Como todos ustedes sabrán, recientemente tuvimos que trabajar sobre un incidente de seguridad relacionado con un ataque por denegación de servicio distribuido o DDoS. Los atacantes emplearon distintas versiones de la herramienta Low Orbit Ion Cannon, LOIC en adelante, para intentar sobrecargar el tráfico de la web.
Lógicamente tanto en S2Grupo como en el centro de seguridad TIC de la Generalitat Valenciana (CSIRT-cv) preparamos un entorno que nos permitiera disminuir el ataque lo máximo posible para intentar que la web estuviera disponible para los ciudadanos, que al fin y al cabo, son los usuarios de la página web y a los que se les daña con este ataque. Para ello se realizo un estudio de las distintas versiones del LOIC, de su funcionamiento y de los posibles patrones de reconocimiento de los ataques con dos objetivos: frenar e identificar al atacante. Por motivos de seguridad no se suministrarán los patrones empleados.
Durante el estudio pudimos apreciar que existían principalmente tres plataformas: Windows (v1.1.1.23 y 24 principalmente), Linux (loiq-0.3a) y Web JS.
La primera sorpresa fue que dependiendo de las fuentes desde donde se descargara el programa para Windows, su suma SHA era diferente pese a que aparentemente el origen de la descarga indicaba que se trataba de la misma versión. ¿Raro, verdad? Señores, ¿que están ustedes instalando realmente en sus ordenadores?
La otra sorpresa fue al buscar distintos enlaces que tuvieran la versión Web programada mediante JavaScript. Dentro de los muchos enlaces que analizamos, incluidos el LOIC JS versión Sinde, me llamo la atención este (http://loic.megabyet.net/). En este caso, los autores de la web crearon un falso LOIC JS en el cual lo que realmente hacían era registrar desde qué IP, con qué navegador y a qué objetivo quería el atacante producir la DDoS. Por si hay dudas, no enviaba ningún paquete a la víctima.
Después del análisis preliminar obtuvimos varias conclusiones. La primera que algunos binarios del LOIC están modificados para que aparte del LOIC instalé algún tipo de software extra. Recordar que para instalar el LOIC se requiere deshabilitar el antivirus.
La segunda que las versiones Web en JS no son lo que parecen, sin ir más lejos, la versión mostrada con anterioridad era un honeypot. Otro día será un BeEF, MSF o cualquier otra variante.
La tercera, y última, que los ataques LOIC son identificables, y por tanto no son anónimos, por lo que recomendaciones como cambiarse la MAC (leído de algunos foros y canales de IRCs) muestra claramente el desconocimiento del funcionamiento de este tipo de herramientas. Sin ir más lejos, el CSIRT-cv dispone de cada IP que atacó la Web, la duración del ataque y la procedencia de esta.
Tengan cuidado con lo que hacen. El anonimato no es tan sencillo de conseguir. Low Orbit Ion Cannon, bienvenidos a la jungla
Que gran post, me ha encantado el final.
Saludos y sigan por la senda, amigos.
¿Hola Joaquin?
¿Cómo diferencias un ataque de un acceso legítimo?
Es trivial modificar el agente con el que se “visita” una web; Supongo que habrá cientos de IP’s que claramente “atacaron” la web, pero seguro que hay un remanente de IP’s de las que no es seguro que estaban atacando o simplemente intentando acceder.
¿Cómo lo diferencias?
Saludos
Gran trabajo para prevenir el ataque y excelente trabajo de I+D. En breve los script Kiddies van a tener que mudar de solución. ¿Cuanto tiempo creeis que le quedan a este tipo de ataques de denegación de servicio? Como todas las modas, acabará olvidándose.
“Reinicias el router, te da otra ip y así no te pueden tracear” – Verídico xDDDDDDD
Pero es que además, el loic, incluye un “mensajito” en las peticiones, cosa rematadamente estúpida
@Paco se puede diferenciar por las peticiones por segundo que te vienen de una misma IP, por el “mensajito” personalizado que viene con el ataque, como dice @n0p, cosas así.
@Pedro supongo que como todo, después de que se usen contramedidas efectivas, surgirán otros métodos de ataque. Allá quedaron esos “pings de la muerte” xD
@n0p también se oía usar tor u otros anonimizadores: a no ser que se modifique loic para que usara el proxy, no pasaría por el, y si pasara, sería el proxy el que se comería el DDoS xD
MIENTRAS HAYAN BACKDOORS..SOLICITUDES…ETC EL LOIC SEGUIRA SIRVIENDO..
lamentable pero lo voy a reiniciar el ruter o cambiare la ip mediante un programa o hay otra forma de camuflar