RSM Colombia & Ecuador

Ataques DDoS

Javier Arango

January 19, 2018

Los ataques DDoS

3

http://www.digitalattackmap.com/v1#anim=1&color=0&country=ALL&list=0&time=16435&view=map

4

Clasificación de ataques DDoS

Volumétricos Semánticos

41%

27% 26% 26% 24%20% 21%

11%

0%

20%

40%

60%

80%

100%

Ransom Insider Threat Political/Hacktivism Competition Cyberwar Angry users No attacks experienced Motive unknown

MOTIVACIONES DETRÁS DE UN DDOS

Received valid DDoS threat from Armada Collective

Had 72 hours to pay $16K

Suffered a 360MB teaser DDoS attack

Contacted Radware and got connected to Radware’s Cloud

DDoS Protection Service for volumetric attack protection

Received another Ransom note, this time from LizardSquad

Radware’s ERT research identified it as a hoax

Case Study - Fighting Cyber-Ransom

6

Multi-National EMEA Bank

“With a hybrid DDoS mitigation solution in place, flood attacks had no impact. With automated attack mitigation—including behavioral analysis that delivers continuous visibility and forensics - we will never be left vulnerable to evolving DDoS attacks. “

Que se requiere lanzar un ataque DDoS?

7

Contratar un servicioConocimiento Básico para

crear tu Botnet

Desarrollado por Anna-senpai

Mirai = Futuro en Japonés 8

Liberó el código fuente el 30 de Sept de 2016 en HackForums.net

9

Primer ataque DDoS volumétrico usando IOT

10

Uso de fuerza bruta para apoderarse de los equipos

11

Más de 8 vectores de ataque dispobibles

12

Telnet es deshabilitado después de la infección

13

Más de 10 millones de dispositivos infectados

…. Y sigue creciendo cada día 14

CONTRATANDO UN ATAQUE DDOS EN LA DARKNET

16

COMPRA DE BITCOINS

How to access the Darknet?

TOR I2P

Software The Onion Router Invisible Internet Project

Two Dark-net Types

Anonymity Friend-to-Friend

UsesPrivacy / Hidden

Services File sharing

Type of Darknet – Friend-to-Friend – I2P

Data encapsulated in layers of encryptionBundling multiple messages togetherUnidirectional tunnels

Type of Darknet – Anonymity - Tor

Data encapsulated in layers of encryptionEach layer reveals the next relayFinal layer sends data to destinationBi-Directional

Source

Message

Router C

Router B

Router A

Destination

22

CREAR CUENTA EN UN PORTAL DE DARKNET

This page will not be displayed on every visit, but only during possible DDoS periods

23

TRANSFERIR LOS BITCOINS A SU CUENTA DE DARKNET

24

CONTRATAR EL SERVICIO

25

SITIO ABAJO!!

RENTAR UNA BOTNET

Mirai attack vectors

ALPHABAY FUE DESMANTELADO

ACA LA BUENA NOTICIA

27

ACA LA MALA

28

► Agora: http://agorahooawayyfoe.onion/register/JdJrS8rRkE► Abraxas: http://abraxasdegupusel.onion/register/SizwgcNn6K► Dream Market: http://lchudifyeqm4ldjj.onion/?ai=28671► AlphaBay: http://pwoah7foa6au2pul.onion/affiliate.php?aff=3173► Mr. Nice Guy: http://niceguyfa3xkuuoq.onion/session/register/D66083

Y AHÍ MUCHOS OTROS EN LA SURFACE WEB...

Botnet con Zyklon

• Se vende como servicio en la Darknet

• Infecta otros equipos por medio de Phising.

• Los precios varían desde USD75 a USD125.

• Entre los vectores que soportan están inundaciones de tipo: HTTP, UDP, TCP, SYN y Slowloris.

30

RENTA DE BOTNETS

31

Parrot OS Attack Tool

• Similar a Kali Linux:• DNS• NTP• SNMP• SSDP

=> Todos son ataques reflectivos

32

Shenron Attack Tool

• Servicios públicos de Lizard Squads

• 19,99$ => 15Gb de ataques por 1200 segundos.– DNS

– SNMP

– SYN

33

VDoS Attack Tool

• Una de las más populares

• 19,99 puedes lanzar un ataque de 216Gbps

• DNS, NTP, ESSYN, xSYN, TS3, TCP-ACK, Dominate, VSE, SNMP, PPS, Portmap and TCP-Amp

• Una de las herramientas usadas en la campaña de ProtoMail.

34

1. Register and activate an Amazon EC2 account

Cuenta con servicios gratuitos. Una vez tenga la cuenta,

configuro dos (2) servidores: Wordpress backend y

PhantomJS headless browser.

Amazon como plataforma para ataques DDoS

35

2. Set up a headless-browser server

(Ubuntu Linux or PhantomJS) on Amazon

https://hub.docker.com/r/rosenhouse/phantomjs2/

Amazon como plataforma para ataques DDoS

36

3. Write an automated script for dynamically rotating the

headless-browser IP address

En 15 minutos de ejecución del script, se asignaron 300 IP

únicas.

Amazon como plataforma para ataques DDoS

37

Resultado: Flood de HTTP con IP Dinámicas, desde un único origen, simulando un browser real.

38

Síntomas de DDoS

Lentitud sin causa en los sistemas sin causa evidente.

Saturación del canal de Internet.

Intermitencia de los servicios.

Sobrecarga de los servidores o equipos de red.

39

Como Protegerse?

40

DE VERDAD CREEN QUE ES ASI DE FACIL?