Kaspersky Systems Management

Transcription

STATISTIQUES SUR LES ATTAQUES DDOS
ORGANISEES A L’AIDE DE RESEAUX DE
ZOMBIES AU T1 2015
Kaspersky Lab
Kaspersky Lab
Table des matières
Méthodologie...................................................................................................................... 2
Bilan du trimestre ................................................................................................................ 3
Répartition géographique des attaques ................................................................................. 4
Dynamique du nombre d'attaques DDoS ............................................................................... 6
Types et durée des attaques DDoS ....................................................................................... 8
Serveurs de commande et types de réseaux de zombies ........................................................ 9
Conclusion ....................................................................................................................... 11
Glossaire .......................................................................................................................... 12
1
Attaques DDoS organisées par des réseaux de zombies au T1 2015
Avril 2015
Kaspersky Lab
Méthodologie
L'attaque de déni de service distribué (DDoS) est une des armes de prédilection des
cybercriminels. Elle vise à plonger un système d'informations (un site Internet par exemple)
dans un état qui le rend inaccessible aux utilisateurs légitimes. L'attaque DDoS organisée à
l'aide de réseaux de zombies est une des méthodes privilégiées.
Kaspersky Lab compte de nombreuses années d'expérience reconnue dans la lutte contre la
cybercriminalité, y compris les attaques DDoS des types et des niveaux de complexité les
plus divers. Nos experts surveillent l'activité des réseaux de zombies à l'aide du système
DDoS Intelligence et sont ainsi en mesure d'améliorer en continu les technologies de
protection contre ce type d'attaque. Le système DDoS Intelligence repose sur l'analyse des
commandes envoyées par les centres de commande aux réseaux de bots. Il ne requiert pas
la présence du bot sur l'appareil de l'utilisateur, ni l'exécution des commandes envoyées par
le serveur.
Plusieurs méthodes d'analyse de l'activité DDoS existent. L'une d'entre elles consiste à
analyser des attaques menées contre des ressources concrètes (en règle générale, les
clients des sociétés chargées de les protéger contre les attaques DDoS). L'analyse de
l'activité des réseaux de zombie appliquée à la rédaction de ce rapport permet de ne pas se
limiter à des clients précis, mais d'aborder le problème sous un autre angle.
Ce rapport expose les statistiques de DDoS Intelligence, récoltées au 1er 2015 (1er janvier au
31 mars), et les compare aux données du 4e trimestre 2014 (1er octobre au 31 décembre
2014).
Dans le cadre de notre analyse, l'activité d'un réseau de zombies est considérée comme une
attaque DDoS individuelle si la durée des interruptions de l'activité ne dépasse pas 24
heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un
intervalle de 24 heures aura été victime de deux attaques. Les requêtes formulées par des
bots de différents réseaux de zombies contre une même ressource sont également
considérés comme des attaques distinctes.
L'adresse IP est l'élément que nous avons utilisé pour établir la répartition géographique des
attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques
d'attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP
uniques des statistiques trimestrielles.
Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement les
réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas
non plus oublier que les réseaux de zombies ne sont qu'un des instruments utilisés pour
organiser des attaques DDoS. Les données reprises ici ne constituent pas une
représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.
2
Avril 2015
Kaspersky Lab
Bilan du trimestre

Kaspersky Lab a compté 23 095 attaques DDoS organisées à l'aide de réseaux de
zombie au 1er trimestre 2015. Ce chiffre est en recul de 11 % par rapport au trimestre
antérieur (25 929 attaques).

Au cours de cette période, le nombre de victimes uniques d'attaques DDoS a atteint
12 281 cibles, soit 8 % de moins par rapport 4e trimestre 2014 (13 312 cibles).

La Chine, les Etats-Unis et le Canada mènent le classement des pays où les plus
grands volumes d'attaques ont été enregistrés.

L'attaque la plus longue au 1er trimestre 2015 a duré 140 heures (près de 6 jours)
tandis que la ressource la plus ciblée a dû faire face à 21 attaques en 3 mois.

