Ataques DDoS

Javier Arango
RSM Colombia & Ecuador

January 19, 2018

Los ataques DDoS
http://www.digitalattackmap.com/v1#anim=1&color=0&country=ALL&list=0&time=16435&view=map

3
Clasificación de ataques DDoS

Volumétricos Semánticos
4
 MOTIVACIONES DETRÁS DE UN DDOS

100%

80%

60%

41%
40%
27% 26% 26% 24%
20% 21%
20%
11%

0%
Ransom Insider Threat Political/Hacktivism Competition Cyberwar Angry users No attacks experienced Motive unknown
 Case Study - Fighting Cyber-Ransom
Received valid DDoS threat from Armada Collective
Had 72 hours to pay $16K

Suffered a 360MB teaser DDoS attack

Contacted Radware and got connected to Radware’s Cloud

Multi-National DDoS Protection Service for volumetric attack protection
EMEA Bank
Received another Ransom note, this time from LizardSquad
Radware’s ERT research identified it as a hoax

“With a hybrid DDoS mitigation solution in place, flood attacks had no impact. With automated attack mitigation—including behavioral analysis that
delivers continuous visibility and forensics - we will never be left vulnerable to evolving DDoS attacks. “

6
 Que se requiere lanzar un ataque DDoS?
Conocimiento Básico para
Contratar un servicio
crear tu Botnet

7
Desarrollado por Anna-senpai

Mirai = Futuro en Japonés 8

Liberó el código fuente el 30 de Sept de 2016 en
HackForums.net

9
Primer ataque DDoS volumétrico usando IOT

10
Uso de fuerza bruta para apoderarse de los equipos

11
Más de 8 vectores de ataque dispobibles

12
Telnet es deshabilitado después de la infección

13
Más de 10 millones de dispositivos infectados

…. Y sigue creciendo cada día 14

CONTRATANDO UN ATAQUE DDOS EN
LA DARKNET
COMPRA DE BITCOINS

16
How to access the Darknet?

TOR I2P
Software The Onion Router Invisible Internet Project

Two Dark-net
Anonymity Friend-to-Friend
Types
Privacy / Hidden
Uses File sharing
Services
Type of Darknet – Friend-to-Friend – I2P

Data encapsulated in layers

of encryption
Bundling multiple messages
together
Unidirectional tunnels
Type of Darknet – Anonymity - Tor

Message
Data encapsulated in layers Destination
of encryption
Each layer reveals the
next relay
Final layer sends data
to destination Router C
Bi-Directional
Router B
Router A
Source
CREAR CUENTA EN UN PORTAL DE DARKNET

This page will not be displayed on every visit,

but only during possible DDoS periods

22
TRANSFERIR LOS BITCOINS A SU CUENTA
DE DARKNET

23
CONTRATAR EL SERVICIO

24
SITIO ABAJO!!

25
RENTAR UNA BOTNET

Mirai attack vectors

ACA LA BUENA NOTICIA

ALPHABAY FUE
DESMANTELADO

27
ACA LA MALA
► Agora: http://agorahooawayyfoe.onion/register/JdJrS8rRkE
► Abraxas: http://abraxasdegupusel.onion/register/SizwgcNn6K
► Dream Market: http://lchudifyeqm4ldjj.onion/?ai=28671
► AlphaBay: http://pwoah7foa6au2pul.onion/affiliate.php?aff=3173
► Mr. Nice Guy: http://niceguyfa3xkuuoq.onion/session/register/D66083

28
Y AHÍ MUCHOS OTROS EN LA
SURFACE WEB...
 Botnet con Zyklon

• Se vende como servicio en la Darknet

• Infecta otros equipos por medio de Phising.

• Los precios varían desde USD75 a USD125.

• Entre los vectores que soportan están

inundaciones de tipo: HTTP, UDP, TCP, SYN y
Slowloris.

30
RENTA DE BOTNETS

31
 Parrot OS Attack Tool

• Similar a Kali Linux:

• DNS
• NTP
• SNMP
• SSDP

=> Todos son ataques reflectivos

32
 Shenron Attack Tool
• Servicios públicos de
Lizard Squads
• 19,99$ => 15Gb de
ataques por 1200
segundos.
– DNS
– SNMP
– SYN

33
 VDoS Attack Tool

• Una de las más populares

• 19,99 puedes lanzar un ataque de
216Gbps
• DNS, NTP, ESSYN, xSYN, TS3, TCP-ACK,
Dominate, VSE, SNMP, PPS, Portmap and
TCP-Amp
• Una de las herramientas usadas en la
campaña de ProtoMail.

34
 Amazon como plataforma para ataques DDoS

1. Register and activate an Amazon EC2 account

Cuenta con servicios gratuitos. Una vez tenga la cuenta,

configuro dos (2) servidores: Wordpress backend y
PhantomJS headless browser.

35
 Amazon como plataforma para ataques DDoS

2. Set up a headless-browser server

(Ubuntu Linux or PhantomJS) on Amazon

https://hub.docker.com/r/rosenhouse/phantomjs2/

36
 Amazon como plataforma para ataques DDoS

3. Write an automated script for dynamically rotating the

headless-browser IP address

En 15 minutos de ejecución del script, se asignaron 300 IP

únicas.

37
Resultado: Flood de HTTP con IP Dinámicas, desde un
único origen, simulando un browser real.

38
Síntomas de DDoS

Lentitud sin causa en los sistemas sin causa evidente.

Saturación del canal de Internet.

Intermitencia de los servicios.

Sobrecarga de los servidores o equipos de red.

39
Como Protegerse?

DE VERDAD CREEN QUE ES ASI DE FACIL?

40