FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Cybermenace : le groupe TA444 déploie de nouvelles méthodes pour dérober des cryptomonnaies

25 janvier 2023 à 12:22
Par : UnderNews

Les chercheurs de Proofpoint, société leader en cybersécurité et conformité, ont publié les dernières activités du groupe TA444, un acteur de la menace affilié à la Corée du Nord, lié notamment à d’autres activités publiques telles que APT38, Stardust Chollima et COPERNICIUM. Courant 2022, ce dernier a escroqué de nombreuse victimes récoltant l’équivalent de plus d’un milliard de dollars en cryptomonnaies.

The post Cybermenace : le groupe TA444 déploie de nouvelles méthodes pour dérober des cryptomonnaies first appeared on UnderNews.

Quelles menaces pour les entreprises en 2023 ? Chantage médiatique, fausses fuites de données et hausse des attaques via le cloud

19 janvier 2023 à 15:14
Par : UnderNews

Les chercheurs de Kaspersky Security Services ont partagé leurs prédictions concernant les cybermenaces auxquelles les grandes entreprises et les structures gouvernementales pourraient être confrontées cette année. Parmi ces menaces, on retrouve notamment les cybercriminels qui instrumentalisent les médias pour faire chanter des organisations, ceux faisant état de soi-disant fuites de données et les agents malveillants […]

The post Quelles menaces pour les entreprises en 2023 ? Chantage médiatique, fausses fuites de données et hausse des attaques via le cloud first appeared on UnderNews.

Les attaques DDoS : Le déni de service

19 novembre 2019 à 17:30

Les attaques DoS ou DDoS signifie déni de service.
Le but est d’inonder de requêtes un service internet afin de le mettre hors ligne.
C’est un type de cyberattaque très fréquents dont les motivations sont diverses : extorsion, revanche, mettre le concurrence hors ligne, ….

Dans cet article, nous verrons comment fonctionnent les attaques DDoS, leurs motivations ainsi que des liens pour s’en protéger.

Les attaques DDoS : Le dénie de service

Qu’est-ce qu’une attaque DDoS

Les Attaques DoS ou DDoS (denial of service attack – en français Déni de Service) sont des attaques qui visent à paralyser un service et le rendre indisponible.
Il s’agit de noyer le service sous une multitude de demande en continue afin que celui-ci ne puisse plus répondre normalement.
Les motivations de ces attaques peuvent être multiples.

Définition :

  • DoS (denial of service attack) : c’est une attaque avec une seul source non distribué.
  • DDoS (distributed denial of service attack) : L’attaquant utilise un réseau d’ordinateur et objets internet sous son contrôle pour multiplier les sources et la force de l’attaque. Plusieurs différentes techniques sont possibles pour amplifier l’attaque.

Voici un schéma simplifié d’une attaque DoS distribuée (DDOS).
Bien sûr, il existe plusieurs techniques différentes.

Schéma d'une attaque DDoS - DoS distribuée

Pour y parvenir les attaquants utilisent des machines infectées qui font partie d’un botnet (réseau de machines infectées).
L’attaquant peut utiliser un botnet ou plusieurs botnets selon les besoins.

Schéma d'une attaque DDoS - DoS distribuée

Les types d’attaques DDoS

En clair donc, tout protocole utilisé (partage de fichiers par Torrent, partage de fichiers sur Windows) utilisent des protocoles applicatifs définies.
Ils s’appuient, eux sur des protocoles de communications : TCP, UDP, ICMP, etc.
Tous ces protocoles ont des fonctionnements très stricts, définis, certains sont décrits dans des spécifications (requests for comments (RFC)).

Pour bien comprendre le fonctionnement de ces attaques DoS, il faut connaître le fonctionnement de tous ces protocoles.
Il existe de multiples sites qui expliquent en détail tout cela, notamment par exemple, les étapes d’un établissement de connexion TCP.
Voici une image avec les étapes d’une ouverture de connexion TCP et la fermeture.

Syn flood

Voici maintenant quelques exemples d’attaques DDoS.

Il s’agit d’envoyer une multitude de connexions TCP avec un drapeau SYN. Le serveur va tenter de répondre par un SYN ACK, ce qui va donc provoquer de l’upload. De plus, l’adresse IP utilisée est souvent falsifié (Spoof Syn Flood). Le serveur ne pas recevoir de réponse au SYN ACK et va garder en mémoire la demande, la couche réseau du serveur va donc être vite  saturé, si la configuration du serveur est petit et mal configuré, les ressources systèmes peuvent être vite saturées. Il peut même planter. Ainsi toute demande légitime risque de ne pas obtenir de réponse et donc l’établissement de la connexion sera impossible. Cela inclue aussi les tentatives de connexion distante au serveur par l’administrateur.