Les attaques DDoS SYN flood et HTTP flood auront été les modalités d'attaques
DDoS à l'aide de réseau de zombies les plus répandues au 1er trimestre.
3
Avril 2015
Kaspersky Lab
Répartition géographique des attaques
Au cours de la période couverte par le rapport, Kaspersky Lab a recensé 23 095 attaques
DDoS menées contre des ressources situées dans 76 pays. Ce nombre qui avait atteint
25 929 incidents au trimestre dernier est en recul de 11 % tandis que le nombre de pays où
se trouvaient les cibles a augmenté (76 contre 66 au T4 2014).
A l'instar du 4e trimestre 2014, le trio de tête des pays qui ont comptabilisé le plus grand
nombre d'attaques DDoS est composé de la Chine, des Etats-Unis et du Canada. Le Top 10
des pays les plus attaqués a connu de légères modifications, mais sa composition est
inchangée.
Illustration 1. Top 10 des pays par nombre d'attaques au T4 2014 et T1 2015
Le diagramme montre clairement que l'augmentation du nombre d'attaques contre des
ressources situées en Chine et aux Etats-Unis s'accompagne d'une baisse sensible du
nombre d'attaques contre des serveurs canadiens Le nombre d'attaques contre des
ressources en Russie, en Corée du Nord et en France a également augmenté.
Si on analyse le nombre de victimes d'attaques DDos dans chacun des pays, on obtiendra
un Top 10 similaire à celui du trimestre précédent. Sur l'ensemble du 1er trimestre 2015, les
réseaux de zombies ont attaqués 12 281 victimes, soit un recul de 8 % par rapport au
trimestre antérieur (13 312 cibles).
4
Avril 2015
Kaspersky Lab
Illustration 2. Top 10 des pays par nombre de victimes uniques d'attaques DDoS au T4 2014
et T1 2015
En Russie, en Corée du Sud et en France, le nombre de ressources attaquées par
comparaison au trimestre antérieur a augmenté, à l'instar du nombre d'attaques contre ces
pays. Au Canada, l'augmentation du nombre d'attaques n'a pas empêché la réduction du
nombre de victimes, ce qui indique que les individus malintentionnés s'acharnent plus sur les
mêmes ressources dans ce pays.
La position dominante de la Chine et des Etats-Unis dans les classements en fonction du
nombre d'attaques et en fonction du nombre de victimes s'explique par le niveau
relativement bas des tarifs d'hébergement pratiqués dans ces pays, ce qui amène de
nombreuses sociétés à opter pour des hébergeurs de ces pays.
Le nombre maximal d'attaques menées contre une ressource au cours du 1er trimestre 2015
a atteint 21.
Nombre
d'attaques
21
16
15
Ressource
Site russophone (groupe d'investissements)
Site vietnamien (services de mariage)
Hébergeur aux Etats-Unis.
Illustration 3. Top 3 des ressources uniques les plus attaquées, T1 2015
Alors que c'est en Chine, aux Etats-Unis et au Canada que l'on a enregistré le plus grand
nombre d'attaques, les deux premières places du classement en fonction du nombre
d'attaques contre une seule ressource reviennent à la Russie et au Vietnam. La troisième
place est occupée par un hébergeur des Etats-Unis.
5
Avril 2015
Kaspersky Lab
Dynamique du nombre d'attaques DDoS
Au cours du 1er trimestre, le nombre d'attaques DDoS a fortement varié au fil du temps*.
L'activité la plus marquée des réseaux de zombies a été enregistrée à la fin du mois de
janvier, tandis que la période la plus calme a été enregistrée au milieu du mois de février.
Illustration 4. Dynamique du nombre d'attaques DDoS, T1 2015
*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être
comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps. Par conséquent, les données ainsi comptabilisées
donneront un nombre d'attaques supérieur (30 054) au nombre obtenu en tenant compte séparément de chaque attaque
ininterrompue (23 095).
Comme le montre le diagramme ci-dessous, le mois de décembre 2014 a enregistré un pic
sensible du nombre d'attaques DDoS organisées via des réseaux de zombies, avant de
connaître une réduction progressive en janvier et en février, puis de repartir à la hausse en
mars. Le pic enregistré en décembre peut être associé aux fêtes et aux congés de fin
d'année lorsque les criminels tentent de nuire au fonctionnement des sites et des services
recherchés par les utilisateurs.
6
Avril 2015
Kaspersky Lab
Illustration 5. Nombre d'attaques par mois, T4 2014 - T1 2015
Au 1er trimestre 2015, le jeudi aura été le jour le plus actif pour les attaques via réseaux de
zombies. Au trimestre dernier, il s'agissait du lundi. Le dimanche demeure le jour le moins
populaire pour les individus malintentionnés.
Illustration 6. Jours de la semaine les plus plébiscités pour les attaques DDoS au T4 2014 et
au T1 2015
7
Avril 2015
Kaspersky Lab
Types et durée des attaques DDoS
Parmi les caractéristiques les plus importantes d'une attaque DDoS, il faut épingler sa durée
et son scénario d'exécution car ces deux éléments déterminent l'ampleur des dégâts subis
par la victime. La grande majorité des attaques analysée au cours de la période du rapport a
duré moins de 24 heures. Alors que des attaques dont la durée avait atteint deux semaines
ont été observées au trimestre antérieur, cela n'a pas été le cas au 1er trimestre.
Durée, heures
Plus de 150
100 -149
50 -99
20 -49
10 -19
5 -9
Moins de 4
Nombre de
cibles des
attaques,
T4 2014
Nombre de
cibles des
attaques,
T1 2015
5
8
299
735
1679
2161
8425
0
3
121
433
703
1426
9594
Illustration 7. Durée des attaques DDoS au T4 2014 et T1 2015
Le type d'attaques DDoS est déterminé par le format des requêtes "poubelle" envoyées à la
ressource de la victime. Au 1er trimestre 2015, tout comme au 4e trimestre 2014, la méthode
privilégiée aura été l'attaque DDoS SYN flood Les attaques de type DDoS TCP flood ont
cédé la 2e position à DDoS HTTP flood.
Illustration 8. Types d'attaques DDoS les plus répandus au T4 2014 et au T1 2015
8
Avril 2015
Kaspersky Lab
Serveurs de commande et types de réseaux
de zombies
Les centres de commandes utilisés par les criminels afin de gérer les centres de zombies
peuvent se trouver dans différents pays. En général, ils n'ont aucun lien avec l'emplacement
des criminels eux-mêmes, ni avec la répartition géographique des bots gérés via ce serveur
de commande. Les Etats-Unis, la Chine et la Grande-Bretagne mènent le classement en
terme de centres de commandes actifs au 1er trimestre.
Illustration 9. Répartition des serveurs de commande de réseaux de zombies par pays, T1
2015
9
Avril 2015
Kaspersky Lab
Au 1er trimestre 2015, tout comme au trimestre antérieur, les bots les plus actifs au niveau
des attaques ont été des bots prévus pour infecter des serveurs Linux. Ils devancent les bots
créés pour les appareils sous Windows. Alors que le nombre d'attaques impliquant des
réseaux de zombies Windows est pratiquement inchangé, le nombre d'attaques à l'aide de
réseaux de zombies Linux a diminué.
Illustration 10. Nombre d'attaques organisées à l'aide de réseaux de zombies Windows et
Linux, T4 2014 et T1 2015
S'il est vrai que le nombre de réseaux de zombies Linux est sensiblement inférieur, le
nombre d'attaques organisées à l'aide de ceux-ci est supérieur au nombre d'attaques
organisées à l'aide de réseaux de zombies Windows. Cela s'explique par le fait que
l'infection d'un serveur Linux offre plus de possibilités aux individus malintentionnés en terme
de manipulation des protocoles réseau. De plus, la vitesse du canal Internet des serveurs
infectés est souvent supérieure à celle de la connexion Internet des ordinateurs de
particuliers, ce qui permet d'organiser des attaques plus puissantes.
Il faut dire également que la durée de vie des réseaux de zombies Linux est de loin
supérieure à celle des réseaux Windows. Il est en effet plus difficile de détecter et de
