DDoS en tant que service dans le cloud
Avec la consolidation du cloud computing et de la virtualisation, un doute très simple me vient à l'esprit: pourquoi les DDoS ne sont-ils pas largement proposés en tant que service? Pourquoi ne voyons-nous pas d'attaques DDoS basées sur le cloud?
vDOS , LizardStresser et d'autres ont proposé un moyen de payer pour attaquer une cible mais ils ont utilisé leur propre infrastructure. Il semble plus sûr et plus simple de simplement facturer un client, d'utiliser une partie de cet argent pour louer des serveurs sur un fournisseur IaaS et créer un botnet basé sur le cloud. De cette façon, on pourrait lancer une attaque de l'intérieur du fournisseur vers une cible spécifique sans même utiliser sa propre structure. Cela pourrait même être utilisé pour usurper des attaques en général. Y a-t-il une raison particulière pour laquelle cela ne se produit pas?
Je n'ai aucune idée de la difficulté de construire un botnet dans l'un ou l'autre contexte (standard ou basé sur le cloud), s'il serait plus facile de se faire prendre dans le cloud ou si cela pouvait simplement être une question de profit.
Merci d'avance.
... mais ils ont utilisé leur propre infrastructure
Ce n'est pas vraiment le leur infrastructure ce qu'ils utilisent. Ils utilisent à la place des botnets constitués de systèmes piratés. Ce sont des systèmes qu'ils possèdent mais qui ne leur appartiennent certainement pas. Et c'est donc très bon marché pour eux.
En dehors de cela, tout fournisseur de VPS qui louerait son VPS pour des attaques DDoS perdrait rapidement sa réputation et donc ses clients. Et si un fournisseur de VPS se spécialise alors dans la fourniture de VPS pour les attaques DDoS pour compenser la perte de clients normaux, il serait plus facile de bloquer ces DDoS car ils sont tous originaires des mêmes réseaux, c'est-à-dire simplement couper ce fournisseur d'avoir accès à grands réseaux.
Les attaques DoS basées sur le cloud sont possibles et se produisent de temps en temps. Mais ce n'est pas une option très populaire pour plusieurs raisons:
Configuration initiale - Déployer des centaines de machines virtuelles n'est pas une mince affaire, et leur paiement n'est pas simple non plus. Cependant, si vous utilisez la machine virtuelle de quelqu'un d'autre, cela rend les choses beaucoup plus faciles.
Détection - De nombreux fournisseurs, y compris Azure, surveillent leurs services pour rechercher toute activité malveillante. En fait, le lancement d'attaques à partir de leurs systèmes viole leur ToS et vous obligera à vous arrêter très rapidement.
Cependant, la possibilité d'avoir des milliers de machines réparties dans le monde, générant chacune du trafic, peut être très puissante. Si vous voulez aller plus loin, tunnelez votre trafic à travers le réseau Tor, pour qu'il soit presque impossible pour un défenseur de s'arrêter.
Cela a déjà été fait auparavant:
En 2012, un groupe de cybercriminels a exploité la vulnérabilité CVE-2014-3120 Elasticsearch 1.1.x, suivi de l'utilisation du cheval de Troie DDoS Linux Mayday et, avec cela, ils ont compromis plusieurs machines virtuelles Amazon EC2. Bien que cette vulnérabilité ne soit pas propre aux systèmes cloud et aurait pu être utilisée contre n'importe quel serveur, y compris les systèmes non cloud, elle a ouvert des opportunités intéressantes aux attaquants. Ils ont pu lancer une attaque DDoS basée sur UDP à partir des instances de cloud compromises. Ils ont utilisé la bande passante sortante du fournisseur de services cloud, Amazon dans ce cas. Source: Infosec Institute
Se faire prendre - c'est plus difficile. De nos jours, créer et déployer des machines virtuelles est aussi simple que de s'inscrire à un identifiant de messagerie anonyme, d'enregistrer et de déployer des machines. Cependant, fournisseurs le seront avis de grandes quantités de trafic provenant d'un système. Puisque vous violez leurs ToS, ils vous fermeront presque toujours immédiatement. Cependant, comme vous ne dévoilez jamais votre identité réelle (en supposant que vous accédez à leurs services via un anonymiseur et que vous utilisez des cartes de crédit volées (pas de morale;])), ils ne seront généralement pas en mesure de découvrir votre véritable identité. Mais cela signifie que vous videz votre argent - c'est pourquoi il est tout simplement plus simple de configurer votre propre infrastructure et de l'offrir en tant que service.
