miércoles, 28 de junio de 2017

El ataque DDoS más grande de la historia equivalente a 650Gbps

El ataque DDoS más grande de la historia equivalente a 650Gbps



A medida que el final de año se acerca, es natural para contemplar el futuro y buscar signos de lo que vendrá. A veces, sin embargo, usted no tienen que buscar demasiado. A veces, estas “señales” golpeó como una tonelada de ladrillos.
Esto es lo que era para nosotros cuando, apenas diez días antes de fin de año, nos encontramos con un ataque de 650 Gbps (Gigabits por segundo) de DDoS, este ataque fue el mayor registrad en nuestra red.
Este fue un final apropiado para un año de DDoS, los nuevos tipos de malware desagradables y masivos de la IOT.
Descripción del ataque
El ataque comenzó alrededor de las 10:55 el 21 de diciembre, en varias orientaciones de IPs anycasted en la red Imperva Incapsula.
Es difícil decir por qué este ataque no se centró en un cliente específico. Lo más probable es que fue el resultado de diversas mascaras de proxies.



Los primeros ataques DDoS duró aproximadamente 20 minutos, alcanzando un máximo de 400 Gbps. El no poder hacer lograr su objetivo, el delincuente se reagrupó y volvió para una segunda ronda. Este tiempo suficiente botnet “músculo” para generar una inundación 650 Gbps DDoS de más de 150 millone de paquetes por segundo (Mpps).



Esta segunda ráfaga duró unos 17 minutos y fue contrarrestado por nuestro servicio. Fuera de las opciones, el delincuente wised y dejó su asalto.
Ambos ataques se originan a partir de direcciones IP falsificadas, por lo que es imposible rastrear real de ubicación geográfica de la red de bots o aprender nada sobre la naturaleza de los dispositivos de ataque.


Análisis de carga útil
El tráfico del ataque fue generado por dos cargas útiles SYN diferentes:
  1. paquetes de tamaño regular SYN, que van de 44 a 60 bytes de tamaño
  2. Anormalmente grandes paquetes SYN, que van desde 799 a 936 bytes de tamaño.

El primero se utiliza para lograr altas tasas de paquetes Mpps, mientras que el último se utilizó para ampliar la capacidad del ataque a 650 Gbps.
Los ataques que combinan el uso de pequeños y grandes cargas útiles se han vuelto cada vez más común, ya que ellos por primera vez en los últimos meses de 2015. Estas tácticas permiten a los atacantes propagar sus probabilidades.
Una inspección más cercana de los dos tipos de carga útil reveló varios hechos curiosos acerca de su contenido.
La primera cosa que notamos fue que el delincuente dejó una “firma” de clases en algunos de los paquetes de tamaño regular SYN. En la cabecera Opciones TCP de estos paquetes, los valores fueron dispuestos para que pudieran deletrear “1337”.  Notablemente, la secuencia de 1337 también se produce en paquetes SYN regulares. En este caso, sin embargo, parece que el delincuente hizo un esfuerzo consciente para incluir esta carga útil.



La siguiente cosa que nos llamó la atención fue el contenido de las grandes cargas útiles SYN. Mientras que algunas cargas útiles fueron pobladas por cadenas de caracteres aparentemente aleatorios, otros contenían listas de direcciones IP rallado.


Estas listas IP triturados dio a entender la forma en que se generó el contenido de la carga útil. Parece que el malware que nos enfrentamos fue programado para acceder a los archivos locales (por ejemplo, registros de acceso y listas iptable) y desordenar su contenido para generar sus cargas útiles.
Básicamente, todo el ataque era una revuelta de archivos del sistema pulverizados de miles y miles de dispositivos comprometidos.
Este método de ataque sirve a un propósito práctico. Específicamente, lo hacen para producir un número ilimitado de cargas útiles extremadamente aleatorios. El uso de estas cargas útiles, un delincuente puede eludir los sistemas de seguridad basados ​​en firmas que mitigan los ataques de la identificación de similitudes en el contenido de los paquetes de red.
Leet Botnet Rivals “logros” de Mirai
Es apropiado que este ataque podría señalar el final del año para nosotros. Mitigar fue un hito importante y una gran demostración de la capacidad de recuperación de nuestra red. Sin embargo, también vemos como un signo de lo que vendrá.
Hasta ahora, todos los grandes ataques DDoS de 2016 se asociaron con el software malicioso Mirai. Sin embargo, las características de la carga útil muestran claramente que ni Mirai ni uno de sus más recientes variantes se utilizó para este asalto.
Esto se evidencia por la siguiente:
  1. Mirai malware no se construye para llevar a cabo grandes ataques SYN.
2.     iph-> tot_len = htons (sizeof (struct iphdr) + sizeof (tcphdr struct) + 20);

  1. Mirai ha incñuido opciones TCP (MSS, SACK, TSVAL, WSS), que no estaban presentes en 99,99% de las cargas útiles (0,01% eran accidentalmente similar).
4.            // TCP MSS
5.            * Opta ++ = PROTO_TCP_OPT_MSS;  
6.             * opts ++ = 4;                  
7.             * ((Uint16_t *) opta) = htons (1400 + (rand_next () y 0x0F));
8.             TPO + = sizeof (uint16_t);
9.      
10.          // SACO TCP permitido
11.          * Opta ++ = PROTO_TCP_OPT_SACK;
12.          * opts ++ = 2;
13.   
14.          // marcas de tiempo TCP
15.          * Opta ++ = PROTO_TCP_OPT_TSVAL;
16.          * opts ++ = 10;
17.          * ((Uint32_t *) opta) = rand_next ();
18.          TPO + = sizeof (uint32_t);
19.          * ((Uint32_t *) opta) = 0;
20.          TPO + = sizeof (uint32_t);
21.   
22.          // nop TCP
23.          * opts ++ = 1;
24.   
25.          // escala de ventana TCP
26.          * Opta ++ = PROTO_TCP_OPT_WSS;
27.          * opts ++ = 3;
28.          * opts ++ = 6;
29.  Se generan a partir de cadenas aleatorias, mientras que las cargas útiles en este ataque se estructuraron a partir del contenido de los archivos del sistema.



Todo esto apunta a una nueva botnet que sólo se pueden identificar por la firma el autor del malware se dejan en la cabecera TCP: “1337”.
Con 650 Gbps en su haber, la botnet Leet es el primero en competir con los logros de Mirai. Sin embargo, no será la última. Este año vimos los ataques DDoS aumentan a niveles récord y éstos de alto poder botnet no son más que un síntoma de los tiempos.
Y como hemos dicho, está a punto de poner mucho peor.

Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.


Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono:(+56-22307-7330)
Visitemos en: www.seguridadamerica.com




No hay comentarios.:

Publicar un comentario

Populares