Zeer zware DDoS-aanval uitgevoerd met nieuw botnet

Recentelijk zijn regelmatig zeer zware DDoS-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet in het nieuws geweest. Enkele dagen voor kerst is opnieuw een zeer zware DDoS-aanval geregistreerd. Deze is echter niet uitgevoerd met het Mirai-botnet, maar met een botnet dat is gebouwd met behulp van de malware ‘Leet’.

Dit melden onderzoekers van beveiligingsbedrijf Imperva. De onderzoekers stellen dat het Imperva Incapsula netwerk enkele dagen voor kerst een DDoS-aanval met een capaciteit van maar liefst 650 Gbps heeft gemitigeerd. Dit is één van de zwaardere cyberaanvallen die in 2016 is geregistreerd. Het botnet maakt gebruik van zowel grote als kleine SYN-pakketjes. Hierbij werden kleinere pakketjes ingezet om meer dan 150 miljoen pakketjes per seconde te kunnen versturen, terwijl de grote pakketjes zijn ingezet om de totale capaciteit van de aanval op te schroeven.

Leet botnet

Het botnet wordt door onderzoekers van Imperva het ‘Leet botnet’ genoemd. Deze naam verwijst naar een handtekening die de aanvallers hebben achtergelaten in de TCP Options headers van kleinere pakketjes die tijdens de aanval zijn ingezet. Deze handtekening luidt ‘1337’. Het is onduidelijk wat voor apparaten zijn opgenomen in het Leet botnet, aangezien gebruik wordt gemaakt van gespoofte IP-adressen.

Opvallend is ook de data die tijdens de aanval door het botnet is verstuurd. “De volledige aanval bestond uit een wirwar van verpluverde systeembestanden van duizenden en duizenden gecomprommiteerde apparaten”, melden Avishay Zawoznik en Dima Bekerman van Imperva. “Dit is een effectieve obfuscatietechniek die kan worden gebruikt om een onbeperkt aantal extreem gerandomiseerde payloads te creëren. Met behulp van deze payloads kan een aanvallen signature-gebaseerde beveiligingssystemen omzeilen die aanvallen mitigeren door overeenkomsten in de inhoud van netwerkpakketjes te detecteren.”