Apa perbedaan antara serangan DDoS dan serangan PDoS?

15

Saya telah membaca sejumlah tertentu tentang Mirai worm, virus yang menyerang perangkat Internet of Things menggunakan nama pengguna dan kata sandi standar dan pada dasarnya ditransfer untuk menghasilkan Denial of Service Terdistribusi (DDoS).

Namun, saya baru saja membaca tentang worm lain, BrickerBot , juga serangan virus pada perangkat Internet of Things. Menurut artikel ini, thenextweb.com menghasilkan Permanent Denial of Service (PDoS).

Apa perbedaan antara kedua serangan ini sehubungan dengan penolakan layanan? Jika tidak dinyatakan, apa perbedaan antara DDoS dan PDoS yang terkait dengan serangan IoT ini?

security mirai anonim2
sumber
Keduanya adalah serangan DoS, tetapi sisanya berbeda.
user253751

Jawaban:

16

DDoS vs. "PDoS"

1. DDoS (untuk referensi)

Suatu serangan denial of service (DDOS) terdistribusi konvensional adalah serangan class of denial of service (DoS) di mana sistem terdistribusi (botnet) yang terdiri dari node yang dikendalikan melalui beberapa aplikasi ( Mirai , LizardStresser , gafgyt , dll.) Digunakan untuk mengkonsumsi sumber daya dari sistem target atau sistem ke titik kelelahan. Penjelasan yang baik tentang ini diberikan pada keamanan .

Penjelasan tentang bagaimana botani yang dikontrol Mirai mencapai penolakan layanan dapat ditemukan dalam analisis oleh Incapsula :

Seperti kebanyakan malware di kategori ini, Mirai dibangun untuk dua tujuan inti:

  • Temukan dan kompromi perangkat IoT untuk mengembangkan botnet lebih lanjut.
  • Luncurkan serangan DDoS berdasarkan instruksi yang diterima dari K&C jarak jauh.

Untuk memenuhi fungsi rekrutmennya, Mirai melakukan pemindaian alamat IP yang luas. Tujuan dari pemindaian ini adalah untuk menemukan perangkat IoT yang kurang aman yang dapat diakses dari jarak jauh melalui kredensial login yang mudah ditebak — biasanya nama pengguna dan kata sandi default pabrik (misalnya, admin / admin).

Mirai menggunakan teknik brute force untuk menebak kata sandi alias serangan kamus ...

Fungsi serangan Mirai memungkinkannya meluncurkan HTTP HTTPs banjir dan berbagai serangan jaringan (OSI layer 3-4). Saat menyerang banjir HTTP, bot Mirai bersembunyi di balik agen-pengguna default berikut ...

Untuk serangan lapisan jaringan, Mirai mampu meluncurkan banjir GRE IP dan GRE ETH, serta banjir SYN dan ACK, banjir STOMP (Protokol Pesan Berorientasi Teks Sederhana), banjir DNS dan serangan banjir UDP.

Jenis-jenis botnet ini menyelesaikan kelelahan sumber daya yang mengakibatkan penolakan layanan dengan menggunakan perangkat terkontrol untuk menghasilkan volume besar lalu lintas jaringan yang diarahkan ke sistem target sehingga sumber daya yang disediakan oleh sistem itu menjadi tidak dapat diakses selama durasi serangan. Setelah serangan berhenti, sistem target tidak lagi menghabiskan sumber dayanya sampai habis dan dapat kembali menanggapi permintaan klien masuk yang sah.

2. "PDoS"

Kampanye BrickerBot berbeda secara mendasar: alih-alih mengintegrasikan sistem yang tertanam ke dalam botnet yang kemudian digunakan untuk mengatur serangan skala besar pada server, sistem yang tertanam itu sendiri adalah targetnya.

Dari pos Radware di BrickerBot “BrickerBot” Menghasilkan Permanen Penolakan-Layanan :

Bayangkan serangan bot bergerak cepat yang dirancang untuk membuat perangkat keras korban tidak berfungsi. Disebut Denial-of-Service Permanent (PDoS), bentuk serangan cyber ini menjadi semakin populer pada tahun 2017 karena lebih banyak insiden yang melibatkan serangan yang merusak perangkat keras ini terjadi.