neutraliser ces réseaux de zombies car les serveurs Linux sont rarement dotés de solutions
de protection spéciales, à la différence des ordinateurs et serveurs Windows.
Notons également que 93,2 % des cibles du 1er trimestre ont été attaquées par une seule
famille de bots. Dans 6,2 % des cas, l'attaque impliquait 2 familles simultanément et dans
0,6 % des cas, trois ou plus : soit les criminels utilisaient simultanément différentes familles
de bots, soit les commanditaires de l'attaque traitaient avec plusieurs groupes.
10
Avril 2015
Kaspersky Lab
Conclusion
Le nombre d'attaques DDoS organisées à l'aide de réseaux de zombies et le nombre de
victimes de telles attaques a reculé au 1er trimestre par rapport au trimestre antérieur. De son
côté, le nombre de pays concernés par cette menace a augmenté. Généralement, ce sont
les ressources situées aux Etats-Unis et en Chine qui sont le plus souvent victimes
d'attaques car les tarifs d'hébergement dans ces pays sont bas et on y trouve un nombre
important de ressources. Le Top 10 compte également des victimes d'Europe et du
Pacifique. Ces statistiques nous montrent que les attaques DDoS organisées à l'aide de
réseaux de zombies sont une réalité pour les ressources les plus diverses, quel que soit le
pays où elles se trouvent. Et qui plus est, cette menace poursuit l'expansion de ses
frontières.
Les cybercriminels qui organisent les attaques DDoS à l'aide de réseaux de zombies sont
toujours persistants : l'attaque la plus longue enregistrée au 1er trimestre a duré près de 6
jours tandis que la ressource la plus ciblée a dû faire face à 21 attaques en 3 mois.
Toutefois, nos analyses démontrent que même une courte attaque ponctuelle peut mettre
une ressource non protégée hors service. Les dommages provoqués par une seule de ces
attaques peuvent atteindre 444 000 dollars, sans tenir compte du coup porté à la réputation
de la marque du fait des utilisateurs mécontents qui n'ont pas été en mesure d'utiliser le
service escompté.
Les sociétés de sécurité de l'information investissent dans la lutte contre les attaques DDoS
et les réseaux de zombies, notamment dans la détection des nouveaux malwares et leur
ajout aux bases de signatures, la protection des serveurs contre les intrusions et la
protection des ordinateurs contre l'infection grâce à l'arrêt de l'activité des serveurs de
commande et autres actions similaires. Ceci étant dit, les attaques DDoS demeurent parmi
les outils privilégiés des cybercriminels et les entreprises doivent prêter attention à leur
protection. Un service de filtrage du trafic "poubelle" permet à une ressource en ligne de
demeurer accessible pour ses utilisateurs légitimes, même lors d'une attaque puissante et de
longue durée.
Liens utiles :
L'écosystème des réseaux de zombies
L'économie des réseaux de zombies
Enquête 2014 sur les risques informatiques : DDoS
Page internet sur la protection offerte par Kaspersky contre les attaques DDoS
Livre blanc sur la protection offerte par Kaspersky contre les attaques DDoS
11
Avril 2015
Kaspersky Lab
Glossaire
Bot : malware capable d'effectuer diverses actions à la demande d'un individu
malintentionné.
Famille de bots : ensemble de bots dont le code source correspond. Il s'agit de différentes
versions d'un même bot, et ils peuvent être administrés par des serveurs de commande
différents.
Réseau de zombies : ensemble de périphériques infectés par le même bot et administrés
par le même centre de commande. Les cybercriminels commencent par propager des
malwares spéciaux qui vont transformer des serveurs, des ordinateurs ou des appareils
nomades en "zombies" contrôlables à distance (en d'autres termes, des "bots").
Centre de commande : il s'agit d'un serveur que les individus malintentionnés utilisent pour
