Was ist der Unterschied zwischen einem DDoS-Angriff und einem PDoS-Angriff?

15

Ich habe eine gewisse Menge über den Mirai- Wurm gelesen , einen Virus, der Internet of Things-Geräte mit Standardbenutzernamen und -kennwörtern angreift und im Wesentlichen dazu verdrahtet ist, Distributed Denial of Service (DDoS) zu erzeugen.

Ich habe jedoch kürzlich von einem anderen Wurm gelesen, BrickerBot , der ebenfalls einen Virenangriff auf Internet of Things-Geräte darstellt. Laut diesem Artikel auf thenextweb.com kommt es zu einem Permanent Denial of Service (PDoS).

Was ist der Unterschied zwischen diesen beiden Angriffen in Bezug auf die Dienstverweigerung? Was ist der Unterschied zwischen DDoS und PDoS in Bezug auf diese IoT-Angriffe?

security mirai anonymous2
quelle
Sie sind beide DoS-Angriffe, aber der Rest ist unterschiedlich.
user253751

Antworten:

16

DDoS vs. "PDoS"

1. DDoS (als Referenz)

Ein herkömmlicher DDOS-Angriff (Distributed Denial of Service) ist ein DoS-Angriff (Class of Denial of Service), bei dem ein verteiltes System (Botnet) verwendet wird, das aus Knoten besteht, die über eine bestimmte Anwendung ( Mirai , LizardStresser , Gafgyt usw.) gesteuert werden die Ressourcen des Zielsystems oder der Zielsysteme bis zur Erschöpfung. Eine gute Erklärung hierfür finden Sie unter security.SE .

Eine Erklärung, wie Mirai-kontrollierte Botnetze Denial-of-Service erreichen, findet sich in einer Analyse von Incapsula :

Wie die meisten Schadprogramme in dieser Kategorie wurde Mirai für zwei Hauptzwecke entwickelt:

  • Suchen und gefährden Sie IoT-Geräte, um das Botnetz weiter auszubauen.
  • Starten Sie DDoS-Angriffe auf der Grundlage der Anweisungen, die Sie von einem Remote-C & C erhalten haben.

Um seine Rekrutierungsfunktion zu erfüllen, führt Mirai umfangreiche Scans von IP-Adressen durch. Der Zweck dieser Scans besteht darin, unterversicherte IoT-Geräte zu finden, auf die über leicht zu erratende Anmeldeinformationen per Fernzugriff zugegriffen werden kann - normalerweise werkseitige Standardbenutzernamen und -kennwörter (z. B. admin / admin).

Mirai verwendet eine Brute-Force-Technik, um Passwörter oder Wörterbuchangriffe zu erraten ...

Mit der Angriffsfunktion von Mirai können HTTP-Floods und verschiedene Netzwerk-DDoS-Angriffe (OSI-Schicht 3-4) gestartet werden. Bei Angriffen auf HTTP-Fluten verstecken sich Mirai-Bots hinter den folgenden Standardbenutzeragenten ...

Für Angriffe auf Netzwerkebene kann Mirai GRE IP- und GRE ETH-Floods sowie SYN- und ACK-Floods, STOMP-Floods (Simple Text Oriented Message Protocol), DNS-Floods und UDP-Flood-Angriffe starten.

Diese Arten von Botnetzen führen zu einer Erschöpfung der Ressourcen, was zu einem Denial-of-Service führt, indem mit kontrollierten Geräten so viel Netzwerkverkehr erzeugt wird, dass die von diesem System bereitgestellten Ressourcen für die Dauer des Angriffs nicht mehr zugänglich sind. Sobald der Angriff beendet ist, sind die Ressourcen des Zielsystems nicht mehr bis zur Erschöpfung verbraucht und es kann erneut auf legitime eingehende Clientanforderungen reagiert werden.

2. "PDoS"

Die BrickerBot-Kampagne unterscheidet sich grundlegend: Anstatt eingebettete Systeme in ein Botnetz zu integrieren, das dann dazu verwendet wird, Angriffe auf Server in großem Maßstab zu orchestrieren, sind die eingebetteten Systeme selbst das Ziel.

Von Radwares Post auf BrickerBot: "BrickerBot" führt zu permanentem Denial-of-Service :

Stellen Sie sich einen sich schnell bewegenden Bot-Angriff vor, mit dem die Hardware des Opfers funktionsunfähig gemacht werden soll. Diese Form des Cyber-Angriffs wird als permanenter Denial-of-Service (PDoS) bezeichnet und wird 2017 immer beliebter, da immer mehr Vorfälle auftreten, bei denen diese Hardware beschädigt wird.

