17 noviembre 2015

Akamai Advierte de 3 Nuevos Vectores de Ataques DDoS Reflexivos

La advertencia de amenaza detalla 3 nuevos ataques DDoS reflexivos observados por los expertos en mitigación de DDoS de Akamai

· Los atacantes están imparables en la innovación del abuso de servicios UDP expuestos a Internet

· Los nuevos ataques DDoS hacen un uso inapropiado del servidor de nombres NetBIOS, servidores portmap RPC y de licencias Sentinel para causar la denegación de servicio

Madrid – 16 de noviembre de 2015 – Akamai Technologies, Inc. (NASDAQ: AKAM), el líder global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado una nueva advertencia de amenaza a la ciberseguridad. Akamai ha observado tres nuevos ataques DDoS reflexivos durante los últimos meses. Esta advertencia detalla a fondo la amenaza DDoS causada por la reflexión del servidor de nombres NetBIOS, reflexión con portmap RPC, y reflexión Sentinel, incluyendo el análisis del “payload”, una regla Snort y las mejores prácticas de bastionado de los sistemas. La advertencia que detalla esta amenaza, está disponible para su descarga en www.stateoftheinternet.com/3-ddos-reflection.

¿Qué es un DDoS reflexivo?

En un ataque de reflexión DDoS, también llamado ataque DrDoS, hay tres tipos de participantes: el atacante, los servidores víctimas que actúan como cómplices involuntarios, y el objetivo del atacante. El atacante envía una simple consulta a un servicio en un host víctima. El atacante falsifica (spoofing) una consulta de forma que parece provenir del objetivo del atacante. La víctima responde a la dirección falsa, mandando tráfico de red no deseado al objetivo de la víctima. Los atacantes eligen este tipo de ataques donde la respuesta de la víctima es mucho más larga que la consulta del atacante, amplificando así las capacidades del atacante. Éste envía cientos o miles de consultas a gran velocidad a una amplia lista de víctimas gracias a la automatización del proceso con una herramienta de ataque, lo que desata un flujo de tráfico de red no deseado y una denegación de servicio en la víctima objetivo.

"Aunque los ataques DDoS reflexivo son comunes, estos tres vectores de ataques abusan de diferentes servicios de los que hemos observado antes y como tal demuestran que los atacantes están probando de forma implacable Internet para descubrir nuevos recursos que aprovechar," dijo Suart Scholley, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. "Parece que no hay servicio UDP que esté a salvo de los abusos perpetrados por atacantes DDoS, por lo que los administradores de servidores tienen que apagar los servicios innecesarios o protegerlos de ataques reflexivos maliciosos. El volumen total de los servicios UDP abiertos a Internet vulnerables a ataques DDoS reflexivos es asombroso."

Las herramientas de ataques para cada uno de los nuevos vectores de reflexión están relacionadas, todas son modificaciones del mismo código en C. Cada vector de ataque requiere la misma receta básica, un script que envía una falsa solicitud a una lista de víctimas. Las opciones de línea de comandos son similares.

Ataque DDoS reflexivo con servidor de nombres NetBIOS



El ataque con servidor de nombres NetBIOS (NBNS), fue observado por Akamai como algo que ocurrió esporádicamente de marzo a julio de 2015. El propósito principal de NetBIOS es permitir la comunicación entre aplicaciones en equipos separados y establecer sesiones para acceder a recursos compartidos y encontrarse en una red de área local.



Este ataque genera de 2,56 a 3,85 veces más tráfico de respuesta enviado al objetivo que las consultas iniciales enviadas por el atacante. Akamai ha observado cuatro ataques de reflexión de servidor de nombres NetBIOS, el mayor de todos fue registrado a 15,7 Gbps. Aunque las consultas al servidor de nombre NetBIOS tanto legítimas como maliciosas son una ocurrencia común, se detectó por primera vez una inundación de respuestas en marzo de 2015 durante una ataque DDoS mitigado para un cliente de Akamai.



Ataque DDoS reflexivo con portmap RPC



El primer ataque con portmap RPC fue observado y mitigado por Akamai en agosto de 2015 en una campaña de ataques DDoS multivectores. Portmap RPC, también conocido como port mapper, le dice a un cliente cómo llamar a una versión en particular de un servicio Open Network Computing Remote Procedure Call (ONC RPC).



Las respuestas más largas han tenido un factor de amplificación de 50,53. El factor de amplificación más común fue de 9,65. De las cuatro campañas de ataques de reflexión mitigadas por Akamai, una superó los 100 Gbps, convirtiéndola en un ataque extremadamente potente. Akamai observó casi a diario solicitudes de reflexión maliciosas contra varios objetivos en septiembre de 2015.



Ataque DDoS reflexivo con Sentinel



El primer ataque con Sentinel fue observado en junio 2015 en la Universidad de Estocolmo y se identificó como una vulnerabilidad en el servidor de licencias SPSS, un paquete de software estadístico. Akamai mitigó dos campañas de reflexión DDoS Sentinel en septiembre 2015. Las fuentes de los ataques incluyeron potentes servidores con alta disponibilidad de ancho de banda, como los servidores de la universidad.

El factor de amplificación de este ataque es de 42,94, sin embargo sólo se han identificado 745 fuentes únicas de este ataque. Incluso con el ancho de banda extra de servidores en redes bien conectadas, un ataque de este tipo está limitado por el número de reflectores disponibles. Uno de estos ataques alcanzó un pico de 11,7 Gbps.

Mitigación de ataques DDoS y refuerzo de sistemas



Para los tres tipos de vectores de ataque, se puede utilizar el filtrado “aguas arriba” para mitigar ataques DDoS donde sea posible, de lo contrario sería necesario un proveedor de servicios de mitigación de DDoS basado en la nube. La advertencia de amenaza ofrece una regla de mitigación de Snort para detectar consultas maliciosas generadas por la herramienta de ataque de portmap RPC. Se pueden utilizar reglas similares para detectar el servicio Sentinel.



"Para los tres servicios, los administradores deberían preguntarse si el servicio necesita ser expuesto a cualquiera en Internet," dijo Sholly. "Para NetBIOS, la respuesta es probablemente no. Para las otras dos la respuesta es quizás sí, y la cuestión es cómo protegerlos. Se puede monitorizar el tráfico RPC y Sentinel con un sistema de detección de intrusión."

Para saber más acerca de estas amenazas DDoS reflexivas y las técnicas de mitigación de DDoS, descargue una copia de la advertencia de amenaza en www.stateoftheinternet.com/3-ddos-reflection.

5 comentarios: