Virus Bulletin 2011 – Bots de DDoS chinos

¡Saludos desde Virus Bulletin 2011! Varias de las charlas de esta mañana eran muy buenas, y al comenzar la tarde se tocó un tema inusual sobre DDoS en Asia.
Arbor Networks identificó más de 40 familias de bots de DDoS chinos y los ha estado rastreando desde hace un año. El malware en sí se está expandiendo en Internet. Montones de estas familias aparecen todo el tiempo, por lo menos surge una cada semana con una funcionalidad nueva y diferente. Cuando estas botnets se usan para lanzar ataques DDoS a algún sitio web, es difícil comprender o hasta especular cuál es la motivación del ataque. La mayor parte del código base es compartido, improvisado, y por lo general lo hacen escritores de virus sin experiencia.

Arbor escribe y mantiene monitores de “bot falso” para registrar los datos y actividades de estas botnets y construir una imagen más clara de los ataques y los perfiles de los grupos. Una de estas familias es el “típico” bot de DDoS chino: darkshell es un buen ejemplo de lo rudimentaria y simple que es la ofuscación de tráfico de redes, pero aun así es el más sofisticado de estas familias.

Jeff Edwards afirmó que el “típico” CN-DDoS bot está escrito en C/C++. Edwards no ha visto bots DDoS chinos escritos en Delphi, VB o C# en Arbor. No tienen ningún mecanismo avanzado para esconderse y es probable que los nombres de servicios o cadenas de caracteres de los bots tengan graves erratas. Estos bots utilizan una instalación muy básica para Windows service y algunos emplean http, pero la mayoría utiliza conexiones tcp en sus servidores de comando y control (CnC) ubicados en los dominios 3322.org o 8866.org de proveedores dns dinámicos y gratuitos. Para nuestra sorpresa, atacan a una sola víctima a la vez, a diferencia de las botnets de DDoS europeas, estadounidenses y rusas. La víctima por lo general aloja contenido chino y los ataques casi siempre duran dos horas. Los siguientes en la lista de víctimas de DDoS chinos son los sitios estadounidenses, que reciben alrededor de un cuarto de los ataques. La mayoría de estos sitios alojan algún tipo de contenido chino, ya sean sitios de juegos o música.

Lo que hace que estas familias de bots se diferencien de otros bots de la región es la amplia gama de habilidades para los ataques DDoS que tienen sus motores. Las capacidades de inundación de HTTP basadas en Winsock2 eran las más comunes para lanzar ataques DDoS y se usan para desactivar sitios web, seguidas por las capacidades de inundación de protocolos UDP, TCP e ICMP. De los diez ataques más comunes, los ataques para “disminuir la velocidad de HTTP” estaban ausentes en los bots de DDoS chinos, aunque a menudo están presentes en los bots rusos, estadounidenses y europeos. Edwards mencionó que hasta los ataques de Anonymous tratan de disminuir la velocidad de http.
Yoyoddos es la familia más activa que están rastreando. La familia también ha realizado el ataque más duradero contra un sitio de estas familias de DDoS chinas. Lanzó un ataque por 45 días seguidos. Esta familia ataca con frecuencia a los fabricantes chinos de equipos de procesamiento de alimentos, y Edwards notó que en la misma campaña atacaba los equipos para hacer helados y los que se usan para hacer crema.

Pero los sitios web chinos no son los únicos blancos de estos ataques DDoS. Jkddos suele atacar a grandes y destacadas compañías financieras y de inversiones. En 6 ocasiones diferentes, esta familia se utilizó para lanzar ataques DDoS a una empresa neoyorkina de bienes raíces, y su ataque más duradero fue de 33 horas.

Es un área nueva y en cierta manera inesperada para realizar estos ataques.