La prolongada carrera armamentista entre los delincuentes que lanzan ataques distribuidos de denegación de servicio y los defensores que intentan detenerlos continúa, ya que los primeros adoptan nuevos métodos “alarmantes” para hacer que sus ofensivas en línea sean más poderosas y destructivas, investigadores de la red de entrega de contenido. Cloudflare informó el miércoles.
Con una red global que abarca más de 300 ciudades en más de 100 países de todo el mundo, Cloudflare tiene una visibilidad de este tipo de ataques que solo comparten un puñado de otras empresas. La compañía dijo que entrega más de 63 millones de solicitudes de red por segundo y más de 2 billones de búsquedas de dominio por día durante las horas pico. Entre los servicios que brinda Cloudflare se encuentra la mitigación de los ataques, a los que generalmente se hace referencia con la abreviatura DDoS.
Escalada alarmante
“En los últimos meses, ha habido una escalada alarmante en la sofisticación de los ataques DDoS”, escribieron el miércoles los investigadores de Cloudflare Omer Yoachimik y Jorge Pacheco en un reporte de amenaza que resume lo más destacado durante el segundo trimestre de este año. “E incluso los ataques más grandes y sofisticados que hemos visto pueden durar solo unos minutos o incluso segundos, lo que no le da a un ser humano el tiempo suficiente para responder”.
Los DDoS funcionan golpeando un servidor web u otra propiedad en línea con más tráfico del que su infraestructura puede manejar. El objetivo es hacer que el servicio falle y, como resultado, denegar el servicio a los usuarios legítimos que intentan acceder a la propiedad. DDoSing es similar a un gran grupo de adolescentes que llaman al número de teléfono de una pizzería todos a la vez. La avalancha de llamadas no deseadas utiliza todas las líneas telefónicas disponibles y agota al personal disponible para responder. Las personas que intentan realizar pedidos legítimos no pueden comunicarse.
Tradicionalmente, los DDoS no han sido particularmente sofisticados. En muchos aspectos, no son muy diferentes de un neandertal empuñando un garrote gigante contra sus enemigos. El hombre de las cavernas con el garrote más grande generalmente ganará. Más recientemente, eso ha comenzado a cambiar. Mientras Cloudflare, Microsoft y otras grandes empresas diseñan nuevas medidas para frenar los efectos de los ataques DDoS, los actores de amenazas, algunos alineados con el gobierno ruso, son pioneros en nuevas formas de contrarrestar esas defensas.
Los métodos más nuevos intentan hacer dos cosas: (1) ocultar la malicia del tráfico para que los defensores no lo bloqueen y (2) generar inundaciones de tráfico cada vez mayores que pueden abrumar a los objetivos incluso cuando tienen medidas de mitigación DDoS.
Estos métodos incluyen:
Ataques HTTP DDoS. Estos ataques utilizan el protocolo de transferencia de hipertexto simple para inundar sitios web y puertas de enlace API basadas en HTTP con suficientes solicitudes para agotar sus recursos informáticos. Los servicios de mitigación de DDoS tradicionalmente bloquean este tipo de ataques separando las solicitudes del atacante de las legítimas. Ahora, los atacantes contraatacan utilizando métodos que dificultan la distinción entre el tráfico malicioso y el benigno. Como explicaron los investigadores:
Hemos observado un aumento alarmante en los ataques HTTP DDoS altamente aleatorios y sofisticados en los últimos meses. Parece que los actores de amenazas detrás de estos ataques han diseñado deliberadamente los ataques para tratar de superar los sistemas de mitigación imitando hábilmente el comportamiento del navegador con mucha precisión, en algunos casos, introduciendo un alto grado de aleatorización en varias propiedades como agentes de usuario y Huellas dactilares JA3 para nombrar unos pocos. A continuación se proporciona un ejemplo de un ataque de este tipo. Cada color diferente representa una característica de aleatorización diferente.
DDoS HTTP aleatorios
Llamarada de la nube
Además, en muchos de estos ataques, parece que los actores de amenazas intentan mantener sus tasas de ataque por segundo relativamente bajas para tratar de evitar la detección y esconderse entre el tráfico legítimo.
Este nivel de sofisticación se ha asociado anteriormente con actores de amenazas a nivel estatal y patrocinados por el estado, y parece que estas capacidades ahora están a disposición de los ciberdelincuentes. Sus operaciones ya se han dirigido a empresas destacadas, como una gran VoIP proveedor, una empresa líder en semiconductores y un importante proveedor de pagos y tarjetas de crédito, por nombrar algunos.
