En el ecosistema del cibercrimen actual, las denegaciones de servicio distribuidas se han convertido en un negocio más del amplio mundo del fraude. Los ataques de denegación de servicio -Denial of Service, DoS- son ataques cuyo objetivo es evitar el funcionamiento normal de una red o servicio. Este ataque se puede llevar a cabo de diversas maneras, aunque las más comunes suelen ser la saturación del ancho de banda y el agotamiento de recursos que utiliza.
Inicialmente, los ataques DoS se realizaban desde un único origen, generando un flujo de datos que saturaba los recursos del host o red. De este modo se evitaba que éste pudiera responder de manera eficiente a usuarios legítimos del sistema.
Con el fin de aumentar los daños, se modificó la arquitectura inicial, pasando a una arquitectura distribuida con múltiples orígenes. Con este cambio de arquitectura los ataques pasaron a denominarse DDoS -Distributed Denial of Service-.
Normalmente los orígenes de un ataque DDoS se encuentran en las llamadas botnets o redes zombie. Estas redes están formadas por miles de ordenadores controlados remotamente mediante un panel de control, lo que facilita la capacidad de generar el ataque a una sola persona.
Lógicamente el uso de miles de ordenadores amplifica el ataque de manera exponencial frente al ataque DoS. A cada equipo infectado que pertenece a una botnet se le puede denominar drone, zombie o bot, mientras que al malware que lo infecta también se le puede llamar bot.
OFERTA Y DEMANDA
La oferta y la demanda marcan cada día el coste de contratar este tipo de servicios. El coste de ofrecer el servicio para el dueño de una botnet es nulo ya que tanto los ordenadores usados como la cuota de Internet van a cargo de la persona infectada. Para los dueños de las botnets, además del robo directo de información bancaria, este tipo de servicio es simplemente otra forma de explotar su botnet para obtener un mayor beneficio sin que les suponga una carga extra.
PRECIOS Y CONDICIONES
Un precio orientativo para el alquiler de una botnet es de unos 200$ por el alquiler de 10.000 bots durante 24 horas. Aunque en este mercado se da mayor valor a bots alojados en países con mejor ancho de banda, lo que podría traducirse, a modo de ejemplo, en que el precio de 5.000 bots en Inglaterra pueda ser el mismo que el alquiler 10.000 bots en Rumania.
Una botnet del tamaño anterior podría llegar a generar un tráfico de 100Gbps, lo que es más que suficiente para anular el acceso a prácticamente cualquier página en Internet durante las 24 horas por las que se ha contratado el servicio.
Y como es normal en los mercados, existen descuentos para contrataciones por periodos de tiempo muy elevado.
También es muy común que se permita realizar una prueba para poder verificar la fiabilidad de la botnet que se desea contratar, y estas pruebas permite atacar al sitio web indicado durante 2 o 3 minutos permitiendo observar la potencia de la botnet.
EVOLUCIÓN
Se trata de un mercado altamente competitivo y en continuo movimiento que busca innovar para superar al competidor.
Como evolución natural de esta innovación han entrado en juego los Smartphones. Si tenemos en cuenta que en una botnet de unos 10.000 bots distribuidos por países, la posibilidad de que todos ellos estén conectados a la vez es muy remota, la captura de dispositivos Smartphone se ha convertido en el foco principal para este negocio.
Estos dispositivos, al tener una conexión directa y continua con Internet, ofrecen las mismas cualidades que los ordenadores actuales y siempre están disponibles para ser usados para la realización de un ataque, que puede mantenerse sin que el usuario sea consciente de dicha actividad en su dispositivo.
CÓMO ACCEDER A ESTOS SERVICIOS
Para un usuario obtener acceso a esta información es complicado, se mueven en foros protegidos y muy privados, donde sólo se puede entrar mediante la invitación de uno de sus miembros. Con esta exclusividad consiguen ponerse a salvo de investigaciones policiales, ya que en estos foros no sólo se mueven mercados de botnets, sino que es un mercado negro de todo tipo de temas ilegales que pueden ir desde la venta de drogas al alquiler de botnets, pasando por venta de tarjetas de crédito, órganos…
Si bien es cierto que hay otras botnets que ofrecen servicios de DDoS por 5$ a la hora, no estamos hablando del mismo tipo de servicio. Como en todos los mercados hay diferentes tipos de productos, y el acceso a los mismos no es igual para todas las personas. El acceso a botnets con un coste de 5$ puede ser encontrado de forma sencilla en canales de IRC, o foros de “hacking”, y estas ofrecen ataques que podrían llegar a saturar una web normal. Mientras que en los servicios ofrecidos en foros privados, se garantiza que el servicio funcionará durante el tiempo contratado.
