Botnet operada con Linux genera formidable ataque DDoS

La botnet XOR DDoS lanza 20 ataques al día desde máquinas Linux comprometidas, a razón de 150 Gbps.

Akamai Technologies, Inc. (NASDAQ: AKAM), proveedor global de servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado una nueva advertencia de amenaza a la ciberseguridad a través del Equipo de Respuesta en Inteligencia de Seguridad (Security Intelligence Response Team – SIRT) de la compañía. Los atacantes han desarrollado un botnet capaz de realizar campañas de ataques DDoS de 150+ gigabits por segundo (Gbps) utilizando XOR DDoS, un malware troyano usado para tomar el control de sistemas Linux. La advertencia que detalla esta amenaza, incluyendo el análisis de la carga de mitigación de DDoS e información para eliminar el malware, está disponible para su descarga en el sitio de Akamai.

¿Qué es XOR DDoS?

XOR DDoS es un malware Troyano que infecta los sistemas Linux y les enseña a lanzar ataques DDoS bajo demanda realizada por un atacante remoto. Inicialmente, los atacantes acceden mediante ataques de fuerza bruta para descubrir la contraseña de los servicios Secure Shell en una máquina Linux. Una vez que han adquirido el login, los atacantes utilizan privilegios de raíz para ejecutar un script Bash que descarga y ejecuta el binario malicioso.

“Durante el último año, el botnet XOR DDoS ha crecido y ahora se puede utilizar para lanzar enormes ataques DDoS,” dijo Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “XOR DDoS es un ejemplo de atacantes que cambian su enfoque y crean botnets utilizando sistemas Linux comprometidos para lanzar ataques DDoS. Esto ocurre mucho más frecuentemente ahora que en el pasado, cuando las máquinas Windows eran los objetivos principales del malware DDoS.”

Ataques de Denegación de Servicio XOR DDoS

La investigación del SIRT de Akamai demostró que el ancho de banda de los ataques DDoS procedentes del botnet XOR DDoS abarcó desde Gbps de un solo dígito hasta 150+ Gbps – lo que es un tamaño de ataque extremadamente grande. El objetivo más frecuente fue el sector de los juegos, seguido por las instituciones educativas. El botnet ataca hasta 20 objetivos al día, un 90% de los cuales tuvo lugar en Asia. De los ataques DDoS procedentes del botnet XOR DDoS que Akamai ha mitigado, se describen en esta advertencia de amenaza varios ejemplos documentados los 22-23 de agosto. Uno de los ataques alcanzó casi 179 Gbps, y el otro casi 109 Gpbs. Se observaron dos vectores de ataques: inundaciones SYN y DNS.

La dirección IP a veces es falsa, pero no siempre. Los ataques observados en las campañas DDoS contra los clientes de Akamai fueron una mezcla de tráfico de ataques falso y no falso. Las direcciones IP falsas se generan de manera que parecen proceder del mismo espacio de /24 o /16 direcciones como el host infectado. Una técnica de “spoofing” donde solo el tercer o cuarto octeto de la dirección IP es alterada se utiliza para impedir que los ISPs (Proveedores de Servicios de Internet) bloqueen el tráfico falso en redes protegidas por uRPF (Unicast Reverse Path Forwarding).

Mitigación de DDoS de ataques XOR DDoS

Se observaron características estáticas identificables, incluyendo el valor TTL inicial, el tamaño de ventana TCP, y las opciones de cabecera TCP. Firmas de carga como éstas pueden ayudar a la mitigación de DDoS. Están disponibles en la advertencia de amenaza. Además, se suministran los filtros tcpdump para igualar el tráfico de ataques de inundaciones generado por este botnet.

Cómo detectar y eliminar el malware XOR DDoS

La presencia de XOR DDoS puede detectarse de dos maneras. Para detectar este botnet en una red, hay que buscar las comunicaciones entre un bot y su C2 utilizando una regla Snort que se proporciona en la advertencia. Para detectar la infección de este malware en un host Linux, la advertencia incluye una regla YARA que empareja los patrones de cadenas de caracteres observados en el binario.

XOR DDoS es persistente – ejecuta procesos que reinstalarán los ficheros maliciosos si se borran. Por lo tanto, eliminar el malware XOR DDoS es un proceso que consta de cuatro pasos para los cuales se proporcionan varios scripts en la advertencia:

1. Identificar los ficheros maliciosos en dos directorios.
2 Identificar los procesos que fomentan la persistencia del proceso principal.
3. Matar los procesos maliciosos.
4. Borrar los ficheros maliciosos.

Akamai sigue monitorizando las continuas campañas que emplean XOR DDoS para lanzar ataques DDoS. Para saber más acerca de esta amenaza, la eliminación del malware y las técnicas de mitigación de DDoS, descargue una copia de la advertencia de amenaza en www.stateoftheinternet.com/xorddos.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022