Как мы с ботнетами боролись

Кажется, чем больше мы боремся с атаками, тем больше их становится.

Осознав это, мы решили сменить тактику и посмотреть на картину шире: не только изучать пользовательские данные и поведение, но и глубже погрузиться в анализ трафика.

Начали с географии — а вдруг мы не там ищем?

Мы собрали топы, состоящие из разных параметров – таких как логины, ip, fingerprint и другие. А также обнаружили приложения, с которых осуществляется наибольшее количество попыток брутфорса.

Анализируя трафик, мы выявили два явных аномальных источника — Италию и Бразилию. А теперь по порядку.

Кейс 1. Чайники атакуют

Одной из аномалий, привлекшей наше внимание, стало присутствие в топ-100 злонамеренных IP-адресов одного и того же устройства, генерировавшего нагрузку 300–360 RPS с единственного IP. Запросы направлялись исключительно на получение мобильного access token через приложение. При анализе user-agent выяснилось, что устройство связано с «Mi Home» — экосистемой умных устройств Xiaomi. Оказалось, что наши пользователи подвергались брутфорсу из Италии... с умного чайника Xiaomi. 

Кейс 2. Бразильский карнавал или проект «Гидра»

Вторая аномалия — до 74% трафика в российской социальной сети…из Бразилии! Проанализировав ситуацию, мы обнаружили:

• 1,5 млн уникальных IP-адресов в сутки, с которых осуществлялось по 2-3 попытки авторизации в разные аккаунты;
• попытки преимущественно неуспешны;
• эвристики не выявляли закономерностей.

Всплеск активности пришелся на 29 марта 2024 года. 30 марта в Бразилии стартовал всемирно известный карнавал — так и появилось кодовое название атаки. Позже атака получила и второе имя — «гидра», поскольку она восстанавливалась после каждого нашего действия.

Сейчас атака подавлена, но есть основания полагать, что она может возобновиться.

Как мы боролись с ботнетами

1. Скоординированные действия с SRE и Anti-DDoS:

• блокировка IP;
• создание процесса оперативного развертывания изменений на фронтах;
• настройка автоматизированного управления конфигурациями.

2. Расширение методологии банов:

• использование и создание собственных фингерпринтов для анализа трафика;
• разработка эвристического подхода к автоматизированному анализу вредоносной активности, что позволило эффективно бороться со злоумышленниками.

3. Доработка конфигураций Anti-DDoS для блокировки по нескольким параметрам.

Результаты и выводы

• Входящий трафик на авторизацию удалось снизить в 20 раз.

• Выявлены новые механики атак, что позволило усилить защиту.

• Обнаружена аномальная активность, связанная с IoT-устройствами.

• Выяснилось, что одной только защиты внутри продукта недостаточно — необходимо учитывать сеть в целом.

Безопасность пользователей всегда требует комплексного подхода. Борясь за защиту данных, важно анализировать все возможные точки входа, а не ограничиваться только продуктовыми механизмами. И, конечно, следить за своими умными чайниками…