envoyer les commandes aux bots et qui reçoit les réponses. Dans le cadre d'une attaque
DDoS, les bots, sur commande du criminel, envoient simultanément des requêtes
directement à la ressource de la victime ou via des serveurs connexes, ce qui devient alors
une attaque distribuée.
DDoS SYN flood : ensemble de scénarios d'attaques DDoS qui exploitent une particularité
de la mise en œuvre du protocole TCP (Transmission Control Protocol, protocole de gestion
des transmissions). L'établissement d'une connexion TCP suit trois étapes clés qui évoquent
la poignée de mains. Le client envoie une requête SYN. Le serveur, qui reçoit la requête
SYN, répond par un paquet SYN/ACK. Ensuite, le client envoie le paquet ACK et confirme
ainsi la connexion. Dans le cadre d'une attaque SYN flood, l'attaquant envoie des paquets
SYN mais n'exige pas le paquet de réponse SYN+ACK pour établir la connexion, ce qui
oblige le serveur à consacrer ses ressources au traitement des données des requêtes et à
l'envoie des paquets de réponse.
DDoS TCP flood : ensemble de scénarios d'attaque qui, à l'instar de SYN flood, exploite une
particularité de la mise en œuvre du protocole TCP, mais établit une connexion avec le
serveur de la victime. Dans le cas d'une attaque TCP flood, une fois que la poignée de main
a réussi, l'attaquant transmet les données "poubelles" via la connexion ouverte par volume
important ou à une vitesse très lente. Cela surcharge le serveur qui n'est plus en mesure
d'octroyer des ressources aux connexions légitimes.
DDoS ICMP flood : ensemble de scénarios d'attaques sur le protocole ICMP (Internet
Control Message Protocol) utilisé pour le transfert des messages d'erreur et autres situations
ponctuelles qui surviennent lors du transfert de données. Ici, l'attaquant envoie un volume
immense de requêtes ICMP à la victime, ce qui l'oblige à consacrer la puissance de son
processeur au traitement des requêtes "poubelle" au lieu des requêtes légitimes.
DDoS UDP flood : ensemble de scénarios d'attaques qui utilisent le protocole UDP qui ne
requiert pas l'ouverture d'une connexion (User Datagram Protocol, protocole de datagramme
utilisateur). L'attaquant envoie à la victime de nombreux paquets UDP dont chacun doit être
12
Avril 2015
Kaspersky Lab
traité par le serveur avec son matériel de communication, ce qui surcharge les capacités de
traitement de la victime.
DDoS HTTP flood : tous les scénarios d'attaques DDoS dont la cible est une application
Internet. Pendant l'organisation de l'attaque, l'individu malintentionné peut envoyer des
requêtes GET/POST simples à la page principale de l'application Internet, ou des requêtes
inhabituelles (requêtes de recherche d'une information quelconque dans la base de données
de l'application Internet, utilisation de scripts quelconque sur le serveur Internet, etc.) Le
corps de la requête peut également contenir des en-têtes supplémentaires ou des fichiers
cookie dans le but de contourner les filtres qui déterminent l'utilisateur légitime sur la base
des cookies. De plus, l'attaquant peut ouvrir le navigateur sur un appareil infecté dans le but
d'imiter l'activité d'un utilisateur fréquent du site et ne pas permettre ainsi aux systèmes de
protection de la victime d'identifier les bots dans le flux global des visiteurs.
13
Avril 2015

Kaspersky Systems Management

Transcription

Documents pareils

DDoS Protection - Orange Business Tour

ALOHA PacketShield

Protection pour site web Sucuri d`HostPapa

Protection efficace contre les attaques DDoS Appliances DDoS de

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

Formation Techniques de hacking et tests d`intrusion

Factsheet DDoS Protection Service

1ER MAI 2016 FETE DU TRAVAIL

1 ORAL - BTS SIO - SESSION 2013 Sujet n°1 http://www.youtube