Como o CloudSEK está se defendendo contra um ataque massivo de DDoS

No vasto campo da segurança cibernética, as organizações geralmente se encontram na vanguarda de ataques implacáveis que testam suas defesas e resiliência. Recentemente, o CloudSEK mergulhou nas profundezas de um ataque massivo de negação de serviço distribuído (DDoS). À medida que o ataque digital se intensifica, a equipe dedicada de especialistas da CloudSEK trabalha diligentemente para impedir os atacantes e proteger seus sistemas. No entanto, esse ataque ocorre em um momento em que o CloudSEK descobriu uma séria ameaça ao ecossistema Android: uma violação da cadeia de suprimentos que afeta milhões de usuários. Nesta postagem do blog, nos aprofundamos na emocionante história da batalha da CloudSEK contra o ataque DDoS, revelando a importância crítica de uma postura robusta de segurança cibernética no mundo interconectado de hoje.

Entendendo o DDoS: a força disruptiva que tem como alvo os sistemas organizacionais

Os ataques distribuídos de negação de serviço (DDoS) reinam como uma arma formidável empregada por agentes maliciosos para causar estragos nos sistemas organizacionais. Compreender a natureza do DDoS é crucial para compreender a escala de seu impacto e a urgência que ele exige na era digital atual.

O que é DDoS?

O DDoS, abreviação de Distributed Denial of Service, é um ataque malicioso no qual vários dispositivos comprometidos, geralmente formando uma botnet, são orquestrados para inundar um sistema ou rede alvo com um grande volume de tráfego. Esse fluxo de tráfego inunda os recursos do sistema, tornando-o incapaz de responder às solicitações legítimas dos usuários.

Impacto nos sistemas

Os efeitos de um ataque de DDoS podem ser catastróficos para as organizações. Isso leva a uma degradação significativa no desempenho do sistema, resultando em sites lentos ou sem resposta, serviços on-line inacessíveis e operações comerciais interrompidas. A perda de disponibilidade não só causa perdas financeiras, mas também prejudica a reputação de uma organização e corrói a confiança do cliente.

Criação de ataques DDoS

Os perpetradores empregam várias técnicas para lançar ataques DDoS. Isso inclui o uso de botnets, dispositivos comprometidos infectados com malware e até mesmo o emprego de técnicas de amplificação, como reflexão de DNS ou ataques de inundação de SYN. Os invasores exploram vulnerabilidades na infraestrutura de rede, nos aplicativos da Web ou nos dispositivos da Internet das Coisas (IoT) para iniciar uma enxurrada contínua de tráfego com o objetivo de sobrecarregar o sistema alvo.

Impacto nos servidores finais

Os servidores finais, alvos dos ataques de DDoS, suportam o peso do ataque. O fluxo massivo de tráfego sobrecarrega a capacidade de processamento do servidor, esgotando seus recursos computacionais, largura de banda de rede ou capacidades da camada de aplicativos. Como resultado, solicitações legítimas de usuários são negadas, causando interrupções no serviço, falta de resposta ou até mesmo paralisação total do sistema.

O processo de DDoS

Durante um ataque de DDoS, a organização alvo experimenta um aumento significativo no tráfego de entrada, que está muito além de sua capacidade de lidar. O influxo pode consistir em diferentes tipos de tráfego, como ataques volumétricos que inundam a rede, ataques na camada de aplicação que visam serviços específicos ou ataques de protocolo que exploram pontos fracos nos protocolos de rede. Esse ataque contínuo consome recursos do sistema, impedindo que o tráfego legítimo chegue ao destino pretendido.

Importância do ataque para organizações

Os ataques de DDoS representam uma grande preocupação para as organizações devido ao seu potencial de graves interrupções. Além das implicações financeiras imediatas, esses ataques podem resultar em danos à reputação, perda de clientes e consequências legais. Além disso, as organizações podem enfrentar tentativas de extorsão, nas quais os atacantes exigem resgate para interromper o ataque. Além disso, os ataques de DDoS costumam ser usados como cortina de fumaça para desviar a atenção de outras violações de segurança ou para testar a postura de segurança de uma organização, destacando a necessidade crítica de mecanismos de defesa robustos.