PDoS wird in manchen Kreisen auch als "Phlashing" bezeichnet. Es ist ein Angriff, der ein System so stark beschädigt, dass ein Austausch oder eine Neuinstallation der Hardware erforderlich ist. Durch die Ausnutzung von Sicherheitslücken oder Fehlkonfigurationen kann PDoS die Firmware und / oder Grundfunktionen des Systems zerstören. Es ist ein Gegensatz zu seinem bekannten Cousin, dem DDoS-Angriff, der Systeme mit Anfragen überlastet, die dazu gedacht sind, Ressourcen durch unbeabsichtigte Verwendung zu überlasten.

Auf den eingebetteten Systemen, die für die dauerhafte Deaktivierung vorgesehen sind, ist keine Anwendung zum Zwecke der Fernsteuerung heruntergeladen, und sie sind niemals Teil eines Botnetzes (Schwerpunkt Mine):

Ein Gerät kompromittieren

Die Bricker Bot PDoS-Attacke setzte Telnet Brute Force ein - denselben Exploit-Vektor wie Mirai -, um die Geräte eines Opfers zu verletzen. Bricker versucht nicht, eine Binärdatei herunterzuladen , daher verfügt Radware nicht über eine vollständige Liste der Anmeldeinformationen, die für den Brute-Force-Versuch verwendet wurden, konnte jedoch aufzeichnen, dass das erste versuchte Benutzername / Passwort-Paar konsistent "root" / "vizxv" war. '

Ein Gerät beschädigen

Nach erfolgreichem Zugriff auf das Gerät führte der PDoS-Bot eine Reihe von Linux-Befehlen aus, die letztendlich zu einer Speicherbeschädigung führten, gefolgt von Befehlen zum Unterbrechen der Internetverbindung, der Geräteleistung und zum Löschen aller Dateien auf dem Gerät.

Ein dritter Unterschied besteht darin, dass es sich bei dieser Kampagne um eine kleine Anzahl von Geräten handelt, die von Angreifern gesteuert werden, anstatt um viele Tausende oder Millionen:

Über einen Zeitraum von vier Tagen wurden im Honeypot von Radware 1.895 PDoS-Versuche von verschiedenen Standorten auf der ganzen Welt durchgeführt.

Die PDoS-Versuche stammten von einer begrenzten Anzahl von weltweit verteilten IP-Adressen. Alle Geräte stellen Port 22 (SSH) bereit und führen eine ältere Version des Dropbear-SSH-Servers aus. Die meisten Geräte wurden von Shodan als Ubiquiti-Netzwerkgeräte identifiziert. Darunter befinden sich Access Points und Bridges mit Strahlrichtung.

Zusammenfassung

Angesichts der Tatsache, dass sich die BrickerBot "PDoS" -Kampagne grundlegend von herkömmlichen "DDoS" -Kampagnen wie Mirai unterscheidet, kann die Verwendung einer ähnlich klingenden Terminologie zu Verwirrung führen.

  • DDoS-Angriffe werden in der Regel von einem Botmaster mit Kontrolle über ein verteiltes Netzwerk von Geräten durchgeführt, um zu verhindern, dass Clients während der Dauer des Angriffs auf Serverressourcen zugreifen, während "BrickerBot" eine Kampagne ist, um eingebettete Systeme zu "blockieren"
  • Botnet-Clients werden über eine vom Angreifer auf dem Client installierte Anwendung gesteuert. In der BrickerBot-Kampagne werden Befehle aus der Ferne über Telnet ohne die Verwendung einer steuernden Anwendung (z. B. Malware) ausgeführt.
  • DDoS-Angriffe setzen eine große Anzahl (Tausende, Millionen) von gesteuerten Geräten ein, während die BrickerBot-Kampagne eine vergleichsweise geringe Anzahl von Systemen verwendet, um sogenannte "PDoS" -Angriffe zu orchestrieren
  • Die BrickerBot-Kampagne zielt auf eingebettete Systeme ab, während Mirai und dergleichen auf eingebettete Systeme abzielen, um diese in ein Botnetz zu integrieren
julianisch
quelle
Hervorragende ausführliche Antwort!
anonymous2
Wow du liest so schnell. Und danke, ich habe ein Interesse an der Sicherheit eingebetteter Systeme
Juli
1
Gute Antwort! Nach Ihrem ersten Absatz für die "PDoS" -Erklärung hatte ich den "Oh, ich verstehe" -Moment, in dem mir klar wurde, dass der Titel der Malware ziemlich selbsterklärend ist. Der Bot, der IoT-Geräte blockiert. Duh!
Reece
1
@PierreLebon gab es bereits einen Malware-Krieg - Mirai möchte offensichtlich die Kontrolle über die Geräte, die es infiziert, und versucht zu diesem Zweck bereits, (einige) andere Malware auszuschalten, wenn sie bereits infiziert wurde.
Baldrickk
1
@PierreLebon Wenn Sie sich die Funktionszeilen killer_init()190 bis 220 und die Funktionszeilen memory_scan_match()494 bis 539 in der Datei killer.c im Mirai-Quellcode ansehen , werden Sie feststellen, dass Mirai den Gerätespeicher nach Prozessen durchsucht, die mit denen konkurrierender Botnets übereinstimmen, und diese Prozesse anschließend beendet . Mirai beendet auch Telnet auf Geräten, die es infiziert, so dass es nicht erforderlich ist, das Gerät zu "patchen". es ist bereits nicht anfällig für direkte angriffe von "BrickerBot"
julian
7

DDoSes sind kurzlebig. Sobald der Angriffsvektor entfernt wurde oder das DDoS stoppt, funktioniert das Gerät. (Oder im Fall von Mirai funktioniert der Rest des Internets.)

PDoSes das Gerät aktualisieren , so dass es nicht funktioniert, immer und immer wieder.

Mirai verwendete IoT-Geräte als DDoS- Quelle . Mirai-infizierte Geräte funktionierten immer noch. Der DDoS-Aspekt war zusätzlich zu ihrer normalen Funktionalität. Es war kein DDoS gegen das Gerät selbst.

Wenn es die normale Funktionsweise beseitigt und keine Möglichkeit zum Entfernen geboten hätte, wäre es ein PDoS gegen das Gerät und die Quelle eines DDoS gegen das Internet im Allgemeinen gewesen.

Dave Newton
quelle
Ah, das macht Sinn. Der Brickerbot-Wurm deaktiviert also die IoT-Geräte, während Mirai das Gerät einfach gehackt hat, um einen DDoS-Angriff auf andere Server durchzuführen.
anonymous2
@ anonymous2 Das ist mein Verständnis, yup. Die Möglichkeit, angeschlossene Geräte zu vermauern, ist im Allgemeinen nur ärgerlich, kann jedoch in genügend Fällen zu einer tatsächlichen Gefahr führen, über die man sich Sorgen machen muss.
Dave Newton
Das Bricken verbundener Geräte kann die Großstadtklausel zur Apokalypse bringen! Sobald der Läufer nicht mehr in der Lage ist, seine letzte Leistung zu veröffentlichen oder zu überprüfen, wandern sie zu einer ganzen Horde ... Oh, ich muss mit dem Packen eines IOT Apocalypse Emergencie Packs beginnen.
Drag and Drop
5

Das Hauptunterscheidungsmerkmal bei Dave ist, dass im Falle von DDoS-Bot-Netzen die IoT-Geräte als Angreifer eingesetzt werden und in der Regel nicht einmal die Gerätefunktion in irgendeiner Weise beeinträchtigen. Schließlich wollen diese Angreifer nicht die Macht eines Bot-Netzes verlieren, das DDoS-Angriffe auf Dritte ausführen kann. Der IoT-Konsument bemerkt normalerweise nichts.

Der BrickerBot greift jedoch die Geräte selbst an und deaktiviert das Gerät. Somit ist der IoT-Verbraucher das Ziel des Angriffs und nicht der unwissentliche Anbieter von Angriffspotenzial.

Wie viele Blogs annehmen ( siehe Beispiel ), könnte der Bot ein Präventivschlag sein, um potenzielle Ziele für DDoS-Würmer zu reduzieren. Hauptsächlich, weil es nur sehr wenige Möglichkeiten gibt, Dinge zu zerstören, abgesehen davon, dass das Bot-Nettopotential oder die Konkurrenz verringert werden.

Man könnte dies als eine gute Sache betrachten, da dies eine Bedrohung darstellt, die IoT-Hersteller (Image) und Verbraucher tatsächlich bedroht und die Dringlichkeit erhöht, IoT-Geräte ordnungsgemäß zu sichern.

Helmar
quelle