Frank McDougall
Недавний кампании распределённой денайал-оф-сервис (DDoS), получивший имя «Panamorfi», вызвал волну реакций в сообществе по кибербезопасности. В отличие от традиционных атак DDoS, эта кампания направлена специально на неправильно сконфигурированные Jupyter-блокноты, доступные онлайн. Злоумышленник, стоящий за кампанией, известный как yawixooo, использует общедоступный инструмент DDoS для Minecraft серверов для перегрузки целевых серверов.
Анатомия атаки
По данным исследователей из Aqua Nautilus, атака начинается с того, что злоумышленник получает доступ к блокнотам, доступным в интернете. Затем он выполняет команду, которая загружает zip-архив с платформы для обмена файлами. Zip-архив, размером примерно 17 МБ и с произвольной строкой в названии, содержит два Jar-файла с именами conn.jar и mineping.jar. Эти файлы Jar были ранее неизвестны для компаний по безопасности, с одним обнаружением для каждого.
Файл ‘conn.jar’ играет ключевую роль в атаке. Он использует Discord для управления операцией DDoS. Машина жертвы подключается к указанному каналу Discord, загружая файл ‘mineping.jar’. Этот файл является известным инструментом для DDoS Minecraft серверов, доступным на GitHub, и содержит несколько Java-файлов для различных функций.
Исполнение атаки
Как только инструмент DDoS для Minecraft сервера развернут, злоумышленник инициирует атаку DDoS через потоп TCP. Основная цель — истощить ресурсы целевого сервера. Атакеры настроили инструмент для записи результатов атаки прямо в канал Discord, позволяя им отслеживать воздействие атаки в реальном времени.
Смягчение угрозы
К счастью, исследователи Aqua Nautilus смогли вмешаться и остановить атаку, внедрив политику выполнения, которая блокирует выполнение файла conn.jar. Принятие таких проактивных мер позволило эффективно нейтрализовать всю кампанию.
Для защиты от подобных кампаний важно следовать этим стратегиям смягчения:
— Реализуйте безопасные практики для ограничения доступа к Jupyter-блокнотам.
— Блокируйте выполнение файлов, связанных с кампанией, таких как conn.jar и mineping.jar.
— Ограничьте выполнение кода в Jupyter-блокнотах.
— Регулярно обновляйте Jupyter-блокноты с последними исправлениями безопасности.
Кроме того, рекомендуется избегать публикации чувствительной информации или учётных данных в Jupyter-блокнотах, так как они могут стать привлекательными целями для злоумышленников.
Будучи бдительными и принимая защитные меры, практики обработки данных, такие как инженеры данных, аналитики данных и учёные данных, могут защитить себя от кампании Panamorfi DDoS и подобных атак в будущем.
