La red de bots Mirai continúa batiendo récords por impulsar los ataques distribuidos de denegación de servicio (DDoS) más grandes y disruptivos jamás vistos, dicen los investigadores.
Corero Network Security publicó un informe que analiza los métodos de ataque comunes de la notoria botnet, que han cambiado poco en los últimos años. Aún así, Mirai ha generado numerosas variantes para mantener su propósito principal: explotar vulnerabilidades en dispositivos IoT para crear un ejército de botnets para montar ataques DDoS. «Lo interesante de Mirai es que sigue siendo efectivo sin haber evolucionado mucho», dice a Dark Reading Huy Nguyen, ingeniero de seguridad cibernética de Corero Network Security.
Aunque ninguna de sus innumerables variantes se desvía de los vectores de ataque originales de Mirai, aún representa una amenaza peligrosa, que se ve reforzada por el creciente grupo de dispositivos IoT vulnerables que se agregan a las redes todos los días, escribió en el informe.
De hecho, los vectores de ataque típicos de Mirai son lo suficientemente problemáticos como para dañar incluso a las grandes organizaciones. Además, los actores de amenazas con habilidades técnicas limitadas pueden construir botnets Mirai utilizando recursos que se encuentran en Internet, gracias en parte a la filtración de su código fuente en 2016.
Esto facilita que los atacantes abusen de una miríada de dispositivos que están instalados en empresas sin parches. «Los Script Kiddies pueden construir su propia botnet fácilmente con unos pocos comandos», escribió.
Y aunque necesitan explotar dispositivos IoT vulnerables con un error de Ejecución de Código Remoto (RCE) para eliminar el malware y lanzar un ataque DDoS, las fallas de RCE «no son raras», ya que la mayoría de las personas tienden a no actualizar los routers domésticos, puntos de acceso, IP cámaras y similares.
Métodos de ataque comunes
Mirai ha estado causando estragos desde mediados de la década de 2010 y es bien conocido en el ámbito de la ciberseguridad por haber generado numerosos ataques DDoS disruptivos contra organizaciones globales, incluida la empresa de tecnología francesa OVH, el gobierno de Liberia y el proveedor de DNS Dyn en un ataque que afectó sitios web como Twitter, Reddit, GitHub y CNN.
La competencia central de Mirai es convertir dispositivos IoT como enrutadores y cámaras en zombis que los atacantes pueden controlar y usar para inundar objetivos con cantidades masivas de tráfico, forzando DDoS.
Si bien a veces parece evolucionar con la adición de nuevas características u objetivos, o el uso de nuevos lenguajes de programación, la botnet todavía mantiene nueve vectores de ataque clave para inundar las redes con tráfico para forzar DDoS durante su vida hasta ahora.
- Uno es una inundación UDP, un tipo de ataque que normalmente tiene como objetivo inundar el ancho de banda de la víctima. En este ataque, las víctimas pueden ser una IP de destino, una subred o varias subredes.
- Un segundo es lo que se llama una inundación de consultas de Vale Source Engine que aprovecha la consulta estática de TSource Engine como sus cargas útiles. Este ataque, si no hay parámetros de comando, envía tráfico UDP al puerto de destino 27015.
- El tercer método de ataque es uno denominado «DNS Water Torture» que no persigue una IP o subred de destino específica, sino que tiene como objetivo agotar el recurso de un servidor DNS mediante el envío de consultas de DNS a los resolutores abiertos, lo que impide la resolución en el dominio de la víctima.
- Un cuarto método de ataque de Mirai es similar a una inundación UDP pero con menos opciones y optimizado para un PPS más alto, requiriendo solo tres argumentos para activarse.
- El quinto es un ataque llamado inundación SYN que no lleva una carga útil y aleatoriza varios puertos y es «difícil» de bloquear para los defensores. Otro ataque, una inundación ACK, es similar a una inundación SYN pero lleva una carga útil, que es aleatoria y tiene como único objetivo hacer que el ataque sea más difícil de bloquear.
- El séptimo método de ataque de Mirai es uno en el que «la botnet intenta no actuar como un bot», lo que dificulta que los defensores distingan entre el tráfico normal y el anormal, según el informe. Utiliza el Protocolo de mensajería orientado a texto simple (STOMP), un protocolo basado en texto de aplicación de capa 7, pero puede cambiarlo a un protocolo diferente para lograr un mayor impacto.
- Otro ataque es una inundación GRE que encapsula los paquetes IP dentro de los paquetes GRE, aleatorizando la IP de origen, la IP de destino, el puerto de origen UDP, el puerto de destino UDP y la carga útil UDP del paquete interno. Este método de larga data puede usar un «volumen de BPS notablemente alto» y puede causar «daño significativo» a las víctimas específicas, escribió Nguyen.
- El último método de ataque conocido de Mirai es un ataque de inundación HTTP de capa 7 avanzado y flexible, que un atacante puede personalizar con parámetros de configuración, agregó.
Fuente y redacción: segu-info.com.ar