1. Home
  2. >
  3. Deflect Labs
  4. >
  5. Relatório nº 1 da Deflect Labs
Categorias
Blog DDoS Deflect Labs

Relatório nº 1 da Deflect Labs

Análise de ataques de botnet referente ao período de 1 a 29 de fevereiro de 2016
Site protegido pelo Deflect – kotsubynske.com.ua

Este relatório aborda os ataques contra o site de notícias da mídia independente Kotsubynske, na Ucrânia, especialmente durante as duas primeiras semanas de fevereiro de 2016. Ele detalha os diversos métodos utilizados para derrubar o site por meio de ataques distribuídos de negação de serviço. Os ataques não tiveram sucesso.

Informações gerais

O Kotsubynske é um site de mídia online desde 2010, criado por jornalistas locais e pela sociedade civil em resposta à apropriação e venda de terras públicas (floresta de Bylichaniski) pelas autoridades locais. O site publica notícias locais, análises políticas e expõe escândalos de corrupção na região. O site se registrou para receber proteção do Deflect durante uma série contínua de ataques DDoS no final de 2015. O site é inteiramente em ucraniano. Ele recebe, em média, de 80 a 120 mil acessos diários, principalmente da Ucrânia, da Holanda e dos Estados Unidos.

image1

Perfil do ataque

A partir de 1º de fevereiro, o Deflect detectou um aumento nos ataques contra este site, originados principalmente de endereços IP vietnamitas. Trata-se provavelmente de um ataque de sondagem, que não teve sucesso. No dia 6 de fevereiro, foram registrados mais de 1.300.000 acessos a este site em um único dia. Nosso sistema de defesa contra botnets bloqueou várias botnets, sendo que a maior delas contava com pouco mais de 500 participantes únicos (bots).

Utilizando a ferramenta “Timelion” para detectar anomalias baseadas em séries temporais na rede, como as causadas por ataques DDoS, percebemos um desvio significativo em relação ao padrão médio de visitantes do site Kotsubynske (no diagrama abaixo, o número de acessos ao site está em vermelho, enquanto o azul representa uma média móvel de 7 dias mais 3 vezes o desvio padrão; os retângulos amarelos marcam as anomalias). O fato de o desvio em relação ao normal ter ocorrido ao longo de uma semana (de 1º a 8 de fevereiro) indica que o ataque se estendeu por vários incidentes. Este relatório busca determinar se esses ataques separados estão relacionados, apresentar as características dos ataques e formular hipóteses sobre sua finalidade e origem.

Illustration 1: Timelion graph showing a prolonged attack
Ilustração 1: Gráfico do Timelion mostrando um período prolongado de ataque entre 1º e 8 de fevereiro

6 de fevereiro de 2016 Perfil do ataque

Este incidente durou 1h 11min e foi o ataque mais intenso durante esse período, em termos de acessos por minuto.

Estatísticas do incidente
Aqui estão listadas parte das estatísticas do incidente que obtivemos do sistema da Deflect Labs. Elas mostram a intensidade do ataque, o tipo de ataque (GET/POST/WordPress/outros), URLs visadas, bem como várias informações de GEOIP e IP relacionadas ao(s) invasor(es):

  • client_request host:”www.kotsubynske.com.ua”
  • Acessos entre 24.000 e 72.000 por minuto
  • Total de acessos durante o período do ataque: 1.643.581
  • Início do ataque: 06/02/2016 13:34:00
  • Fim do ataque: 06/02/2016 14:45:00
  • Tipo de ataque: ataque GET (bots solicitaram páginas do site)
  • URL alvo: www.kotsubynske.com.ua
  • Solicitação principal da botnet: “http://www.kotsubynske.com.ua/-”
Illustration 2: Geographic distribution of bots
Ilustração 2: Distribuição geográfica dos bots

A maioria dos acessos a este site veio do Vietnã, da Ucrânia, da Índia, da República da Coreia, do Brasil e do Paquistão. A seguir, apresentamos as estatísticas dos cinco principais países, começando pelo que registrou o maior número de acessos e seguindo em ordem decrescente:

geoip.country_name Contagem
Vietnã 817.602
Ucrânia 216.216
Índia 121.405
Romênia 70.697
Paquistão 61.201

Análise comparativa de incidentes

Pesquisamos três meses de incidentes no site Kotsubynske, mais precisamente de janeiro a março de 2016. Detectamos cinco incidentes entre 1º e 8 de fevereiro e apresentamos uma análise detalhada das características da botnet e das semelhanças entre cada incidente. O objetivo é descobrir se os incidentes estão relacionados. Isso pode nos ajudar a determinar se os autores por trás desse ataque foram os mesmos em todos os incidentes. Por exemplo, observamos que relativamente poucos endereços IP aparecem em mais de um incidente, enquanto cada incidente apresenta um tamanho de botnet e um padrão de ataque semelhantes.

Illustration 3: GeoIP location of bots over the 5 incidents
Ilustração 3: Localização GeoIP dos bots nos cinco incidentes registrados

Tabela 1. IPs idênticos em todos os incidentes

Identificamos, na sequência dos incidentes, os IPs das botnets que reapareceram de um ataque anterior.

ID Início do incidente Fim do incidente Duração IPs das botnets IPs recorrentes da botnet Tipo de ataque Padrão de ataque (solicitação de URL)
1 02/02/2016 12:07:00 02/02/2016 12:21:00 14 min 224 OBTER 163.224 acessos: /-
2 02/03/2016 08:27:00 02/03/2016 08:31:00 4 min 120 22 OBTER 35.991 acessos: /-
3 02/05/2016 21:10:00 02/05/2016 22:00:00 50 min 99 0 GET 49.197 acessos: /-
23 acessos: /wp-admin/admin-ajax.php
4 02/06/2016 13:34:00 02/06/2016 14:45:00 1h 11 min 484 0 OBTER 1557318 acessos: /-
5 02/08/2016 12:20:00 02/08/2016 16:40:00 4 h 20 min 361 0 OBTER 392.658 acessos: /-

Tabela 2. Pares de incidentes com um número significativo de endereços IP idênticos bloqueados pelo Deflect

Aqui, correlacionamos cada incidente com todos os outros incidentes para verificar se algum endereço IP de botnet comum reaparece e apresentamos os pares de incidentes em que há uma correspondência

ID do incidente IPs bloqueados ID do incidente IPs bloqueados IPs recorrentes % de IPs de botnets recorrentes
no incidente menor
1 224 2 120 22 18,3%
3 99 4 484 15 15,2%

A análise dos cinco ataques mostra que muito poucos endereços IP de botnets foram reutilizados em ataques subsequentes. A presença de quaisquer endereços IP recorrentes, no entanto, sugere que eles pertencem a uma sub-rede da mesma botnet ou são de vítimas cujos computadores foram infectados por mais de um malware de botnet. Além disso, as características de geoIP e o comportamento de cada botnet são quase idênticos. Por exemplo, embora o tráfego durante esse período tenha seguido a tendência normal, tanto em termos de número de visitantes quanto de sua distribuição geográfica, os IPs bloqueados eram principalmente do Vietnã, da Índia, do Paquistão e de outros países que normalmente não acessam o site kotsubynske.com.ua

Esse é um indicador confiável de tráfego malicioso e de uma botnet transnacional.

  • 71,1% dos IPs bloqueados provêm do Vietnã, Índia, Irã, Paquistão, Indonésia, Arábia Saudita, Filipinas, México, Turquia e Coreia do Sul.
  • 99,9% dos IPs bloqueados possuem uma string de agente de usuário idêntica: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”.
  • A taxa média de acessos de IPs com a string de agente de usuário exatamente idêntica é significativamente maior: 61,9 acessos/minuto contra 4,5 acessos/minuto para todo o restante do tráfego.
Illustration 4: Banned machines from 'unusual' countries
Ilustração 4: Máquinas banidas de países “incomuns” para kotsubynske.com.ua

A string do agente de usuário (UA) parece ser idêntica em todos os cinco incidentes, ao comparar o tráfego banido com o legítimo. No diagrama abaixo, a cor laranja representa a string de agente de usuário idêntica, enquanto o azul representa IPs com outras strings de agente de usuário. As caixas coloridas contêm 50% dos IPs no meio de cada conjunto e as linhas dentro das caixas indicam as medianas. Os marcadores acima e abaixo das caixas indicam a posição do último IP dentro de 1,5 vez a altura da caixa (ou dentro de 1,5 vez o intervalo interquartil).

Illustration 5: Hit rate distribution for the IPs with the same identical user agent string
Ilustração 5: Distribuição da taxa de acertos para os IPs com a mesma string de agente de usuário: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”

Embora não haja muitos IPs de botnets idênticos em todos os 5 incidentes, o comportamento dos IPs de botnets de diferentes incidentes é muito semelhante. A figura abaixo ilustra algumas características da botnet (cores diferentes) em comparação com o tráfego normal (cor azul).

Gráfico de dispersão das sessões no espaço tridimensional:

  • Variação do intervalo entre solicitações
  • Taxa de erro
  • Proporção entre HTML e imagens

image7

Conclusão do relatório

No dia 2 de fevereiro, o site de Kotsubynske publicou um artigo sobre uma reunião do conselho administrativo regional, no qual se afirmava que membros do partido político “New Faces” estavam interferindo e tentando sabotar o trabalho do conselho no combate ao desmatamento. O partido é liderado pelo prefeito da cidade vizinha de Irpin. Os ataques contra o site começaram a partir de então.

Considerando a escala dos ataques frequentemente observados na rede Deflect, este não foi nem intenso nem sofisticado. Nossa suposição é que o controlador da botnet estava simplesmente alternando entre os diversos bots (IPs) à sua disposição, a fim de evitar nossos mecanismos de detecção e bloqueio. O agente de usuário e o padrão de ataque idênticos utilizados nos cinco ataques são, para nós, um indício de que uma única entidade os estava orquestrando.

Este é o primeiro relatório da iniciativa Deflect Labs. Nosso objetivo é acabar com a impunidade de que atualmente desfrutam os operadores de botnets em todo o mundo e apoiar os esforços de defesa de nossos clientes. Em um futuro próximo, começaremos a traçar o perfil e a correlacionar os ataques atuais com nosso histórico de três anos e com os esforços de mitigação de DDoS de iniciativas com objetivos semelhantes.