Professional Documents
Culture Documents
El informe comienza con nuestra percepción sobre las fuentes del tráfico
malicioso global y las víctimas a las que este apunta. Luego analizamos los
componentes del tráfico de ataques al identificar los orígenes de los servidores
de comando y control (C2s) y las bots que estos controlan, junto con un
informe sobre los objetivos de sus ataques, en comparación con los de todas
las amenazas que monitoreamos. Por último, se presenta un análisis profundo
y exclusivo sobre la evolución y las tendencias principales con respecto a las
botnets en dispositivos de IoT que se utilizan para generar ataques DDoS.
2
ÍNDICE
El complejo panorama de las amenazas globales..........................................4
El tráfico entre una red y un servidor C2 es un indicador de riesgo poderoso de que existe un host vulnerable
y que puede estar comprometido. Según la topología de la red, este host comprometido también puede
darle al atacante acceso a los dispositivos detrás de los mecanismos de seguridad vigentes. El rastreo de
datos de servidores C2 revela los hotspots (zonas de gran actividad) de las víctimas y los núcleos donde se
concentra la actividad de los agentes maliciosos.
Aunque los Laboratorios de Investigación de Amenazas de CenturyLink trabajan junto con los proveedores
para desmontar los servicios de soporte, los hosts bullet-proof rara vez cumplen con las normativas y, como
resultado de ello, su tráfico resulta mitigado a través de nuestro backbone global.
Por lo general, para iniciar un ataque eficaz, los servidores de C2 necesitan controlar una botnet. Las botnets
son grupos de hosts individuales comprometidos, o bots, a menudo controlados por un solo C2. Una bot
puede ser un servidor, una computadora o cualquier dispositivo IoT comprometido, como un DVR, una
cámara de seguridad, un teléfono celular, etcétera. Las botnets más peligrosas contienen cientos de miles de
miembros esperando para atacar de manera inmediata; afortunadamente, las botnets
de esta magnitud son cada vez menos frecuentes en la actualidad.
Al ser una bot, el dispositivo comprometido ya ha sido infectado por malware. Se ha comunicado con el C2
y ha identificado qué es y cuáles son sus capacidades. En este momento, la bot simplemente espera recibir
instrucciones para lanzar un ataque contra un objetivo utilizando un conjunto específico de parámetros.
Se comprobó que cada uno de los millones de bots que rastrean los Laboratorios de Investigación de
Amenazas de CenturyLink estaba en comunicación con un servidor de C2 conocido.
454,000
248,000
158,000 147,000
Se ha considerado sobre todo a los agentes maliciosos que controlan los C2 y las botnets; sin embargo,
también es importante evaluar los objetivos de estos ataques.
Los países y las regiones con una sólida infraestructura de comunicaciones no solo suministran sin saberlo
el ancho de banda para estos ataques, sino que además son los mayores objetivos según el volumen de
comandos de ataque.
11. Canadá 12. Países Bajos 13. España 14. Taiwán 15. Sudáfrica
16. Suecia 17. Polonia 18. Australia 19. Noruega 20. Argentina
En estos gráficos se puede apreciar la distribución de los ataques según los principales países y
regiones que son víctima de ataques.
Alemania Francia
Brasil China
México Japón
Argentina Corea
Colombia India
Chile Taiwán
12
Es importante tener en cuenta que con estas dos familias y sus operadores los objetivos tienden a cambiar
con frecuencia. No hace mucho hemos identificado que varios de estos operadores se pasaron o cambiaron
a minería de bitcoins, utilizando las bots que habían cultivado para robar los recursos de procesamiento en
lugar de utilizarlas para atacar.
Luego de estos intentos, se mitiga el tráfico del C2 sobre nuestro backbone global para que los ciberdelincuentes
no puedan utilizar los recursos de nuestra red para perpetrar ataques. En muchos casos, cuando es necesario,
incluso contactamos al dominio de nivel superior (top level domain, TLD) y al registrador para intentar desactivar
el dominio, aunque esta medida arroja resultados diversos. Por consiguiente, a pesar de que el cuadro que sigue
indica que algunos C2 han estado activos hasta cuatro meses, los Laboratorios de Investigación de Amenazas
de CenturyLink mitigaron el tráfico a pocos días de haber identificado la amenaza, de acuerdo con nuestro
compromiso de servir como buenos administradores de Internet.
El atractivo de los desarrollos de Mirai y Gafgyt es que les ofrecen a los agentes maliciosos una amplia variedad
de opciones personalizables para llevar a cabo sus ataques. La determinación del tipo de ataque específico
utilizado se basa en la capacidad del software, los deseos del cliente malicioso, el objetivo y el resultado
deseado. Cada comando de ataque puede incluir una lista de direcciones IP objetivo, dominios objetivo,
puertos, servicios y duraciones específicas.
16,000
14,000
12,000
10,000
8,000
6,000
4,000
2,000
El cuadro que sigue revela las formas UDP y STD (las descripciones aparecen a continuación) como la clase
principal de ataque de Gafgyt según nuestras observaciones.
