Kaspersky Systems Management
Transcription
Kaspersky Systems Management
STATISTIQUES SUR LES ATTAQUES DDOS ORGANISEES A L’AIDE DE RESEAUX DE ZOMBIES AU T1 2015 Kaspersky Lab Kaspersky Lab Table des matières Méthodologie...................................................................................................................... 2 Bilan du trimestre ................................................................................................................ 3 Répartition géographique des attaques ................................................................................. 4 Dynamique du nombre d'attaques DDoS ............................................................................... 6 Types et durée des attaques DDoS ....................................................................................... 8 Serveurs de commande et types de réseaux de zombies ........................................................ 9 Conclusion ....................................................................................................................... 11 Glossaire .......................................................................................................................... 12 1 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Méthodologie L'attaque de déni de service distribué (DDoS) est une des armes de prédilection des cybercriminels. Elle vise à plonger un système d'informations (un site Internet par exemple) dans un état qui le rend inaccessible aux utilisateurs légitimes. L'attaque DDoS organisée à l'aide de réseaux de zombies est une des méthodes privilégiées. Kaspersky Lab compte de nombreuses années d'expérience reconnue dans la lutte contre la cybercriminalité, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Nos experts surveillent l'activité des réseaux de zombies à l'aide du système DDoS Intelligence et sont ainsi en mesure d'améliorer en continu les technologies de protection contre ce type d'attaque. Le système DDoS Intelligence repose sur l'analyse des commandes envoyées par les centres de commande aux réseaux de bots. Il ne requiert pas la présence du bot sur l'appareil de l'utilisateur, ni l'exécution des commandes envoyées par le serveur. Plusieurs méthodes d'analyse de l'activité DDoS existent. L'une d'entre elles consiste à analyser des attaques menées contre des ressources concrètes (en règle générale, les clients des sociétés chargées de les protéger contre les attaques DDoS). L'analyse de l'activité des réseaux de zombie appliquée à la rédaction de ce rapport permet de ne pas se limiter à des clients précis, mais d'aborder le problème sous un autre angle. Ce rapport expose les statistiques de DDoS Intelligence, récoltées au 1er 2015 (1er janvier au 31 mars), et les compare aux données du 4e trimestre 2014 (1er octobre au 31 décembre 2014). Dans le cadre de notre analyse, l'activité d'un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l'activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérés comme des attaques distinctes. L'adresse IP est l'élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d'attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles. Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu'un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée. 2 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Bilan du trimestre Kaspersky Lab a compté 23 095 attaques DDoS organisées à l'aide de réseaux de zombie au 1er trimestre 2015. Ce chiffre est en recul de 11 % par rapport au trimestre antérieur (25 929 attaques). Au cours de cette période, le nombre de victimes uniques d'attaques DDoS a atteint 12 281 cibles, soit 8 % de moins par rapport 4e trimestre 2014 (13 312 cibles). La Chine, les Etats-Unis et le Canada mènent le classement des pays où les plus grands volumes d'attaques ont été enregistrés. L'attaque la plus longue au 1er trimestre 2015 a duré 140 heures (près de 6 jours) tandis que la ressource la plus ciblée a dû faire face à 21 attaques en 3 mois. Les attaques DDoS SYN flood et HTTP flood auront été les modalités d'attaques DDoS à l'aide de réseau de zombies les plus répandues au 1er trimestre. 3 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Répartition géographique des attaques Au cours de la période couverte par le rapport, Kaspersky Lab a recensé 23 095 attaques DDoS menées contre des ressources situées dans 76 pays. Ce nombre qui avait atteint 25 929 incidents au trimestre dernier est en recul de 11 % tandis que le nombre de pays où se trouvaient les cibles a augmenté (76 contre 66 au T4 2014). A l'instar du 4e trimestre 2014, le trio de tête des pays qui ont comptabilisé le plus grand nombre d'attaques DDoS est composé de la Chine, des Etats-Unis et du Canada. Le Top 10 des pays les plus attaqués a connu de légères modifications, mais sa composition est inchangée. Illustration 1. Top 10 des pays par nombre d'attaques au T4 2014 et T1 2015 Le diagramme montre clairement que l'augmentation du nombre d'attaques contre des ressources situées en Chine et aux Etats-Unis s'accompagne d'une baisse sensible du nombre d'attaques contre des serveurs canadiens Le nombre d'attaques contre des ressources en Russie, en Corée du Nord et en France a également augmenté. Si on analyse le nombre de victimes d'attaques DDos dans chacun des pays, on obtiendra un Top 10 similaire à celui du trimestre précédent. Sur l'ensemble du 1er trimestre 2015, les réseaux de zombies ont attaqués 12 281 victimes, soit un recul de 8 % par rapport au trimestre antérieur (13 312 cibles). 4 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Illustration 2. Top 10 des pays par nombre de victimes uniques d'attaques DDoS au T4 2014 et T1 2015 En Russie, en Corée du Sud et en France, le nombre de ressources attaquées par comparaison au trimestre antérieur a augmenté, à l'instar du nombre d'attaques contre ces pays. Au Canada, l'augmentation du nombre d'attaques n'a pas empêché la réduction du nombre de victimes, ce qui indique que les individus malintentionnés s'acharnent plus sur les mêmes ressources dans ce pays. La position dominante de la Chine et des Etats-Unis dans les classements en fonction du nombre d'attaques et en fonction du nombre de victimes s'explique par le niveau relativement bas des tarifs d'hébergement pratiqués dans ces pays, ce qui amène de nombreuses sociétés à opter pour des hébergeurs de ces pays. Le nombre maximal d'attaques menées contre une ressource au cours du 1er trimestre 2015 a atteint 21. Nombre d'attaques 21 16 15 Ressource Site russophone (groupe d'investissements) Site vietnamien (services de mariage) Hébergeur aux Etats-Unis. Illustration 3. Top 3 des ressources uniques les plus attaquées, T1 2015 Alors que c'est en Chine, aux Etats-Unis et au Canada que l'on a enregistré le plus grand nombre d'attaques, les deux premières places du classement en fonction du nombre d'attaques contre une seule ressource reviennent à la Russie et au Vietnam. La troisième place est occupée par un hébergeur des Etats-Unis. 5 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Dynamique du nombre d'attaques DDoS Au cours du 1er trimestre, le nombre d'attaques DDoS a fortement varié au fil du temps*. L'activité la plus marquée des réseaux de zombies a été enregistrée à la fin du mois de janvier, tandis que la période la plus calme a été enregistrée au milieu du mois de février. Illustration 4. Dynamique du nombre d'attaques DDoS, T1 2015 *Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps. Par conséquent, les données ainsi comptabilisées donneront un nombre d'attaques supérieur (30 054) au nombre obtenu en tenant compte séparément de chaque attaque ininterrompue (23 095). Comme le montre le diagramme ci-dessous, le mois de décembre 2014 a enregistré un pic sensible du nombre d'attaques DDoS organisées via des réseaux de zombies, avant de connaître une réduction progressive en janvier et en février, puis de repartir à la hausse en mars. Le pic enregistré en décembre peut être associé aux fêtes et aux congés de fin d'année lorsque les criminels tentent de nuire au fonctionnement des sites et des services recherchés par les utilisateurs. 6 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Illustration 5. Nombre d'attaques par mois, T4 2014 - T1 2015 Au 1er trimestre 2015, le jeudi aura été le jour le plus actif pour les attaques via réseaux de zombies. Au trimestre dernier, il s'agissait du lundi. Le dimanche demeure le jour le moins populaire pour les individus malintentionnés. Illustration 6. Jours de la semaine les plus plébiscités pour les attaques DDoS au T4 2014 et au T1 2015 7 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Types et durée des attaques DDoS Parmi les caractéristiques les plus importantes d'une attaque DDoS, il faut épingler sa durée et son scénario d'exécution car ces deux éléments déterminent l'ampleur des dégâts subis par la victime. La grande majorité des attaques analysée au cours de la période du rapport a duré moins de 24 heures. Alors que des attaques dont la durée avait atteint deux semaines ont été observées au trimestre antérieur, cela n'a pas été le cas au 1er trimestre. Durée, heures Plus de 150 100 -149 50 -99 20 -49 10 -19 5 -9 Moins de 4 Nombre de cibles des attaques, T4 2014 Nombre de cibles des attaques, T1 2015 5 8 299 735 1679 2161 8425 0 3 121 433 703 1426 9594 Illustration 7. Durée des attaques DDoS au T4 2014 et T1 2015 Le type d'attaques DDoS est déterminé par le format des requêtes "poubelle" envoyées à la ressource de la victime. Au 1er trimestre 2015, tout comme au 4e trimestre 2014, la méthode privilégiée aura été l'attaque DDoS SYN flood Les attaques de type DDoS TCP flood ont cédé la 2e position à DDoS HTTP flood. Illustration 8. Types d'attaques DDoS les plus répandus au T4 2014 et au T1 2015 8 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Serveurs de commande et types de réseaux de zombies Les centres de commandes utilisés par les criminels afin de gérer les centres de zombies peuvent se trouver dans différents pays. En général, ils n'ont aucun lien avec l'emplacement des criminels eux-mêmes, ni avec la répartition géographique des bots gérés via ce serveur de commande. Les Etats-Unis, la Chine et la Grande-Bretagne mènent le classement en terme de centres de commandes actifs au 1er trimestre. Illustration 9. Répartition des serveurs de commande de réseaux de zombies par pays, T1 2015 9 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Au 1er trimestre 2015, tout comme au trimestre antérieur, les bots les plus actifs au niveau des attaques ont été des bots prévus pour infecter des serveurs Linux. Ils devancent les bots créés pour les appareils sous Windows. Alors que le nombre d'attaques impliquant des réseaux de zombies Windows est pratiquement inchangé, le nombre d'attaques à l'aide de réseaux de zombies Linux a diminué. Illustration 10. Nombre d'attaques organisées à l'aide de réseaux de zombies Windows et Linux, T4 2014 et T1 2015 S'il est vrai que le nombre de réseaux de zombies Linux est sensiblement inférieur, le nombre d'attaques organisées à l'aide de ceux-ci est supérieur au nombre d'attaques organisées à l'aide de réseaux de zombies Windows. Cela s'explique par le fait que l'infection d'un serveur Linux offre plus de possibilités aux individus malintentionnés en terme de manipulation des protocoles réseau. De plus, la vitesse du canal Internet des serveurs infectés est souvent supérieure à celle de la connexion Internet des ordinateurs de particuliers, ce qui permet d'organiser des attaques plus puissantes. Il faut dire également que la durée de vie des réseaux de zombies Linux est de loin supérieure à celle des réseaux Windows. Il est en effet plus difficile de détecter et de neutraliser ces réseaux de zombies car les serveurs Linux sont rarement dotés de solutions de protection spéciales, à la différence des ordinateurs et serveurs Windows. Notons également que 93,2 % des cibles du 1er trimestre ont été attaquées par une seule famille de bots. Dans 6,2 % des cas, l'attaque impliquait 2 familles simultanément et dans 0,6 % des cas, trois ou plus : soit les criminels utilisaient simultanément différentes familles de bots, soit les commanditaires de l'attaque traitaient avec plusieurs groupes. 10 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Conclusion Le nombre d'attaques DDoS organisées à l'aide de réseaux de zombies et le nombre de victimes de telles attaques a reculé au 1er trimestre par rapport au trimestre antérieur. De son côté, le nombre de pays concernés par cette menace a augmenté. Généralement, ce sont les ressources situées aux Etats-Unis et en Chine qui sont le plus souvent victimes d'attaques car les tarifs d'hébergement dans ces pays sont bas et on y trouve un nombre important de ressources. Le Top 10 compte également des victimes d'Europe et du Pacifique. Ces statistiques nous montrent que les attaques DDoS organisées à l'aide de réseaux de zombies sont une réalité pour les ressources les plus diverses, quel que soit le pays où elles se trouvent. Et qui plus est, cette menace poursuit l'expansion de ses frontières. Les cybercriminels qui organisent les attaques DDoS à l'aide de réseaux de zombies sont toujours persistants : l'attaque la plus longue enregistrée au 1er trimestre a duré près de 6 jours tandis que la ressource la plus ciblée a dû faire face à 21 attaques en 3 mois. Toutefois, nos analyses démontrent que même une courte attaque ponctuelle peut mettre une ressource non protégée hors service. Les dommages provoqués par une seule de ces attaques peuvent atteindre 444 000 dollars, sans tenir compte du coup porté à la réputation de la marque du fait des utilisateurs mécontents qui n'ont pas été en mesure d'utiliser le service escompté. Les sociétés de sécurité de l'information investissent dans la lutte contre les attaques DDoS et les réseaux de zombies, notamment dans la détection des nouveaux malwares et leur ajout aux bases de signatures, la protection des serveurs contre les intrusions et la protection des ordinateurs contre l'infection grâce à l'arrêt de l'activité des serveurs de commande et autres actions similaires. Ceci étant dit, les attaques DDoS demeurent parmi les outils privilégiés