9 ноября крупный российский банк зафиксировал атаку на свой основной публичный web-сайт. События совпали по времени с большим количеством политических медийных событий, связанных с подведением итогов выборов президента США.
В этот момент специалисты нашей компании проводили внешний пентест инфраструктуры банка (шел первый день работ). Банк был предупрежден о возможном влиянии проводимых работ на продуктивные системы, поэтому именно с внешним пентестом и были связаны первые предположения о причинах наблюдаемых трудностей в работе web-сайта.
Довольно быстро стало понятно, что это внешняя атака. Специалисты банка начали борьбу за поддержание работоспособности сайта. «Инфосистемы Джет» выслали в помощь специалистам финансовой организации инженера для совместного отражения атаки.
По итогам анализа событий ИБ и журналов web-серверов была зафиксирована следующая хронология событий.
В течение 8 ноября злоумышленниками проводились попытки эксплуатации уязвимостей, связанных с обработкой скриптами web-сайта параметров запросов (попытки формирования запросов, приводящих к нарушению работы приложений). Шло изучение жертвы, искались способы создать специфическую атаку, которая бы гарантированно вывела именно сайт банка из строя. Существенного влияния на доступность сайта это не оказало. Судя по всему, ничего интересного злоумышленники найти не смогли и решили действовать «грубой силой».
9 ноября с полуночи и примерно до шести часов утра атака велась с помощью низкоуровнего флуда малой мощности (до 10 Мбит/с). Использовалась древняя атака syn flood, направленная на исчерпание ресурсов web-серверов. Локальная система защиты от DDoS успешно отражала эту небольшую атаку.
Специалисты банка по своему опыту знали, что далее может последовать гораздо более сильный удар. Хакеры, по сути, выдали себя заранее и позволили банку усилить свою оборону. Началась подготовка к отражению более мощных и высокочастотных атак, в частности, была активирована защита на каналах оператора связи. Эти действия оказались очень своевременными.
В первой половине 9 ноября оператор связи, каналы которого были выбраны основными, успешно отражал атаки мощностью до 350 Мбит/с. Системы банка сами бы с такими нагрузками не справились.
Оценив серьезность атаки, банк начал экстренно подключаться к одному из российских облачных сервисов по защите от DDoS. Это удалось сделать к концу дня. Угроза была донесена до руководства финансовой организации, что позволило максимально ускорить процесс.
Системы банка и отчеты провайдера давали понять, что злоумышленники видят неэффективность проводимых атак и перебирают разные варианты. Были испробованы различные виды: как низкоуровневые и простые (icmp flood, syn flood, spoofed syn flood), так и уровня приложений. Большая часть их была направлена на исчерпание доступных ресурсов web-серверов.
Анализ IP-адресов атакующих показывал, что они большей частью не относятся к числу известных прокси-серверов или выходных нод анонимной сети TOR, не определяются как какие-либо публичные сервисы, т.е. использовался ботнет в основном на реальных устройствах. Это и специфика проводившихся атак позволяет согласиться с аналитиками, которые утверждают, что в атаке участвует часть знаменитого ботнета Mirai. Исходный код составляющих ботнета недавно был выложен в сеть, поэтому мы допускаем, что это не оригинальный ботнет, а уже новый, меньшего масштаба, но также состоящий из взломанных IoT-устройств, в том числе домашних видеорегистраторов.
К сожалению, злоумышленники смогли в итоге нащупать слабое место в защите банка. Ни провайдер, ни сервис защиты от DDoS не смогли качественно разделить легитимный и вредоносный зашифрованный трафик (HTTPS). Атакующий понял это и направил основной поток атаки на данный вектор. Зараженные системы просто заходили на сайт по HTTPS с большой интенсивностью. Так как криптография требует много вычислительных ресурсов, системы банка не справились с нагрузкой. Сайт «лёг». Клиенты не могли зайти на главную страницу, воспользоваться интернет-банком.
Возможно, банку мог бы помочь WAF (специализированный межсетевой экран для защиты web). Он даже был установлен, но его не успели ввести в эксплуатацию и сайт банка не был к нему подключен.
Финансовой организации пришлось экстренно адаптировать инфраструктуру сайта к атаке: шифрование было вынесено на отдельные узлы повышенной мощности, на части страниц сайта пришлось отключить HTTPS вообще (там, где не обрабатываются конфиденциальные данные). Эти меры позволили выправить ситуацию, но все же несколько часов сайт работал со сбоями.
Помимо явного урона DDoS-атака создала повышенную нагрузку на инфраструктуру банка (фермы виртуализации, каналы связи и промежуточное сетевое оборудование), что привело к деградации производительности и проблемам в работе ряда систем, которые не относились напрямую к сайту.
Необходимо отдать должное команде, противостоящей атаке. Специалисты без сна и отдыха отражали все новые волны. Сравнительно небольшой урон банку атака нанесла именно благодаря моментальной реакции инженеров и поддержке руководства. Решения, на которые в обычных условиях банковской бюрократии уходят месяцы, принимались и реализовывались кризисным штабом за считанные минуты.
P.S. 11 ноября атаке подвергся еще один наш клиент, банк далеко не из первой десятки. Однозначно сказать, что это часть той же атаки, нельзя, но в целом ее профиль очень похож.
Авторы: Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» и Сергей Павленко, начальник отдела инженерной поддержки и сервиса Центра информационной безопасности компании «Инфосистемы Джет».
Оригинал статьи: https://habr.com/ru/company/jetinfosystems/blog/315226/