DDoS vs. "PDoS"
1. DDoS (untuk referensi)
Suatu serangan denial of service (DDOS) terdistribusi konvensional adalah serangan class of denial of service (DoS) di mana sistem terdistribusi (botnet) yang terdiri dari node yang dikendalikan melalui beberapa aplikasi ( Mirai , LizardStresser , gafgyt , dll.) Digunakan untuk mengkonsumsi sumber daya dari sistem target atau sistem ke titik kelelahan. Penjelasan yang baik tentang ini diberikan pada keamanan .
Penjelasan tentang bagaimana botani yang dikontrol Mirai mencapai penolakan layanan dapat ditemukan dalam analisis oleh Incapsula :
Seperti kebanyakan malware di kategori ini, Mirai dibangun untuk dua tujuan inti:
- Temukan dan kompromi perangkat IoT untuk mengembangkan botnet lebih lanjut.
- Luncurkan serangan DDoS berdasarkan instruksi yang diterima dari K&C jarak jauh.
Untuk memenuhi fungsi rekrutmennya, Mirai melakukan pemindaian alamat IP yang luas. Tujuan dari pemindaian ini adalah untuk menemukan perangkat IoT yang kurang aman yang dapat diakses dari jarak jauh melalui kredensial login yang mudah ditebak — biasanya nama pengguna dan kata sandi default pabrik (misalnya, admin / admin).
Mirai menggunakan teknik brute force untuk menebak kata sandi alias serangan kamus ...
Fungsi serangan Mirai memungkinkannya meluncurkan HTTP HTTPs banjir dan berbagai serangan jaringan (OSI layer 3-4). Saat menyerang banjir HTTP, bot Mirai bersembunyi di balik agen-pengguna default berikut ...
Untuk serangan lapisan jaringan, Mirai mampu meluncurkan banjir GRE IP dan GRE ETH, serta banjir SYN dan ACK, banjir STOMP (Protokol Pesan Berorientasi Teks Sederhana), banjir DNS dan serangan banjir UDP.
Jenis-jenis botnet ini menyelesaikan kelelahan sumber daya yang mengakibatkan penolakan layanan dengan menggunakan perangkat terkontrol untuk menghasilkan volume besar lalu lintas jaringan yang diarahkan ke sistem target sehingga sumber daya yang disediakan oleh sistem itu menjadi tidak dapat diakses selama durasi serangan. Setelah serangan berhenti, sistem target tidak lagi menghabiskan sumber dayanya sampai habis dan dapat kembali menanggapi permintaan klien masuk yang sah.
2. "PDoS"
Kampanye BrickerBot berbeda secara mendasar: alih-alih mengintegrasikan sistem yang tertanam ke dalam botnet yang kemudian digunakan untuk mengatur serangan skala besar pada server, sistem yang tertanam itu sendiri adalah targetnya.
Dari pos Radware di BrickerBot “BrickerBot” Menghasilkan Permanen Penolakan-Layanan :
Bayangkan serangan bot bergerak cepat yang dirancang untuk membuat perangkat keras korban tidak berfungsi. Disebut Denial-of-Service Permanent (PDoS), bentuk serangan cyber ini menjadi semakin populer pada tahun 2017 karena lebih banyak insiden yang melibatkan serangan yang merusak perangkat keras ini terjadi.
Juga dikenal secara longgar sebagai "phlashing" di beberapa kalangan, PDoS adalah serangan yang merusak sistem sangat parah sehingga membutuhkan penggantian atau penginstalan ulang perangkat keras. Dengan mengeksploitasi kelemahan keamanan atau kesalahan konfigurasi, PDoS dapat menghancurkan firmware dan / atau fungsi dasar sistem. Ini berbeda dengan sepupunya yang terkenal, serangan DDoS, yang membebani sistem dengan permintaan yang dimaksudkan untuk menjenuhkan sumber daya melalui penggunaan yang tidak diinginkan.
Sistem tertanam yang ditargetkan untuk lumpuh permanen tidak memiliki beberapa aplikasi yang diunduh ke mereka untuk tujuan remote control dan tidak pernah menjadi bagian dari botnet (tambang penekanan):
Mengompromikan Perangkat
Serangan Bricker Bot PDoS menggunakan kekuatan kasar Telnet - vektor exploit yang sama yang digunakan oleh Mirai - untuk menembus perangkat korban. Bricker tidak mencoba mengunduh biner , jadi Radware tidak memiliki daftar kredensial lengkap yang digunakan untuk upaya brute force, tetapi mampu merekam bahwa pasangan nama pengguna / kata sandi yang dicoba secara konsisten adalah 'root' / 'vizxv. '
Merusak Perangkat
Setelah berhasil mengakses perangkat, bot PDoS melakukan serangkaian perintah Linux yang pada akhirnya akan menyebabkan penyimpanan rusak, diikuti oleh perintah untuk mengganggu konektivitas Internet, kinerja perangkat, dan menghapus semua file pada perangkat.
Perbedaan ketiga adalah bahwa kampanye ini melibatkan sejumlah kecil perangkat yang dikendalikan penyerang, bukan ribuan atau jutaan:
Selama periode empat hari, Radone's honeypot mencatat 1.895 upaya PDoS yang dilakukan dari beberapa lokasi di seluruh dunia.
Upaya PDoS berasal dari sejumlah alamat IP yang tersebar di seluruh dunia. Semua perangkat mengekspos port 22 (SSH) dan menjalankan versi server Dropbear SSH yang lebih lama. Sebagian besar perangkat diidentifikasi oleh Shodan sebagai perangkat jaringan Ubiquiti; di antaranya adalah Access Points dan Bridges dengan directivity beam.
Ringkasan
Mengingat sejumlah cara yang kampanye BrickerBot "PDoS" secara fundamental berbeda dari kampanye "DDoS" konvensional seperti Mirai, menggunakan terminologi yang terdengar mirip kemungkinan akan mengakibatkan kebingungan.
- Serangan DDoS biasanya dilakukan oleh botmaster dengan kontrol atas jaringan perangkat yang terdistribusi untuk mencegah klien mengakses sumber daya server selama serangan, sedangkan "BrickerBot" adalah kampanye untuk "embedded" embedded systems
- Klien Botnet dikendalikan melalui aplikasi yang diinstal pada klien oleh penyerang. Dalam kampanye BrickerBot, perintah dari jarak jauh dieksekusi melalui telnet tanpa menggunakan aplikasi pengontrol (mis. Malware)
- Serangan DDoS menggunakan sejumlah besar (ribuan, jutaan) perangkat yang dikendalikan, sedangkan kampanye BrickerBot menggunakan sejumlah kecil sistem untuk mengatur apa yang disebut serangan "PDoS"
- kampanye BrickerBot menargetkan sistem tertanam untuk lumpuh, sedangkan Mirai dan sejenisnya tertanam sistem untuk mengintegrasikannya ke dalam botnet