WatchGuard Secplicity

Lecciones de BlackHat 2016 – La investigación de DDoS como un servicio.

(Tomado y Adaptado de #WatchGuard #Secplicity)

La semana pasada en las Conferencias de seguridad Blackhat y DEFCON realizadas en Las Vegas, tuve el privilegio de asistir a varias presentaciones por parte de algunos investigadores brillantes de seguridad informática. Mis próximos editoriales cubrirán mis presentaciones favoritas y lo que todos podemos aprender de ellas.

El pasado jueves en Blackhat, el agente especial del FBI Elliot Peterson y Andre Correa, co-fundador de Malware Patrol, presentaron su investigación sobre ataques DDoS, incluyendo el DDoS como un servicio adquirido en el mercado de hacking. Peterson y Correa hablaron sobre la historia de los ataques DDoS, los diferentes métodos de ataque en el pasado y presente, y de su experiencia de primera mano en la contratación de DDoS como un servicio.

DDOS as a service

Originalmente, los criminales cibernéticos utilizaban los ataques DDoS para impedir el acceso a las cuentas bancarias en línea, mientras vaciaban los fondos de sus víctimas. En la actualidad, DDoS se está convirtiendo en una herramienta común por una amplia gama de motivos, ya sean criminales, políticos o simplemente por diversión. Históricamente, los métodos de ataque DDoS incluyen aplicaciones para explotar vulnerabilidades (Brobot), kits de herramientas de botnets (como Dirt Jumper), vulnerabilidades de aplicación específica (como NTP monlist) y la herramienta LOIC. En su investigación, Peterson y Correa encontraron que los atacantes se están volviendo cada vez más sofisticados en sus métodos, mediante el aprovechamiento de técnicas de amplificación-reflexión y botnets basados en IoT. Además, el DDoS como un servicio es cada vez más accesible a cualquier persona con una tarjeta de crédito o un monedero bitcoin.

Como parte de su investigación, Peterson y Correa visitaron un mercado común para adquirir ataques DDoS como servicio y contrataron varios proveedores para explotar su objetivo de prueba. Después de su investigación, terminaron con varios hallazgos interesantes. En primer lugar, como usted probablemente puede adivinar, una gran parte de los proveedores de servicios resultaron ser estafadores que simplemente aceptaron el pago y nunca lanzaron un ataque. Para aquellos que realmente realizaron un ataque DDoS, ninguno de ellos utilizó el ancho de banda publicitado. De hecho, a pesar que casi todos los proveedores anunciaron capacidad de realizar ataques con ancho de banda mayor a 250Gbps, ni uno solo superó 30Gbps y la mayoría estuvo entre 1 y 5Gbps. Además, el pico del ancho de banda nunca se mantuvo más de unos pocos minutos y declinó rápidamente, independientemente de la duración pagada por el ataque. Como era de esperarse, los que se ocupan de negocios sucios tienen prácticas turbias de negocios cuando se trata de publicitar sus habilidades.

Peterson y Correa también encontraron y probaron varios proveedores de servicios DDoS llave en mano . Estos proveedores alquilan servidores para que los clientes lancen sus propios ataques DDoS. Los servidores suelen incluir scripts de ataque, funcionalidad API, listas de destinos para ejecutar ataques amplificados y están alojados detrás de Proveedores de Servicios de Internet (ISP) que permiten IP spoofing  (para habilitar ataques DDoS por reflexión). También como era de esperarse, la seguridad de estos servidores era muy sospechosa, lo que le permitió a Peterson y Correa, explotar varias vulnerabilidades y encontrar listas de destinos utilizados por los usuarios anteriores del servidor.

Con todo esto, Peterson y Correa encontraron que DDoS como servicio en su mayoría es ineficiente y a la vez fácil de defender. Todos los ataques fueron de muy corta duración y relativamente bajos en ancho de banda pico. Si bien los objetivos de DDoS como un servicio pueden experimentar una breve interrupción del servicio por la explosión inicial, los ataques mueren rápidamente. La mayoría de estos ataques son mitigados por los ISP que adoptan prácticas anti-spoofing como el RFC2827 . En el lado del cliente, las herramientas de protección DDoS (entre las que se  encuentran en el #WatchGuard #Firebox) son efectivas en la limitación de la mayoría de los ataques. La recomendación final emitida por Peterson y Correa iba dirigida a ser conscientes de cuales servicios se permiten en el trabajo. Específicamente, encontraron que los juegos en línea representan en un mayor riesgo de ataques DDoS, como una represalia de los malos perdedores.

(Créditos Marc Laliberte)

Publicado por AltermediosMSS

AltermediosMSS es una empresa dedicada a los servicios de seguridad y redes IT. Proveemos consultoría, soporte y entrenamiento de todas las soluciones que distribuimos. Somos Gold Partner de WatchGuard Technologies, Silver Partner de SECPOINT, MSP Partner y Distribuidot de EMSISOFT, Microsoft CSP Partner, SAFEDNS Distributor y Reseller de Paessler PRTG, entre algunas de las soluciones que distribuímos. Si requieres de Monitoreo, Antivirus, Firewalls, UTM, Cloud Server, Cloud Security, somos tu solución. Estamos presentes en Colombia, Panamá, Perú y Venezuela.