A10 Networks giám sát và đưa ra tài liệu về vũ khí DDoS tiềm tàng cũng như cách thức hoạt động của chúng, đồng thời cung cấp thông tin xác định mối đe dọa nhằm đảm bảo có thể giảm thiểu số vụ tấn công DDoS do bất kỳ quốc gia hoặc tổ chức nào gây ra.
Như đã lưu ý ở đây, trong số các phát hiện quan trọng khác, có sự gia tăng đáng kể việc sử dụng các giao thức mờ ám hơn như Apple Remote Desktop (ARD), được sử dụng trong các cuộc tấn công mạng vào Ukraine (xem báo cáo đặc biệt ở trang 3) và các giao thức thường được sử dụng như Network Time Protocol (NTP) hoặc giao thức Connectionless Lightweight Directory Access (CLDAP), đóng vai trò vô cùng quan trọng trong các cuộc tấn công mạng lớn, như Cuộc tấn công 2.3 Tbps AWS năm 2020.
Cuộc xung đột đang diễn ra ở Ukraine là một ví dụ về chiến tranh mạng do nhà nước hậu thuẫn, trong đó các vụ tấn công mạng như DDoS không chỉ được sử dụng như một công cụ tùy ý để đánh lạc hướng hoặc phá hủy trong thời bình, mà còn là các vụtấn công phối hợp chặt chẽ nhằm hỗ trợ những cuộc đối đầu trực diện trên đất liền.
Hình thức tấn công DDoS phá hủy cơ sở hạ tầng then chốt và hệ thống thông tin liên lạc
Chiến tranh mạng thường được xem là các cuộc tấn công mạng do các chính phủ quốc gia hoặc tổ chức quốc tế như Anonymous sử dụng để phá hủy chính phủ và các dịch vụ quan trọng khác. Các vụ tấn công DDoS đã được những kẻ tấn công được nhà nước hậu thuẫn sử dụng trong quá khứ như một phần của chiến thuật chiến tranh mạng để nhắm mục tiêu hiệu quả vào cơ sở hạ tầng quan trọng, chẳng hạn như các tiện ích, dịch vụ điện thoại và giao thông hoặc để ngăn chặn liên lạc giữa các cá nhân hoặc cơ quan chính phủ.
Ngay từ đầu cuộc xung đột giữa Nga và Ukraine, nhóm nghiên cứu bảo mật của A10 đã quan sát các cuộc tấn công liên tục và đáng kể vào các mạng của chính phủ Ukraina và các tài sản Internet thương mại, bao gồm cả các cuộc tấn công quy mô lớn vào ngày đầu tiên diễn ra cuộc xung đột.
Nhóm nghiên cứu bảo mật của A10 Networks đã thu thập thông tin tình báo về vũ khí bằng cách giám sát chặt chẽ các tác nhân tấn công dưới sự kiểm soát của chỉ huy và kiểm soát mạng botnet (C2); khám phá những cải tiến trong phần mềm độc hại bằng cách triển khai hệ thống honeypots; chặn mạng botnet tự tái tạo; và quét Internet để tìm các nguồn khuếch đại phản xạ đã tiếp xúc.
Trong năm ngoái, Trung Quốc liên tục dẫn đầu danh sách các quốc gia sở hữu nhiều vũ khí DDoS nhất, với hơn 2 triệu vũ khí khuếch đại và tác nhân mạng botnet.
Các vụ tấn công DDoS được diễn ra trong tự nhiên
Một cuộc tấn công đơn lẻ có thể sử dụng nhiều vũ khí và vectơ DDoS để áp đảo mạng và hệ thống phòng thủ của nạn nhân. Mặc dù một cuộc tấn công đơn lẻ cũng có thể sử dụng các nút mạng tấn công để lan tỏa ra toàn cầu, chúng ta vẫn nên biết nguồn gốc của những vũ khí này vì thông tin này có thể giúp các tổ chức tạo ra các chính sách bảo vệ chống DDoS tốt hơn và chính xác hơn.
Nhóm nghiên cứu bảo mật của A10 Networks theo dõi các vũ khí DDoS tiềm tàng cũng như cách thức hoạt động của chúng để đảm bảo có thể truy ngược nguồn gốc quốc gia và tổ chức lưu trữ những loại vũ khí này.
Các quốc gia và khu vực hàng đầu lưu trữ vũ khí DDoS
Các vụ tấn công DDoS không giới hạn ở một vị trí địa lý cụ thể. Các vụ tấn công này được cung cấp vũ khí phân phối trên toàn cầu. Mật độ cao hơn diễn ra ở những nơi có mật độ dân số kết nối internet dày đặc nhất.
