Microsoft, Outlook, Teams, OneDrive ve bulut bilgi işlem platformu Azure dahil olmak üzere popüler hizmetlerinde son zamanlarda yaşanan kesintilerin bir nedenden kaynaklandığını doğruladı. DDoS Şirketin Storm-1359 olarak izlediği bir tehdit aktörü tarafından yapılan saldırı.
Anonim Sudan olarak da bilinen Storm-1359, DDoS saldırıları ve veri sızdırma çabalarıyla kuruluşları ve devlet kurumlarını hedef alan ilk olarak Ocak ayında tespit edildi. Tehdit aktörünün başlangıçta bir “olduğu varsayılmıştır.bilgisayar korsanı”Melbourne Moda Haftası’nda tartışmalı bir kıyafeti protesto eden grup, ancak o zamandan beri çeşitli basında çıkan haberlere göre Rus devletiyle bağlantılı.
“Microsoft, Storm-1359’un bir koleksiyona erişimi olduğunu değerlendirdi. bot ağları ve tehdit aktörünün birden fazla bulut hizmetinden ve açık proxy altyapısından DDoS saldırıları başlatmasını sağlayabilecek araçlar, ”dedi şirket bir blog gönderisinde. “Storm-1359, kesintiye ve tanıtıma odaklanmış görünüyor.”
Microsoft, Storm-1359’un son DDoS etkinliklerinin, en sık hedeflenen katman 3 veya 4 yerine ağ yığınının uygulama katmanını (katman 7) hedeflediğini söyledi.
Farklı katman 7 DDoS saldırı türleri
Storm-1359’un HTTP(S) sel saldırısı, Önbellek atlama ve Slowloris dahil olmak üzere çeşitli katman 7 DDoS saldırı trafiği türlerini başlattığı gözlemlendi.
Bir HTTP(S) sel saldırısı, hedef sistemi çok sayıda dağıtılmış HTTP(S) isteği ve SSL/TLS anlaşması ile doldurur. Amaç, uygulamanın arka ucunun CPU ve bellek kaynaklarını tüketerek, bunalmış ve tepkisiz hale gelmesine neden olmaktır.
Önbellek baypas saldırıları ise, önbelleği baypas etmeyi amaçlar. içerik dağıtım ağı (CDN) kaynak sunucuları katmanlandırın ve bunaltın. Saldırgan, oluşturulan URL’lerle belirli sorgular göndererek, önbelleğe alınmış içeriği kullanmak yerine tüm istekleri kaynak sunuculara iletilmeye zorlar.
Bir Slowloris saldırısında, istemci bir web sunucusundan bir kaynak ister ancak indirmeyi kasıtlı olarak geciktirir veya kabul etmez. Bu, web sunucusunu bağlantıyı açık tutmaya ve istenen kaynağı bellekte tutmaya zorlar.
Microsoft’un önerileri etkili WAF ayarlarını içerir
Katman 7 DDoS saldırısının etkisini azaltmanın en etkili yolu, katman 7 kurmaktır. web uygulaması güvenlik duvarı (WAF) koruma servisi, dedi Microsoft.
Azure Front Door ve Azure Application Gateway ile sunulan Azure WAF, uygun ayarların bir karışımıyla web uygulamalarını korumak için kullanılabilir.
Önerilen ayarlar, bilinen kötü botlar için bot korumasını yapılandırmayı, kötü amaçlı IP adreslerini ve özel WAF kurallarıyla HTTPS saldırılarını tanımlamayı ve engellemeyi ve tanımlanmış bir coğrafi bölgeden gelen trafiği sınırlamayı içerir.
Telif hakkı © 2023 IDG Communications, Inc.