“O

krojone” przeglądarki pokonały stronę pewnej platformy transakcyjnej za pomocą ataku DDoS (ang. Distributed Denial-of-Service), który trwał około 150 godzin. Źródła ataku pochodziły z mniej więcej 180.000 unikalnych adresów IP – takie dane podała firma Incapsula, która odkryła oraz złagodziła skutki ataku dla swojego klienta. Firma odmówiła wskazania konkretnej marki, jaka była celem ataku – mówiąc tylko, że była to platforma handlowa, a motywem napastników prawdopodobnie była kompromitacja konkurencji. “Rząd wielkości ataku był znaczący”, jak przyznał Marc Gaffan – współzałożyciel Incapsula. “Nikt nie dysponuje 180 tysiącami adresów IP, chyba że jest to połączenie kilku odrębnych botnetów używanych zamiennie.”

Atak ten potwierdza nowy trend – DDoS’y coraz częściej przenoszą się na warstwę aplikacji, aby bardziej ukierunkowywać się na swoje cele (w tym wypadku przeprowadzać zaburzenia transakcji lub dostępu do bazy danych). Według najnowszych danych pochodzących od firmy Arbor Networks tradycyjne ataki DDoS mają średni rozmiar 2.64 Gbps, co stanowi 78% wzrost od roku 2012. 87 procent tych ataków nie trwa dłużej niż jedną godzinę. To sprawia, że ataki za pomocą zautomatyzowanych przeglądarek, które trwają tak długo stanowią wyjątkowy ewenement. Wyjątkowe w nim było również to, że w ataku wykorzystano Phantom JS – jest to narzędzie używane przez web developerów do testowania i symulacji sesji użytkowników przeglądających wybraną web aplikację. Naśladuje ona tak skutecznie zachowania człowieka, że dla serwisów chroniących i łagodzących ataki DDoS – stanowi poważne wyzwanie na odfiltrowanie prawdziwych użytkowników od atakujących.

Kierownik ds. badań w Arbor Security Engineering and Response Team (ASERT) – Marc Eisenbarth przyznał, że rzadko widywał użycie Phantom JS, jak opisała to Incapsula. Bardziej powszechne wśród atakujących jest tworzenie sztucznych przeglądarek, które mają być jak w pełni funkcjonalne przeglądarki [np. Internet Explorer], aby w jeszcze bardziej wyrafinowany sposób ominąć mechanizmy wykrywania. Przeprowadzanie tego typu ataków wymaga więcej wysiłku od strony atakujących – ze względu na konieczność wygenerowania bardzo dużej ilości różnych przeglądarek, zaprogramowaniu wielu scenariuszy dróg “chodzenia” po serwisie oraz zdobyciu wielu unikalnych adresów IP. Jednak coraz częściej ataki DDoS w warstwie 7 są akompaniamentem dla ataków w warstwie sieciowej, co daje podwójne uderzenie w cel i większe problemy filtracji dla firm zajmujących się ochroną.

Więcej informacji: DDoS Attack Used ‘Headless’ Browsers In 150-Hour Siege