des cybercriminels et les entreprises doivent prêter attention à leur protection. Un service de filtrage du trafic "poubelle" permet à une ressource en ligne de demeurer accessible pour ses utilisateurs légitimes, même lors d'une attaque puissante et de longue durée. Liens utiles : L'écosystème des réseaux de zombies L'économie des réseaux de zombies Enquête 2014 sur les risques informatiques : DDoS Page internet sur la protection offerte par Kaspersky contre les attaques DDoS Livre blanc sur la protection offerte par Kaspersky contre les attaques DDoS 11 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab Glossaire Bot : malware capable d'effectuer diverses actions à la demande d'un individu malintentionné. Famille de bots : ensemble de bots dont le code source correspond. Il s'agit de différentes versions d'un même bot, et ils peuvent être administrés par des serveurs de commande différents. Réseau de zombies : ensemble de périphériques infectés par le même bot et administrés par le même centre de commande. Les cybercriminels commencent par propager des malwares spéciaux qui vont transformer des serveurs, des ordinateurs ou des appareils nomades en "zombies" contrôlables à distance (en d'autres termes, des "bots"). Centre de commande : il s'agit d'un serveur que les individus malintentionnés utilisent pour envoyer les commandes aux bots et qui reçoit les réponses. Dans le cadre d'une attaque DDoS, les bots, sur commande du criminel, envoient simultanément des requêtes directement à la ressource de la victime ou via des serveurs connexes, ce qui devient alors une attaque distribuée. DDoS SYN flood : ensemble de scénarios d'attaques DDoS qui exploitent une particularité de la mise en œuvre du protocole TCP (Transmission Control Protocol, protocole de gestion des transmissions). L'établissement d'une connexion TCP suit trois étapes clés qui évoquent la poignée de mains. Le client envoie une requête SYN. Le serveur, qui reçoit la requête SYN, répond par un paquet SYN/ACK. Ensuite, le client envoie le paquet ACK et confirme ainsi la connexion. Dans le cadre d'une attaque SYN flood, l'attaquant envoie des paquets SYN mais n'exige pas le paquet de réponse SYN+ACK pour établir la connexion, ce qui oblige le serveur à consacrer ses ressources au traitement des données des requêtes et à l'envoie des paquets de réponse. DDoS TCP flood : ensemble de scénarios d'attaque qui, à l'instar de SYN flood, exploite une particularité de la mise en œuvre du protocole TCP, mais établit une connexion avec le serveur de la victime. Dans le cas d'une attaque TCP flood, une fois que la poignée de main a réussi, l'attaquant transmet les données "poubelles" via la connexion ouverte par volume important ou à une vitesse très lente. Cela surcharge le serveur qui n'est plus en mesure d'octroyer des ressources aux connexions légitimes. DDoS ICMP flood : ensemble de scénarios d'attaques sur le protocole ICMP (Internet Control Message Protocol) utilisé pour le transfert des messages d'erreur et autres situations ponctuelles qui surviennent lors du transfert de données. Ici, l'attaquant envoie un volume immense de requêtes ICMP à la victime, ce qui l'oblige à consacrer la puissance de son processeur au traitement des requêtes "poubelle" au lieu des requêtes légitimes. DDoS UDP flood : ensemble de scénarios d'attaques qui utilisent le protocole UDP qui ne requiert pas l'ouverture d'une connexion (User Datagram Protocol, protocole de datagramme utilisateur). L'attaquant envoie à la victime de nombreux paquets UDP dont chacun doit être 12 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015 Kaspersky Lab traité par le serveur avec son matériel de communication, ce qui surcharge les capacités de traitement de la victime. DDoS HTTP flood : tous les scénarios d'attaques DDoS dont la cible est une application Internet. Pendant l'organisation de l'attaque, l'individu malintentionné peut envoyer des requêtes GET/POST simples à la page principale de l'application Internet, ou des requêtes inhabituelles (requêtes de recherche d'une information quelconque dans la base de données de l'application Internet, utilisation de scripts quelconque sur le serveur Internet, etc.) Le corps de la requête peut également contenir des en-têtes supplémentaires ou des fichiers cookie dans le but de contourner les filtres qui déterminent l'utilisateur légitime sur la base des cookies. De plus, l'attaquant peut ouvrir le navigateur sur un appareil infecté dans le but d'imiter l'activité d'un utilisateur fréquent du site et ne pas permettre ainsi aux systèmes de protection de la victime d'identifier les bots dans le flux global des visiteurs. 13 Attaques DDoS organisées par des réseaux de zombies au T1 2015 Avril 2015