Las empresas de tecnología se unen para acabar con el botnet ‘WireX’ Android DDoS – Krebs on Security

Media docena de empresas de tecnología y seguridad, algunas de ellas competidoras, emitieron exactamente el mismo comunicado de prensa hoy. Este nivel inusual de colaboración entre industrias culmina un esfuerzo exitoso para desmantelar ‘AlambreX‘, una extraordinaria nueva máquina del crimen que comprende decenas de miles de hackeados Androide dispositivos móviles que se utilizó este mes para lanzar una serie de ciberataques masivos.

Los expertos involucrados en el derribo advierten que WireX marca el surgimiento de una nueva clase de herramientas de ataque contra las que es más difícil defenderse y, por lo tanto, requieren una cooperación más amplia de la industria para vencerlas.

Este gráfico muestra el rápido crecimiento de la botnet WireX en las primeras tres semanas de agosto de 2017.

Este gráfico muestra el rápido crecimiento de la botnet WireX en las primeras tres semanas de agosto de 2017.

La noticia de la aparición de WireX apareció por primera vez el 2 de agosto de 2017, cuando se detectó por primera vez una modesta colección de dispositivos Android pirateados realizando algunos ataques en línea bastante pequeños. Sin embargo, menos de dos semanas después, la cantidad de dispositivos Android infectados esclavizados por WireX se había disparado a decenas de miles.

Más preocupante era que quienes tenían el control de la red de bots ahora la usaban para derribar varios sitios web importantes en la industria de la hospitalidad, arrojando a los sitios objetivo tanto tráfico basura que los sitios ya no podían acomodar visitantes legítimos.

Los expertos que rastrean los ataques pronto se concentraron en el malware que alimenta a WireX: aproximadamente 300 aplicaciones móviles diferentes repartidas por todo el mundo. Google‘s Tienda de juegos que imitaban programas aparentemente inocuos, incluidos reproductores de video, tonos de llamada o herramientas simples como administradores de archivos.

“Identificamos aproximadamente 300 aplicaciones asociadas con el problema, las bloqueamos de Play Store y estamos en proceso de eliminarlas de todos los dispositivos afectados”, dijo Google en una declaración escrita. “Los hallazgos de los investigadores, combinados con nuestro propio análisis, nos han permitido proteger mejor a los usuarios de Android, en todas partes”.

Tal vez para evitar levantar sospechas, todas las aplicaciones contaminadas de Play Store realizaron sus funciones básicas establecidas. Pero esas aplicaciones también incluían un pequeño programa que se iniciaba silenciosamente en segundo plano y hacía que el dispositivo móvil infectado se conectara subrepticiamente a un servidor de Internet utilizado por los creadores del malware para controlar toda la red de dispositivos pirateados. A partir de ahí, el dispositivo móvil infectado esperaría órdenes del servidor de control sobre qué sitios web atacar y cómo.

Una muestra de las aplicaciones de la tienda Play de Google que fueron contaminadas con el malware WireX.

Una muestra de las aplicaciones de la tienda Play de Google que fueron contaminadas con el malware WireX.

Los expertos involucrados en el derribo dicen que no está claro exactamente cuántos dispositivos Android pueden haber sido infectados con WireX, en parte porque solo una fracción de los sistemas infectados en general pudieron atacar un objetivo en un momento dado. Los dispositivos que estaban apagados no atacaban, pero aquellos que estaban encendidos con la pantalla del dispositivo bloqueada aún podían llevar a cabo ataques en segundo plano, descubrieron.

“Sé que en los casos en los que extrajimos datos de nuestra plataforma para las personas objetivo, vimos entre 130 000 y 160 000 (direcciones de Internet únicas) involucradas en el ataque”, dijo. chad marineroun ingeniero senior en Akamaiuna empresa que se especializa en ayudar a las empresas a resistir grandes ataques DDoS (Akamai protegió a KrebsOnSecurity de cientos de ataques antes del gran ataque de Mirai el año pasado).

