Los ciberdelincuentes están explotando la capacidad de la red de bots Mirai para utilizar el protocolo STOMP para lanzar ataques DDoS masivos.
El software malicioso Mirai es una de las amenazas informáticas más populares del momento, su botnet se utiliza para alimentar los ataques masivos contra el servicio Dyn DNS, OVH, el blog de Brian Krebs, y probablemente contra el pais Liberia. El código fuente de la botnet Mirai se filtró en Internet en el Hackforum por el usuario con el apodo de "Anna-senpai."
El punto mas alto que detectarón los expertos fue de más de 500.000 dispositivos vulnerables en la red, los países con el mayor número de dispositivos vulnerables son Vietnam (80.000), Brasil (62.000) y Turquía (40.000). La botnet Mirai implementa diversos tipos de ataque, incluyendo el método de inundación STOMP.
STOMP es un protocolo de capa de aplicación simple, basada en texto que permite a los clientes se comunican con otros intermediarios de mensajes. Se implementa un método para la comunicación entre aplicaciones desarrolladas utilizando diferentes lenguajes de programación.
De acuerdo con expertos de la firma Imperva, el robot es capaz de inundar los objetivos con los paquetes basura STOMP. "En nuestro análisis de Mirai, el malware que recientemente fur derribado por KrebsOnSecurity y el servicio DNS Dyn, describimos diferentes vectores de ataque de su botnet está programado para utilizar. De éstos, STOMP (Texto Simple Orientado protocolo de mensajería) inundaciones se destacaban, en gran parte porque este protocolo no se utiliza a menudo en los ataques DDoS." Segun el análisis publicado por Imperva.
"Decidimos que debemos explicar con más detalle cómo Mirai utiliza inundaciones de paquetes STOMP basura para derribar los sitios web de destino."
Una solicitud STOMP es una típica estructura de datos compuesta por un comando, seguido de cabeceras en la forma tecla: valor (uno por línea), y por supuesto un contenido del cuerpo que termina en un carácter nulo.
"Los servidores utilizan un formato similar de cabeceras y el contenido cuerpo para responder al cliente a través de un mensaje, recibo o trama de error."
Los expertos de Imperva ha explicado que una inundación TCP STOMP es una variación del ataque común de inundación ACK.
Pasos del ataque DDoS STOMP
1 Un dispositivo botnet utiliza STOMP para abrir una conexión TCP autenticado con una aplicación específica.
2 Una vez autenticado, datos basura disfrazados de una solicitud STOMP TCP se envían al destino.
3 El flujo de solicitudes de STOMP falsos conduce a la red de saturación.
4 Si el destino está programado para analizar las solicitudes de Stomp, el ataque puede también obtener recursos del servidor. Incluso si el sistema descarta los paquetes de basura, los recursos están siendo utilizados para determinar si está dañado el mensaje.
"Curiosamente, los ataques recientes comparten algunas similitudes con la inundación TCP POSTAL. Ambos son intentos de focalización un punto blando arquitectónico en implementaciones híbridas de mitigación. ", Continúa el análisis.
"En estas configuraciones, ataques a nivel de red se filtran fuera de las instalaciones, mientras que los asaltos de capa de aplicación se mitigan en las instalaciones. Esto crea un cuello de botella que los casos de capa de aplicación pueden explotar para obstruir las tuberías de red".
El análisis del código fuente botnet revela que cada solicitud ataque STOMP está configurado por defecto a 768 bytes. Los atacantes pueden aprovechar en una red de bots compuesta por más de 100.000 dispositivos que es capaz de apagar redes de destino con un enlace ascendente 5-10Gbps.
Un método para mitigar TCP STOMP ataque consiste en la identificación y filtrado de solicitudes maliciosas y filtrando a cabo antes de que sean capaces de viajar a través de la red.
La identificación de las solicitudes es bastante simple, el verdadero problema es descubrir donde se eliminan dichas solicitudes.
"En la actualidad, las agresiones STOMP son raras. Pero a medida que el uso de Mirai el malware se vuelve cada vez más común, lo más probable es que veremos más de ellos en un futuro próximo. Su existencia pone de relieve la importancia del filtrado fuera de Prem "
Fecha actualización el 2017-6-18. Fecha publicación el 2016-11-19. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio