XOR DDoS, una botnet capaz de realizar ataques DDoS de más de 150Gbps

Share this…

Los ataques de denegación de servicio distribuidos, o DDoS, son un tipo de ataque informático en el que piratas informáticos generan desde una red de ordenadores bajo su control una gran cantidad de tráfico, generalmente falso, con el fin de saturar el límite de conexiones y los recursos del servidor objetivo, dejando al resto de usuarios sin la posibilidad de acceder al sistema atacado, ya sea un servidor de juegos, una web o cualquier otro servicio online.

Por lo general este tipo de ataques suele ser de varios cientos de megabits por segundo, alguna vez llegando o superando el gigabit por segundo, pero es extraño ver ataques mucho más potentes. Según informa la empresa Akamai, un grupo de piratas informáticos ha creado una red de ordenadores zombie, o Botnet, capaz de realizar ataques de denegación de servicio de más de 150 Gbps, un tráfico tan elevado que es prácticamente imposible de detener y mitigar, pudiendo dejar sin servicio durante varias horas a sus objetivos.

XOR DDoS, una botnet capaz de realizar ataques DDoS de más de 150Gbps

Para ello estos piratas informáticos han utilizado XOR DDoS, un troyano desarrollado para infectar y secuestrar sistemas operativos basados en Linux. Este troyano permite a los piratas informáticos tomar el control remoto de los sistemas afectados, utilizándolos posteriormente para realizar este tipo de ataques DDoS. Para instalar este software malicioso los atacantes se conectan a la máquina remote mediante ataques de fuerza bruta y una vez consiguen la contraseña de root la utilizan para descargar e instalar los binarios de XOR DDOS.

Según Akami, han podido analizar cómo los ataques generados desde la botenet XOR DDOS varían desde un solo Gbps hasta alcanzar en ocasiones picos de más de 150 Gbps de tráfico instantáneo. Los principales objetivos de esta red de ordenadores son las plataformas de juegos online, seguido de cerca por los portales de educación. Esta red puede realizar más de 20 ataques diferentes al día, y el 90% de los objetivos son sitios web y servidores situados en Asia. Esta empresa afirma que han detectado y mitigado ataques de hasta 179 Gbps, los cuales utilizan inundaciones SYN y DNS.

En ocasiones esta red de ordenadores utiliza tráfico y direcciones IP falsos, pero no siempre. También se han detectado técnicas de cambio de IP para evitar que los ISP identifiquen y bloqueen el tráfico falso.

Detectar el malware XOR DDoS es bastante complicado. Los administradores de los sistemas deben controlar el tráfico que se genera en los servidores y analizar los diferentes directorios del sistema, analizándolos con cuidado y prestando atención a todos los elementos extraños y sospechosos presentes en el propio sistema. Además, este malware es persistente (se reinstala automáticamente en cada reinicio), por lo que para eliminarlo correctamente se deben seguir 4 pasos básicos:

  • Analizar los diferentes directorios del sistema para identificar los archivos maliciosos.
  • Identificar los procesos que permiten la persistencia del malware.
  • Se deben cerrar los procesos maliciosos con el comando “kill”.
  • Eliminamos los archivos maliciosos de los directorios y reiniciamos para comprobar que el malware no vuelve a aparecer.

Más información sobre cómo eliminar XOR DDoS.

Los investigadores de seguridad han podido comprobar que en los últimos años los sistemas (concretamente los servidores) con Linux se han convertido en los principales objetivos de los piratas informáticos. La mayor parte del malware desarrollado para realizar ataques DDoS ahora es desarrollado y compilado para Linux, mientras que los sistemas Windows eran y han sido prácticamente siempre los más buscados y explotados para este tipo de ataque.

Fuente:https://www.redeszone.net/