В компании Arbor Networks говорят, что последняя версия DDOS-бота Armageddon получила поддержку сравнительно нового эксплоита, известного как Apache Killer. Впервые Apache Killer был обнаружен еще в августе 2011 года. Он использует уязвимость в веб-сервере Apache, отправляя ему специально сконструированный HTTP-заголовок, вызывающий атаку типа отказ в обслуживании.

Данная атака особенно опасна, так как ее можно проводить всего с одного компьютера, а целевой сервер может быть полностью выведен из строя и лишь полная перезагрузка вернет его в нормальное состояние.

"Apache Killer использует протокол HTTP, отправляя веб-серверу специальный набор ключей в очень большом диапазоне, что вводит сервер в бесконечный цикл и провоцирует очень высокую загрузку оборудования", - говорит Джефф Эдвардс, аналитик Arbor Networks.

Уязвимость, используемая Apache Killer, была определена как CVE-2011-3192 и фактически устранены в Apache Httpd Server 2.2.20 через неделю после того, как о ней стало публично известно.

В Arbor говорят, впервые видят, как данный эксплоит был интегрирован в ботсеть, специализирующуюся на DDOS-атаках. По словам Эдвардса, Armageddon - это ПО с российскими корнями, созданное специально для запуска DDOS-атак. Так как оно продается как набор инструментов на подпольных форумах, сейчас в интернете работают несколько ботнетов под управлением Armageddon.

Последняя версия Armageddon также использует ряд новых DDOS-техник уровня приложений, направленных на атаку популярных веб-приложений, таких как vBulletin или phpBB. Исследователи из Arbor Networks говорят, что им удалось взломать шифрованный механизм, используемый в Armageddon для коммуникаций между зараженными компьютерами и командным сервером, после чего обнаружили, что именно сеть Armageddon была использована для запуска недавних DDOS-атак, связанных с выборами в России.

Другие DOS-эксплоиты, такие как Slowloris, сейчас пока находятся на стадии концепции, но в будущем и они будут интегрированы в ботсети для DDOS-атак, уверены в Arbor.