Cisco Japan Blog

2024 年 DDoS 攻撃とトレンドに関するまとめ

1 min read



 

2024 年内に発生し Cisco で観測した組織向けの DDoS 攻撃をもとに、その内容の分析による攻撃手法の特徴、最新の動向とトレンド、脅威アクターの活動等の情報をまとめます。

 

DDoS 攻撃の傾向と変化

  • 世界的に攻撃の件数と規模が増加している
  • これまでの帯域輻輳消費型から、高度なプロトコル、アプリケーション層の攻撃に移行、IoT・クラウドデバイスの悪用、リソース消費目的の持続的攻撃(1 時間以上)の増加、特にロシア・ウクライナの紛争影響による、政治的・イデオロギー的動機を持つ、”Hacktivist” (ハクティビスト) の活動が拡大、動機と戦術が変化している
  • “Hacktivist”(ハクティビスト) , 金銭目的の犯罪系グループ、国家支援 APT (Nation State Sponsored Advanced Persistent Threat Group) アクターグループ、が主要プレイヤーとなっている

 

DDoS Botnet に関する制御技術の動向

  • DDoS Botnet の通信モデル
    • Client-Server:古くからある一般的な Model, C2 Server を介して管理
    • P2P:新しい “Botnet” 環境で使用される “C2” 検出の回避と分散化の方法となる、ネットワーク上の各ボットは互いに通信を行い、C2 サーバ通信への単一障害点を排除できる
    • Random Architecture : Botnet 管理者 からのコマンドが、SNS (ソーシャルメディアフォーラム等) のリンク、CDN (コンテンツ配信ネットワーク)、mail、など一般的に利用者に使用されるランダムな通常のアプリソースを通じ実行する
  • Internet Relay Chat Protocol (IRC)

    • Slack のようなメッセージプラットフォームに変化し、IRC アプリ本来の利用機会は少なくなった。ただし “Botnet” の C2 サーバとの効率的な実行を利用するプロコトルとして依然利用されており、IRC が検出された場合は、その活動についてさらに調査する必要がある。IRC はグループ間また 1 対 1 のメッセージング用のテキストベースのチャットシステムでありファイル共有も可能、ブロードキャストされるため管理者が Botnet と通信するには理想的な環境となる

 

DDoS 攻撃の実施技術の動向

米国 “Cybersecurity and Infrastructure Security Agency” (CISA : アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁) によると、DDoS攻撃、DoS攻撃には以下 3 つのカテゴリーが定義される

  1. Volumetric, attacks aiming to consume available bandwidth
  2. Protocol, attacks which exploit vulnerabilities in network protocols
  3. Application, attacks targeting vulnerabilities in specific applications or running services

 

  • 1. Volumetric, attacks aiming to consume available bandwidth (ボリュームベース攻撃)

    • 意図的に大量のトラフィックを発生させ標的組織・システムに送信ことでシステムリソース、帯域幅を消費することを目的とする
    • DNS Reflection / Amplification (DRDoS)

      • Botnet により、ソースアドレスを標的のアドレスに偽装した DNS 要求をオープン DNS サーバーに送信、DNS サーバーが DNS レコードの応答を送信し対象に送信される。攻撃者は増幅効果を最大限に高めるために、Zone Transfer リクエストなど、可能な限り多くのゾーン情報に対する要求を送信する
    • NTP Reflection / Amplification (DRDoS)

      • Botnet により、“monlist” コマンドの実行が有効となる NTP サーバーに送信元アドレスを標的のアドレスに偽装したリクエストを送信する。リクエストを受信した NTP サーバーでは送信されたリクエストの直近 600 件等の送信元  IP アドレスとして増幅し返信する
    • UDP Long Packet Flood

      • Botnet により、標的に、作成された大量の UDP パケットを送信し、対象サービスの処理・応答能力、対象サービスが接続される回線帯域を攻撃する

 

  • 2. Protocol, attacks which exploit vulnerabilities in network protocols (プロトコルベース攻撃)

    • ネットワークレイヤーのプロトコルとサービスの原則を悪用し標的を攻撃する。攻撃者はネットワークレイヤーでの不備を利用し、サーバーリソースを消費させ標的のパフォーマンスを低下、誤作動を誘発する
    • TCP/SYN Flood

