Un ataque de 650 Gbps, que nos muestra con total claridad hacia donde se van a dirigir las cosas en el proximo año.
Que 2016 ha sido el año de los grandes ataque DDoS, ya no lo duda nadie, con nuevos tipos de malware y botnet masivos aprovechando el Internet de las cosas.
Descripción del Ataque
Los dos primeros ataque recibidos por Imperva duraron unos 20 minutos , alcanzando un maximo de 400 Gbps, al ver el hacker que el sistema resistia, se reorganizo con una botnet mucho mas fuerte y atacó por segunda vez llegando en este caso a 650 Gbps son más de 150 millones de paquetes por segundo (Mpps).
 |
| Los picos del ataque a 650 Gbps |
 |
| paquete por segundo la tasa mas de 150 Mbps |
Esta segunda ráfaga duró unos 17 minutos, cuando el hacker vio que no conseguia su objetivo decidio dejarlo.
Los dos ataques se originaron a partir de direcciones IP falsificadas, por lo que es imposible establecer una verdadera ubicación geográfica de la red de bots o aprender algo acerca de la naturaleza de los dispositivos de ataque.
Análisis de carga útil
El tráfico de ataque fue generado por dos cargas útiles SYN diferentes:
- paquetes de tamaño regular SYN, que van desde 44 hasta 60 bytes de tamaño
- paquetes anormalmente grandes SYN, que van desde 799 a 936 bytes de tamaño
El primero se utiliza para lograr altas tasas de paquetes Mpps, mientras que el segundo se empleó para ampliar la capacidad de ataque a 650 Gbps.
El ataque trató tanto de obstruir las canalizaciones de la red y reducir los conmutadores de red.
El delincuente dejó una "firma" en algunos de los paquetes de tamaño regular SYN. En la cabecera Opciones TCP de estos paquetes, los valores fueron dispuestos de modo que significarían "1337". Este es leetspeak para "leet" , o "elite".
Parece que el malware que nos enfrentamos fue programado para acceder a los archivos locales (por ejemplo, registros de acceso y listas iptable) y desordenar su contenido.
Básicamente, todo el ataque fue sólo un revoltijo de archivos del sistema pulverizados de miles y miles de dispositivos comprometidos.
Hasta ahora, todos los grandes ataques DDoS de 2016 se asociaron con el software malicioso Mirai . Sin embargo, las características de carga útil muestran claramente que ni Mirai ni ninguna de sus más recientes variantes se utilizó para este asalto.
Con 650 Gbps en su haber, la botnet Leet es el primero en competir con los logros de Mirai. Sin embargo, no será la última. Este año vimos como los ataques DDoS aumentan a niveles récord y ésta alta potencia red de bots no son más que un síntoma de los tiempos.
Y como hemos dicho, está a punto de ponerse mucho peor.
Para el informe completo , visite el sitio web de Imperva.
No hay comentarios:
Publicar un comentario