Hoạt động bot thường thay đổi theo từng kỳ báo cáo. Trong nửa cuối năm 2021, các chuyên gia quan sát thấy tổng số bot đã giảm 8%. Khi các tổ chức nhận thức được hoạt động độc hại trong hệ thống mạng, họ sẽ thực hiện các biện pháp khắc phục và hệ thống bị nhiễm độc sẽ bị gỡ xuống. Trong một số trường hợp, các biện pháp đó do các chủ thể bên ngoài thực hiện, bao gồm các cơ quan thực thi pháp luật hoặc cảnh sát. Việc tăng và giảm số botnet có thể là do:
Vectơ mới dùng để tạo vũ khí
Apache Log4j là một nền tảng ghi nhật ký dùng để ghi lại thông tin về hiệu suất và bảo mật cũng như truyền đạt các thông báo chẩn đoán cho quản trị viên hệ thống. Nền tảng này được sử dụng bởi hàng nghìn gói Java trong nhiều sản phẩm tiêu dùng và doanh nghiệp.
Việc tiết lộ CVE-2021-44228 vào ngày 10 tháng 12 năm 2021 là nguyên nhân thực sự gây ra quan ngại vì quy mô sử dụng của Log4j có thể mở rộng đến hàng tỷ thiết bị tiềm năng trên toàn thế giới.
Theo NIST, các tính năng của Java Naming and Directory Interface (JNDI) trong Log4j, được sử dụng trong việc cấu hình và ghi nhật ký, có thể dễ dàng bị tấn công vì những kẻ tấn công có thể kiểm soát thông báo nhật ký hoặc tham số thông báo nhật ký để thực thi mã độc được tải từ máy chủ LDAP. Điều này là hoàn toàn khả thi nếu bật tùy chọn “thay thế tra cứu tin nhắn”.
Do đó, việc thực hiện mã từ xa chưa được xác thực (RCE) để cài đặt phần mềm độc hại bằng Log4j là rất dễ dàng và hành vi này đã được quan sát thấy trong vài ngày đầu tiên sau khi tiết lộ danh sách CVE.
Các hành động bảo vệ được đề xuất để giải quyết các lỗ hổng trong Log4j Bảo vệ mạng và tài nguyên khỏi lỗ hổng Log4j bằng cách làm theo các bước sau:
B1: Xác định và cô lập. Xác định và cô lập các sản phẩm có lỗ hổng Log4j ngay tức khắc. Bạn có thể thực hiện thao tác này bằng nhiều cách, chẳng hạn như ngắt kết nối các thiết bị bị mạng ảnh hưởng hoặc tạo mạng VLAN dùng để tách các thiết bị bị ảnh hưởng.
B2: Đảm bảo cập nhật bảo mật của bạn. Đảm bảo rằng tất cả các thiết bị đều được cập nhật phiên bản mới nhất của Log4j, cơ sở hạ tầng bảo mật được cập nhật thường xuyên và các thiết bị đều được chạy phiên bản firmware mới nhất. Theo dõi danh sách CVE có liên quan và tìm kiếm sự trợ giúp nếu bất kỳ bản vá nào được yêu cầu. Nếu không có bản sửa lỗi nào có sẵn, hãy đưa ra thao tác thích hợp dựa trên danh sách CVE cụ thể.
B3: Tuyệt đối không tin tưởng và luôn phải xác minh. Kết hợp mô hình Zero Trust và các nguyên tắc chính của mô hình đó vào chiến lược bảo mật của tổ chức. Tạo chu vi vi mô giữa các mạng. Hạn chế tiếp cận các nguồn lực và đầu tư vào các giải pháp hiện đại dựa trên AI/ML. Đảm bảo cho bạn nhìn thấy không chỉ điểm cuối và các nút mạng mà còn thấy cả người dùng, các hoạt động và quy trình làm việc của họ.
B4: Xem xét trọng tải kỹ hơn. Nếu các thiết bị mạng đang tạo ra một lượng lớn lưu lượng truy cập một cách bất ngờ, hãy xem trọng tải (tức là HTTP GET như trong ví dụ trên). Bạn có thể sử dụng RegEx để lọc ra những yêu cầu truy cập độc hại này và chặn chúng trước khi chúng lây nhiễm sang các thiết bị khác.
B5: Sử dụng hoặc xem xét DDoS Baselining và AI/MLTechniques. Việc sử dụng các kỹ thuật DDoS hiện đại như baselining để theo dõi những hành vi bất thường so với các quy chuẩn từ trước đến nay và các kỹ thuật AI/ML, để tự động phát hiện và giảm thiểu các cuộc tấn công, có thể là một nguồn động lực thúc đẩy nhóm bảo mật của bạn, mang lại cho họ nhiều thông tin cần thiết và giúp họ tập trung vào những phát kiến mới lạ.
