Un gentil viaje al interior de las extorsiones mediante DDoS

Un gentil viaje al
interior de las
extorsiones
mediante DDoS

Telefonica
extorsión.
(Del lat. extorsĭo, -ōnis).

1. f. Amenaza de pública difamación o
daño semejante que se hace contra
alguien, a fin de obtener de él
dinero u otro provecho.

2. f. Presión que, mediante amenazas,
se ejerce sobre alguien para obligarle
a obrar en determinado sentido.
Fuente: RAE

Telefonica
Si no me das 3.000
euros atacaremos
tu web y estarás
fuera de internet
durante las
próximas
semanas.

Telefonica
Empresas afectadas

• Foros • Salud
• Farmacias • Electrónica
• Pornografía • Joyas
• Automóviles • Lotería
• Relojes de • Viajes
réplica • Juego online
• Juego online • Pymes
• Diseño web • Etc.
• Deportes

Telefonica
Estadísticas

4 meses monitorizando
96 C&C Monitorizados
23 días de vida media de un C&C
3.354 URL atacadas

80
53 Puertos
atacados
22
21
3306
110

.si, 1 .ua, 50 .cc, 7 .name, 2
Telefonica
.info, 7
.com, 7 Sitios atacados
.us, 1 .at, 1
.ch, 1 IP, 209
.tv, 57
.biz, 3

.de, 5 88 .org, 290
.net,
.su, 5
.kz, 2
.cz, 4
.bg, 4

.ru, 2617

Telefonica
RussKill/DirtJumper/Pandora

Enero 2009: RussKill

Mayo 2011: DirtJumper

Julio 2011: DDoS As a Service con
DirtJumper

Abril 2012: Pandora y Di-BoTNet

Telefonica

Autor: sokol
Socio: †SHYLLER†™
Foros: shopworld.biz y damagelab.org
Precio: $150-$1000

Builder (win32) + PHP C&C

Telefonica

Vector de Infección: spam, exploit kits
(BlackHole), fake downloads, pay-per-
install

Infección del sistema:
1. Como un servicio de Windows
2. En el Winlogon

IPv6, AntiVM, AntiDebug, infección por
USB

Telefonica

Comunicación: POST al C&C (variable
k)

01|300|150http://www.victima.com

01 Comando a ejecutar
300 Hilos en paralelo
150 segundos en ‘calling home’

Telefonica
RussKill/DirtJumper

Comandos:

X1 HTTP Flood
X2 Synchronous Flood
X3 Downloading Flood
X4 POST Flood
X5 Multipurpose Flood (light)
X6 Multipurpose Flood (full)

X=0 Iniciar
X=1 Parar

Telefonica
Pandora

Comandos:

X1 HTTP Min
X2 HTTP Download
X3 HTTP Combo
X4 Socket Connect
X5 Max Flood

X=0 Iniciar
X=1 Parar

Telefonica
05, 2
Estadísticas

Ataques
04, 74 más
utilizados

01, 148

03, 25

02, 17

Telefonica
Referer y User-Agent

Mozilla/4.0 (compatible; FastCrawler3 support-fastcrawler3 @.
No)
Mozilla/4.0 (compatible; GPU p2p crawler http://gpu..net /
search_engine.php)
Mozilla/4.0 (compatible; grub-client-0.3.x; Crawl your own stuff
with http://grub.org)
Mozilla/4.0 (compatible; ibisBrowser)
Mozilla/4.0 (compatible; IE-Favorites-Check-0.5)
Mozilla/4.0 (compatible; KeepNI web site monitor)
Mozilla/4.0 (compatible; Lotus-Notes/5.0; Windows-NT)
Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)
Mozilla/4.0 (compatible; MSIE 4.01; Vonna.com bot)
Mozilla/4.0 (compatible; MSIE 4.01; Windows CE; MSN
Companion 2.0; 800x600; Compaq)

Telefonica
Otros ataques vistos

Ataques de Amplificación
(DNS, SNMP)
R-U-D-Y
Apache Killer
SSL Renegotiation

Xerxes Redes Sociales y TOR

Telefonica
Conclusiones

No pagues nunca
Busca protección y asesoramiento
Denuncia

La ley obliga a resistir frente a la
extorsión
La persona que extorsiona puede
caerle una pena de 1 a 5 años
(artículo 243 del CP )

¿Preguntas?

David Barroso
@lostinsecurity

Un gentil viaje al interior de las extorsiones mediante DDoS

Más contenido relacionado

Similar a Un gentil viaje al interior de las extorsiones mediante DDoS

Más de David Barroso

Último

Un gentil viaje al interior de las extorsiones mediante DDoS