Lukas Stefanko: Cómo luchamos contra un ataque DDoS desde una botnet móvil


Inmediatamente después de su investigación sobre un ataque que intentó derribar el sitio world wide web de ESET, Lukas Stefanko arroja más luz sobre las amenazas planteadas por las botnets móviles.

En el curso de la lucha contra un ataque DDoS en la infraestructura de ESET, los investigadores de ESET descubrieron una aplicación móvil maliciosa que se utiliza para hacer una avalancha de solicitudes a su sitio internet. Investigador de malware de ESET Lukas Stefanko analizó la aplicación y publicó sus hallazgos ayer. Nos sentamos con él para hacerle algunas preguntas de seguimiento.

El ataque se realizó utilizando una aplicación móvil: ¿es un vector común para los ataques DDoS?

Por un lado, los ataques DDoS basados ​​en dispositivos móviles son bastante raros. Los ataques DDoS todavía se suelen lanzar a través de computadoras personales o servidores. Sin embargo, los tiempos están cambiando. Los dispositivos móviles se vuelven más potentes, su conectividad crece más rápido … Si su participación en el tráfico basic de Online, quiero decir en el espacio del consumidor, va a superar a las computadoras, no podemos esperar que los delincuentes se mantengan tímidos de usarlas para sus ataques.

Por cierto, la capacidad de realizar un ataque DDoS falta en la base de conocimiento MITER ATT & CK de técnicas móviles maliciosas. Lo hemos presentado como una nueva técnica porque creemos que esta amenaza seguirá creciendo y que los defensores deben ser conscientes de ello.

El ataque a nuestra infraestructura sirve como una buena ilustración: los delincuentes lograron alcanzar más de cincuenta mil instalaciones con su aplicación, que de ninguna manera es un número bajo. Sin embargo, en el pasado, hubo numerosos casos de adware móvil que llegaron a millones de instalaciones antes de ser detectados. Esto muestra que es posible construir rápidamente una purple de bots relativamente fuerte.

Los delincuentes tienden a seguir algunos objetivos con su acción. ¿Tienes alguna notion de cuál era su objetivo con ese ataque DDoS?

En resumen, no, solo podemos especular. Sin embargo, el único efecto neto del ataque fue que expusieron su botnet, informamos sobre la aplicación que usaron y la retiraron de Play Retail outlet y la borraron de los dispositivos de los usuarios, aquellos con la función Google Guard activada. Prácticamente, esta herramienta DDoS ya no existe.

Entonces, ¿se acabó el juego?

Bueno … con algunas advertencias, sí.

Es posible que la aplicación se haya descargado también de tiendas de aplicaciones no oficiales y no hay medios para borrar esas instalaciones de los dispositivos infectados. Además, la aplicación todavía puede estar al acecho en algunos lugares fuera de Enjoy Retailer. Sin embargo, no hemos visto ningún mecanismo de distribución, por lo que, en mi opinión, esto no es una amenaza real.

Además de eso, el sitio internet que actúa como servidor C&C sigue siendo funcional. Sin embargo, sin un número significativo de dispositivos infectados, el sitio net es inútil.

¿Cómo es que ningún mecanismo de seguridad detectó la aplicación antes de que se incluyera en la tienda oficial de Android?

Mira, la diversidad de aplicaciones está más allá de la imaginación. El número de características es alto y sus combinaciones son infinitas. A pesar de esto, las aplicaciones que son completamente maliciosas quedan atrapadas, con raras excepciones. En este caso certain, la aplicación que, en última instancia, se usó para el ataque, no es maliciosa for each se. Es capaz de contactar un sitio web definido y cargar un script desde él, una característica que es bastante estándar en muchas aplicaciones. Y es el guión lo que hace que la aplicación sea maliciosa.

Probablemente, todas las aplicaciones que tienen la funcionalidad de descargar cualquier cosa deben examinarse teniendo en cuenta el contenido descargado …

Lamentablemente, no es tan easy. Tenga en cuenta que lo que descarga la aplicación puede cambiar en cualquier momento …

¿Significa esto que no hay una manera practical de evitar que este tipo de aplicación maliciosa se filtre en la Tienda?

Bueno, aunque no voy a revelar ningún detalle, hemos mejorado nuestros sistemas de detección. Por lo tanto, según esta experiencia, es possible que podamos marcar troyanos similares a Google.

Dado el hecho de que salvaguardar una tienda de aplicaciones nunca puede ser a prueba de balas, parece que hay una necesidad de protecciones adicionales a nivel de punto ultimate …

Esto no es nada nuevo, ni está limitado a ninguna plataforma en particular. Con la variabilidad y la sofisticación cada vez mayores de los ataques, nunca puede confiar en una sola capa de protección. Idealmente, debe defenderse en cada punto de la cadena de ataque, comenzando por asegurar la fuente, hasta las etapas posteriores a la ejecución, en caso de que el malware llegue a ellos.

Me gustaría enfatizar que, en foundation a lo que hemos aprendido al analizar este ataque, hemos mejorado nuestros mecanismos de detección, incluidas nuestras detecciones basadas en aprendizaje automático.

Entonces, ¿se debe evitar que aplicaciones maliciosas similares se filtren a dispositivos protegidos por la solución de seguridad móvil de ESET?

En principio sí. Nuestros usuarios deben estar a salvo de esta amenaza. Sin embargo, las mejoras que mencioné se relacionan principalmente con tecnologías de protección posteriores al procesamiento, lo que significa que la amenaza podría llegar al dispositivo.

Después de que nuestro sistema de fondo procesa el malware y las detecciones recién creadas se envían a los dispositivos protegidos, la aplicación maliciosa se detectará y se marcará para el usuario.








Enlace a la noticia first