Le plus drôle, c'est que ce que vous décrivez est disponible en ce moment. Cela s'appelle Mirai, c'est plus ou moins open source, et les chances sont vous en avez déjà été affecté
Mirai est un type de malware qui détecte automatiquement les appareils de l'Internet des objets pour les infecter et les conscrit dans un botnet, un groupe de dispositifs informatiques qui peuvent être contrôlés de manière centralisée. À partir de là, cette armée IoT peut être utilisée pour monter des attaques par déni de service distribué (DDoS) dans lesquelles un tuyau d'incendie de trafic indésirable inonde les serveurs d'une cible de trafic malveillant. Au cours des dernières semaines, Mirai a interrompu le service Internet de plus de 900 000 clients de Deutsche Telekom en Allemagne et infecté près de 2 400 routeurs TalkTalk au Royaume-Uni. Cette semaine, les chercheurs ont publié des preuves que 80 modèles d'appareils photo Sony sont vulnérables à une prise de contrôle Mirai.
Ces attaques ont été activées à la fois par l’énorme armée de modems et de webcams sous le contrôle de Mirai, et par le fait qu’un pirate connu sous le nom de "Anna-senpai" a choisi d’ouvrir le code source en septembre. Bien qu’il n’y ait rien de particulièrement nouveau dans le logiciel de Mirai, il s’est révélé remarquablement flexible et adaptable. En conséquence, les pirates peuvent développer différentes souches de Mirai qui peuvent prendre le contrôle de nouveaux appareils IoT vulnérables et augmenter la population (et la puissance de calcul) sur lesquelles les botnets Mirai peuvent puiser.
Il y a beaucoup, beaucoup d'appareils IoT qui inondent le marché. Tout le monde veut une technologie "intelligente". Mais, comme c'est généralement le cas, la sécurité est une réflexion après coup. Nous avons donc mis cet appareil là-bas et il est sur Internet pour que quiconque puisse le contacter et l'utiliser comme bon lui semble. Et la plupart des utilisateurs (et en effet les FAI) ne le remarqueront probablement pas
Avance rapide de 45 minutes supplémentaires. Le routeur a été réinitialisé et le réseau a été reconstitué. Au moment où j'ai fini de déconner, Peakhour avait mon trafic à 470 Go. Mais je m'étais débarrassé du problème (du moins je le pensais). Le lendemain matin, avant de partir pour le week-end, j'ai vérifié: le trafic total était d'environ 500 Go. Peut-être que j'avais vaincu les hackers.
Cette nuit-là, j'ai entendu Donna. Elle surveillait le trafic, qui dépassait désormais 3 To. Et, juste pour nous assurer que nous n'avions aucun doute, les appareils ont de nouveau été déconnectés du réseau.
La révélation que quelque chose n'allait pas? Son téléphone a utilisé l'intégralité de son allocation 4G malgré son domicile. Son FAI n'a jamais battu un cil à 3 To de bande passante consommée
En fin de compte, vous pouvez compter sur des personnes techniquement analphabètes et des entreprises qui ne se soucient pas de fournir tous les appareils de botnet dont vous aurez besoin.
Les fournisseurs de cloud ont généralement besoin de l'identité de leur client. Si un jeune pirate entreprenant souhaitait louer Amazon Web Services ou similaire, il devrait fournir un numéro de carte de crédit (ou plus) au service, qui peut être retracé jusqu'au propriétaire. Les services cloud ne veulent pas s'engager dans DDOS car leurs réseaux seraient bloqués et cela leur coûterait de l'argent en bande passante.
Il existe des services où vous pouvez louer un VPS de manière anonyme en Bitcoin, mais ils sont généralement plus petits et ils ne veulent pas non plus être bloqués par leur liaison montante ou des pairs.