El comunicado de prensa idéntico que Akamai y otras empresas involucradas en el derribo de WireX acordaron publicar dice que la botnet infectó un mínimo de 70 000 sistemas Android, pero Seaman dice que esa cifra es conservadora.

“Setenta mil era una apuesta segura porque esta botnet hace que si estás conduciendo por la autopista y tu teléfono está ocupado atacando algún sitio web, existe la posibilidad de que tu dispositivo aparezca en los registros de ataque con tres o cuatro o incluso cinco diferentes direcciones de Internet”, dijo Seaman en una entrevista con KrebsOnSecurity. “Vimos ataques provenientes de dispositivos infectados en más de 100 países. Venía de todas partes”.

EDIFICIO EN MIRAI

Los expertos en seguridad de Akamai y otras empresas que participaron en el desmantelamiento de WireX afirman que la base de su colaboración se forjó en los monstruosos y sin precedentes ataques distribuidos de denegación de servicio (DDoS) lanzados el año pasado por Mirai, una cepa de malware que busca mal- Dispositivos seguros de «Internet de las cosas» (IoT), como cámaras de seguridad, grabadoras de video digital y enrutadores de Internet.

La primera y más grande de las redes de bots Mirai se usó en un ataque gigante en septiembre pasado que dejó fuera de línea este sitio web durante varios días. Solo unos días después de eso, cuando el código fuente que alimenta a Mirai se publicó en línea para que todo el mundo lo vea y lo use, surgieron docenas de imitaciones de botnets de Mirai. Varias de esas botnets se utilizaron para realizar ataques DDoS masivos contra una variedad de objetivos, lo que provocó interrupciones generalizadas de Internet para muchos de los principales destinos de Internet.

allison nixondirector de investigación de seguridad en la empresa de seguridad con sede en la ciudad de Nueva York Punto de inflamabilidaddijo que los ataques de Mirai fueron una llamada de atención para la industria de la seguridad y un grito de guerra para una mayor colaboración.

“Cuando esas redes de bots Mirai DDoS realmente grandes comenzaron a aparecer y derribaron piezas masivas de la infraestructura de Internet, eso causó interrupciones masivas en el servicio para las personas que normalmente no se enfrentan a los ataques DDoS”, dijo Nixon. “Se generó mucha colaboración. Diferentes jugadores en la industria comenzaron a darse cuenta, y muchos de nosotros nos dimos cuenta de que teníamos que lidiar con esto porque si no lo hacíamos, seguiría creciendo y arrasando..”

Mirai se destacó no solo por el tamaño sin precedentes de los ataques que podía lanzar, sino también por su capacidad para propagarse rápidamente a nuevas máquinas. Pero a pesar de toda su potencia de fuego, Mirai no es una plataforma de ataque particularmente sofisticada. Bueno, no en comparación con WireX, eso es.

ORÍGENES DEL FRAUDE DE CLIC

Según la investigación del grupo, la botnet WireX probablemente comenzó su existencia como un método distribuido para realizar «haga clic en fraude”, una forma perniciosa de fraude publicitario en línea que le costará a los editores y empresas un estimado de $ 16 mil millones este año, según estimaciones recientes. Múltiples herramientas antivirus actualmente detectan el malware WireX como una variante conocida de malware de fraude de clics.

Los investigadores creen que, en algún momento, la botnet de fraude de clics se reutilizó para realizar ataques DDoS. Si bien las redes de bots DDoS impulsadas por dispositivos Android son extremadamente inusuales (si no sin precedentes a esta escala), es la capacidad de la red de bots para generar lo que parece ser un tráfico de Internet regular desde los navegadores móviles lo que infunde temor en el corazón de los expertos que se especializan en defender a las empresas de Ataques DDoS a gran escala.

Los defensores de DDoS a menudo confían en el desarrollo de «filtros» o «firmas» personalizados que pueden ayudarlos a separar el tráfico de ataques DDoS del tráfico legítimo del navegador web destinado a un sitio objetivo. Pero los expertos dicen que WireX tiene la capacidad de hacer que ese proceso sea mucho más difícil.