Juga dikenal secara longgar sebagai "phlashing" di beberapa kalangan, PDoS adalah serangan yang merusak sistem sangat parah sehingga membutuhkan penggantian atau penginstalan ulang perangkat keras. Dengan mengeksploitasi kelemahan keamanan atau kesalahan konfigurasi, PDoS dapat menghancurkan firmware dan / atau fungsi dasar sistem. Ini berbeda dengan sepupunya yang terkenal, serangan DDoS, yang membebani sistem dengan permintaan yang dimaksudkan untuk menjenuhkan sumber daya melalui penggunaan yang tidak diinginkan.

Sistem tertanam yang ditargetkan untuk lumpuh permanen tidak memiliki beberapa aplikasi yang diunduh ke mereka untuk tujuan remote control dan tidak pernah menjadi bagian dari botnet (tambang penekanan):

Mengompromikan Perangkat

Serangan Bricker Bot PDoS menggunakan kekuatan kasar Telnet - vektor exploit yang sama yang digunakan oleh Mirai - untuk menembus perangkat korban. Bricker tidak mencoba mengunduh biner , jadi Radware tidak memiliki daftar kredensial lengkap yang digunakan untuk upaya brute force, tetapi mampu merekam bahwa pasangan nama pengguna / kata sandi yang dicoba secara konsisten adalah 'root' / 'vizxv. '

Merusak Perangkat

Setelah berhasil mengakses perangkat, bot PDoS melakukan serangkaian perintah Linux yang pada akhirnya akan menyebabkan penyimpanan rusak, diikuti oleh perintah untuk mengganggu konektivitas Internet, kinerja perangkat, dan menghapus semua file pada perangkat.

Perbedaan ketiga adalah bahwa kampanye ini melibatkan sejumlah kecil perangkat yang dikendalikan penyerang, bukan ribuan atau jutaan:

Selama periode empat hari, Radone's honeypot mencatat 1.895 upaya PDoS yang dilakukan dari beberapa lokasi di seluruh dunia.

Upaya PDoS berasal dari sejumlah alamat IP yang tersebar di seluruh dunia. Semua perangkat mengekspos port 22 (SSH) dan menjalankan versi server Dropbear SSH yang lebih lama. Sebagian besar perangkat diidentifikasi oleh Shodan sebagai perangkat jaringan Ubiquiti; di antaranya adalah Access Points dan Bridges dengan directivity beam.

Ringkasan

Mengingat sejumlah cara yang kampanye BrickerBot "PDoS" secara fundamental berbeda dari kampanye "DDoS" konvensional seperti Mirai, menggunakan terminologi yang terdengar mirip kemungkinan akan mengakibatkan kebingungan.

  • Serangan DDoS biasanya dilakukan oleh botmaster dengan kontrol atas jaringan perangkat yang terdistribusi untuk mencegah klien mengakses sumber daya server selama serangan, sedangkan "BrickerBot" adalah kampanye untuk "embedded" embedded systems
  • Klien Botnet dikendalikan melalui aplikasi yang diinstal pada klien oleh penyerang. Dalam kampanye BrickerBot, perintah dari jarak jauh dieksekusi melalui telnet tanpa menggunakan aplikasi pengontrol (mis. Malware)
  • Serangan DDoS menggunakan sejumlah besar (ribuan, jutaan) perangkat yang dikendalikan, sedangkan kampanye BrickerBot menggunakan sejumlah kecil sistem untuk mengatur apa yang disebut serangan "PDoS"
  • kampanye BrickerBot menargetkan sistem tertanam untuk lumpuh, sedangkan Mirai dan sejenisnya tertanam sistem untuk mengintegrasikannya ke dalam botnet
julian
sumber
Jawaban terinci yang luar biasa!
anonymous2
Wow, kamu baca secepat itu. Dan terima kasih, saya tertarik dengan keamanan sistem embedded
julian
1
Jawaban bagus! Setelah paragraf pertama Anda untuk penjelasan "PDoS" saya memiliki momen "oh saya melihat" di mana saya menyadari judul malware itu cukup jelas. Bot yang menggunakan perangkat IoT. Duh!
Reece
1
@PierreLebon sudah ada perang malware - Mirai jelas ingin mengendalikan perangkat yang terinfeksi, dan untuk itu, ia sudah mencoba untuk melumpuhkan (beberapa) malware lain jika sudah terinfeksi.
Baldrickk
1
@PierreLebon jika Anda melihat killer_init()garis fungsi 190 hingga 220 dan memory_scan_match()garis fungsi 494 hingga 539 dalam file killer.c dalam kode sumber Mirai , Anda akan menemukan bahwa Mirai memindai memori perangkat untuk mencari proses yang cocok dengan bot yang bersaing dan kemudian membunuh proses tersebut . Mirai juga membunuh telnet pada perangkat yang terinfeksi, sehingga tidak perlu untuk "menambal" perangkat; itu sudah tidak rentan terhadap serangan langsung dari "BrickerBot"
julian
7

