Análisis de la Botnet operada con Linux que generó ataques DDoS

Akamai Technologies, publicó un nuevo estudio a través de su Equipo de Respuesta en Inteligencia de Seguridad sobre el desarrollo de una botnet capaz de realizar campañas de ataques DDoS de 150 gigabits por segundo utilizando XOR DDoS, un malware de tipo troyano que es usado para tomar el control de sistemas Linux.

XOR DDoS es un malware Troyano que infecta los sistemas Linux y les enseña a lanzar ataques DDoS bajo demanda realizada por un atacante remoto. Inicialmente, los atacantes acceden mediante ataques de fuerza bruta para descubrir la contraseña de los servicios Secure Shell en una máquina Linux. Una vez que han adquirido el login, los atacantes utilizan privilegios de raíz para ejecutar un script Bash que descarga y ejecuta el binario malicioso.

“Durante el último año, el botnet XOR DDoS ha crecido y ahora se puede utilizar para lanzar enormes ataques DDoS,” dijo Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “XOR DDoS es un ejemplo de atacantes que cambian su enfoque y crean botnets utilizando sistemas Linux comprometidos para lanzar ataques DDoS. Esto ocurre mucho más frecuentemente ahora que en el pasado, cuando las computadoras con Windows eran los objetivos principales del malware DDoS.”

La investigación del SIRT de Akamai demostró que el ancho de banda de los ataques DDoS procedentes del botnet XOR DDoS abarcó desde Gbps de un solo dígito hasta 150 Gbps, lo que es un tamaño de ataque extremadamente grande. El objetivo más frecuente fue el sector de los juegos, seguido por las instituciones educativas. El botnet ataca hasta 20 objetivos al día, un 90% de los cuales tuvo lugar en Asia. De los ataques DDoS procedentes del botnet XOR DDoS que Akamai ha mitigado, se describen en esta advertencia de amenaza varios ejemplos documentados los 22-23 de agosto. Uno de los ataques alcanzó casi 179 Gbps, y el otro casi 109 Gpbs. Se observaron dos vectores de ataques: inundaciones SYN y DNS.

La dirección IP a veces es falsa, pero no siempre. Los ataques observados en las campañas DDoS contra los clientes de Akamai fueron una mezcla de tráfico de ataques falso y no falso. Las direcciones IP falsas se generan de manera que parecen proceder del mismo espacio de /24 o /16 direcciones como el host infectado. Una técnica de “spoofing” donde solo el tercer o cuarto octeto de la dirección IP es alterada se utiliza para impedir que los ISPs bloqueen el tráfico falso en redes protegidas por uRPF (Unicast Reverse Path Forwarding).

Se observaron características estáticas identificables, incluyendo el valor TTL inicial, el tamaño de ventana TCP, y las opciones de cabecera TCP. Firmas de carga como éstas pueden ayudar a la mitigación de DDoS. Están disponibles en la advertencia de amenaza. Además, se suministran los filtros tcpdump para igualar el tráfico de ataques de inundaciones generado por este botnet.

La presencia de XOR DDoS puede detectarse de dos maneras. Para detectar este botnet en una red, hay que buscar las comunicaciones entre un bot y su C2 utilizando una regla Snort que se proporciona en la advertencia. Para detectar la infección de este malware en un host Linux, la advertencia incluye una regla que empareja los patrones de cadenas de caracteres observados en el binario.

XOR DDoS es persistente y ejecuta procesos que reinstalarán los archivos maliciosos si se borran. Por lo tanto, eliminar el malware XOR DDoS es un proceso que consta de cuatro pasos para los cuales se proporcionan varios scripts en la advertencia:

1. Identificar los ficheros maliciosos en dos directorios.

2 Identificar los procesos que fomentan la persistencia del proceso principal.

3. Matar los procesos maliciosos.

4. Borrar los ficheros maliciosos.

Etiquetas
Mostrar más
Pamela Stupia

Pamela Stupia

Editora de ITSitio para toda la región. Comenzó su camino en medios gráficos y digitales hace más de 10 años. Escribió para diario La Nación y revista Be Glam del mismo grupo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close
X
X