      • Botnet により、攻撃対象との初期 L3 TCP ハンドシェイクを行うために軽量な TCP/SYN パケットを大量に送信する。攻撃対象が TCP/SYN パケットを受信すると TCP SYN/ACK パケットを送信することになる、攻撃に利用される Botnet は TCP セッションを完了するための ACK パケットを送信しない。新規 TCP/SYN パケットが到着する度に、攻撃対象となる Web サーバ / TCP オープンポートは一定時間に新しい接続を一時的に維持することになり、新規リクエストを処理するためリソース上限に達した場合、サービスの正常機能を提供できなくなる
    • HTTP/2 Rapid Reset Zero-Day Vulnerability

      • HTTP/2 Rapid Reset Zero-Day Vulnerability (CVE-2023-44487) 脆弱性により DDoS 攻撃に利用可能であることを悪用されている。この脆弱性は、リクエストを繰り返し送信し、直後にキャンセルすることでストリームキャンセル機能をトリガーし標準の HTTP/2 プロトコルを悪用できる。この攻撃は、約2万台のマシンで構成される中規模の Botnet によって実行され、1秒あたり2億100万リクエスト(RPS)を超える、DDoS 攻撃が観測されている

 

  • 3. Application, attacks targeting vulnerabilities in specific applications or running services (アプリケーションベース攻撃)

    • 標的のシステム上で稼働している特定のアプリケーションやサービスの脆弱性、サービスの原則を標的とし、主にHTTP や FTP 等の標準アプリケーションを対象とする。トラフィックは偽装される必要が無く、元々は正常と見える可能性がある
    • HTTP Flood

      • 大規模な Botnet により標的の Web システムから画像、ファイル、その他の資産に対する複数のリクエストを送信。標的が大量の受信リクエストと応答に圧倒され、正しい送信元からのサービスリクエストに対する Denial of Service が発生
    • 低規模・低速でリソースを消費する攻撃

      • アプリケーションやサーバーのリソースを標的とした少量の低速トラフィックに依存し Botnet を必要とするほとんどの DDoS 攻撃とは異なり、単一のコンピュータを使用して実行できる

 

DDoS Botnet Malware, 攻撃ツールのトレンド

  • 最新の DDoS Malware トレンド
    • MiraiMozi LuciferNKAbuseDirtyMoeGoldenEye SlowlorisHOIC (High Orbit Ion Cannon), etc

  • 最新の DDoS 攻撃ツールトレンド
    • GoldenEye, Slowloris, HOIC (High Orbit Ion Cannon), etc

  • Botnet Kit
    • マルウェア、C2 サーバーファイル、操作マニュアルがセットになったキットが販売されている、容易に DDoS 攻撃を実施可能
  • DDoS as a Service
    • DDoS 攻撃をサービスとして利用できる、”DDoS-as-a-Service” が販売されており、時間単位で利用可能
    • 教育資料やサポートまで提供される場合もある
  • ストレスツール (Stressors)
    • ネットワーク負荷テストを装ったツールで合法的に販売されている、実際には DDoS 攻撃にも使用可能

 

DDoS 攻撃の直近の規模と今後の可能性

  • Google 社は、記録上最大の DDoS 攻撃を受信、ピーク時として 3 億 9800 万 RPS (Request / Sec) に達した[6]
  • Radware 社は、2022 年の DDoS 攻撃が 99% 増加し、2023 年には 94% 増加したと報告 [7]
  • A10 Networks 社は、2024 年のボット数は 2022 年から世界全体で16%増加したと報告 [8]
  • 攻撃の主体は、より高度な DDoS 攻撃を実行するため、新しいツール、戦術を攻撃プレイブックに組み込んでいる(クラウドリソース、IoT 等)
  • DDoS 攻撃を請け負うプラットフォーム数は増加、現在利用可能なサービスの 20 %は 2023 年に登場したものである
  • 政治的、宗教的、道徳的に支持していることを明確に宣言する強いメッセージを発信し、新しい経験の浅いサイバー犯罪者を惹きつけ、教育することに成功している、脅威の状況が拡大し、サイバー脅威全体が増加

 

関連記事

[1] Understanding and Responding to Distributed Denial-Of-Service Attacks (March 21, 2024)

[2] What are command and control attacks and what can you do to avoid them? (September 25, 2023)

[3] HTTP/2 Rapid Reset Vulnerability, CVE-2023-44487 (October 10, 2023)

[4] What Is a DDoS Attack? How It Works, Trends, Types & Mitigation

[5] How to Prevent DDoS Attacks: 7 Tried-and-Tested Methods

[6] Google mitigated the largest DDoS attack to date, peaking above 398 million rps

[7] What Is a DDoS Attack? How It Works, Trends, Types & Mitigation

[8] DDoS Attackers Uncovered: Understanding the DDoS Landscape

[9] Web DDoS Attacks

 

 

コメントを書く