L'attaque du Syn Flood : comment ça marche

Attaque DOS UDP (UDP Flood)

Le protocole UDP est un protocole réseau sans vérification d’erreur.
De plus, il est un protocole sans négociation de connexion par rapport à TCP. De ce fait, il est plus pratique pour noyer la cible sous de multiples requêtes réseau.
La plupart des attaques DoS par amplification utilise le protocole UDP.

DoS Amplication

Enfin il faut savoir que les protocoles applicatifs peuvent être utilisés sous la forme d’amplifications, ce qui fut la mode autour de 2009 avant que des mesures correctrices soient prises.
La méthode consiste à envoyer des paquets falsifiées avec l’IP cible à des services (DNS, NTP, etc).
Ces derniers vont répondre à la cible mais avec un nombre de paquets multipliées selon le facteur d’amplification du protocole applicatif.
Par exemple, DNS pouvait amplifier de 28 à 50, si vous envoyez un seul paquet, 28 ou 50 seront envoyés à la cible.
A partir de quelques machines, vous pouvez arriver à des attaques assez conséquentes.

Les attaques DoS par amplification : explications

Les attaquants cherchent alors des serveurs ou IoT vulnérables servant de réflecteurs.

Qu'est-ce qu'une attaque DOS par amplification

Mars 2018, des serveurs WEB mal configurés utilisant memcached ont permis une attaque par amplification atteignant 1,7 Tbps.
Il s’agit d’un nouveau record.
Voici les listes des taux d’amplification selon les protocoles.

Les protocoles applicatifs ont été modifiées afin d’atténuer ce type d’attaque, les serveurs doivent être mis à jour avec les dernières versions pour palier à cela.
Il reste bien entendu des milliers de service non à jour qui peuvent encore être utilisés.

OVH dans cet article donne des statistiques sur la réparation des types d’attaques :

Statistiques des types d'attaques DoS

HTTP FLood (Attaque Layer 7)

Attaques L7 et HTTP Flood : le but est d’envoyer des requêtes à un serveur WEB. En clair de faire charger par des clients une ou des pages WEB spécifiques, de préférence, une page qui demande des ressources système. Le serveur croulera sous les demandes et ne pourra fournir les pages WEB aux clients légitimes. Vous trouverez des détails sur la page DoS : Attaque type Slowloris (http flood).

Exemple en vidéo d’une attaque SlowLoris et SYN :

Exemple d’une petite attaque DoS en UDP… On voit les paquets droppés sur le firewall :

Exemple d'attaque DoS L7

Les sources des attaques DDoS

Les sources des attaques par déni de service sont des diverses.
Mais on peut distinguer deux types de sources :

  1. Les équipements piratés utilisés de lancer des attaques depuis ces ordinateurs contrôlés. On parle de botnet.
  2. Des sites WEB ou services WEB mal sécurisés et non à jour. Dans le paragraphe précédent, je parlais de l’amplification qui permet d’utiliser des services internet comme relai pour effectuer et amplifier une attaque DDoS. Il en existe d’autres.

Ordinateurs, sites WEB, IOT vulnérables

Le cas 1 numéro, vous le connaissez de manière générale.
Votre ordinateur a été infecté par un logiciel malveillant, le pirate en a le contrôle et peut faire ce qu’il veut.
Par exemple, lancer des campagnes de SPAM, ou DoS.
Il s’agit donc de botnet et réseau de Zombies.

Par exemple, ci-dessous, on constate de multiples connexions HTTP vers un serveur WEB.
Il s’agit d’une attaque HTTP pour saturer le serveur WEB.

DoS_Kbot

Il existe la même chose avec les serveurs WEB mal sécurité.
De nombreux hébergeurs proposent des solutions d’hébergement pas très chers.
Ceci concourt à la démocratisation d’internet… malheureusement les personnes qui administrent ces  sites WEB n’ont pas forcément les connaissances techniques.
Des CMS comme WordPress ou Joomla étant très prisés, ils sont très visés.

L’injection de JavaScripts sur des sites WEB piratés ont été utilisés aussi pour mener des attaques DoS, exemple JavaScript DDoS L7 (HTTP Flood)

Site web infectés

Ces deux mondes peuvent se rejoindre.
Ces sites peuvent servir pour infecter des internautes, les ordinateurs des webmasters peuvent alors être visés afin de pirater leurs sites WEB par la suite.
=> Intrusions sur sites internet par vols d’identifiants FTP et PSW.Win32.Tepfer – vol FTP et injection/hack de sites

Exemple ci-dessous, d’un formulaire qui permet d’effectuer des attaques DoS UDP.

UDP Flood - site piraté

Dernièrement, ce sont les Internet des objets (IoT) et sécurité.
Suivre le lien pour obtenir plus d’informations sur les IoT et la sécurité.

