BLOG

F5 Distributed Cloud Services resiste aos ataques DDoS L7 emergentes

Sudhir Patamsetti Miniatura
Sudhir Patamsetti
Publicado em 10 de fevereiro de 2023

A F5 lançou o Distributed Cloud Services em 2022, fornecendo proteção de API e aplicativos da web para organizações empresariais que precisam de segurança baseada em ponta que pode ser consumida como um serviço. No mundo interconectado de hoje, as ameaças cibernéticas estão aumentando e as organizações devem estar preparadas para proteger sua infraestrutura crítica de novos tipos de ataques em evolução. Um dos tipos mais comuns de ataques cibernéticos é o ataque de negação de serviço distribuído (DDoS), que pode derrubar até os maiores sites e serviços online.

Recentemente, um importante grupo hacktivista pró-Rússia conhecido como Killnet lançou um sofisticado ataque DDoS L7 contra uma grande organização europeia. O ataque teve como objetivo sobrecarregar os servidores da empresa com grandes quantidades de tráfego, dificultando o acesso dos usuários ao site, com tráfego de ataque atingindo picos de 120 mil RPS. No entanto, graças aos esforços do F5 Security Operations Center (SOC) e aos recursos avançados de mitigação de DDoS do F5 Distributed Cloud Services, o ataque está sendo mitigado com sucesso, e o site permaneceu operacional durante todo o ataque. Este ataque faz parte de várias campanhas DDoS que vêm ocorrendo nas últimas semanas, originadas deste grupo.

Observação: Esta é uma campanha de ataque ativa que vem acontecendo há mais de uma semana, e estamos mitigando esses ataques com sucesso enquanto esta postagem do blog está sendo escrita.

Este ataque DDoS específico teve origem em vários locais ao redor do mundo. Os pontos cinzas no mapa acima representam as origens dos ataques, e as caixas vermelhas representam os pontos de presença da F5 Global Network , onde o tráfego de ataque do aplicativo é filtrado e o tráfego legítimo está sendo permitido.

Uma das principais características dos ataques do Killnet é seu foco na camada de aplicação (L7). Esses ataques são particularmente difíceis de detectar e mitigar, pois geralmente envolvem imitar o comportamento normal do usuário (o que os torna difíceis de distinguir do tráfego legítimo), vários vetores de ataque de aplicativos e a capacidade de reequipamento, incluindo a alternância entre diferentes locais de origem, IPs e outros componentes de ataque.

Principais IPs de origem do ataque. O tráfego de ataque é visto em vários endereços IP distribuídos ao redor do globo.
A impressão digital TLS que é responsável pela maioria do tráfego de ataque neste cenário de ataque.

O tráfego de ataque é originado de apenas 3 impressões digitais TLS diferentes, embora a origem do tráfego esteja distribuída em 35 endereços IP diferentes e 19 países. Estamos vendo 72% do tráfego de ataque originado de 1 impressão digital TLS, que é mostrada na imagem acima. Essa impressão digital foi associada ao malware Tofsee , onde sistemas infectados com Tofsee são usados como parte de uma botnet DDoS.

Os invasores aproveitaram diferentes geografias na esperança de encontrar uma lacuna nas proteções de geolocalização.
Diferentes combinações de métodos HTTP e URL visadas durante o ataque.

O F5 SOC está empregando uma variedade de estratégias para se defender do ataque, incluindo filtragem de tráfego, inteligência de IP e limitação de taxa. Isso permite que a equipe identifique e bloqueie apenas tráfego malicioso, permitindo que tráfego legítimo continue chegando ao site. Outro componente essencial para uma mitigação bem-sucedida é o uso pela equipe de inteligência de ameaças em tempo real e recursos de mitigação automática de DDoS L7, que bloquearam elementos desse ataque em tempo real sem a necessidade de envolvimento humano. Essas informações permitem que a equipe fique à frente dos invasores e ajuste rapidamente suas defesas conforme o ataque evolui em diferentes regiões, endereços IP e novos caminhos de ataque.

A mitigação bem-sucedida dos ataques DDoS L7 pelo Killnet e outros grupos representa um novo normal. Confira mais insights sobre ataques DDoS em nosso relatório Tendências de ataques DDoS de 2023 do F5 Labs . Esta recapitulação do ataque destaca a importância de ter uma infraestrutura de segurança multicamadas e uma equipe de segurança bem treinada e pronta para dar suporte em tempo real. Ao usar uma combinação de filtragem de tráfego, limitação de taxa, limpeza de DDoS baseada em nuvem, inteligência de ameaças em tempo real e um plano sólido de recuperação de desastres, as organizações podem se proteger até mesmo contra os ataques DDoS mais sofisticados direcionados à sua infraestrutura e aplicativos.

Se você estiver enfrentando um ataque disruptivo e precisar de integração emergencial aos Serviços de Nuvem Distribuída da F5, entre em contato com nossa linha de suporte de emergência em: (866) 329-4253 ou +1 (206) 272-7969