Voilà pourquoi ce n'est pas courant. Les DDOS sont généralement considérés comme des comportements antisociaux et les sociopathes ne représentent que 4% de la population.
La clé de votre question se trouve dans le premier "D".
Ce qui rend une attaque DDoS si efficace, c'est la nature distribuée de cette attaque. Avec une attaque DoS à l'ancienne, la victime rencontrait généralement un grand nombre de demandes ou de connexions à un serveur ou une ressource spécifique provenant d'un seul ou d'un petit nombre de sources. Pour atténuer l'attaque, vous pouvez simplement bloquer le trafic provenant des systèmes attaquants. Souvent, cela peut être fait par le pare-feu local ou similaire.
Sous l'attaque DDoS, la victime est inondée de demandes provenant d'un grand nombre de sources différentes. Le nombre est trop élevé pour être bloqué individuellement et le volume des attaquants surchargera généralement toutes les infrastructures locales telles que les pare-feu et les commutateurs réseau. Dans ce scénario, vous devez généralement travailler avec votre FAI pour que le trafic vers le système cible soit envoyé vers un `` trou noir '', ce qui réduira le volume et permettra à l'infrastructure locale de récupérer, mais cela signifie généralement que le DDoS sur le système spécifique réussit (car le trafic vers ce système est envoyé vers le trou noir). Le point clé est que, parce que l'attaque est distribuée, il est très difficile de bloquer les systèmes attaquants.
Donc, en ce qui concerne votre question concernant les services DDoS basés sur le cloud - cela dépend dans une certaine mesure de votre définition du cloud. Une définition serait tout service qui ne se trouve pas sur votre propre infrastructure et qui est fourni à partir du "cloud". En ce sens, les attaques DDoS sont déjà basées sur le cloud. Ils n'utilisent pas la propre infrastructure des attaquants, mais utilisent plutôt des hôtes que l'attaquant a compromis ou des hôtes identifiés par l'attaquant qui ont des services mal configurés ou manquent de contrôles suffisants pour les empêcher d'être utilisés dans le cadre d'une attaque DDoS. Par exemple, l'une des raisons pour lesquelles l'IoT suscite tant d'inquiétude est que bon nombre de ces appareils IoT incluent des services qui peuvent être exploités dans le cadre d'une attaque DDoS et manquent de contrôles suffisants pour empêcher cette exploitation par des utilisations à distance inconnues.
Si vous définissez le cloud comme étant uniquement des fournisseurs IaaS, PaaS et SaaS, la situation est légèrement différente. Il est peu probable que ces services soient utilisés pour effectuer l'attaque réelle simplement parce que l'attaque DDoS repose sur un nombre élevé d'attaquants et pouvoir utiliser ce nombre de fournisseurs de cloud est prohibitif - rappelez-vous que les fournisseurs de cloud n'accepteront pas ce type d'utilisation de leur infrastructure, vous devrez donc le faire de manière `` furtive '', ce qui devient de plus en plus difficile à mesure que les fournisseurs de cloud bloquent ce qui est considéré comme une utilisation appropriée de leur infrastructure (rappelez-vous, ils ont une réputation à maintenir - s'ils deviennent connus en tant qu'hôte pour les `` mauvais acteurs '', les FAI et autres bloqueront simplement le trafic de leurs adresses IP ).
Cela ne signifie pas que les attaquants n'utilisent pas les services cloud. Ce que vous constaterez souvent, c'est que les fournisseurs de services DDoS utiliseront les services cloud comme centre de commande et de contrôle pour leurs agents/bots DDoS. Ils doivent toujours le faire de manière furtive car la plupart des services cloud réputés désactiveront tous les utilisateurs qu'ils détectent en faisant de telles choses, mais cela est beaucoup plus difficile à détecter et ils n'ont besoin que de quelques fournisseurs de cloud. Les agents/bots qu'ils utilisent pour effectuer réellement les attaques sont généralement des ordinateurs de bureau et des serveurs compromis, souvent dans des systèmes domestiques qui ont de moins bons contrôles de sécurité et de plus en plus d'appareils IoT, dont beaucoup se trouvent également dans des environnements domestiques ou de petits bureaux qui manquent de mesures de sécurité d'entreprise ou qualifiés. administrateurs système, etc.