistema ou sistemas de destino até o ponto de exaustão. Uma boa explicação disso é dada em security.SE .
Uma explicação de como as botnets controladas pela Mirai realizam negação de serviço pode ser encontrada em uma análise da Incapsula :
Como a maioria dos malwares desta categoria, o Mirai é desenvolvido para dois propósitos principais:
- Localize e comprometa os dispositivos de IoT para aumentar ainda mais a botnet.
- Inicie ataques DDoS com base nas instruções recebidas de um C&C remoto.
Para cumprir sua função de recrutamento, a Mirai realiza varreduras abrangentes de endereços IP. O objetivo dessas varreduras é localizar dispositivos IoT com segurança insuficiente que possam ser acessados remotamente por credenciais de login fáceis de adivinhar - geralmente nomes de usuário e senhas padrão de fábrica (por exemplo, admin / admin).
Mirai usa uma técnica de força bruta para adivinhar senhas aka ataques de dicionário ...
A função de ataque da Mirai permite lançar inundações HTTP e vários ataques DDoS de rede (camada OSI 3-4). Ao atacar inundações HTTP, os Mirai bots se escondem atrás dos seguintes user-agents padrão ...
Para ataques de camada de rede, a Mirai é capaz de lançar inundações GRE IP e GRE ETH, bem como inundações SYN e ACK, inundações STOMP (Simple Text Oriented Message Protocol), inundações DNS e ataques de inundação UDP.
Esses tipos de botnets realizam a exaustão de recursos, resultando em negação de serviço usando dispositivos controlados para gerar volumes tão grandes de tráfego de rede direcionados ao sistema de destino que os recursos fornecidos por esse sistema se tornam inacessíveis durante o ataque. Depois que o ataque é interrompido, o sistema de destino não tem mais seus recursos consumidos até o ponto de exaustão e pode novamente responder a solicitações legítimas de clientes recebidos.
2. "PDoS"
A campanha BrickerBot é fundamentalmente diferente: em vez de integrar sistemas incorporados a uma botnet que é usada para orquestrar ataques em larga escala em servidores, os próprios sistemas embarcados são o alvo.
Da publicação de Radware no BrickerBot "BrickerBot" resulta em negação de serviço permanente :
Imagine um ataque de bot em movimento rápido, projetado para impedir o funcionamento do hardware da vítima. Chamada de negação de serviço permanente (PDoS), essa forma de ataque cibernético está se tornando cada vez mais popular em 2017, à medida que ocorrem mais incidentes envolvendo esse ataque prejudicial ao hardware.
Também conhecido livremente como "phlashing" em alguns círculos, o PDoS é um ataque que danifica tanto um sistema que requer substituição ou reinstalação de hardware. Ao explorar falhas de segurança ou configurações incorretas, o PDoS pode destruir o firmware e / ou as funções básicas do sistema. É um contraste com seu conhecido primo, o ataque DDoS, que sobrecarrega os sistemas com solicitações destinadas a saturar recursos por meio de uso não intencional.
Os sistemas embarcados direcionados à incapacidade permanente não têm alguns aplicativos baixados para fins de controle remoto e nunca fazem parte de uma botnet (ênfase minha):
Comprometendo um dispositivo
O ataque PDoS da Bricker Bot usou a força bruta do Telnet - o mesmo vetor de exploração usado pela Mirai - para violar os dispositivos de uma vítima. Como o Bricker não tenta fazer o download de um binário , o Radware não possui uma lista completa de credenciais que foram usadas para a tentativa de força bruta, mas conseguiu registrar que o primeiro par de nome de usuário / senha foi consistentemente 'root' / 'vizxv. "
Corromper um dispositivo
Com o acesso bem-sucedido ao dispositivo, o bot do PDoS executou uma série de comandos do Linux que levariam ao armazenamento corrompido, seguidos de comandos para interromper a conectividade da Internet, o desempenho do dispositivo e a limpeza de todos os arquivos no dispositivo.
Uma terceira diferença é que esta campanha envolve um pequeno número de dispositivos controlados por invasores, em vez de muitos milhares ou milhões:
Durante um período de quatro dias, o honeypot da Radware registrou 1.895 tentativas de PDoS realizadas em vários locais ao redor do mundo.
As tentativas PDoS se originaram de um número limitado de endereços IP espalhados pelo mundo. Todos os dispositivos estão expondo a porta 22 (SSH) e executando uma versão mais antiga do servidor SSH Dropbear. A maioria dos dispositivos foi identificada pela Shodan como dispositivos de rede Ubiquiti; entre eles, pontos de acesso e pontes com diretividade de feixe.
Sumário
Dado o número de maneiras pelas quais a campanha "PDoS" da BrickerBot difere fundamentalmente das campanhas convencionais "DDoS" como a Mirai, o uso de terminologia com som semelhante provavelmente resultará em confusão.
- Os ataques DDoS geralmente são conduzidos por um botmaster com controle sobre uma rede distribuída de dispositivos, a fim de impedir que os clientes acessem os recursos do servidor durante a duração do ataque, enquanto "BrickerBot" é uma campanha para "incorporar" sistemas embarcados
- Os clientes de botnet são controlados por um aplicativo instalado no cliente pelo atacante. Na campanha BrickerBot, os comandos são executados remotamente via telnet sem o uso de um aplicativo de controle (por exemplo, malware)
- Os ataques DDoS empregam um grande número (milhares, milhões) de dispositivos controlados, enquanto a campanha BrickerBot usa um número comparativamente pequeno de sistemas para orquestrar os chamados ataques "PDoS"
- a campanha BrickerBot visa sistemas embarcados para incapacitação, enquanto Mirai e similares visam sistemas embarcados para integrá-los a uma botnet