El ataque DDoS más grande de la historia equivalente a 650Gbps

-

El ataque DDoS más grande de la historia equivalente a 650Gbps



A medida que el final de año se acerca, es natural para contemplar el futuro y buscar signos de lo que vendrá. A veces, sin embargo, usted no tienen que buscar demasiado. A veces, estas “señales” golpeó como una tonelada de ladrillos.
Esto es lo que era para nosotros cuando, apenas diez días antes de fin de año, nos encontramos con un ataque de 650 Gbps (Gigabits por segundo) de DDoS, este ataque fue el mayor registrad en nuestra red.
Este fue un final apropiado para un año de DDoS, los nuevos tipos de malware desagradables y masivos de la IOT.
Descripción del ataque
El ataque comenzó alrededor de las 10:55 el 21 de diciembre, en varias orientaciones de IPs anycasted en la red Imperva Incapsula.
Es difícil decir por qué este ataque no se centró en un cliente específico. Lo más probable es que fue el resultado de diversas mascaras de proxies.



Los primeros ataques DDoS duró aproximadamente 20 minutos, alcanzando un máximo de 400 Gbps. El no poder hacer lograr su objetivo, el delincuente se reagrupó y volvió para una segunda ronda. Este tiempo suficiente botnet “músculo” para generar una inundación 650 Gbps DDoS de más de 150 millone de paquetes por segundo (Mpps).



Esta segunda ráfaga duró unos 17 minutos y fue contrarrestado por nuestro servicio. Fuera de las opciones, el delincuente wised y dejó su asalto.
Ambos ataques se originan a partir de direcciones IP falsificadas, por lo que es imposible rastrear real de ubicación geográfica de la red de bots o aprender nada sobre la naturaleza de los dispositivos de ataque.


Análisis de carga útil
El tráfico del ataque fue generado por dos cargas útiles SYN diferentes:
  1. paquetes de tamaño regular SYN, que van de 44 a 60 bytes de tamaño
  2. Anormalmente grandes paquetes SYN, que van desde 799 a 936 bytes de tamaño.

El primero se utiliza para lograr altas tasas de paquetes Mpps, mientras que el último se utilizó para ampliar la capacidad del ataque a 650 Gbps.
Los ataques que combinan el uso de pequeños y grandes cargas útiles se han vuelto cada vez más común, ya que ellos por primera vez en los últimos meses de 2015. Estas tácticas permiten a los atacantes propagar sus probabilidades.
Una inspección más cercana de los dos tipos de carga útil reveló varios hechos curiosos acerca de su contenido.
La primera cosa que notamos fue que el delincuente dejó una “firma” de clases en algunos de los paquetes de tamaño regular SYN. En la cabecera Opciones TCP de estos paquetes, los valores fueron dispuestos para que pudieran deletrear “1337”.  Notablemente, la secuencia de 1337 también se produce en paquetes SYN regulares. En este caso, sin embargo, parece que el delincuente hizo un esfuerzo consciente para incluir esta carga útil.



La siguiente cosa que nos llamó la atención fue el contenido de las grandes cargas útiles SYN. Mientras que algunas cargas útiles fueron pobladas por cadenas de caracteres aparentemente aleatorios, otros contenían listas de direcciones IP rallado.


Estas listas IP triturados dio a entender la forma en que se generó el contenido de la carga útil. Parece que el malware que nos enfrentamos fue programado para acceder a los archivos locales (por ejemplo, registros de acceso y listas iptable) y desordenar su contenido para generar sus cargas útiles.
Básicamente, todo el ataque era una revuelta de archivos del sistema pulverizados de miles y miles de dispositivos comprometidos.
Este método de ataque sirve a un propósito práctico. Específicamente, lo hacen para producir un número ilimitado de cargas útiles extremadamente aleatorios. El uso de estas cargas útiles, un delincuente puede eludir los sistemas de seguridad basados ​​en firmas que mitigan los ataques de la identificación de similitudes en el contenido de los paquetes de red.
Leet Botnet Rivals “logros” de Mirai
Es apropiado que este ataque podría señalar el final del año para nosotros. Mitigar fue un hito importante y una gran demostración de la capacidad de recuperación de nuestra red. Sin embargo, también vemos como un signo de lo que vendrá.
Hasta ahora, todos los grandes ataques DDoS de 2016 se asociaron con el software malicioso Mirai. Sin embargo, las características de la carga útil muestran claramente que ni Mirai ni uno de sus más recientes variantes se utilizó para este asalto.
Esto se evidencia por la siguiente:
  1. Mirai malware no se construye para llevar a cabo grandes ataques SYN.
2.     iph-> tot_len = htons (sizeof (struct iphdr) + sizeof (tcphdr struct) + 20);

