Os ataques de DoS são um grande risco, porque interrompem a comunicação e causam perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado. Existem dois tipos principais de ataque de negação de serviço (DoS):
- Grande quantidade de tráfego - O agente de ameaças envia uma enorme quantidade de dados para avaliação que a rede, host ou aplicativo não pode manipular. Isso faz com que os tempos de transmissão e resposta diminuam. Também pode travar um dispositivo ou serviço.
- Pacotes maliciosamente formatados – O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue manipulá-lo. Isso causa lentidão ou falha na execução do dispositivo receptor.
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Por exemplo, um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. O agente de ameaças usa um sistema de comando e controle (CnC) para enviar mensagens de controle aos zumbis. Os zumbis constantemente examinam e infectam mais hosts com malware bot. O malware bot é projetado para infectar um host, tornando-o um zumbi que pode se comunicar com o sistema CnC. Um grupo de zumbis é chamada de botnet. Quando pronto, o agente de ameaça instrui o sistema CnC a fazer com que o botnet de zumbis execute um ataque DDoS.
Componentes de ataques DDoS
Se os atores da ameaça podem comprometer muitos hosts, eles podem executar um ataque DoS distribuído (DDoS). Os ataques DDoS são semelhantes em intenção aos ataques DoS, exceto que um ataque DDoS aumenta em magnitude porque ele se origina de várias fontes coordenadas, como mostrado na figura. Um ataque DDoS pode usar centenas ou milhares de fontes, como em ataques DDoS baseados em IoT.
Ataques de Buffer Overflow
O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS.
Por exemplo, um ator de ameaça insere entrada maior do que o esperado pelo aplicativo em execução em um servidor. O aplicativo aceita a grande quantidade de entrada e armazena na memória. O resultado é que ele pode consumir o buffer de memória associado e potencialmente substituir a memória adjacente, eventualmente corrompendo o sistema e fazendo com que ele falhe.
Um exemplo inicial do uso de pacotes mal formados foi o Ping of Death. Nesse ataque herdado, o ator de ameaça enviou um ping de morte, que era uma solicitação de eco em um pacote IP maior que o tamanho máximo de pacote de 65.535 bytes. O host receptor não seria capaz de lidar com um pacote desse tamanho e ele iria falhar.
Os ataques de estouro de buffer estão evoluindo continuamente. Por exemplo, uma vulnerabilidade de ataque remoto de negação de serviço foi descoberta recentemente no Microsoft Windows 10. Especificamente, um ator de ameaça criou código malicioso para acessar memória fora do escopo. Quando esse código é acessado pelo processo AHCACHE.SYS do Windows, ele tenta acionar uma falha do sistema, negando serviço ao usuário. Pesquise na Internet no “blog TALOS-2016-0191” para acessar o site de inteligência de ameaças Cisco Talos e ler uma descrição de tal ataque.
Observação: Estima-se que um terço dos ataques mal-intencionados sejam o resultado de estouros de buffer.
Nenhum comentário:
Postar um comentário