Alvo do caos: o encontro do CloudSEK com o ataque de DDoS

Em uma reviravolta sem precedentes, o CloudSEK se viu sitiado por um ataque DDoS implacável a partir de 31 de maio de 2023. A magnitude do ataque ficou evidente quando nossos servidores foram inundados com um volume excessivo de tráfego malicioso. Apresentamos os números factuais por trás desse ataque audacioso para fornecer uma melhor compreensão do desafio que o CloudSEK enfrentou.

Total de solicitações recebidas

Em um período de 72 horas, os servidores da CloudSEK experimentaram um aumento sem precedentes nas solicitações recebidas, com o número subindo rapidamente para impressionantes 1,62 bilhão, atendendo a um total de 4 TB de dados. Essa enxurrada de solicitações excedeu a capacidade do servidor de hospedagem Webflow no nível em que estávamos para lidar com elas de forma eficaz, resultando em severa degradação do desempenho e uma significativa desaceleração dos serviços. É claro que poderíamos mudar para um nível mais alto de oferta da Webflows, mas isso não resolveria o problema.

Endereços IP exclusivos usados para o ataque

Analisar ainda mais os padrões de ataque revelou um número impressionante de endereços IP exclusivos envolvidos no ataque. Mais de 6,38 milhões de endereços IP distintos foram identificados como fontes do ataque, indicando uma natureza altamente distribuída. Essa estratégia permitiu que os atacantes amplificassem seu impacto aproveitando uma grande botnet de dispositivos comprometidos, tornando mais difícil mitigar o ataque de forma eficaz.

Países dos quais a ofensiva se originou

Um aspecto notável desse ataque DDoS foi a origem geográfica diversa do tráfego malicioso. Notavelmente, uma parte significativa do tráfego teve origem na Índia, representando a maioria do total de solicitações, seguida pelo Paquistão, Nepal, Bangladesh e Emirados Árabes Unidos. Essa ampla distribuição internacional de fontes de ataque complicou ainda mais os esforços de defesa e mitigação do CloudSEK.

À medida que o ataque continuava a se desenrolar, o CloudSEK rapidamente entrou em ação, implementando mecanismos robustos de filtragem de tráfego, ampliando nossa infraestrutura de servidores e colaborando com provedores de serviços de rede para mitigar a ofensiva. Nosso centro de operações de segurança trabalhou 24 horas por dia, analisando padrões de tráfego, identificando comportamentos anômalos e implantando contramedidas sofisticadas para evitar o ataque.

Riding the Storm: a resposta estratégica da CloudSEK ao ataque de DDoS

A mitigação de um ataque de DDoS requer uma abordagem em várias camadas que combine várias estratégias defensivas. Diante do ataque implacável à infraestrutura do CloudSEK, a equipe de segurança cibernética implementou rapidamente vários métodos eficazes de mitigação para neutralizar a ameaça. Exploramos as principais estratégias empregadas pelo CloudSEK para evitar o ataque DDoS.

1. Firewall de aplicativos da Web (WAF) e correspondência de padrões

O CloudSEK aproveitou um poderoso Web Application Firewall (WAF) como a primeira linha de defesa contra o ataque de DDoS. O WAF empregou um mecanismo inteligente de correspondência de padrões para identificar e bloquear solicitações maliciosas. Ao analisar o agente do usuário, um campo no cabeçalho HTTP que identifica o cliente que está fazendo a solicitação, o CloudSEK detectou um padrão consistente indicando que uma parte significativa do tráfego de ataque se originou de emuladores Android.

Ao criar uma regra de correspondência de padrões, como <host-pattern>“http.user_agent contém '',“ O CloudSEK bloqueou efetivamente as solicitações desses emuladores. Essa medida proativa evitou o fluxo de solicitações de emuladores de Android que provavelmente faziam parte da botnet que orquestrava o ataque. Por meio do monitoramento contínuo e do refinamento das regras de correspondência de padrões, frustramos com sucesso uma parte substancial do tráfego de DDoS e protegemos nossos sistemas.

2. Bloqueio de caminhos URI

Outro importante método de mitigação empregado pelo CloudSEK envolveu a identificação de um padrão explorado pelos atacantes no caminho do URI de suas solicitações. Os atacantes estavam tentando acessar URIs com números aleatórios anexados a eles, como “/<6 ... yw>”. Essa tática tinha como objetivo evitar os mecanismos de cache do navegador, garantindo que cada solicitação exclusiva do agente chegasse ao servidor, intensificando assim o ataque DDoS.

Para combater essa estratégia, o CloudSEK implementou o bloqueio de caminhos de URI. Ao criar uma regra como <regex>“http.request.uri.path contém '/',” a equipe identificou e bloqueou efetivamente as solicitações com esses URIs aleatórios. Essa medida mitigou uma parte significativa do tráfego de ataque, pois as solicitações com números aleatórios foram negadas no estágio inicial, reduzindo a pressão sobre a infraestrutura de servidores do CloudSEK.

3. Correspondência de consulta ou correspondência de padrões com base na consulta de URL

O ataque DDoS ao CloudSEK também envolveu o bombardeio de nossos serviços com solicitações contendo consultas aleatórias na URL, como “http.request.uri contém '/search? consulta = '<regex>.” Esse vetor de ataque não só teve como alvo a camada de aplicativos da web, mas também afetou os microsserviços internos, causando mais interrupções.

Para combater esse tipo de ataque, o CloudSEK empregou regras de correspondência de consultas ou de correspondência de padrões. Ao detectar o padrão específico na parte de consulta do URL, o CloudSEK conseguiu identificar e bloquear as solicitações que carregavam consultas aleatórias. Esse método reduziu significativamente o impacto nos microsserviços internos, garantindo a estabilidade e a disponibilidade de recursos críticos.

4. Regras de limitação de taxa

Embora as regras de limitação de taxa possam ser um método eficaz de mitigação em determinados cenários de DDoS, o CloudSEK enfrentou desafios com sua implementação nesse ataque específico. A natureza diversa dos endereços IP usados pelos atacantes de vários países dificultou a imposição de limites efetivos de taxas. Como o tráfego do ataque se originou de vários endereços IP, cada um com uma taxa de solicitação relativamente baixa, as regras tradicionais de limitação de taxa se mostraram menos impactantes na mitigação do ataque. No entanto, a equipe de segurança da CloudSEK monitorou continuamente o tráfego e adaptou suas estratégias de defesa para lidar com padrões emergentes e garantir a proteção ideal.

Da vulnerabilidade à vigilância: Vigil do CloudSEK Fortalece a mitigação de ataques de DDoS

Uma coisa importante a ser observada é que o ataque DDoS foi conduzido na infraestrutura conhecida publicamente da CloudSEK - ou seja, o site. Devido à nossa postura de segurança robusta, os atacantes não conseguiram atingir nossos serviços hospedados em outros lugares e, portanto, nossos serviços voltados para o cliente continuaram ininterruptos.

No entanto, muitas organizações enfrentam ataques de DDoS paralisantes que prejudicam sua infraestrutura interna devido ao acesso aos detalhes de sua infraestrutura privada pelos atacantes. A SviGil, a solução de monitoramento digital da cadeia de suprimentos da CloudSEK, é uma forma de garantir que isso não aconteça. Ao coletar impressões digitais e monitorar de forma abrangente a infraestrutura de uma organização, o SVigil garante que os detalhes da infraestrutura privada permaneçam privados e que um ataque de DDoS não possa ser montado nessas redes e infraestruturas críticas.

Vamos dar uma olhada em como o SviGil ajuda as organizações a mitigar o risco de ataques de DDoS por meio de sua detecção abrangente de vulnerabilidades e medidas de segurança proativas.