  1. Mirai ha incñuido opciones TCP (MSS, SACK, TSVAL, WSS), que no estaban presentes en 99,99% de las cargas útiles (0,01% eran accidentalmente similar).
4.            // TCP MSS
5.            * Opta ++ = PROTO_TCP_OPT_MSS;  
6.             * opts ++ = 4;                  
7.             * ((Uint16_t *) opta) = htons (1400 + (rand_next () y 0x0F));
8.             TPO + = sizeof (uint16_t);
9.      
10.          // SACO TCP permitido
11.          * Opta ++ = PROTO_TCP_OPT_SACK;
12.          * opts ++ = 2;
13.   
14.          // marcas de tiempo TCP
15.          * Opta ++ = PROTO_TCP_OPT_TSVAL;
16.          * opts ++ = 10;
17.          * ((Uint32_t *) opta) = rand_next ();
18.          TPO + = sizeof (uint32_t);
19.          * ((Uint32_t *) opta) = 0;
20.          TPO + = sizeof (uint32_t);
21.   
22.          // nop TCP
23.          * opts ++ = 1;
24.   
25.          // escala de ventana TCP
26.          * Opta ++ = PROTO_TCP_OPT_WSS;
27.          * opts ++ = 3;
28.          * opts ++ = 6;
29.  Se generan a partir de cadenas aleatorias, mientras que las cargas útiles en este ataque se estructuraron a partir del contenido de los archivos del sistema.



Todo esto apunta a una nueva botnet que sólo se pueden identificar por la firma el autor del malware se dejan en la cabecera TCP: “1337”.
Con 650 Gbps en su haber, la botnet Leet es el primero en competir con los logros de Mirai. Sin embargo, no será la última. Este año vimos los ataques DDoS aumentan a niveles récord y éstos de alto poder botnet no son más que un síntoma de los tiempos.
Y como hemos dicho, está a punto de poner mucho peor.

Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.


Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono:(+56-22307-7330)
Visitemos en: www.seguridadamerica.com




 
Carlos Avalos

Fuente:  https://www.incapsula.com/blog

Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat
Leer más

3 Razones para tener una CA interna que debe reconsiderar

-
Imagen
Es claro que los certificados digitales pueden ser una buena opción para sus proyectos de seguridad (e.g.,authentication, firmas digitales, correo electrónico seguro), pero una vez que has decidido en una solución basada en certificados, también necesita considerar ser socio de una CA pública. Basandose en la nube podrá emitir y administrar los certificados o si vas a ejecutar sus propios servicios PKI internos. Hay pros y contras para cada escenario, pero con avances en ofertas públicas de CA yun paisaje PKI en constante evolución, algunas de las razones más populares paracorrer tu propia CA no pueden tener tanto peso como antes. Vamos a considerar tres de lo que escuchamos más a menudo. ES GRATIS! Esta es una de las razones más comunes que escuchamos - cuando encuestó a un grupo de profesionales, un 70% de los encuestados citó esto como la razón principalpara utilizar un Microsoft CA - y se refiere al hecho de que los servicios de CA de Microsoft estan incluidos con Windows Ser
Leer más

Hacking

-
Imagen
Técnicas de Hacking QUE ES UNA EMPRESA "unidad económica de producción, transformación o prestación de servicios, cuya razón de ser es satisfacer una necesidad existente en la sociedad". ¿QUÉ SE CONOCE COMO HACKING? Es complicado dar un concepto unificado de lo que es hacking. Pero si se tiene administradores de red e informática en las empresas. Se puede definir de la siguiente manera. Conjunto de técnicas y procedimientos utilizados por una persona con gran cantidad de conocimiento en el ámbito de la contra informática; estas personas se caracterizan por tres aspectos: la diversión, por qué se apasionan por lo que hacen de manera que cada día se enamoran más por lo que realiza. La otra es el talento, que son Habilidad innata o capacidad de comprender y entender estos sistemas informáticos para extraer los recursos o información de forma adecuada. También se puede decir que es el potencial de un individuo para desempeñar muy bien a
Leer más