DDoSes bersifat fana. Setelah vektor serangan dihapus atau DDoS berhenti perangkat berfungsi. (Atau dalam kasus Mirai, sisa internet berfungsi.)

PDoSes memperbarui perangkat sehingga tidak dapat berfungsi lagi.

Mirai menggunakan perangkat IoT sebagai sumber DDoS . Perangkat yang terinfeksi Mirai masih berfungsi; aspek DDoS adalah tambahan untuk fungsi normal mereka. Itu bukan DDoS terhadap perangkat itu sendiri.

Jika itu menghilangkan fungsi normal dan tidak menyediakan cara untuk menghapusnya, itu akan menjadi PDoS terhadap perangkat dan sumber DDoS terhadap internet secara umum.

Dave Newton
sumber
Ah, itu masuk akal. Jadi worm brickerbot sebenarnya menonaktifkan perangkat IoT, sedangkan Mirai hanya meretas perangkat untuk melakukan serangan DDoS pada server lain?
anonymous2
@ anonim2 Itulah pengertian saya, yup. Mampu memblokir perangkat yang terhubung pada umumnya hanya menjengkelkan, tetapi bisa menyebabkan bahaya aktual dalam cukup banyak kasus yang perlu dikhawatirkan.
Dave Newton
Memblokir perangkat yang terhubung adalah apa yang dapat membawa klausa kota-kota besar ke kiamat! Setelah pelari tidak akan dapat mempublikasikan atau memeriksa kinerja terakhir mereka, mereka akan mulai berkeliaran membentuk gerombolan keseluruhan ... Oh saya harus mulai mengemas paket emergencie kiamat IOT.
Tarik dan Jatuhkan
5

Menguraikan sedikit tentang apa yang ditulis Dave, faktor pembeda utama adalah bahwa dalam kasus bot DDoS perangkat IoT digunakan sebagai penyerang, biasanya bahkan tidak menghalangi fungsi perangkat dengan cara utama. Setelah semua penyerang tidak ingin kehilangan kekuatan memiliki bot net yang mampu melakukan serangan DDoS pada pihak ketiga. Konsumen IoT biasanya tidak melihat apa-apa.

Namun BrickerBot menyerang perangkat itu sendiri dan menonaktifkan perangkat. Dengan demikian, konsumen IoT adalah target serangan dan bukan penyedia potensial serangan.

Karena banyak blog berasumsi ( ambil contoh ini ) bot mungkin merupakan serangan pencegahan untuk mengurangi target potensial untuk cacing DDoS. Terutama karena ada sangat sedikit yang bisa diperoleh dengan hanya menghancurkan barang-barang, selain mengurangi potensi bot bersih — atau persaingan.

Orang mungkin menganggap ini hal yang baik, karena ini adalah ancaman yang benar-benar mengancam produsen IoT ('gambar) dan konsumen, meningkatkan urgensi untuk mengamankan perangkat IoT dengan benar.

Helmar
sumber