Как взломали один из крупнейших сайтов в мире
05.04.2014
Как взломали один из крупнейших сайтов в мире
Превращение 22 000 интернет-пользователей в DDoS-зомби

Вчера Incapsula заблокировала уникальную DDoS-атаку. Атака была совершена с использованием методов похищения трафика, благодаря чему стало возможным отправить свыше 20 000 000 GET-запросов, исходящих от браузеров более 22 000 интернет-пользователей, которые превратились в невольных пособников хакеров.

Что делает этот случай особенно интересным так это факт того, что атака стала возможной благодаря уязвимости в одном из крупнейших и самых популярных сайтов в мире - одного из доменов в списке Alexa "Топ 50".

На данный момент Incapsula не может раскрыть имя сайта, так как продолжается работа над устранением проблемы. Мы предоставим более подробную информацию, как только уязвимость будет полностью устранена.

Придав огласке используемый хакерами метод, мы надеемся, что это поможет предотвратить подобные случаи у других сайтов.

Постоянная XSS уязвимость сделала возможной крупномасштабную DDoS-атаку

Сайт, о котором идет речь – известный поставщик видеоконтента, который позволял своим пользователям войти в систему под собственными профилями. DDoS-атака была произведена с помощью постоянной XSS уязвимости, которая позволила преступникам внедрить JavaScript код в тег img, связанный с изображением профиля. В результате, каждый раз, когда изображение было использовано на одной из страниц сайта (например, в разделе комментариев), вредоносный код также встраивался внутрь страницы, ожидая быть приведенным в исполнение каждым будущим посетителем этой страницы.

В результате, каждый раз, когда легитимный посетитель посещал зараженную страницу, его браузер автоматически выполнял внедренный JavaScript, который в свою очередь внедрял скрытый iframe с адресом C & C домена хакеров. На этом домене DDoS-инструмент, с заданным Ajax-сценарием, взламывал браузер, заставляя его выдавать DDoS запрос со скоростью 1 запрос в секунду.

Конечно 1 запрос в секунду – это не много. Тем не менее, когда речь идет о видео контенте длительностью в 10, 20 и 30 минут, и с тысячами просмотров каждую минуту, подобная атака может быстро стать очень крупной и крайне опасной. Зная об этом, злоумышленники оперативно разместили комментарии на популярных видео, фактически создав самоподдерживающийся ботнет, состоящий из десятков тысяч взломанных браузеров, используемых ничего не подозревающими посетителями, которые пришли посмотреть смешные видео с кошками.

Блокирование атаки

Атака была заблокирована алгоритмами безопасности Incapsula, основанными на анализе поведения посетителей, которые стали еще более эффективными в прогнозировании работы DDoS-иструментов.

Во время перехвата вредоносных запросов, Incapsula также отследила источник атаки. Это было сделано посредством замены содержания целевого URL фрагментом JavaScript, в котором сообщался исходный referral source - ведущий на взломанный сайт с видео.

После этого специалисты Incapsula смогли воспроизвести постоянный XSS, ответственный за атаку. Как только была получена вся необходимая информация, они быстро связались со службой поддержки сайта и предложили свою помощь в установлении уязвимости.

Следует отметить, что вчера оригинал DDoS-инструмента на C & C домене хакеров был заменен гораздо более сложным вариантом. Это привело к мысли – то что происходило вчера было своего рода POC-тестом. Обновленный код не только намного сложнее предыдущего, но он также построен и для отслеживания атаки, что явно направлено на системы выставления счетов.


Обновлено 24 апреля 2014

Нет, это был не YouTube

Разоблачение этой уязвимости получило широкое освещение в СМИ, которое сопровождалось многочисленными попытками угадать название сайта. Безусловно, самое популярное предположение, что эта история о YouTube. В то же время хотелось опровергнуть этот слух, но команда Incapsula не могла позволить себе быть втянутой в игру "двадцать вопросов", что неизбежно обеспечило бы дополнительные ключи к истинной идентичности уязвимого веб-сайта.

Теперь, когда уязвимость закрыта, можно обнародовать название сайта - речь идет о Sohu.com – восьмом по величине сайте в Китае и 27-м по посещаемости в мире.

Будучи относительно незнакомым западной аудитории, Sohu является локальным и глобальным локомативом. Это быстро растущая организация, стоимостью в 2,5 миллиарда долларов, предоставляет разнообразные поисковые и медиа сервисы, в том числе Sohu.TV - сервис потокового видео, на который и была направлена DDoS-атака.

Как только Incapsula раскрыла источник DDoS-атаки и воспроизвела постоянную XSS уязвимость, она сразу же поделилась полученными данными с командой безопасности Sohu. Имея на руках необходимую информацию, команда Sohu быстро оценила проблему и отреагировала патчем, который исправил дыру в безопасности, сделав этот ботнет из браузеров совершенно бесполезным.