DDoS as a service, nueva herramienta, nuevo negocio y nuevo problema

Los ataques de denegación de servicios son bastante antiguos, sin embargo, hace algunos años se debía tener a mano la infraestructura necesaria para poder llevarlos a cabo, por lo general, varios computadores conectados a Internet y manipulados por el atacante. más información.

Luego recuerdo que era común ver anuncios para usar LOIC con el objetivo de bajar un servicio que causara polémica en un momento determinado (político y/o social).

Nueva herramienta


Como herramienta, ahora tenemos servicios pagados para generar denegaciones de servicios, esto nos brinda una infraestructura para nuestros análisis, nuestros test de penetración y/o investigaciones, simplemente pagamos para un uso determinado, ahorrando tiempo y dinero.

Algunos de los servicios que existen son:

beststresser.com
zstress.net
ipstresser.com

Es importante destacar que estos servicios son bastante económicos y cada día van mejorando su infraestructura y su eficacia.

Otro dato curioso es que la mayoría de estos servicios utiliza CloudFlare, un servicio para mitigar los ataques DDOS (claramente la competencia es cosa seria).

Nuevo negocio


Tiempo atrás este tipo de servicio podía costar varios cientos de dólares y por lo tanto había poca demanda. Ahora por sólo algunos dólares se puede contar con un servicio por varios días.

Uno de los casos más famosos y que permitió dar una mirada a la cifras fue el de Lizard Squad, quienes tras atacar con éxito PlayStation Network y XBOX Live en diciembre de 2014 publicaron sus servicios por un precio de entre USD $6 y USD $500.

En enero de 2015, es decir, pasados unos días desde su masiva publicidad, fueron hackeados, se filtraron los datos de sus clientes (con usuario y clave sin encriptar) y los pagos recibidos, que a esa fecha sumaban mas de USD $11.000 (un poco mas de $7.000.000 de pesos en sólo unos días).

En septiembre de 2016 fueron arrestados dos adolescentes israelíes dueños de vDOS, una plataforma para realizar denegaciones de servicios pagados. Esta empresa también fue hackeada, y con ello fue posible el arresto de los dueños. Según la investigación, en los últimos dos años la empresa había generado más de USD $600.000 (más de $380.000.000 de pesos).


Nuevo problema


El problema de todo esto es lo vulnerable que estamos frente a este tipo de ataques (o al menos la mayoría). Se necesitará de mayor inversión en tecnología que permita mitigar estos ataques y no todos podrán pagarla, lo que mantendrá la garantía de estos sitios de ser 100% efectivos con los objetivos.

Otro problema es que el precio es bastante bajo, por lo que cualquier persona con una tarjeta de crédito podría atacar cualquier servicio, es decir, personas sin el conocimiento, perfectamente podrían dejar sin servicio a una web o servidor en particular.







Comentarios

Publicar un comentario

Entradas populares de este blog

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce
Leer más

Ocultando la web shell como una imagen (Apache + PHP)

Imagen
Iniciamos marzo con una técnica muy utilizada, se trata de ocultar una shell que hemos subido a nuestro servidor objetivo, ocultarla 100% no será posible, pero si pasará desapercibida para muchos administradores y webmasters. La técnica consiste en que nuestro script (PHP en este caso) se oculte bajo una supuesta imagen. Primero, se asume que detectamos una vulnerabilidad que nos permita crear un archivo en el servidor, luego explotamos la vulnerabilidad y subimos nuestra shell, supongamos un plugin de Wordpress que hace upload de imagenes sin validar. Podríamos ver un directorio similar a este: Lo que vemos, es claramente un script PHP, debe mantener esa extensión para que el servidor lo interprete, lo ejecute y podamos hacer uso de este. El problema es que es demasiado evidente que se ha vulnerado la aplicación, entonces se hace necesario ocultar o camuflar esta intrusión de alguna forma. Apache permite sobre escribir algunas configuraciones a través de un archivo qu
Leer más

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.
Leer más