RSM Colombia & Ecuador
Ataques DDoS
Javier Arango
January 19, 2018
Los ataques DDoS
3
http://www.digitalattackmap.com/v1#anim=1&color=0&country=ALL&list=0&time=16435&view=map
4
Clasificación de ataques DDoS
Volumétricos Semánticos
41%
27% 26% 26% 24%20% 21%
11%
0%
20%
40%
60%
80%
100%
Ransom Insider Threat Political/Hacktivism Competition Cyberwar Angry users No attacks experienced Motive unknown
MOTIVACIONES DETRÁS DE UN DDOS
Received valid DDoS threat from Armada Collective
Had 72 hours to pay $16K
Suffered a 360MB teaser DDoS attack
Contacted Radware and got connected to Radware’s Cloud
DDoS Protection Service for volumetric attack protection
Received another Ransom note, this time from LizardSquad
Radware’s ERT research identified it as a hoax
Case Study - Fighting Cyber-Ransom
6
Multi-National EMEA Bank
“With a hybrid DDoS mitigation solution in place, flood attacks had no impact. With automated attack mitigation—including behavioral analysis that delivers continuous visibility and forensics - we will never be left vulnerable to evolving DDoS attacks. “
Que se requiere lanzar un ataque DDoS?
7
Contratar un servicioConocimiento Básico para
crear tu Botnet
Desarrollado por Anna-senpai
Mirai = Futuro en Japonés 8
Liberó el código fuente el 30 de Sept de 2016 en HackForums.net
9
Primer ataque DDoS volumétrico usando IOT
10
Uso de fuerza bruta para apoderarse de los equipos
11
Más de 8 vectores de ataque dispobibles
12
Telnet es deshabilitado después de la infección
13
Más de 10 millones de dispositivos infectados
…. Y sigue creciendo cada día 14
CONTRATANDO UN ATAQUE DDOS EN LA DARKNET
16
COMPRA DE BITCOINS
How to access the Darknet?
TOR I2P
Software The Onion Router Invisible Internet Project
Two Dark-net Types
Anonymity Friend-to-Friend
UsesPrivacy / Hidden
Services File sharing
Type of Darknet – Friend-to-Friend – I2P
Data encapsulated in layers of encryptionBundling multiple messages togetherUnidirectional tunnels
Type of Darknet – Anonymity - Tor
Data encapsulated in layers of encryptionEach layer reveals the next relayFinal layer sends data to destinationBi-Directional
Source
Message
Router C
Router B
Router A
Destination
22
CREAR CUENTA EN UN PORTAL DE DARKNET
This page will not be displayed on every visit, but only during possible DDoS periods
23
TRANSFERIR LOS BITCOINS A SU CUENTA DE DARKNET
24
CONTRATAR EL SERVICIO
25
SITIO ABAJO!!
RENTAR UNA BOTNET
Mirai attack vectors
ALPHABAY FUE DESMANTELADO
ACA LA BUENA NOTICIA
27
ACA LA MALA
28
► Agora: http://agorahooawayyfoe.onion/register/JdJrS8rRkE► Abraxas: http://abraxasdegupusel.onion/register/SizwgcNn6K► Dream Market: http://lchudifyeqm4ldjj.onion/?ai=28671► AlphaBay: http://pwoah7foa6au2pul.onion/affiliate.php?aff=3173► Mr. Nice Guy: http://niceguyfa3xkuuoq.onion/session/register/D66083
Y AHÍ MUCHOS OTROS EN LA SURFACE WEB...
Botnet con Zyklon
• Se vende como servicio en la Darknet
• Infecta otros equipos por medio de Phising.
• Los precios varían desde USD75 a USD125.
• Entre los vectores que soportan están inundaciones de tipo: HTTP, UDP, TCP, SYN y Slowloris.
30
RENTA DE BOTNETS
31
Parrot OS Attack Tool
• Similar a Kali Linux:• DNS• NTP• SNMP• SSDP
=> Todos son ataques reflectivos
32
Shenron Attack Tool
• Servicios públicos de Lizard Squads
• 19,99$ => 15Gb de ataques por 1200 segundos.– DNS
– SNMP
– SYN
33
VDoS Attack Tool
• Una de las más populares
• 19,99 puedes lanzar un ataque de 216Gbps
• DNS, NTP, ESSYN, xSYN, TS3, TCP-ACK, Dominate, VSE, SNMP, PPS, Portmap and TCP-Amp
• Una de las herramientas usadas en la campaña de ProtoMail.
34
1. Register and activate an Amazon EC2 account
Cuenta con servicios gratuitos. Una vez tenga la cuenta,
configuro dos (2) servidores: Wordpress backend y
PhantomJS headless browser.
Amazon como plataforma para ataques DDoS
35
2. Set up a headless-browser server
(Ubuntu Linux or PhantomJS) on Amazon
https://hub.docker.com/r/rosenhouse/phantomjs2/
Amazon como plataforma para ataques DDoS
36
3. Write an automated script for dynamically rotating the
headless-browser IP address
En 15 minutos de ejecución del script, se asignaron 300 IP
únicas.
Amazon como plataforma para ataques DDoS
37
Resultado: Flood de HTTP con IP Dinámicas, desde un único origen, simulando un browser real.
38
Síntomas de DDoS
Lentitud sin causa en los sistemas sin causa evidente.
Saturación del canal de Internet.
Intermitencia de los servicios.
Sobrecarga de los servidores o equipos de red.
39
Como Protegerse?
40
DE VERDAD CREEN QUE ES ASI DE FACIL?