Esto se debe a que WireX incluye su propio navegador web llamado «sin cabeza» que puede hacer todo lo que puede hacer un navegador real dirigido por el usuario, excepto sin mostrar el navegador al usuario del sistema infectado.

Además, Wirex puede cifrar el tráfico de ataque mediante SSL, la misma tecnología que normalmente protege la seguridad de una sesión de navegador cuando un usuario de Android visita un sitio web que requiere el envío de datos confidenciales. Esto agrega una capa de ofuscación al tráfico de ataque, porque el defensor necesita descifrar los paquetes de datos entrantes antes de poder determinar si el tráfico interno coincide con una firma de tráfico de ataque malicioso.

Traducción: puede ser mucho más difícil y lento de lo habitual para los defensores diferenciar el tráfico de WireX de los clics generados por usuarios legítimos de Internet que intentan navegar a un sitio objetivo.

“Estos son ataques bastante miserables y dolorosos de mitigar, y fueron este tipo de funcionalidades avanzadas las que hicieron que esta amenaza sobresaliera como un pulgar dolorido”, dijo Seaman de Akamai.

NINGÚN LUGAR PARA ESCONDERSE

Tradicionalmente, muchas empresas que se encontraban en el extremo receptor de un gran ataque DDoS buscaban ocultar este hecho al público, tal vez por temor a que los clientes o usuarios pudieran concluir que el ataque tuvo éxito debido a alguna falla de seguridad por parte de la víctima.

Pero el estigma asociado con ser golpeado por un gran DDoS está comenzando a desvanecerse, dijo Nixon de Flashpoint, aunque solo sea por la razón de que se está volviendo mucho más difícil para las víctimas ocultar tales ataques al público. conocimiento.

“Muchas empresas, incluida Flashpoint, han desarrollado diferentes capacidades para ver cuándo se está atacando a un tercero por DDoS”, dijo Nixon. “Aunque trabajo en una empresa que no realiza mitigación de DDoS, aún podemos obtener visibilidad cuando un tercero es atacado. Además, los operadores de red y los ISP tienen un gran interés en que sus redes no sean abusadas por DDoS, y muchos de ellos han creado capacidades para saber cuándo sus redes están pasando tráfico DDoS”.

Así como varios estados nacionales ahora emplean una variedad de técnicas y tecnologías para vigilar a los estados nacionales que podrían realizar pruebas subterráneas de armas nucleares altamente destructivas, muchas más organizaciones ahora están buscando activamente signos de ataques DDoS a gran escala, agregó Seaman. .

“La gente que opera esos satélites y sensores de sismógrafos para detectar energía nuclear [detonations] pueden decirte qué tan grande era y tal vez qué tipo de bomba era, pero probablemente no podrán decirte de inmediato quién la lanzó”, dijo. “Solo cuando tomamos muchos de estos informes juntos en conjunto, podemos tener una idea mucho mejor de lo que realmente está sucediendo. Es un buen ejemplo de que ninguno de nosotros es tan inteligente como todos nosotros”.

Según el consorcio de la industria WireX, el paso más inteligente que pueden tomar las organizaciones cuando se encuentran bajo un ataque DDoS es hablar con sus proveedores de seguridad y dejar en claro que están abiertos a compartir métricas detalladas relacionadas con el ataque.

“Con esta información, aquellos de nosotros que estamos facultados para desmantelar estos esquemas podemos aprender mucho más sobre ellos de lo que sería posible de otro modo”, señala el informe. “No hay vergüenza en pedir ayuda. No solo no hay vergüenza, sino que en la mayoría de los casos es imposible ocultar el hecho de que está bajo un ataque DDoS. Varios esfuerzos de investigación tienen la capacidad de detectar la existencia de ataques DDoS que ocurren a nivel mundial contra terceros, sin importar cuánto quieran mantener el problema en secreto. Hay pocos beneficios en ser reservado y numerosos beneficios en ser comunicativo”.

Copias idénticas del informe WireX y el Apéndice están disponibles en los siguientes enlaces:

Punto de inflamabilidad

Akamai

Llamarada de la nube

RiesgoIQ

Deja un comentario