Les services WEB piratés sont beaucoup plus intéressants que les ordinateurs car :

  • Ils sont disponibles 24/24, alors qu’un ordinateur peut être éteint par son propriétaire. Dans un botnet, si les cibles sont dans le monde entier.. avec le décalage horaires, certains ordinateurs peuvent être éteint au moment du pic d’activité de la cible.
  • Les services WEB ont des bandes passantes plus conséquentes et donc peuvent faire plus de ravages, surtout si elle sont dans le même Datacenter que la cible.

Le but est simple avoir de la chair à canon pour que les attaques DoS soient de plus en plus conséquentes.

Les services mal conçus

Il reste le cas des erreurs de conception de sites WEB.
Comme les services qui peuvent servir d’amplification, WordPress propose une fonction de “pingback“.
Lorsqu’un article d’un site pointe vers un autre, automatique, sur le second, un commentaire de type pingback est créé avec le lien du premier site.
Pour se faire, le premier site contacte le second avec le lien et le commentaire pingback est créé.

Il est alors possible à partir d’ordinateur piraté de contacter de multiples sites avec le lien du site que l’on veut attaquer.
Ces sites WordPress vont alors contacter le site cible.
Cela permet de multiplier les IPs source de contact et de tenter de noyer le site WordPress cible.
D’où l’intérêt de maintenir sont WordPress à jour et sécurité :

Attaque DoS WordPress ping PingBack

Ceci est bien sûr qu’un exemple, il en existe bien d’autres.

Il faut aussi savoir que les problèmes de conception peuvent aussi être chez la cible.
Des fonctions utilisés par les programmes les serveurs (PHP, Serveur WEB, CMS etc) peuvent être vulnérables à des attaques DoS.
En envoyant certains type de données, cela peut provoquer des pics d’utilisation des ressources et permettent de mettre le site hors lignes.
Des fonctionnalités mal programmées peuvent aussi être la cible.. Par exemple, sur un serveur WEB : un moteur de recherche mal conçu et non protégé en ne bloquant pas sur le nombre de requêtes peut mettre un site WEB HS, sans savoir besoin d’avoir énormément d’ordinateurs piratés pour effectuer cette attaque.
En clair, il s’agit de se d’exploiter des vulnérabilités applicatives pour mettre hors ligne un service.

L’exploitation de vulnérabilités

Historiquement, les attaques DoS exploitaient généralement les vulnérabilités de sécurité présentes dans la conception des réseaux, des logiciels et du matériel. Ces attaques sont devenues moins fréquentes car les attaques DDoS ont une plus grande capacité de perturbation et sont relativement faciles à créer compte tenu des outils disponibles.
En réalité, la plupart des attaques DoS peuvent également être transformées en attaques DDoS.

Toutefois il arrive que les attaques DoS tirent partie de vulnérabilités.
Par exemple, nous l’avons vu l’inondation SYN est une variante qui exploite une vulnérabilité dans la séquence de connexion TCP.
Elle peuvent aussi tirer partie de la saturation de mémoire tampon d’une application qui n’a pas été corrigée.

Les motivations des attaques DDoS

Les motivations sont multiples.
Voici quelques motivations qui explique le pourquoi des attaques DoS.
En 2015, Kaspersky publiait une étude sur les sources des attaques DDoS.

Les motivations des attaques DDoS

Revanches

Le cas des revanches et revenge.
Cela peut aller de simple crétins sur la toile, qui font des menaces sur les réseaux sociaux, tchat.
A des gamers qui ont un VPS et tentent d’attaquer d’autres gamers.
A l’aide d’un VPS, il est alors possible de mettre hors ligne une connexion ADSL en la saturant.
On peut aussi payer des services DoS (voir paragraphe suivant).

Si on est plus proche de la cours d’école, cela reste tout de même très agaçant pour les cibles.

Les revanches ou autre méthodes de rétorsions peuvent aussi être utilisées, si un contenu ne plait pas ou faire payer quelqu’un selon son activité sur toile.
Par exemple, malekal.com a été quelques fois attaquées selon mes activités de malwares.

Quelques autres exemples :

DDoS attaque avec les statistiques MRTG
DDoS attaque avec les statistiques MRTG
DDoS attaque avec les statistiques MRTG

Monétaire

Les raisons de profits sont les plus courantes.
On peut alors distinguer plusieurs manières de faire de l’argent avec les attaques DoS.

Proposer des services DoS. Il est possible de proposer des services DoS. En clair l’internaute s’inscrit sur le service et paye pour la bande passante.
Plusieurs offres selon la bande passante sont proposées.
Par exemple, le groupe Lizzard Squad connu pour avoir effectué des attaques contre Sony et Xbox proposaient ce type de service avec environ 150 000 à 200 000 bots dont des routeurs piratés.
Exemple ci-dessous d’offres de services DoS.
On nomme ces derniers des Stresser et Booter DDoS.