Explotación de servidores que ejecutan software sin parches: Otro método en auge es la explotación de servidores que ejecutan software sin parches para los sistemas de colaboración Mitel MiCollab y MiVoice Business Express, que actúan como puerta de enlace para transferir comunicaciones telefónicas PBX a Internet y viceversa. Una vulnerabilidad rastreada como CVE-2022-26143 proviene de un puerto UDP no autenticado que el software sin parches expone a la Internet pública. Al inundar un sistema vulnerable con solicitudes que parecen provenir de la víctima, el sistema a su vez golpea a la víctima con una carga útil que puede ser 4 mil millones de veces mayor. Este método de amplificación funciona emitiendo lo que se llama un comando de depuración “startblast”, que simula una ráfaga de llamadas a los sistemas de prueba.
“Como resultado, para cada llamada de prueba, se envían dos paquetes UDP al emisor, lo que permite que un atacante dirija este tráfico a cualquier IP y número de puerto para amplificar un ataque DDoS”, escribieron los investigadores de Cloudflare. “A pesar de la vulnerabilidad, solo unos pocos miles de estos dispositivos están expuestos, lo que limita la escala potencial del ataque, y los ataques deben ejecutarse en serie, lo que significa que cada dispositivo solo puede lanzar un ataque a la vez”.
Lavado de DNSaataques. Estas fueron las terceras técnicas DDoS en boga el último trimestre. Como el recurso que traduce los nombres de dominio en direcciones IP, el sistema de nombres de dominio es crucial para que los datos lleguen de un lugar a otro. Al inundar la infraestructura DNS de un objetivo con más solicitudes de búsqueda de las que tiene los recursos para manejar, los atacantes han podido durante mucho tiempo hacer que los servicios objetivo no estén disponibles.
Este tipo de ataque puede tener consecuencias devastadoras para todo Internet, como aprendió el mundo en 2016, cuando una red relativamente pequeña de enrutadores y otros dispositivos infectados agotó los recursos del proveedor de DNS Dyn. Como resultado, Twitter, GitHub, la red PlayStation y cientos de otras propiedades que dependían de Dyn se paralizaron.
Ahora que los defensores filtran mejor las solicitudes de DNS maliciosas, los atacantes han comenzado a aprovechar los ataques de lavado de DNS. Los investigadores de Cloudflare explicaron:
En un ataque de lavado de DNS, el actor de la amenaza consultará los subdominios de un dominio administrado por el servidor DNS de la víctima. El prefijo que define el subdominio es aleatorio y nunca se usa más de una o dos veces en un ataque de este tipo. Debido al elemento de aleatorización, los servidores DNS recursivos nunca tendrán una respuesta en caché y deberán reenviar la consulta al servidor DNS autorizado de la víctima. El servidor DNS autorizado es entonces bombardeado por tantas consultas hasta que no puede atender consultas legítimas o incluso falla por completo.
Ilustración de un ataque DDoS de lavado de DNS
Llamarada de la nube
Desde el punto de vista de la protección, los administradores de DNS no pueden bloquear la fuente del ataque porque la fuente incluye servidores DNS recursivos acreditados como 8.8.8.8 de Google y 1.1.1.1 de Cloudflare. Los administradores tampoco pueden bloquear todas las consultas al dominio atacado porque es un dominio válido que desean preservar el acceso a consultas legítimas.
Los factores anteriores hacen que sea muy difícil distinguir las consultas legítimas de las maliciosas. Una gran institución financiera asiática y un proveedor de DNS norteamericano se encuentran entre las víctimas recientes de este tipo de ataques. A continuación se proporciona un ejemplo de un ataque de este tipo.
Ejemplo de un ataque DDoS de lavado de DNS
Llamarada de la nube
Botnets de máquinas virtuales. La última técnica que los investigadores identificaron como en aumento fue el uso de botnets de máquinas virtuales. En lugar de depender de enrutadores infectados y otros dispositivos conectados a Internet, los atacantes usan máquinas virtuales o servidores privados virtuales. Los recursos computacionales y de ancho de banda de estas redes de bots eclipsan la capacidad de las redes de bots más tradicionales para entregar DDoS “hiper volumétricos”.
El informe del miércoles decía que una botnet de este tipo era responsable de lanzar un ataque de 71 millones de solicitudes a principios de este año, convirtiéndolo en uno de los DDoS más grandes de la historia.
Ilustración de una red de bots de IoT comparada con una red de bots de VM.
La realidad
El último trimestre, los sitios web de criptomonedas fueron el mayor objetivo de DDoS, seguidos de los sitios de juegos y apuestas, y los sitios de marketing y publicidad. Estados Unidos fue la mayor fuente de DDoS, seguido de China y Alemania. Dados los tamaños de mercado más grandes de estos países, se deduce que también representarían más DDoS. Al eliminar ese sesgo, dijeron los investigadores, las fuentes más importantes fueron Mozambique, Egipto y Finlandia. Cerca de una quinta parte de todo el tráfico HTTP procedente de direcciones IP de Mozambique formaba parte de ataques DDoS.