CÓMO OPERAR UNA BOTNET PARA DDOS
La persona que alquila el servicio tiene acceso a un panel de control desde donde puede gestionar los bots que ha contratado. Suelen tener una interfaz muy sencilla y de fácil manejo. Mediante estos paneles es posible realizar ataques de diferente tipo y verificar que lo contratado se corresponde con lo ofertado.
MITIGACIÓN
Mitigar o contrarrestar un ataque DoS no siempre es garantía de éxito, especialmente en el caso de que el ataque esté orientado al consumo del ancho de banda, aunque no por ello hay que desistir de utilizar contra-medidas. Actualmente hay una serie de premisas que deberían prevalecer:
Tener actualizado todo el software utilizado en el servicio, desde el S.O. de cualquier dispositivo hasta cualquier aplicación o librería empleada.
• Emplear una política robusta de contraseñas.
• Aplicar todos los filtros necesarios en las fronteras del ISP.
• Redundancia del servicio.
• Usar servicios en hosting dedicado y/o clouding.
Se pueden establecer además una serie de medidas para minimizar el impacto del ataque, reducir el tráfico no legítimo, etc. Estas medidas pasan por identificar el tráfico ilegítimo o anómalo.
Las anomalías dentro de los servicios disponibles permitirán ejecutar acciones y/o generar alertas. A continuación se muestran, a modo de resumen, una serie de detecciones de anomalías del tráfico generado para un servicio.
ANÁLISIS ESTADÍSTICO
En este grupo se pueden englobar los ataques de SYN flooding orientados a saturar el número máximo de sesiones concurrentes en un servicio HTTP. Actualmente, y dado el tipo de ataques que se observan -mayoritariamente de aplicación http-, es importante establecer un análisis estadístico del tráfico HTTP de los servidores. Por ejemplo, 100 peticiones por segundo desde la misma IP a la misma URL podría considerarse una anomalía.
DESCRIPCIÓN DE CAMINO HASTA EL OBJETO
Si se sabe el camino que realiza una petición hasta llegar a un objeto dentro de los servicios que ofrece, se podría modelar una anomalía, haciendo que el camino a seguir por dicha petición sea distinto al esperado.
Siguiendo con HTTP/HTTPS, si para llegar a la URL http://www.test.com/web/from1.jsp hay que hacerlo desde la URL http://www.test.com/web/main.jsp, cualquier otro camino sería considerado una anomalía.
TIEMPO MÍNIMO
El tiempo que transcurre entre peticiones ha de ser mayor cuando estas son realizadas por una persona y no por un programa, por lo que esta medida de tiempo también permite establecer un patrón de comportamiento anómalo.
DATOS SOSPECHOSOS
El análisis de tráfico de aplicación puede ofrecer muchas ayudas para detectar tráfico anómalo. Por ejemplo, comprobando la existencia de User-Agent o si este es utilizado frecuentemente para realizar la petición.
Gran parte de las anomalías podrán ser detectadas y eliminadas desde el mismo dispositivo frontera que se esté utilizando -cortafuegos y/o router-. Otras requerirán una monitorización de los logs del servidor -proxy, web- para efectuar las acciones que se consideren oportunas, como bloquear directamente en los servidores o generar alertas.
RECOMENDACIONES GENERALES
Para intentar minimizar el impacto que tendrá sobre la infraestructura un ataque de denegación de servicio, las recomendaciones generales son las siguientes:
Configurar los dispositivos de red, routers y firewalls para detener direcciones IP no validas y protocolos que no sean necesarios.
• Activar las protecciones de inundación TCP/UDP. Dichas protecciones deberán de tener presentes medidas como la cantidad de peticiones realizadas por una misma dirección IP, conexiones concurrentes, ancho de banda utilizado por cada dirección de origen, etc. Es importante evaluar el impacto que tienen dichas protecciones sobre el rendimiento y la disponibilidad, para evitar que se produzca el efecto contrario y los firewalls terminen convirtiéndose en cuellos de botella.
• Activar los mecanismos de registro de actividad, teniendo presente la carga que pueden suponer para el rendimiento de la plataforma. De esta manera se podrá analizar a posteriori la información registrada si fuera necesario.
• Los elementos de detección IDS/IPS podrán mitigar el impacto de los ataques con los sistemas de análisis de protocolos y vectores de ataque.
• Los proveedores de servicio o ISPs pueden ayudar también a minimizar el impacto activando el filtrado de tráfico antes de que este alcance la infraestructura.
• Para los ataques a las aplicaciones se pueden establecer configuraciones de protección o tecnologías anti-DDoS.
• Los planes de contingencia serán de gran ayuda, ya que el personal implicado conocerá con detalle cuál es su función en cada momento y qué acciones tendrán que realizar.
• La comunicación con los usuarios legítimos o clientes de la organización también ayudará a que el impacto económico sea menor.
Juan de la Fuente, S21sec ecrime analyst
Juan Carlos Montes, S21sec ecrime analyst
