Los ciberdelincuentes están aprovechando los dispositivos vulnerables de IO para crear redes de bots DDoS masivas. Los investigadores han creado una plataforma para la alerta temprana y el análisis de estos ciberataques.
Los ataques de denegación de servicio distribuidos (DDoS) requieren muy poco esfuerzo por parte de los ciberdelincuentes y, sin embargo, infligen el máximo daño a la víctima objetivo, impidiéndole enviar o recibir tráfico digital. Si bien se dispone de medidas preventivas, las opciones son una apuesta costosa para las pequeñas y medianas organizaciones y empresas que ya tienen problemas de liquidez.
Los ataques actuales de DDoS suelen emplear la metodología de amplificación (PDF), en la que los servidores propiedad de los malhechores coaccionan a los dispositivos informáticos remotos vulnerables para que se multipliquen muchas veces por encima de las solicitudes entrantes que luego se envían al entorno informático objetivo con la intención de desconectarlos, e imagínese la cantidad de dinero que perdería un portal web de juegos de azar el domingo de la Super Bowl si los que quisieran apostar no pudieran llegar al portal. Actualmente, hay más de 10 Protocolos de Internet que pueden ser explotados para este tipo de ataques.
VER: Ebook gratis: Seguridad de la IO: lo que debe saber, lo que puede hacer (ConsejoTecnologico.com)
Añadir dispositivos IoT a la lista
Los ataques DDoS no son nuevos en absoluto, aunque lo relativamente nuevo es la sustitución de ordenadores personales vulnerables por dispositivos igualmente vulnerables de la Internet de los objetos (IO. Los ataques basados en telnet utilizados para comprometer los dispositivos IoT que utilizan arquitectura ARM, MIPS y CPU PPC han aumentado drásticamente desde el primer ataque IoT en 2014.
Yin Minn Pa Pa, Shogo Suzuki, Katsunari Yoshioka y Tsutomu Matsumoto, investigadores de la Universidad Nacional de Yokohama en Japón, Takahiro Kasama del Instituto Nacional de Tecnología de la Información y las Comunicaciones y Christian Rossow de la Universidad del Sarre en Alemania, entienden la gravedad y el potencial de los daños reales causados por las botnets que contienen millones de dispositivos de IO. El equipo de investigación decidió desarrollar un sistema de honeypot capaz de capturar binarios de malware destinados a comprometer los dispositivos de IO, y un entorno de análisis de malware para realizar ingeniería inversa de las muestras capturadas. El equipo publicó los resultados de sus esfuerzos en el documento IoTPOT: Análisis del auge de los compromisos en materia de IO (PDF.
VER: Video: Las 5 mejores formas de asegurar su IO (ConsejoTecnologico.com)
IoTPOT, un honeypot para dispositivos IoT
La idea detrás de IoTPOT es la emulación de varios dispositivos de IoT. «IoTPOT consiste en un front-end de baja interacción que coopera con entornos virtuales back-end de alta interacción llamados IoTBOX», escriben los autores del artículo. «IoTBOX opera varios entornos virtuales comúnmente usados por sistemas embebidos para diferentes arquitecturas de CPU.»
Como se muestra en la , IoTPOT consiste en:
- Respondedor frontal: Este software imita los muchos dispositivos de IO diferentes al manejar las solicitudes de conexión entrantes, las interacciones de banners, la autenticación y los intercambios de comandos con diferentes perfiles de dispositivos.
- Perfilador: Este software media entre el Front-end Responder y el IoTBOX, recoge banners de los dispositivos y actualiza los perfiles de comandos para acelerar las interacciones con los dispositivos que envían consultas Telnet.
- Descargador: Este proceso examina las interacciones y los desencadenantes de descarga de los binarios de malware y sus URLs.
- Gerente: El Administrador gestiona la configuración del IoTPOT y enlaza las direcciones IP a perfiles de dispositivos específicos.
El IoTPOT funciona en Linux para dispositivos embebidos y proporciona:
- soporte para las opciones disponibles de Telnet (que probablemente serán utilizadas por los atacantes);
- mensajes de bienvenida realistas y avisos de inicio de sesión para tratar situaciones en las que el atacante se especializa en comprometer ciertos dispositivos;
- pantallas de inicio de sesión para observar las características del proceso de autenticación; y
- para múltiples arquitecturas de CPU permitiendo la captura de malware a través de múltiples dispositivos.
Los pasos de un ataque Telnet
Si se pregunta si los ataques DDoS que utilizan redes de bots de dispositivos IoT son un problema, lo son. «Durante 39 días de funcionamiento estable, 70.230 hosts visitaron IoTPOT. Entre ellos, 49.141 se conectaron con éxito y 16.934 intentaron descargar archivos binarios de malware externos», explican los investigadores. «Observamos 76.605 intentos de descarga en total. Hemos descargado manualmente 43 binarios de malware de 11 arquitecturas de CPU».
Un ataque Telnet exitoso, como el que se muestra en la , sigue los pasos que se describen a continuación:
- Intrusión: Los atacantes se conectan a IoTPOT usando un orden de credenciales fijo (ataques de diccionario) o aleatorio.
- Infección: Se envían una serie de comandos a través de Telnet para comprobar y personalizar el entorno. Una vez hecho esto, los atacantes intentarán descargar y ejecutar los binarios de malware.
- Monetización: Con la función de malware, los atacantes son libres de realizar las actividades maliciosas previstas, como un ataque DDoS.
IoTBOX, un arenero IoT
IoTBOX consiste en los entornos virtuales de back-end utilizados para analizar el malware capturado . «Para ejecutar binarios de malware de diferentes arquitecturas de CPUs, necesitamos un entorno de compilación cruzada», menciona el artículo de investigación. «Decidimos ejecutar las respectivas plataformas (OS) en una CPU emulada usando QEMU, un emulador de procesador de código abierto.»
Las conclusiones de los investigadores
El documento de investigación se publicó en 2015. Durante el periodo de prueba de 40 días, los ordenadores que albergaban los IoTPOTs fueron duramente golpeados: más de 70.000 hosts visitaron los IoTPOTs, con más de 76.000 intentos de descarga. «Hemos demostrado que los dispositivos de IO son susceptibles a los compromisos y que cada vez más son blanco de malware en masa», concluyen los investigadores. «Identificamos cuatro familias de malware, que muestran un comportamiento de propagación similar al de los gusanos, todos los cuales son usados activamente en ataques DDoS.»
Los autores fueron fortuitos en sus predicciones. El 21 de octubre de 2019, el mayor ataque DDoS de la historia se produjo utilizando una red de bots compuesta por 100.000 dispositivos (estimados) de IO.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves