Curator выявила новую схему атак на приложения. Бот-атака с необычным сценарием исполнения происходила с 13 по 19 марта на приложение одной из крупных российских авиакомпаний.
Бот-атака с необычным сценарием исполнения происходила с 13 по 19 марта на приложение одной из крупных российских авиакомпаний. Более 2500 отдельных ботов запрашивали поиск рейсов и цены на билеты по популярным направлениям, используя как домовые IP-адреса, так и прокси из России, США, Сингапура, Германии и Канады. Интенсивность бот-запросов была достаточно низкой — в пределах 60 запросов в секунду со всего ботнета.
Технической особенностью данной бот-атаки было то, что ее авторы направили трафик не напрямую на основной хост ресурса авиакомпании, а на домен, использующийся для отдачи статического контента — картинок, видео, JS и CSS-файлов. Данный домен обслуживается сетью Curator.CDN, которая кэширует контент и отдает его со своих серверов в большинстве крупных городов России.
Почему атака провалилась?
Расчет злоумышленников заключался в том, что CDN-узлы находятся в доверенных списках доступа у серверов заказчика, и запросы, таким образом перенаправленные через CDN-сеть, будут обработаны без дополнительных проверок на DDoS- или бот-активность. На CDN-узлах работает фильтрация трафика, и эту активность она предотвратила. Атакующие продолжали искать подходы в течение нескольких последующих дней.
"Это изобретательный и пока что редкий метод, требующий совпадения ряда условий в настройках услуги CDN и настройках сервера заказчика. Чем более массово онлайн-бизнес использует CDN и одновременно с этим защиту от DDoS и ботов на своих сайтах и мобильных приложениях, тем больше возможностей для применения такой атаки, и тем выше будет ее популярность. Если страницы сайта или API приложения не получается напрямую получить ботом из-за контрмер, то есть мотивация искать и пробовать такие обходные пути. Думаем, что популярность будет ограниченная, но начнет расти с каждым годом. Этому риску подвержены все, кто использует CDN от разных поставщиков, то есть некоторые внешние для себя сервисы, - комментирует Георгий Тарасов, менеджер продукта Curator.CDN. - Теперь есть возможность автоматизировано получить контент через CDN, даже если на основном сайте работают WAF, anti-DDoS, antibot, или любые другие решения. Это такая интересная лазейка для хитрых ботоводов, которая может себя окупить, если подвергаемый атаке не слишком внимательно настраивать свои ресурсы на стороне CDN".