El ataque DDoS más grande de la historia equivalente a 650Gbps
El ataque DDoS más grande de la
historia equivalente a 650Gbps
A medida que el
final de año se acerca, es natural para contemplar el futuro y buscar signos de
lo que vendrá. A veces, sin embargo, usted no tienen que buscar demasiado. A
veces, estas “señales” golpeó como una tonelada de ladrillos.
Esto es lo que
era para nosotros cuando, apenas diez días antes de fin de año, nos encontramos
con un ataque de 650 Gbps (Gigabits por segundo) de DDoS, este
ataque fue el mayor registrad en nuestra red.
Este fue un
final apropiado para un año de DDoS, los nuevos tipos de malware desagradables
y masivos de la IOT.
Descripción
del ataque
El ataque
comenzó alrededor de las 10:55 el 21 de diciembre, en varias orientaciones de IPs
anycasted en la red Imperva Incapsula.
Es difícil decir
por qué este ataque no se centró en un cliente específico. Lo más probable
es que fue el resultado de diversas mascaras de proxies.
Los primeros
ataques DDoS duró aproximadamente 20 minutos, alcanzando un máximo de 400
Gbps. El no poder hacer lograr su objetivo, el delincuente se reagrupó y
volvió para una segunda ronda. Este tiempo suficiente botnet “músculo”
para generar una inundación 650 Gbps DDoS de más de 150 millone de paquetes por
segundo (Mpps).
Esta segunda
ráfaga duró unos 17 minutos y fue contrarrestado por nuestro
servicio. Fuera de las opciones, el delincuente wised y dejó su asalto.
Ambos ataques se
originan a partir de direcciones IP falsificadas, por lo que es imposible
rastrear real de ubicación geográfica de la red de bots o aprender nada sobre
la naturaleza de los dispositivos de ataque.
Análisis
de carga útil
El tráfico del
ataque fue generado por dos cargas útiles SYN diferentes:
- paquetes de tamaño regular SYN, que van de
44 a 60 bytes de tamaño
- Anormalmente grandes paquetes SYN, que van
desde 799 a 936 bytes de tamaño.
El primero se
utiliza para lograr altas tasas de paquetes Mpps, mientras que el último se
utilizó para ampliar la capacidad del ataque a 650 Gbps.
Los ataques que
combinan el uso de pequeños y grandes cargas útiles se han vuelto cada vez más
común, ya que ellos por primera vez en los últimos meses de 2015. Estas
tácticas permiten a los atacantes propagar sus probabilidades.
Una inspección
más cercana de los dos tipos de carga útil reveló varios hechos curiosos acerca
de su contenido.
La primera cosa
que notamos fue que el delincuente dejó una “firma” de clases en algunos de los
paquetes de tamaño regular SYN. En la cabecera Opciones TCP de estos
paquetes, los valores fueron dispuestos para que pudieran deletrear
“1337”. Notablemente, la secuencia de 1337 también se produce en paquetes
SYN regulares. En este caso, sin embargo, parece que el delincuente hizo
un esfuerzo consciente para incluir esta carga útil.
La siguiente
cosa que nos llamó la atención fue el contenido de las grandes cargas útiles
SYN. Mientras que algunas cargas útiles fueron pobladas por cadenas de
caracteres aparentemente aleatorios, otros contenían listas de direcciones IP
rallado.
Estas listas IP
triturados dio a entender la forma en que se generó el contenido de la carga
útil. Parece que el malware que nos enfrentamos fue programado para
acceder a los archivos locales (por ejemplo, registros de acceso y listas
iptable) y desordenar su contenido para generar sus cargas útiles.
Básicamente,
todo el ataque era una revuelta de archivos del sistema pulverizados de miles y
miles de dispositivos comprometidos.
Este método de
ataque sirve a un propósito práctico. Específicamente, lo hacen para producir
un número ilimitado de cargas útiles extremadamente aleatorios. El uso de
estas cargas útiles, un delincuente puede eludir los sistemas de seguridad
basados en firmas que mitigan los ataques de la identificación de similitudes
en el contenido de los paquetes de red.
Leet
Botnet Rivals “logros” de Mirai
Es apropiado que
este ataque podría señalar el final del año para nosotros. Mitigar fue un
hito importante y una gran demostración de la capacidad de recuperación de
nuestra red. Sin embargo, también vemos como un signo de lo que vendrá.
Hasta ahora,
todos los grandes ataques DDoS de 2016 se asociaron con el software
malicioso Mirai. Sin embargo, las características de la carga útil
muestran claramente que ni Mirai ni uno de sus más recientes variantes se
utilizó para este asalto.
Esto se
evidencia por la siguiente:
- Mirai malware no se construye para llevar a
cabo grandes ataques SYN.
2.
iph-> tot_len = htons (sizeof (struct
iphdr) + sizeof (tcphdr struct) + 20);
- Mirai ha incñuido opciones TCP (MSS, SACK,
TSVAL, WSS), que no estaban presentes en 99,99% de las cargas útiles
(0,01% eran accidentalmente similar).
4.
//
TCP MSS
5.
* Opta ++ = PROTO_TCP_OPT_MSS;
6.
* opts ++ = 4;
7.
* ((Uint16_t *) opta) = htons (1400 +
(rand_next () y 0x0F));
8.
TPO + = sizeof (uint16_t);
9.
10. // SACO TCP permitido
11. * Opta ++ = PROTO_TCP_OPT_SACK;
12. * opts ++ = 2;
13.
14. // marcas de tiempo TCP
15. * Opta ++ = PROTO_TCP_OPT_TSVAL;
16. * opts ++ = 10;
17.
* ((Uint32_t *) opta) = rand_next ();
18. TPO + = sizeof (uint32_t);
19. * ((Uint32_t *) opta) = 0;
20. TPO + = sizeof (uint32_t);
21.
22. // nop TCP
23. * opts ++ = 1;
24.
25. // escala de ventana TCP
26. * Opta ++ = PROTO_TCP_OPT_WSS;
27. * opts ++ = 3;
28. * opts ++ = 6;
29. Se generan a partir de cadenas aleatorias, mientras que las cargas útiles en este ataque se estructuraron a partir del contenido de los archivos del sistema.
Todo esto apunta
a una nueva botnet que sólo se pueden identificar por la firma el autor del
malware se dejan en la cabecera TCP: “1337”.
Con 650 Gbps en
su haber, la botnet Leet es el primero en competir con los logros de
Mirai. Sin embargo, no será la última. Este año vimos los ataques
DDoS aumentan a niveles récord y éstos de alto poder botnet no son más que un
síntoma de los tiempos.
Y como hemos
dicho, está a punto de poner mucho peor.
Necesitas
ampliar información y claves sobre seguridad informática? consulte con los
ingenieros de Seguridad America o con sus Expertos comerciales que lo
asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de
usuario como desde el punto de vista de empresa, mejorar la seguridad de tus
equipos y dispositivos móviles.
Contáctanos
en:
Mail: ventas@SeguridadAmerica.com
Fono:(+56-22307-7330)
Visitemos
en: www.seguridadamerica.com
Comentarios
Publicar un comentario