Các vụ tấn công phản xạ khuếch đại gây nên một số vụ tấn công DDoS lớn nhất. Chiến lược tấn công này nhằm khai thác bản chất không kết nối của giao thức UDP và giả mạo địa chỉ IP của nạn nhân.
Trong khi những kẻ tấn công DDoS đang ngày càng tập trung vào các vụ tấn công nhỏ hơn diễn ra liên tục trong một thời gian dài, thì khả năng nổ ra các cuộc tấn công DDoS quy mô lớn mang lại tai tiếng vẫn không hề giảm bớt. Dù các vụ tấn công quy mô lớn không diễn ra thường xuyên, nhưng chúng vẫn luôn có thể gây ra thiệt hại nghiêm trọng. Mặc dù các vụ tấn công quy mô lớn này có thể không mang lại nhiều lợi ích bằng việc liên tục tấn công một tổ chức trong thời gian dài, nhưng chúng được sử dụng để đưa ra tuyên bố. Trong bối cảnh hiện tại, chiến tranh mạng do nhà nước hậu thuẫn và chủ nghĩa không gian mạng đang trở nên phổ biến hơn nhiều.
Trong khi thế giới chuyển sang một môi trường hoạt động bình thường hơn, các cuộc tấn công mạng, bao gồm cả các vụ tấn công do nhà nước hậu thuẫn, sẽ chỉ tiếp tục gia tăng. Như chúng ta đã chứng kiến, trải qua hàng chục năm, các vụ tấn công DDoS được sử dụng như một công cụ tùy ý để đánh lạc hướng hoặc phá hủy để thu lợi tài chính hoặc đưa ra một tuyên bố. Và năm nay, chúng ta đã thấy bằng chứng rõ ràng rằng các vụ tấn công được phối hợp chặt chẽ đang được sử dụng nhằm hỗ trợ cho một cuộc đối đầu trực diện trên đất liền.
Phòng chống DDoS chủ động là phương thức cốt lõi để bảo vệ cơ sở hạ tầng và các dịch vụ then chốt.
A10 Networks khuyến nghị:
Thông tin tình báo về mối đe dọa DDoS tinh vi, kết hợp với khả năng phát hiện mối đe dọa trong thời gian thực, trí tuệ nhân tạo (AI)/máy học (ML) và trích xuất chữ ký tự động, cho phép các tổ chức bảo vệ chống lại tất cả các vụ tấn công DDoS, từ các vụ tấn công liên tục với tần suất cao, cường độ thấp cho đến các vụ tấn công DDoS đa vectơ lớn, bất kể chúng bắt nguồn từ đâu.
Vũ khí DDoS hữu dụng và thông tin về mối đe dọa cho phép tiếp cận chủ động để giảm thiểu tấn công DDoS bằng cách tạo danh sách đen dựa trên nguồn cấp dữ liệu chính xác và gần đây về địa chỉ IP của mạng botnet DDoS và các máy chủ dễ bị tấn công thường được sử dụng để hỗ trợ cho các vụ tấn công DDoS.
Các nhà nghiên cứu bảo mật của A10 Networks đang đi đầu trong lĩnh vực tình báo vũ khí DDoS. A10 cung cấp một hệ thống toàn diện và đầy đủ để cho phép các tổ chức được bảo vệ DDoS một cách trọn vẹn.
Nguồn: The Global State of DDoS Weapons
Xem thêm: A10- Tăng tốc ứng dụng, cân bằng tải và phòng chống DDoS
Cùng khám phá cách University Hospital Centre (CHU) của Saint Etienne tận dụng cơ sở hạ tầng Pure Storage để tăng dung lượng lưu trữ, cải thiện hiệu suất ứng dụng và hiện đại hóa bảo vệ dữ liệu. Về khách hàng CHU Saint-Etienne là một trong bốn bệnh viện đại học ở vùng Auvergne-Rhône-Alpes […]
![[Thông báo tuyển dụng] Sales, Presales, Account Manager](https://www.vietsunshine.com.vn/wp-content/uploads/2023/05/Tuyen-dung-06-270x150.png)
Do nhu cầu mở rộng kinh doanh, VietSunshine đang tìm kiếm các ứng viên phù hợp cho các vị trí: 1. Presales Mức lương từ $1000 trở lên Số lượng: 01 HN và 01 HCM Xem chi tiết: HCM: https://bit.ly/VSSHCM_presales HN: https://bit.ly/VSSHN_presales 2. Sales Mức lương từ 9 – 12 triệu + thưởng theo KPI […]
Các mạng đám mây (Cloud network) — đặc biệt là các mạng trải rộng trên cơ sở hạ tầng kết hợp hoặc đa đám mây — vốn đã phức tạp. Trong những ngày đầu của mạng đám mây, sự phức tạp này đã tạo ra một loạt thách thức mà các tổ chức phải vượt […]
