Яка різниця між DDoS-атакою та PDoS-атакою?

Я прочитав певну кількість про черв'яка Mirai , вірусу, який атакує пристрої Internet of Things, використовуючи за замовчуванням імена користувачів та паролі, і, по суті, його проводять для отримання розподіленого відмови в службі (DDoS).

Однак я нещодавно читав про іншого хробака, BrickerBot , також вірусну атаку на пристрої Internet of Things. Згідно з цією статтею на thenextweb.com приводить до постійного відмови в обслуговуванні (PDoS).

Яка різниця між цими двома атаками, що стосується відмови у наданні послуги? В іншому випадку, яка різниця між DDoS та PDoS стосовно цих атак IoT?

DDoS проти "PDoS"

1. DDoS (для довідки)

Звичайна розподілена атака відмови в обслуговуванні (DDos) - це клас атак відмови в обслуговуванні (DoS), в якому для споживання використовується розподілена система (ботнет), що складається з вузлів, керованих через якусь програму ( Mirai , LizardStresser , gafgyt тощо). ресурси цільової системи або систем до точки вичерпання. Хороше пояснення цьому дано на безпеці.SE .

Пояснення того, як підконтрольні Міраї ботнети відмовляються від послуги, можна знайти в аналізі Incapsula :

Як і більшість шкідливих програм у цій категорії, Mirai створений для двох основних цілей:

• Знайдіть і компромісуйте пристрої IoT для подальшого зростання ботнету.
• Запускайте DDoS-атаки на основі інструкцій, отриманих від віддаленого C&C.

Щоб виконати функцію набору, Mirai здійснює широкомасштабне сканування IP-адрес. Мета цих сканувань полягає у пошуку недостатньо захищених IoT-пристроїв, до яких можна отримати віддалений доступ через легко вгадувані облікові дані для входу - як правило, фабричні імена користувачів та паролі (наприклад, адміністратор / адміністратор).

Мірай використовує грубу силу техніки для відгадування паролів, також атак на словник ...

Функція атаки Mirai дозволяє йому запускати потоки HTTP та різні мережеві (OSI-рівень 3-4) DDoS-атаки. Під час атаки потоків HTTP боти Міраї ховаються за такими користувачами-агентами за замовчуванням ...

Для нападів мережевого шару Mirai здатний запускати паводки GRE IP та GRE ETH, а також повені SYN та ACK, протоки STOMP (Simple Text Oriented Message Protocol), повені DNS та атаки поводження UDP.

Ці типи ботнетів досягають вичерпання ресурсів, що призводить до відмови в обслуговуванні за допомогою керованих пристроїв для генерації таких великих обсягів мережевого трафіку, спрямованого на цільову систему, що ресурси, що надаються цією системою, стають недоступними протягом тривалості атаки. Як тільки атака припиняється, цільова система більше не споживає своїх ресурсів до моменту вичерпання і може знову відповідати на законні вхідні запити клієнтів.

2. "PDoS"

Кампанія BrickerBot принципово відрізняється: замість того, щоб інтегрувати вбудовані системи в ботнет, який потім використовується для оркестрування масштабних атак на сервери, самі вбудовані системи є ціллю.

З публікації Radware на BrickerBot "BrickerBot" Результати постійного відмови в обслуговуванні :

Уявіть, що швидко рухається бот-атака, призначена для забезпечення функціонування обладнання жертви. Ця форма кібератаки, яка називається постійною відмовою в обслуговуванні (PDoS), набуває все більшої популярності у 2017 році, оскільки трапляється все більше інцидентів, пов’язаних з цим шкідливим для апаратних дій нападом.

Також відомий як «флайшинг» у деяких колах, PDoS - це атака, яка так сильно пошкоджує систему, що вимагає заміни або перевстановлення обладнання. Використовуючи недоліки безпеки або неправильні конфігурації, PDoS може знищити прошивку та / або основні функції системи. Це протиставлення його відомому двоюрідному братові, атаці DDoS, яка перевантажує системи запитами, призначеними для насичення ресурсів шляхом невмисного використання.