Diagnóstico de páginas de alta carga

‍
Em primeiro lugar, o SviGil é capaz de identificar e listar páginas com altos tempos de resposta e tamanhos. Considere um site de comércio eletrônico típico com um recurso complexo de pesquisa de produtos. Essa função pode extrair uma grande quantidade de dados e retornar uma carga útil considerável, causando uma carga significativa no servidor. Se esse endpoint de alta carga for atacado com uma enxurrada de solicitações, isso poderá levar a um cenário de DDoS. As varreduras abrangentes do SviGil podem detectar esses endpoints que consomem muitos recursos, permitindo que as organizações otimizem seus serviços e implementem medidas de proteção.

Detectando painéis de upload não autenticados

‍
O SviGil também pode identificar possíveis pontos de estrangulamento, como painéis de upload não autenticados. Por exemplo, um site de hospedagem de projetos de código aberto pode permitir que os usuários carreguem arquivos grandes sem qualquer autenticação. Isso, por sua vez, pode ser explorado por agentes mal-intencionados para carregar arquivos excessivamente grandes repetidamente, consumindo largura de banda e poder de processamento significativos e levando a um ataque de DDoS. A verificação e a avaliação contínuas do SviGil podem detectar proativamente essas vulnerabilidades, permitindo uma remediação oportuna.

Descobrindo páginas de depuração e estatísticas expostas

‍
Um aspecto comumente negligenciado é a exposição de estatísticas e páginas de depuração. Essas páginas, como as usadas pelo HAProxy, Nginx, Grafana e Prometheus, geralmente contêm informações detalhadas sobre a rede e as capacidades de processamento do sistema. Se deixados expostos, os invasores podem aproveitar essas informações para personalizar um ataque de DDoS que explore as fraquezas específicas do sistema. Por exemplo, uma empresa de tecnologia pode deixar seu painel de monitoramento Grafana desprotegido. O SviGil pode detectar essas configurações incorretas e alertar a organização, permitindo que ela proteja essas páginas.

Identificação de tecnologias desatualizadas

‍
A execução de tecnologias desatualizadas é um risco de segurança que pode levar a vulnerabilidades de DDoS. Veja, por exemplo, uma empresa que executa uma versão antiga do WordPress com vulnerabilidades conhecidas que poderiam ser exploradas em um ataque de DDoS (como o CVE-2018-6389). O SviGil pode identificar essas vulnerabilidades e solicitar que a organização atualize seus sistemas, mitigando assim o risco de tais ataques.

Expondo APIs vulneráveis

‍
Além disso, o SVigil pode detectar APIs expostas que permitem consultas intensivas ao banco de dados. Uma API que permite consultas complexas sem limitação de taxa ou controles de acesso adequados pode ser o principal alvo de ataques de DDoS. Por exemplo, uma API voltada para o público que permite que os usuários obtenham dados extensivos do usuário pode ser consultada repetidamente, causando uma pressão significativa no banco de dados e potencialmente levando a um cenário de DDoS. Os recursos robustos de escaneamento do SviGil podem identificar essas APIs expostas e alertar a organização sobre o risco potencial.

Conclusão

Em conclusão, o ataque DDoS ao CloudSEK destacou a natureza implacável desses ataques e a necessidade crítica de as organizações permanecerem vigilantes e fortalecidas contra ameaças em evolução. A combinação de um grande número de solicitações, o envolvimento de vários endereços IP e a distribuição internacional do tráfego de ataque representou um desafio significativo para o CloudSEK. Estamos ativamente mitigando o ataque de DDoS por meio de uma combinação de correspondência inteligente de padrões com WAF, bloqueio de caminhos de URI, correspondência de consultas e monitoramento contínuo. Fique tranquilo, forneceremos atualizações regulares sobre o status do ataque e nossos esforços contínuos para combatê-lo. Nossa prioridade continua sendo proteger nossos sistemas e garantir serviços ininterruptos para nossos valiosos clientes.

‍