DDoS basados en la nube como servicio

  

... pero usaron su propia infraestructura

No es realmente su propia infraestructura lo que usan. En su lugar, utilizan botnets que consisten en sistemas secuestrados. Estos son sistemas que ellos adquirieron pero definitivamente no son propios. Y por eso es muy barato para ellos.

Aparte de eso, cualquier proveedor de VPS que alquilaría su VPS para los ataques DDoS perdería rápidamente la reputación y, por lo tanto, los clientes adecuados. Y si un proveedor de VPS se especializa en proporcionar VPS para ataques DDoS para compensar la pérdida de clientes normales, sería más fácil bloquear dichos DDoS porque todos se originan en las mismas redes, es decir, simplemente evitan que este proveedor tenga acceso a redes principales.

Los ataques DoS basados en la nube son posibles, y ocurren de vez en cuando. Pero no es una opción muy popular por un par de razones:

• Configuración inicial : la implementación de cientos de máquinas virtuales no es una tarea fácil, y pagarlas tampoco es sencillo. Sin embargo, si está utilizando la máquina virtual de otra persona, esto facilita mucho las cosas.

• Detección : muchos proveedores, incluido Azure, supervisan sus servicios para detectar cualquier actividad maliciosa. De hecho, lanzar ataques desde sus sistemas viola su ToS, y hará que se cierre muy rápidamente.

Sin embargo, la capacidad de tener miles de máquinas repartidas por todo el mundo, cada una generando algo de tráfico puede ser muy poderosa. Si quieres ir un paso más allá, canaliza tu tráfico a través de la red Tor, para que sea casi imposible que un defensor se detenga.

Se ha hecho antes, sin embargo:

  

En 2012, un grupo de ciberdelincuentes explota la vulnerabilidad Elasticsearch 1.1.x de CVE-2014-3120, seguido del uso de Linux DDoS Trojan Mayday y con eso, comprometieron varias máquinas virtuales de Amazon EC2. Aunque esta vulnerabilidad no era exclusiva de los sistemas basados en la nube y podría haberse utilizado contra cualquier servidor, incluidos los sistemas no basados en la nube, ofreció algunas oportunidades interesantes para los atacantes. Pudieron lanzar un ataque DDoS basado en UDP desde las instancias de nube comprometidas. Utilizaron el ancho de banda de salida del proveedor de servicios en la nube, Amazon en este caso.   Fuente: Infosec Institute

Quedar atrapado - esto es más difícil. La creación e implementación de máquinas virtuales en estos días es tan fácil como registrarse para obtener un ID de correo electrónico anónimo, registrar e implementar máquinas. Sin embargo, proveedores se notificarán Grandes cantidades de tráfico desde un sistema. Ya que estás violando sus condiciones de servicio, casi siempre te cerrarán de inmediato. Sin embargo, dado que nunca está revelando su identidad real (asumiendo que está accediendo a sus servicios a través de un anonimizador y utilizando tarjetas de crédito robadas (sin moral),) en su mayoría no podrán descubrir su identidad real. Pero esto significa que estás tirando tu dinero por el desagüe, por lo que es más simple configurar tu propia infraestructura y ofrecerla como un servicio.

Lo curioso es que lo que describe está disponible en este momento . Se llama Mirai, es más o menos de código abierto, y es probable que haya ya ha sido afectado por ella

  

Mirai es un tipo de malware que encuentra automáticamente dispositivos de Internet de las Cosas para infectarlos y los recluta en una red de bots, un grupo de dispositivos informáticos que se pueden controlar de forma centralizada. Desde allí, este ejército de IoT se puede usar para montar ataques distribuidos de denegación de servicio (DDoS) en los que una gran cantidad de tráfico de correo no deseado inunda los servidores de un destino con tráfico malicioso. En las últimas semanas, Mirai interrumpió el servicio de Internet para más de 900,000 clientes de Deutsche Telekom en Alemania e infectó casi 2,400 enrutadores TalkTalk en el Reino Unido. Esta semana, los investigadores publicaron pruebas de que 80 modelos de cámaras de Sony son vulnerables a una adquisición de Mirai.

     

Estos ataques han sido habilitados tanto por el enorme ejército de módems y cámaras web bajo el control de Mirai, como por el hecho de que un hacker conocido como "Anna-senpai" eligió el código de código abierto en septiembre. Si bien no hay nada particularmente novedoso en el software de Mirai, se ha demostrado que es muy flexible y adaptable. Como resultado, los piratas informáticos pueden desarrollar diferentes variedades de Mirai que pueden tomar el control de nuevos dispositivos IoT vulnerables y aumentar la población (y el poder de cómputo) de las que pueden basarse las botnets Mirai.

Hay muchísimos dispositivos IoT inundando el mercado. Todo el mundo quiere tecnología "inteligente". Pero, como suele ser el caso, la seguridad es una idea de último momento. Así que ponemos ese dispositivo ahí fuera y está en Internet para que cualquier persona lo contacte y lo use como mejor le parezca. Y la mayoría de los usuarios (e incluso los ISP) probablemente no se dará cuenta

  

Avance rápido otros 45 minutos. Se reinició el enrutador y se configuró la red nuevamente. Cuando terminé de perder el tiempo, Peakhour había registrado mi tráfico en 470GB. Pero me había librado del problema (o eso creía yo). A la mañana siguiente, antes de irme para el fin de semana, comprobé: el tráfico total era de alrededor de 500 GB. Tal vez había derrotado a los hackers.

     

Esa noche, escuché de Donna. Ella había estado monitoreando el tráfico, que ahora estaba sobre 3TB. Y, solo para asegurarnos de que no tuviéramos dudas, los dispositivos se desconectaron de la red nuevamente.

¿El aviso de que algo andaba mal? Su teléfono usó toda su asignación de 4G a pesar de estar en casa. Su ISP nunca pestañeó con 3TB de ancho de banda consumido

En última instancia, puede contar con personas que son técnicamente analfabetas y compañías que no se preocupan por proporcionar todos los dispositivos botnet que necesitará.

Los proveedores de la nube generalmente requieren la identidad de sus clientes. Si un joven pirata informático emprendedor deseara alquilar los servicios web de Amazon o algo similar, tendría que proporcionar un número de tarjeta de crédito (o más) al servicio, que se puede rastrear hasta el propietario. Los servicios en la nube no quieren participar en DDOS porque sus redes estarían bloqueadas y les costaría dinero en ancho de banda.

Hay son servicios en los que puede alquilar un VPS de forma anónima en Bitcoin, pero generalmente son más pequeños y tampoco quieren ser bloqueados por sus enlaces ascendentes o compañeros.

Por eso es que no es común. DDOS generalmente se considera comportamiento antisocial, y los sociópatas solo representan el 4% de la población.

La clave de tu pregunta está en la primera 'D'.

Lo que hace que un ataque DDoS sea tan efectivo es la naturaleza distribuida de ese ataque. ataque. Con un ataque DoS de estilo antiguo, la víctima usualmente experimentaría un gran cantidad de solicitudes o conexiones a un servidor o recurso específico Se originan a partir de una sola o pequeña cantidad de fuentes. Para mitigar el ataque, Usted podría simplemente bloquear el tráfico de los sistemas atacantes. A menudo, esto podría Ser realizado por el firewall local o similar.

Bajo el ataque DDoS, la víctima se inunda con solicitudes de un gran número de diferentes fuentes. El número es demasiado alto para bloquear individualmente y el volumen de atacantes normalmente sobrecargará toda la infraestructura local, como Cortafuegos y conmutadores de red. En este escenario, normalmente necesitas trabajar con su ISP para que el tráfico al sistema de destino se envíe a un 'agujero negro', que reducirá el volumen y permitirá que la infraestructura local se recupere, pero normalmente significa que el DDoS en el sistema específico es exitoso (porque el tráfico a ese sistema se está enviando al agujero negro). El punto clave es que porque el El ataque está distribuido, es muy difícil bloquear los sistemas atacantes.

Por lo tanto, con respecto a su pregunta con respecto a los servicios DDoS basados en la nube, esto es para Hasta cierto punto depende de tu definición de nube. Una definición sería cualquier Servicio que no está en su propia infraestructura y se entrega desde 'el nube'. En este sentido, los ataques DDoS ya están basados en la nube. No usan el la infraestructura de los atacantes es propia, pero en su lugar, use hosts que el atacante tiene comprometido o aloja el atacante ha identificado que tienen mal Servicios configurados o carecen de controles suficientes para evitar que se utilicen como parte de un ataque DDoS. Por ejemplo, una de las razones por las que hay tanto La preocupación que rodea a IoT es que muchos de estos dispositivos IoT incluyen servicios que puede ser explotado como parte de un ataque DDoS y carece de controles suficientes para Evitar esta explotación por usos remotos desconocidos.

Si define la nube como solo proveedores de IaaS, PaaS y SaaS, la situación es ligeramente diferente. Es poco probable que vea estos servicios que se utilizan para realizar el ataque real simplemente porque el ataque DDoS se basa en un alto número de los atacantes y el hecho de poder usar esa cantidad de proveedores de la nube es prohibitivo - recuerde que los proveedores de la nube no van a dar la bienvenida a este tipo de uso de su infraestructura, por lo que tendrá que hacerlo de una manera 'sigilosa', que es cada vez más difícil a medida que los proveedores de la nube bloquean lo que se considera uso apropiado de su infraestructura (recuerde, ellos tienen una reputación de Mantener: si se les conoce como anfitriones de "malos actores", los ISP y otros solo bloquea el tráfico de sus IPs).

Esto no significa que los atacantes no utilicen servicios en la nube. Lo que encontrarás a menudo es que los proveedores de servicios DDoS utilizarán servicios en la nube como comando y Centro de control de sus agentes DDoS / bots. Todavía tienen que hacer esto en una De manera sigilosa, ya que la mayoría de los servicios en la nube de buena reputación desactivarán a los usuarios que detectan haciendo tales cosas, pero esto es mucho más difícil de detectar y solo necesitan una pocos proveedores de la nube. Los agentes / bots que utilizan para realizar los ataques. suelen ser equipos y servidores comprometidos, a menudo en sistemas domésticos que tienen controles de seguridad más deficientes y cada vez más dispositivos IoT, muchos de los cuales también están en entornos domésticos o de pequeñas oficinas que carecen de medidas de seguridad empresarial o administradores de sistemas expertos, etc.