Stresser et Booter DDoS
Stresser et Booter DDoS
Stresser et Booter DDoS

Les prix varient environ autour de 38$ pour une heure d’attaque par mois.

Le prix des attaques DDoS

Le chantage est aussi une autre méthode pour monétiser.
Il s’agit de contacter des cibles, en leur demandant de payer une somme (souvent par bitcoin).. si le service ne paye pas, une attaque DoS sera effectuée contre ce dernier.
Exemple de contact reçu de chantage DoS.
La date peut être importante.
Imaginez par exemple, une attaque DoS sur le site de la SNCF le jours de la sortie des billets de Noël ou Été.

Chantage et blackmail d'attaque DoS
Chantage et blackmail d'attaque DoS

Des sociétés peuvent avoir aussi recours aux attaques DoS afin de paralyser un concurrent.
La société fait appel à des groupe pour mettre hors ligne le site afin de ternir la réputation.
Cela peut être très tentant si les sociétés vivent du net.

Les sites de jeux : les sites de jeux sont aussi très visés par les attaques. Certains sites de jeux et notamment MineCraft peuvent rapporter de l’argent aux administrateurs.
Le but est donc de tuer la concurrence.

Diversion

Les attaques DoS peuvent aussi être utilisées comme diversion.
Il s’agit d’occuper les équipes de maintenance des sites sur ces attaques afin à côté d’effectuer des pirates.
Cela est de plus en plus utilisé.

Quelques exemples :

Hacktivisme

Les attaques peuvent aussi avoir pour source des actes Hacktivisme.
Il s’agit d’attaque de rétorsion selon les activités étatiques.
Les anonymous sont les plus connues pour ces pratiques, avec diverses opérations régulières.

Par exemple, en Octobre 2012, Anonymous dit avoir mis hors ligne plusieurs étatiques Phillipins

Wikipedia propose une liste : Chronologie des événements impliquant Anonymous

Ces motivations d’attaques DDoS sont très régulières.

Cyber-guerre

Par Cyber-guerre, on parle d’attaque d’un État vers un autre.

En 2007, l’Estonie, un pays très connecté, subit une attaque DDoS massive contre les sites étatiques, banques, journaux etc.
Cela fait suite à tentative de déplacement d’une statue de bronze de soldats russes de la seconde guerre mondiale. Cette statue commémore le sacrifice des combattants soviétiques qui ont chassé les nazis de Tallinn en septembre 1944. Pour les russophones vivant en Estonie, ce sont des héros. Pour la majorité des Estoniens, c’est un symbole de l’« occupation » communiste.
L’Estonie a accusé le gouvernement Russe d’être derrière cette attaque.

Juin 2013, la Corée du Sud subit une attaque par déni de service. Celle-ci accuse la Corée du Nord : South Korea hit by disk wiping attack blamed on ‘DarkSeoul’ gang

Aout 2013, la Chine cible d’une attaque DDoS… L’Internet Chinois est coupé pendant 4 : China’s Internet hit by DDoS attack; sites down for hours

Décembre 2015 : La Turquie perturbée par des attaques DDoS, cela fait suite à un avion russe abattu par les turcs sur leur sol.

Parfois le hacktivisme et Cyber-guerre se touchent… La Corée du nord est souvent montrée du doigt.
Un site anti-nucléaire visée par une attaque. La Corée du nord montrait du doigt.

La Corée du Nord “bizarrement” privée d’internet après une attaque contre Sony.
=> Une attaque DDoS prive la Corée du Nord d’Internet pendant dix heures.

Cartographie des attaques DDoS

Il existe beaucoup de services sur internet qui cartographie les attaques DDoS.
On peut alors voir les attaques par déni de service en temps réel.

La cartographie des attaques DDoS
La cartographie des attaques DDoS

Protection contre les attaques DDoS

Pour monsieur tout le monde, dès lors que l’attaquant a une bande passante plus importantes que la votre, il n’y aura pas grand chose à faire.

Mais si vous hébergez un site WEB par exemple, vous pouvez utiliser les CDN et Web Application Firewall (WAF).
Ainsi il existe des solutions de protection.
Voici quelques sociétés de protection Anti-DDoS :

Voici quelques liens du site pour vous aider à atténuer les attaques DDoS sur un site WEB.
Une présentation du Web Firewall de Cloudflare :

Voir aussi ce tutoriel de configuration d’un serveur WEB Nginx :

Le load balancing permet d’équilibrer les charges ce qui peut aider à répartir l’attaque DoS pour la mitiger.
L’article suviant présente la solution de load balancing de CloudFlare :

L’article Les attaques DDoS : Le déni de service est apparu en premier sur malekal.com.

Cyberguerre Russie / Ukraine – Prédictions Trellix

13 janvier 2023 à 09:47
Par : UnderNews

Alors que le début de la cyber guerre entre la Russie et l'Ukraine fêtera ses un an le 14 janvier et dans un contexte où le conflit sur le terrain ne progresse plus vraiment, John Fokker, responsable des investigation cyber pour Trellix, anticipe une hausse des cyberattaques russes contre l’Ukraine en ce début 2023

The post Cyberguerre Russie / Ukraine – Prédictions Trellix first appeared on UnderNews.

Cyberattaques dans l’automobile : des failles de sécurité détectées chez certains constructeurs

10 janvier 2023 à 10:52
Par : UnderNews

La semaine dernière, Sam Curry, un chercheur en sécurité des applications Web, a partagé les détails de failles détectées dans certains modèles de voitures de plusieurs grands constructeurs automobiles, tels que BMW, Land Rover, Mercedes-Benz et Toyota. 

The post Cyberattaques dans l’automobile : des failles de sécurité détectées chez certains constructeurs first appeared on UnderNews.

Les hackers débutants : la nouvelle tendance du cybercrime

5 janvier 2023 à 13:47
Par : UnderNews

Le cybercrime est un monde en constante évolution, mais une chose est certaine : il n’est plus l’apanage de spécialistes en technologie. L’émergence de hackers débutants démontre que les seuils technologiques de la cybercriminalité ont baissé, mais aussi qu’une nouvelle génération de hackers décomplexés est en train d’inonder Internet. Une technologie plus facile à appréhender […]

The post Les hackers débutants : la nouvelle tendance du cybercrime first appeared on UnderNews.

Nouvelles attaques du groupe BlueNoroff : l’acteur APT se faisant passer pour une société de capital-risque étend son arsenal stratégique

3 janvier 2023 à 13:10
Par : UnderNews

Les experts de Kaspersky ont découvert que le groupe APT BlueNoroff dispose désormais de nouvelles souches de malware sophistiquées pour déployer ses attaques. Tribune Kaspersky – BlueNoroff, acteur bien connu du paysage de la menace ciblant les crypto-monnaies des entités financières dans le monde entier, vise notamment les sociétés de capital-risque, les start-ups crypto et […]

The post Nouvelles attaques du groupe BlueNoroff : l’acteur APT se faisant passer pour une société de capital-risque étend son arsenal stratégique first appeared on UnderNews.

Adopter la suppression adaptative des attaques DDoS pour un internet plus sûr et plus résilient en 2023

15 décembre 2022 à 17:25
Par : UnderNews

Ces dernières années, la montée en flèche de la demande en bande passante et en débit induite par le télétravail et l'augmentation des investissements dans les initiatives numériques a contribué à augmenter la charge de travail des équipes IT et réseau. Elle est également accentuée par un paysage de l'Internet des objets (IoT) en pleine expansion avec des milliards d'appareils. Qu'il s'agisse du déploiement d'une infrastructure modernisée ou de l'accélération de la 5G, les équipes réseau se sont montrées très performantes en matière de connectivité plus rapide et à fort volume.

The post Adopter la suppression adaptative des attaques DDoS pour un internet plus sûr et plus résilient en 2023 first appeared on UnderNews.

HTTP Flood : les attaques DoS visant les serveurs WEB

11 décembre 2022 à 16:15

Dans les articles précédents, je détaillais les types d’attaques Dos comme le Syn Flood, UDP Flood ou les attaques DoS par amplification.
Parmi les autres types, on trouve aussi le HTTP Flood, une attaque DoS Layer 7.
Il s’agit d’attaquant visant les serveurs WEB par une saturation HTTP.

Dans ce tutoriel, je vous explique ce qu’est le HTTP Flood, les méthodes et comment les mitiger.

HTTP Flood : les attaques DoS visant les serveurs WEB

Qu’est-ce que le HTTP Flood

Le HTTP Flood est une attaque qui vise à inonder un serveur WEB.
Pour saturer le serveur WEB, l’attaquant en envoie des requêtes sur une ou plusieurs pages.
Si le serveur WEB sature, il ne pourra plus délivrer les pages aux visiteurs.
C’est donc une forme d’attaque DOS par déni de service visant à paralyser un site internet.

L’attaque est plus efficace lorsqu’elle oblige le serveur ou l’application à allouer le maximum de ressources possibles en réponse à chaque demande. Ainsi, l’auteur de l’attaque cherchera généralement à inonder le serveur ou l’application de multiples requêtes qui nécessitent chacune un traitement aussi intensif que possible.
Pour cela, l’attaquant peut avoir recours à des botnet (réseau de machines infectées).

Ci-dessous, le journal d’un serveur WEB avec une IP spécifique qui envoie plusieurs requêtes par secondes.

Exemple d'attaque DoS L7

On utilise aussi le terme attaque DOS Layer 7 (ou L7), car le protocole HTTP est un protocole de la couche 7 du modèle OSI.

La principale difficulté lors d’une attaque est de différencier les requêtes HTTP légitimes, des requêtes HTTP malveillantes.

Les méthodes des attaques HTTP Flood sur un site WEB

Méthode GET, POST, HEAD

L’attaque peut jouer le type de méthode (GET, POST, HEAD).

Mais les attaques par inondation HTTP utilisant des requêtes POST ont tendance à être les plus efficaces en termes de ressources du point de vue de l’attaquant, car les requêtes POST peuvent inclure des paramètres qui déclenchent un traitement complexe côté serveur. D’autre part, les attaques basées sur les requêtes HTTP GET sont plus simples à créer et peuvent s’étendre plus efficacement dans un scénario de botnet.

Échapper aux limite de taux du serveur WEB

Ici c’est une attaque particulièrement inefficace, car elle est très simple à contrer et bloquer.
Un serveur WEB peut très facilement détecter trop de requêtes en un court laps de temps et bloquer l’accès au site.
On parle de taux de limite en anglais rate limit.
Il est même possible de bloquer entièrement l’IP avec fail2ban.
Bien entendu, cela peut fonctionner contre un site WEB mal préparé.

Ainsi une bonne attaque DoS L7 doit pouvoir fournir beaucoup d’IP et espacer les requêtes entre chaque IP pour que le serveur WEB ne la bloque.
Par exemple :

IP1
IP2
IP3
IP4

Puis on boucle là dessus.
Toutefois, il vaut mieux éviter de boucler dans un ordre particulier car on peut alors détecter automatiquement l’attaque à travers un modèle (pattern).

Ainsi pour une attaque DoS L7, il faut donc un botnet assez conséquent.

Cibler les pages WEB qui utilisent le plus de ressources

Ensuite, il faut viser les pages WEB qui demandent des ressources.
Il est assez idiot d’attaquer la page d’index d’un site WEB comme on le voit souvent.
Il vaut mieux par exemple viser le moteur de recherche du site puisque ce dernier effectue des interrogations SQL.
Ainsi, si vous ne parvenez pas à faire tomber le site WEB, vous pouvez mettre hors de service la base de données.
Le site va mal fonctionner.

Ce sont donc des emplacements du site à protéger en priorité car très vulnérables.

Contourner les caches

Certains sites internet ont de systèmes de cache.
On peut en installer sur WordPress ou utiliser en amont Varnish ou encore des CDN.
Jouer sur les paramètres URLs peuvent permettre de contourner les caches pour maximiser l’attaque DoS L7.

Attaque DoS L7 sur un site WEB

Comment mitiger les attaques HTTP flood

Pour les serveurs en Linux, vous pouvez utiliser des règles iptables spécifiques et fail2ban.
Toutefois, si l’attaque est importante ou sophistiquées, cela ne fonctionnera pas.
La meilleure solution reste l’utilisation d’un WAF comme Cloudflare, Sucuri, Imperva.

De manière générale, vous pouvez aussi consulter ce tutoriel :

WAF (Web Application Firewall) pour protéger son serveur WEB des attaques DoS et piratages

L’article HTTP Flood : les attaques DoS visant les serveurs WEB est apparu en premier sur malekal.com.

Standard PCI DSS 4.0 : e-commerces, débutez sans attendre votre parcours de mise en conformité

12 décembre 2022 à 12:36
Par : UnderNews

Les cybercriminels en raffolent : les attaques par écrémage (ou “skimming” ou “Magecart”) ont le vent en poupe ces dernières années pour dérober les données sensibles associées aux cartes de paiement de leurs victimes. A la clé, ce sont l’ensemble des entreprises de vente en ligne qui sont exposées. Afin de lutter contre ce nouveau risque, les acteurs du e-commerce ont tout intérêt à entamer sans attendre leur parcours de mise en conformité.

The post Standard PCI DSS 4.0 : e-commerces, débutez sans attendre votre parcours de mise en conformité first appeared on UnderNews.

Cybersécurité : les infrastructures critiques face à de nouveaux défis en 2023

7 décembre 2022 à 11:36
Par : UnderNews

L’année 2022 n’a pas été de tout repos, et a même été particulièrement riche en émotions. Les entreprises et les gouvernements ont été confrontés à de nouveaux défis émanant de la cyber-guerre Russo-Ukrainienne, qui impliquaient pour la première fois des cyber opérations à grande échelle.

The post Cybersécurité : les infrastructures critiques face à de nouveaux défis en 2023 first appeared on UnderNews.

Les cyberattaques géopolitiques en hausse en 2023

7 décembre 2022 à 11:33
Par : UnderNews

Les tensions géopolitiques en Europe et dans le monde ne cessent pas d’augmenter : Le conflit en Ukraine, les tensions turco-kurde, les tensions entre la Chine et Taiwan nous donnent un aperçu de ce qui nous attend les mois à venir... Cependant si les conflits semblaient s’arrêter sur le terrain, des risques plus cachées font surface et menacent l’entier système sociétale.

The post Les cyberattaques géopolitiques en hausse en 2023 first appeared on UnderNews.

Qu’est-ce qu’une attaque DoS par amplification

6 décembre 2022 à 08:40

Une attaque par déni de service distribué ou DDoS est l’une des cyberattaques les plus dangereuses auxquelles les entreprises en ligne sont confrontées quotidiennement. L’amplification peut s’expliquer par des mots simples : augmentation, intensification, grossissement, etc.
Cela permet des attaques DOS importantes.

Dans ce tutoriel, je vous explique ce que sont les attaques DoS par amplification.

Qu'est-ce qu'une attaque DoS par amplification

Qu’est-ce qu’une attaque DoS par amplification

Une attaque par amplification DDoS est une cyberattaque volumétrique et par réflexion.
Elle se produit lorsque les auteurs profitent des serveurs vulnérables pour submerger un réseau, un site web, une application, un service en ligne ou un serveur avec une quantité de trafic amplifiée. Cela conduit la victime à un état inaccessible (déni de service).

Ce type d’attaque est considéré comme asymétrique car il peut causer des dégâts considérables avec peu d’actions et de ressources. Et malheureusement, les auteurs ont le choix entre différentes options pour amplifier le trafic : ICMP (Internet control message protocol), UDP (user datagram protocol) ou TCP (transmission control protocol).

Pour cela, les attaques cherchent des réflecteurs. Ce sont des serveurs sur internet qui font tourner un service aux clients (DNS, NTP, SNMP, IoT, jeux, etc.).
Un exemple de réflecteur peut être un serveur DNS mal configuré (ou laissé dans un état par défaut) ou un serveur DNS public configuré intentionnellement pour fournir une récursion ouverte aux clients de l’Internet.
Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de l’attaque DDoS.

Ces méthodes d’amplifications peuvent causer de sérieuses perturbations. Les attaquants, présumés chinois, de l’Operation Distributed Dragon installent des codes malveillants sur des serveurs compromis afin de terrasser leurs victimes. Certains de ces programmes sont détectés comme étant : Linux/Dnsamp

Qu'est-ce qu'une attaque DOS par amplification

L’attaque DoS par amplification : comment ça marche ?

Des attaquants lancent une attaque DDoS en inondant un réflecteur de requêtes qui semblent être une demande de service légitime.
Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons.
Premièrement, elle permet de dissimuler l’identité de l’attaquant.
Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus importante que la requête originale.

Les attaques DoS par amplification : explications

Par exemple, dans le cas d’une attaque DDoS DNS amplifiée, une réponse à une requête contient de nombreuses adresses IP pour le domaine résolu. Cela rend la réponse asymétrique en termes de bande passante consommée. Par conséquent, un réflecteur amplifie l’attaque DDoS, consommant la bande passante de la victime beaucoup plus rapidement.

Ci-dessous un exemple de Flood UDP par un DNS Amplification. Les requêtes proviennent de 8.8.8.8, le serveur DNS de Google.

Flood UDP avec DNS Amplification

Quels sont les protocoles utilisés dans les attaques DoS par amplification

Certains protocoles sont privilégiés pour mener ce type de cyberattaque :

  • Domain Name System (DNS)
  • Network Time Protocol (NTP)
  • Character Generator Protocol (CharGEN)
  • Simple Service Discovery Protocol (SSDP)
  • Routing Information Protocol ver.1 (RIPv1)
  • Memcached
  •  TP-240 VoIP (Mitel System)

En général, les protocoles réseaux utilisent UDP qui permet des attaques plus importantes que TCP.
Cela vient du fait qu’UDP est un protocole de couche de transport sans connexion, ce qui signifie qu’aucune poignée de main n’est effectuée pour établir la communication. La réponse réfléchie et amplifiée par un réflecteur cible une victime qui doit la traiter d’une manière ou d’une autre.

Pour illustrer, voici une liste non-exhaustive de protocoles avec leurs taux respectifs d’amplification.

ProtocoleFacteur d’amplification bande passante
DNS28 à 54
NTP556,9
SNMPv26,3
NetBIOS3,8
SSDP30,8
CharGEN358,8
QOTD140,3
TCP Middlebox65
BitTorrent3,8
Kad16,3
Quake Network Protocole63,9
Steam Protocol5,5
Multicast DNS (mDNS)2 à 10
RIPv1131,24
Portmap (RPCbind)7 à 28
Facteur d’amplification des attaques DOS par protocole

On voit que CharGEN, QOTD, DNS, RIPv1, NTP, SSDP ont des taux d’amplification des plus importants.
Très souvent, les attaques sont du type DNS Amplification, SSDP ou NTP Amplification car les serveurs vulnérables sont plus courants sur internet. On appelle ces derniers des réflecteurs.
Il est alors facile de trouver un réflecteur.
Les failles dites “protocolaires”, qui touchent directement le protocole, ne sont pas aisées à colmater.

Essentiellement, la plupart de ces protocoles permettent des attaques DoS en UDP.

Enfin cela met en lumière le problème des serveurs ou IoT vulnérables utilisés dans des attaques.

Les attaques DDoS par amplification avec botnet

Comme pour les autres types d’attaques, il est possible d’effectuer une attaque DDOS dites attaques DOS distribuée.
Pour cela, l’attaque va utiliser un ou plusieurs botnets.

Il ordonne à des milliers de bots d’envoyer des requêtes à un certain nombre de réflecteurs en parallèle. Cela augmente considérablement le trafic d’attaque et permet de dissimuler l’identité de l’attaquant.
Pour augmenter le volume des attaques, les attaques DDoS simples, exploitant divers protocoles d’application tels que DNS, NTP, SNMPv2 et autres peuvent être combinées et menées simultanément.

Les attaques DDOS par amplification avec botnet

Ces attaques DoS sont extrêmement dévastatrices car elles peuvent atteindre 1,7 Tbps (Tetra bytes packets par secondes).

L’article Qu’est-ce qu’une attaque DoS par amplification est apparu en premier sur malekal.com.

Étude : les attaques ciblant les employés sont la première cause d’incidents évitables de cybersécurité

5 décembre 2022 à 11:10
Par : UnderNews

Tanium, éditeur de l’unique solution de converged endpoint management (XEM) du marché, publie les résultats d’une enquête révélant que les attaques ciblant les employés sont principale cause d’incidents évitables de cybersécurité.

The post Étude : les attaques ciblant les employés sont la première cause d’incidents évitables de cybersécurité first appeared on UnderNews.

Menace interne : 93% des DSI français estiment qu’elle constitue une menace importante pour leur entreprise

24 novembre 2022 à 13:28
Par : UnderNews

La cybersécurité ne se limite pas à se protéger de cyberattaques externes. Lorsqu’on pense à un cybercriminel, on imagine un personnage inquiétant, penché sur un clavier dans un lieu sombre et lointain. Or dans la réalité, les menaces les plus fréquentes pour une entreprise sont bien plus proches qu’on ne le pense. En effet, bien souvent les risques proviennent de l’intérieur, que ce soit de façon accidentelle ou intentionnelle. Mieux connaître ces menaces, c’est déjà les anticiper et mettre toutes les chances de son côté pour s’en prémunir.

The post Menace interne : 93% des DSI français estiment qu’elle constitue une menace importante pour leur entreprise first appeared on UnderNews.

Les entreprises toujours plus exposées aux cyber-attaques

17 novembre 2022 à 19:07
Par : UnderNews

Avec les modifications de ces dernières années, l’instabilité s’est créée dans les entreprises. Les pirates ont bien accueilli ce changement et ont profité des vulnérabilités et des failles de sécurité des entreprises. Dans cette tribune notre expert, revient sur les technologies à la rescousse du réseau des entreprises, telles que SASE et SD-WAN.

The post Les entreprises toujours plus exposées aux cyber-attaques first appeared on UnderNews.

Mustang Panda, APT29, APT36, Phobos, Cobalt Strike : Les acteurs émergents de la cybermenace se structurent et les rançongiciels évoluent

16 novembre 2022 à 11:44
Par : UnderNews

Trellix, le spécialiste de la cybersécurité et pionnier dans la détection et la réponse étendues (XDR), publie aujourd'hui son “Threat Report: Fall 2022” qui se penche sur les tendances en matière de cybersécurité et les méthodes d'attaque utilisées au troisième trimestre 2022. 

The post Mustang Panda, APT29, APT36, Phobos, Cobalt Strike : Les acteurs émergents de la cybermenace se structurent et les rançongiciels évoluent first appeared on UnderNews.

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

16 novembre 2022 à 11:17
Par : UnderNews

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l'année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d'accéder aux infrastructures informatiques des entreprises. Les détails techniques de l'un de ces incidents ont été analysés et rapportés dans le nouveau rapport Managed Detection and Response de Kaspersky.

The post Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022 first appeared on UnderNews.

La sécurité : un impératif pour le e-commerce B2B

9 novembre 2022 à 13:08
Par : UnderNews

Les entreprises, organisations et structures publiques sont aujourd’hui toutes confrontées à la cybercriminalité. Dans ce contexte, les cyber attaques sont responsables de nombreux problèmes comme une perte de réputation, de CA, une rupture d’activité, etc. L’industrie du e-commerce ne fait pas exception.

The post La sécurité : un impératif pour le e-commerce B2B first appeared on UnderNews.
❌