06 octubre 2015

El Botnet XOR DDoS Lanza 20 Ataques Al Día Desde Máquinas Linux Comprometidas, Según Akamai

La nueva advertencia de amenaza detalla varias campañas de ataques recientes por parte del botnet XOR DDoS.

• El botnet XOR DDoS ha crecido y ahora es capaz de realizar mega-ataques DDoS de 150+ Gbps.

• El 90% de los ataques DDoS procedentes del botnet XOR DDoS se dirigió a organizaciones ubicadas en Asia



Madrid, 29 de septiembre de 2015 – Akamai Technologies, Inc. (NASDAQ: AKAM), el líder global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado una nueva advertencia de amenaza a la ciberseguridad a través del Equipo de Respuesta en Inteligencia de Seguridad (Security Intelligence Response Team - SIRT) de la compañía. Los atacantes han desarrollado un botnet capaz de realizar campañas de ataques DDoS de 150+ gigabits por segundo (Gbps) utilizando XOR DDoS, un malware Troyano usado para tomar el control de sistemas Linux. La advertencia que detalla esta amenaza, incluyendo el análisis de la carga de mitigación de DDoS e información para eliminar el malware, está disponible para su descarga en http://www.stateoftheinternet.com/xorddos.

¿Qué es XOR DDoS?

XOR DDoS es un malware Troyano que infecta los sistemas Linux y les enseña a lanzar ataques DDoS bajo demanda realizada por un atacante remoto. Inicialmente, los atacantes acceden mediante ataques de fuerza bruta para descubrir la contraseña de los servicios Secure Shell en una máquina Linux. Una vez que han adquirido el login, los atacantes utilizan privilegios de raíz para ejecutar un script Bash que descarga y ejecuta el binario malicioso.

“Durante el último año, el botnet XOR DDoS ha crecido y ahora se puede utilizar para lanzar enormes ataques DDoS,” dijo Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “XOR DDoS es un ejemplo de atacantes que cambian su enfoque y crean botnets utilizando sistemas Linux comprometidos para lanzar ataques DDoS. Esto ocurre mucho más frecuentemente ahora que en el pasado, cuando las máquinas Windows eran los objetivos principales del malware DDoS.”

Ataques de Denegación de Servicio XOR DDoS

La investigación del SIRT de Akamai demostró que el ancho de banda de los ataques DDoS procedentes del botnet XOR DDoS abarcó desde Gbps de un solo dígito hasta 150+ Gbps – lo que es un tamaño de ataque extremadamente grande. El objetivo más frecuente fue el sector de los juegos, seguido por las instituciones educativas. El botnet ataca hasta 20 objetivos al día, un 90% de los cuales tuvo lugar en Asia. De los ataques DDoS procedentes del botnet XOR DDoS que Akamai ha mitigado, se describen en esta advertencia de amenaza varios ejemplos documentados los 22-23 de agosto. Uno de los ataques alcanzó casi 179 Gbps, y el otro casi 109 Gpbs. Se observaron dos vectores de ataques: inundaciones SYN y DNS.

La dirección IP a veces es falsa, pero no siempre. Los ataques observados en las campañas DDoS contra los clientes de Akamai fueron una mezcla de tráfico de ataques falso y no falso. Las direcciones IP falsas se generan de manera que parecen proceder del mismo espacio de /24 o /16 direcciones como el host infectado. Una técnica de “spoofing” donde solo el tercer o cuarto octeto de la dirección IP es alterada se utiliza para impedir que los ISPs (Proveedores de Servicios de Internet) bloqueen el tráfico falso en redes protegidas por uRPF (Unicast Reverse Path Forwarding).

Mitigación de DDoS de ataques XOR DDoS

Se observaron características estáticas identificables, incluyendo el valor TTL inicial, el tamaño de ventana TCP, y las opciones de cabecera TCP. Firmas de carga como éstas pueden ayudar a la mitigación de DDoS. Están disponibles en la advertencia de amenaza. Además, se suministran los filtros tcpdump para igualar el tráfico de ataques de inundaciones generado por este botnet.

Cómo detectar y eliminar el malware XOR DDoS

La presencia de XOR DDoS puede detectarse de dos maneras. Para detectar este botnet en una red, hay que buscar las comunicaciones entre un bot y su C2 utilizando una regla Snort que se proporciona en la advertencia. Para detectar la infección de este malware en un host Linux, la advertencia incluye una regla YARA que empareja los patrones de cadenas de caracteres observados en el binario.

XOR DDoS es persistente – ejecuta procesos que reinstalarán los ficheros maliciosos si se borran. Por lo tanto, eliminar el malware XOR DDoS es un proceso que consta de cuatro pasos para los cuales se proporcionan varios scripts en la advertencia:

1. Identificar los ficheros maliciosos en dos directorios.

2. Identificar los procesos que fomentan la persistencia del proceso principal.

3. Matar los procesos maliciosos.

4. Borrar los ficheros maliciosos.



Akamai sigue monitorizando las continuas campañas que emplean XOR DDoS para lanzar ataques DDoS. Para saber más acerca de esta amenaza, la eliminación del malware y las técnicas de mitigación de DDoS, descargue una copia de la advertencia de amenaza en www.stateoftheinternet.com/xorddos.

Acerca del Equipo de Respuesta en Inteligencia de Seguridad de Akamai (Akamai Security Intelligence Response Team - SIRT)

Centrado en mitigar ciberamenazas y vulnerabilidades maliciosas a nivel global, el Equipo de Respuesta en Inteligencia de Seguridad de Akamai (SIRT) realiza y comparte análisis forenses y post-eventos digitales con la comunidad de la seguridad para proteger proactivamente contra amenazas y ataques. Como parte de esta misión, el SIRT de Akamai mantiene un contacto estrecho con organizaciones homólogas en todo el mundo y forma a los equipos de Servicios Profesionales y de Atención al Cliente de Akamai para que reconozcan y contrarresten los ataques procedentes de una amplia gama de adversarios. La investigación del SIRT de Akamai ayuda a asegurar que los productos de seguridad en la nube de Akamai son los mejores en su categoría y pueden proteger contra cualquiera de las últimas amenazas a la capa de aplicaciones que tienen un impacto en la industria.

Acerca de Akamai®

Como el líder en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), Akamai hace que Internet sea rápido, fiable y seguro para sus clientes. Las avanzadas soluciones de rendimiento web, rendimiento móvil, seguridad cloud y de entrega de medios de Akamai están revolucionando la manera en que las empresas optimizan las experiencias de los consumidores, de las compañías y del ocio en cualquier dispositivo y en cualquier lugar. Para saber cómo las soluciones de Akamai y su equipo de expertos en Internet ayudan a las empresas a avanzar Faster Forward, visite www.akamai.com o blogs.akamai.com, y siga @Akamai en Twitter.

No hay comentarios:

Publicar un comentario en la entrada