Вбудовані системи, орієнтовані на постійну недієздатність, не завантажують на них додатків для віддаленого керування і ніколи не є частиною ботнету (міна акценту):

Компрометують пристрій

Атака PDoS Bricker Bot використовувала грубу силу Telnet - той самий вектор експлуатації, який використовував Мірай - для порушення пристроїв жертви. Bricker не намагається завантажити бінарний файл , тому Radware не має повного списку облікових даних, які використовувались для спроби грубої спроби, але змогли записати, що перша спроба пароля ім'я користувача / пароля послідовно «root» / 'vizxv. '

Пошкодження пристрою

Після успішного доступу до пристрою, бот PDoS виконав ряд команд Linux, які в кінцевому підсумку призведуть до пошкодженого сховища, за яким послідують команди для переривання підключення до Інтернету, продуктивності пристрою та витирання всіх файлів на пристрої.

Третя відмінність полягає в тому, що ця кампанія передбачає невелику кількість пристроїв, керованих зловмисниками, замість багатьох тисяч чи мільйонів:

Протягом чотирьох днів медовий горщик Radware зафіксував 1895 спроб PDoS, виконаних з декількох країн світу.

Спроби PDoS виникають із обмеженої кількості IP-адрес, розповсюджених по всьому світу. Усі пристрої відкривають порт 22 (SSH) та працюють у більш старій версії сервера Dropbear SSH. Більшість пристроїв були визначені Shodan як мережеві пристрої Ubiquiti; серед них - точки доступу та мости із спрямованістю променя.

Підсумок

Зважаючи на кількість способів, якими кампанія BrickerBot "PDoS" принципово відрізняється від звичайних "DDoS" кампаній, таких як Mirai, використання подібної звукової термінології, ймовірно, призведе до плутанини.

• DDoS-атаки, як правило, проводяться ботмейстером з контролем над розподіленою мережею пристроїв, щоб запобігти доступу клієнтів до ресурсів сервера протягом тривалості атаки, тоді як "BrickerBot" - це кампанія "цегли" вбудованих систем
• Клієнтами Botnet керують через додаток, встановлений на клієнта зловмисником. У кампанії BrickerBot команди віддалено виконуються через telnet без використання керуючої програми (наприклад, зловмисне програмне забезпечення)
• DDoS-атаки використовують велику кількість (тисяч, мільйонів) керованих пристроїв, тоді як кампанія BrickerBot використовує порівняно невелику кількість систем для оркестрування так званих "PDoS" атак
• кампанія BrickerBot націлена на вбудовані системи для недієздатності, тоді як Mirai та подібні цільові вбудовані системи з метою інтеграції їх у ботнет

DDoSes є ефемерними. Після того, як вектор атаки видалений або DDoS припиняє роботу пристрою. (Або у випадку Міраї, решта Інтернету працює.)

PDoSes оновлює пристрій, щоб він більше не міг працювати.

Мірай використовував пристрої IoT як джерело DDoS . Пристрої, заражені Міраєм, все ще працювали; аспект DDoS був додатково до їх нормальної функціональності. Це був не DDoS проти самого пристрою.

Якби він усунув нормальне функціонування і не мав можливості його видалити, це було б PDoS проти пристрою та джерелом DDoS проти Інтернету взагалі.

Трохи підкреслюючи те, що написав Дейв, головним диференціюючим фактором є те, що у випадку ботових мереж DDoS пристрої IoT використовуються як нападники, як правило, навіть не перешкоджаючи функціонуванню пристроїв. Зрештою, ці зловмисники не хочуть втрачати сили мати бот-сітку, яка здатна здійснювати DDoS-атаки на третіх сторін. Споживач IoT зазвичай нічого не помічає.

Однак BrickerBot атакує самі пристрої та вимикає пристрій. Таким чином, споживач IoT є об'єктом атаки, а не мимовільним постачальником потенціалу атаки.

Як вважає багато блогів ( візьмемо цей приклад ), бот може бути превентивним ударом для зменшення потенційних цілей для черв'яків DDoS. Головним чином, тому, що дуже просто можна знищити речі, окрім зменшення чистого потенціалу бота - або конкуренції.

Можна вважати це хорошою справою, оскільки це загроза, яка фактично загрожує виробникам IoT (зображення) та споживачеві, збільшуючи терміновість належної безпеки пристроїв IoT.