UDP Flood [Mirai] y STD [Gafgyt] SYN Flood [Mirai] TCP [Gafgyt]
Se usa un ataque por saturación del protocolo Un ataque por saturación de clase TCP SYN consiste
de datagramas de usuario (UDP, por sus siglas en en que un agente malicioso envía solicitudes
inglés) para lanzar un bombardeo de paquetes hacia sucesivas de sincronización (SYN) para desbordar
un objetivo específico. En un ataque de clase UDP los servidores de la víctima, lo que resulta en
flood, el puerto de destino puede estar predefinido la incapacidad de esta última de responder
o ser aleatorio. Por lo general, el puerto fuente es simultáneamente a las solicitudes de tráfico legítimo.
aleatorio, y el IP fuente puede ocultarse con facilidad,
con lo que el atacante se pone a salvo de recibir una ACK Flood [Mirai] TCP [Gafgyt]
respuesta del sistema atacado de manera remota. Un ataque por saturación ACK está estrechamente
relacionado con el SYN flood. El agente malicioso
Valve [Mirai] satura el firewall de la víctima con paquetes ACK de
Valve Source Engine Query Flood es un ataque identidad falsa con el objetivo de desbordar el servidor.
basado en UDP diseñado para enviar pedidos
de Source Engine Query (consulta de motor de UDP Plain [Mirai] UDP [Gafgyt]
búsqueda), que generan demandas de recursos El ataque UDP Plain es esencialmente un tipo de ataque
excesivas sobre el servidor objetivo cuando se las por saturación de UDP, solo que optimizado para que
envía desde varias direcciones falsificadas en altos tenga mayor velocidad. La falsificación de la identidad
volúmenes. El volumen de solicitudes satura el (spoofing) no es posible con este tipo de ataque.
servidor, lo que provoca que se deniegue el servicio.
Este tipo de ataques se ha utilizado con servidores HTTP [Gafgyt] HTTP Flood [Mirai]
de videojuegos debido a su posibilidad de El tipo de ataque HTTP es un ataque de capa 7.
amplificación. Cuando se envía este tipo de consulta, Crea una conexión válida con datos aleatorios, y se
el servidor responde con información acerca del completan cabeceras HTTP basadas en respuestas
servidor de videojuegos, y esto se aprovecha para HTTP. Los atacantes pueden usar tipos de solicitudes
generar demoras en el juego o cortes en el servicio GET y POST.
para obtener ventajas competitivas.
15 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017
Interpretación de los datos
Las empresas y los organismos gubernamentales necesitan una solución de
inteligencia que les ofrezca la capacidad de mantener la confidencialidad, la
integridad y la disponibilidad de los datos, los recursos de red y otros activos.
16
Para mantenerse a la par de un enemigo que está en Conforme las organizaciones continúan obteniendo
evolución constante, es necesario que las empresas beneficios operativos al adoptar cada vez más
y los gobiernos comprendan el panorama de servicios basados en la nube, el perímetro de
amenazas en su totalidad, ya que afecta a sus redes. seguridad sigue variando y, en algunos casos, se
Al mismo tiempo, la inteligencia de amenazas sin disuelve. Mientras tanto, el gasto en seguridad crece
los filtros y las personalizaciones apropiados puede de manera exponencial. Al abordar la seguridad con
resultar fácilmente en una inundación de información un enfoque integral que recibe información sobre
que en última instancia paralice el análisis. amenazas que posibilita la acción, las empresas y
los organismos gubernamentales pueden acortar la
Con el gran volumen y la variedad de tipos de brecha de protección.
amenazas, aún dentro del subgrupo de ataques DDoS
a dispositivos de IoT, resulta fácil perder de vista las El alcance y la profundidad de los Laboratorios de
amenazas más peligrosas. Esto se advierte cuando Investigación de Amenazas de CenturyLink provienen
los titulares de las noticias buscan revelar los motivos, de una de las mayores redes troncales de IP del
las técnicas y las fuentes de las amenazas, pero mundo, de la infraestructura crítica que respalda las
pasan por alto avances importantes. Un ejemplo es operaciones globales de CenturyLink y las relaciones
la atención desproporcionada que recibe Mirai, con que se forman con nuestros clientes y pares del
un tiempo de permanencia notablemente inferior y un sector. CenturyLink adopta un enfoque proactivo
caudal de víctimas más bajo por volumen, por encima para proteger la Internet: cuando advertimos algo,
de la que se le presta a Gafgyt, que hasta ahora ha lo frenamos. Consideramos que la Internet es una
demostrado ser una amenaza más persistente. aldea, y cada uno de nosotros debe cumplir con su
parte para protegerla.
El presente documento se ofrece con fines informativos únicamente y puede requerir de investigación y corroboración adicional por parte
del usuario final. Asimismo, la información se provee “como está”, sin ninguna garantía o condición de ninguna naturaleza, ya sea expresa o
implícita. El uso de esta información es responsabilidad del usuario final. CenturyLink no garantiza que esta información vaya a satisfacer los
requisitos del usuario final ni que su implementación o uso arrojen el resultado deseado por el usuario final. El presente documento representa
los productos y las ofertas de CenturyLink desde la fecha de emisión.
Lo servicios no están disponibles en todas partes. Solo para clientes empresariales. CenturyLink puede cambiar o cancelar productos y servicios o remplazar productos y servicios similares a su exclusivo
criterio sin previo aviso. ©2018 CenturyLink. Todos los derechos reservados. La marca, las rutas, el logo y determinados nombres de productos de CenturyLink son propiedad de CenturyLink. Las restantes
marcas son propiedad de sus respectivos propietarios.