Botnet secuestra servidores web para campaña DDoS
Investigadores de Imperva han descubierto una red zombie (botnet) 'experimental' que usa cerca de 300 servidores web secuestrados para lanzar ataques DDoS de gran ancho de banda.
Se cree que todos los servidores están abiertos a una vulnerabilidad de seguridad no especificada que le permite al atacante, quien se hace llamar 'Exeman', infectarlos con un pequeño script PHP de 40 lineas. Este incluye una GUI sencilla desde la cual el atacante puede volver en una fecha posterior para ingresar los números de IP, puerto y duración para el ataque que se va a lanzar. Pero ¿porqué servidores en primer lugar? Las botnets se arman con PCs y raramente involucran a servidores.
Según el CTO de Imperva Amachai Shulman, esos no tienen software antivirus y ofrecen una capacidad de subida de gran ancho de banda, tipicamente 10-50 veces lo que tienen las PC de hogar. ¿Hay desventajas en esto? Sencillamente hay menos, el atacante necesita encontrar máquinas vulnerables usando PHP, y parecen necesitar control manual, aunque Shulmandijo que los ataques probablemente podrían ser automatizados usando un script separado.
Imperva descubrió el ataque obteniendo el código fuente del servidor de ataque, el cual simplemente corrió a través de Google, revelando la lista de los servidores infectados con esto. Entonces la compañía fue capaz de de ver como el atacante usaba los servidores comprometidos para lanzar ataque reales de Denegación de Servicio hacia un ISP Holandés. El propósito esté probablemente relacionado con cuestiones de extorsión.
El controlador de la botnet usó el sistema de anonimato Tor para ocultar sus conexiones entrantes, ,o que hizo imposible juzgar su ubicación. Los servidores en si mismos fueron servidores solitarios en compañías de hosting, quizás algunos que no monitorean cuidadosamente los patrones de tráfico saliente.
¿Saben las compañías de hosting o los propietarios de sitios web que están secuestrados por una de las botnets más extrañas en Internet? Lo más probable que sólo si las autoridades o terceros ISP los llamen con quejas por tráfico Internet no deseado.
El GUI de la botnet sugiere que el programa de secuestro, y quizás la botnes misma, fue creada probablemente para ser alquilada a terceros. Un mensaje en la sencilla interfaz recuerda al usuario "No te DoS a ti mismo"
Traducción: Raúl Batista - Segu-Info
Autor: Jhon E. Dunn
Fuente: Networkworld
Se cree que todos los servidores están abiertos a una vulnerabilidad de seguridad no especificada que le permite al atacante, quien se hace llamar 'Exeman', infectarlos con un pequeño script PHP de 40 lineas. Este incluye una GUI sencilla desde la cual el atacante puede volver en una fecha posterior para ingresar los números de IP, puerto y duración para el ataque que se va a lanzar. Pero ¿porqué servidores en primer lugar? Las botnets se arman con PCs y raramente involucran a servidores.
Según el CTO de Imperva Amachai Shulman, esos no tienen software antivirus y ofrecen una capacidad de subida de gran ancho de banda, tipicamente 10-50 veces lo que tienen las PC de hogar. ¿Hay desventajas en esto? Sencillamente hay menos, el atacante necesita encontrar máquinas vulnerables usando PHP, y parecen necesitar control manual, aunque Shulmandijo que los ataques probablemente podrían ser automatizados usando un script separado.
Imperva descubrió el ataque obteniendo el código fuente del servidor de ataque, el cual simplemente corrió a través de Google, revelando la lista de los servidores infectados con esto. Entonces la compañía fue capaz de de ver como el atacante usaba los servidores comprometidos para lanzar ataque reales de Denegación de Servicio hacia un ISP Holandés. El propósito esté probablemente relacionado con cuestiones de extorsión.
El controlador de la botnet usó el sistema de anonimato Tor para ocultar sus conexiones entrantes, ,o que hizo imposible juzgar su ubicación. Los servidores en si mismos fueron servidores solitarios en compañías de hosting, quizás algunos que no monitorean cuidadosamente los patrones de tráfico saliente.
¿Saben las compañías de hosting o los propietarios de sitios web que están secuestrados por una de las botnets más extrañas en Internet? Lo más probable que sólo si las autoridades o terceros ISP los llamen con quejas por tráfico Internet no deseado.
El GUI de la botnet sugiere que el programa de secuestro, y quizás la botnes misma, fue creada probablemente para ser alquilada a terceros. Un mensaje en la sencilla interfaz recuerda al usuario "No te DoS a ti mismo"
Traducción: Raúl Batista - Segu-Info
Autor: Jhon E. Dunn
Fuente: Networkworld
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!