El pasado 21 de diciembre se lanzó un enorme ataque DDoS sobre la web Krebs on Security. Al parecer el responsable es un nuevo malware más fuerte que Mirai (que atacó a diversos servicios de Internet empezando el pasado mes de octubre), aunque al parecer no tiene nada que ver con él según informan en Imperva.
Al principio se temía que la liberación del código fuente de Mirai tuviese algo que ver, ya que el ataque saturó los servidores a velocidad de 620 Gbps. Sin embargo, esta bestia es algo completamente diferente. Dad la bienvenida a la botnet Leet.
Vale la pena comentar, para quienes no estén familiarizados con el tema, qué es exactamente una botnet. Básicamente el término hace referencia a un conjunto de programas que se ejecutan de forma automática y que permiten controlar los ordenadores y servidores infectados sin que el atacante esté junto a ellos, es decir, de forma remota.
Las botnets se propagan al crear un virus y propagarlo a través de Internet. El objetivo es intentar infectar el mayor número posible de equipos. Ahora bien, la única forma de contraer una infección de este tipo es visitar sitios web de fiabilidad cuestionable. En el caso de los sistemas Windows también se pueden contraer mediante cracks para programas de pago, y en los sistemas Unix se pueden extender a través del protocolo SSH.
Picos de hasta 650 Gbps
Los expertos de Imperva consiguieron rechazar un ataque a 650 Gbps, superando el record anterior de 579 Gbps, cuando aún no se había dado nombre a la amenaza. En un principio se describió este malware como “algo igual de poderoso que la más peligrosa hasta la fecha”. Las previsiones para 2017 es que en este aspecto las cosas “se pondrán mucho peor”.
El creador o los creadores del malware se sentían orgullosos de su obra, con lo que se sintieron impelidos a firmarla. El análisis del ataque mostró que el encabezado de los paquetes de red usados en la ofensiva deletreaba “l33t”, de aquí el nombre de Leet para esta botnet.
Aunque el ataque se produjo hace una semana, los detalles de lo que ha ocurrido no empezaron a conocerse hasta hace bien poco. Este DDoS tomó como objetivos un cierto número de direcciones IP, si bien se especula con que no se podía atacar una específica debido a que el malware no podía resolver direcciones específicas debido a los proxies.
Estos proxies actúan como intermediarios en las peticiones, precisamente para evitar ataques de este tipo. Por ejemplo, si una máquina A solicita un recurso a otra C, lo hará mediante una petición a una máquina B, que a su vez trasladará la petición a C. De esta forma C no sabrá que la petición procedió originalmente de A.
Esto permite que los proxies sirvan para distintos propósitos aparte de intentar evitar ataques DDoS: control de acceso, registro del tráfico, restricción a determinados tipos de tráfico, mejora de rendimiento, anonimato de la comunicación y etcétera.
La primera incursión comenzó con un envío de tráfico a 400 Gbps y duró unos 20 minutos. Viendo que no conseguían hacer mella, enviaron 150 millones de paquetes por segundo, o sea, esos 650 Gbps de tráfico de los que hemos hablado.
Tanto el primer ataque como el segundo utilizaron una técnica conocida como suplantación de IP. Con esta técnica se consigue sustituir la que un paquete cualquiera lleva de origen por otra, la que se pretende suplantar. De esta manera se consigue sortear el cortafuegos de la red, que debería detener las incursiones.
Nos espera un 2017 movidito
Por ahora no se ha podido determinar de dónde ha venido, pero en Imperva han conseguido averiguar que usaba una combinación de payloads grandes y pequeñas para “obstruir los túneles y tumbar los conmutadores de red”.
Mientras que Mirai funcionaba “disparando” cadenas de caracteres generados aleatoriamente para crear tráfico, en el caso de Leet el malware accedía a ficheros locales y usaba pedazos del sistema de archivos como su payload.
El ataque ha sido descrito por la fuente como “una mezcla de archivos pulverizadosdesde miles y miles de dispositivos comprometidos”. La razón para usar este método es fundamentalmente práctica. Funciona como una técnica de ocultación que se puede usar para producir un número ilimitado de payloads aleatorias.
Usando estas payloads, un atacante puede sortear sistemas de seguridad basados en firmas, que pueden mitigar los ataques identificando similitudes en el contenido de los paquetes de red. En Imperva lo consiguieron, pero dicen que Leet es una “señal de lo que está por venir”.
Ya informamos hace unos meses de que un ataque DDoS dejó sin Internet a todo un país, lo que junto con Mirai y Leet hace presagiar que 2017 será movidito en temas de seguridad.
Fuente:https://www.genbeta.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad