¿Cuál es la diferencia entre un ataque DDoS y un ataque PDoS?

15

He leído una cierta cantidad sobre el gusano Mirai , un virus que ataca los dispositivos de Internet de las cosas utilizando nombres de usuario y contraseñas predeterminados y esencialmente está conectado para producir una Denegación de servicio distribuida (DDoS).

Sin embargo, recientemente leí sobre otro gusano, BrickerBot , también un ataque de virus en dispositivos de Internet de las cosas. Según este artículo en thenextweb.com, se produce una Denegación permanente de servicio (PDoS).

¿Cuál es la diferencia entre estos dos ataques en relación con la denegación de servicio? De lo contrario, ¿cuál es la diferencia entre DDoS y PDoS en relación con estos ataques de IoT?

security mirai anónimo2
fuente
Ambos son ataques DoS, pero todo lo demás es diferente.
user253751

Respuestas:

16

DDoS vs. "PDoS"

1. DDoS (para referencia)

Un ataque de denegación de servicio distribuido convencional (DDos) es una clase de ataques de denegación de servicio (DoS) en el que se utiliza un sistema distribuido (botnet) que consiste en nodos controlados a través de alguna aplicación ( Mirai , LizardStresser , gafgyt , etc.) para consumir los recursos del sistema o sistemas objetivo hasta el punto de agotamiento. Una buena explicación de esto se da en seguridad . SE .

Una explicación de cómo las botnets controladas por Mirai logran la denegación de servicio se puede encontrar en un análisis realizado por Incapsula :

Como la mayoría del malware en esta categoría, Mirai está diseñado para dos propósitos principales:

  • Localice y comprometa los dispositivos IoT para aumentar aún más la botnet.
  • Inicie ataques DDoS basados ​​en instrucciones recibidas de un C&C remoto.

Para cumplir con su función de reclutamiento, Mirai realiza escaneos de direcciones IP de gran alcance. El propósito de estos escaneos es localizar dispositivos IoT poco seguros a los que se pueda acceder de forma remota a través de credenciales de inicio de sesión fácilmente adivinables, generalmente nombres de usuario y contraseñas predeterminados de fábrica (por ejemplo, admin / admin).

Mirai utiliza una técnica de fuerza bruta para adivinar contraseñas, también conocidos como ataques de diccionario ...

La función de ataque de Mirai le permite lanzar inundaciones HTTP y varios ataques DDoS de red (OSI capa 3-4). Al atacar inundaciones HTTP, los bots de Mirai se esconden detrás de los siguientes agentes de usuario predeterminados ...

Para los ataques de capa de red, Mirai es capaz de lanzar inundaciones GRE IP y GRE ETH, así como inundaciones SYN y ACK, inundaciones STOMP (Protocolo de mensajes orientados a texto simple), inundaciones DNS y ataques de inundaciones UDP.

Estos tipos de botnets logran el agotamiento de los recursos, lo que resulta en la denegación de servicio mediante el uso de dispositivos controlados para generar volúmenes tan grandes de tráfico de red dirigidos hacia el sistema de destino que los recursos proporcionados por ese sistema se vuelven inaccesibles durante la duración del ataque. Una vez que cesa el ataque, el sistema objetivo ya no tiene sus recursos consumidos hasta el punto de agotamiento y puede responder nuevamente a las solicitudes legítimas de clientes entrantes.

2. "PDoS"

La campaña BrickerBot es fundamentalmente diferente: en lugar de integrar sistemas integrados en una botnet que luego se usa para organizar ataques a gran escala en servidores, los sistemas integrados son el objetivo.

De la publicación de Radware en BrickerBot " BrickerBot " resulta en la denegación de servicio permanente :

Imagine un ataque de bot de rápido movimiento diseñado para que el hardware de la víctima no funcione. Llamada denegación de servicio permanente (PDoS), esta forma de ciberataque se está volviendo cada vez más popular en 2017 a medida que ocurren más incidentes relacionados con este asalto que daña el hardware.

También conocido como "phlashing" en algunos círculos, PDoS es un ataque que daña tanto un sistema que requiere el reemplazo o la reinstalación del hardware. Al explotar fallas de seguridad o configuraciones incorrectas, PDoS puede destruir el firmware y / o las funciones básicas del sistema. Es un contraste con su conocido primo, el ataque DDoS, que sobrecarga los sistemas con solicitudes destinadas a saturar los recursos a través del uso involuntario.

Los sistemas integrados destinados a la incapacidad permanente no tienen alguna aplicación descargada en ellos para fines de control remoto y nunca forman parte de una botnet (énfasis mío):

Comprometer un dispositivo

El ataque Bricker Bot PDoS utilizó la fuerza bruta de Telnet, el mismo vector de explotación utilizado por Mirai, para violar los dispositivos de una víctima. Bricker no intenta descargar un archivo binario , por lo que Radware no tiene una lista completa de credenciales que se usaron para el intento de fuerza bruta, pero pudo registrar que el primer intento de par nombre de usuario / contraseña fue consistentemente 'root' / 'vizxv. '

Dañando un dispositivo

Tras el acceso exitoso al dispositivo, el bot PDoS realizó una serie de comandos de Linux que finalmente conducirían a un almacenamiento corrupto, seguido de comandos para interrumpir la conectividad a Internet, el rendimiento del dispositivo y la eliminación de todos los archivos en el dispositivo.

Una tercera diferencia es que esta campaña involucra una pequeña cantidad de dispositivos controlados por atacantes, en lugar de muchos miles o millones:

Durante un período de cuatro días, el honeypot de Radware registró 1,895 intentos de PDoS realizados desde varios lugares del mundo.

Los intentos de PDoS se originaron en un número limitado de direcciones IP repartidas por todo el mundo. Todos los dispositivos están exponiendo el puerto 22 (SSH) y ejecutan una versión anterior del servidor Dropbear SSH. Shodan identificó la mayoría de los dispositivos como dispositivos de red de Ubiquiti; entre ellos están los puntos de acceso y puentes con directividad de haz.

Resumen

Dada la cantidad de formas en que la campaña "PDoS" de BrickerBot difiere fundamentalmente de las campañas "DDoS" convencionales como Mirai, el uso de terminología de sonido similar puede generar confusión.

  • Los ataques DDoS generalmente son realizados por un botmaster con control sobre una red distribuida de dispositivos para evitar que los clientes accedan a los recursos del servidor durante el ataque, mientras que "BrickerBot" es una campaña para "bloquear" los sistemas integrados
  • Los clientes de botnet se controlan a través de una aplicación instalada en el cliente por el atacante. En la campaña BrickerBot, los comandos se ejecutan de forma remota a través de telnet sin el uso de una aplicación de control (por ejemplo, malware)
  • Los ataques DDoS emplean una gran cantidad (miles, millones) de dispositivos controlados, mientras que la campaña BrickerBot utiliza una cantidad relativamente pequeña de sistemas para organizar los llamados ataques "PDoS"
  • la campaña BrickerBot apunta a sistemas embebidos por incapacidad, mientras que Mirai y similares apuntan a sistemas embebidos para integrarlos en una botnet
Julian
fuente
Excelente respuesta detallada!
anonymous2
Wow, leíste tan rápido. Y gracias, tienen un interés en la seguridad de sistemas embebidos
Julian
1
¡Gran respuesta! Después de su primer párrafo para la explicación "PDoS", tuve el momento "oh, ya veo", donde me di cuenta de que el título del malware se explica por sí mismo. El bot que crea dispositivos IoT de ladrillos. Duh!
Reece
1
@PierreLebon ya hubo una guerra de malware: obviamente, Mirai quiere controlar los dispositivos que infecta y, para hacerlo, ya intenta eliminar (algunos) otros programas maliciosos si ya se ha infectado.
Baldrickk
1
@PierreLebon si observa las killer_init()líneas de función 190 a 220 y las memory_scan_match()líneas de función 494 a 539 en el archivo killer.c en el código fuente de Mirai , encontrará que Mirai escanea la memoria del dispositivo en busca de procesos que coincidan con los de las botnets de la competencia y luego mata esos procesos . Mirai también mata telnet en los dispositivos que infecta, por lo que no es necesario que "parchee" el dispositivo; que ya no es susceptible a ataque directo de "BrickerBot"
Julian
7

Los DDoSes son efímeros. Una vez que se elimina el vector de ataque o el DDoS se detiene, el dispositivo funciona. (O en el caso de Mirai, el resto de Internet funciona).

PDoSes actualiza el dispositivo para que no pueda funcionar, nunca más.

Mirai usó dispositivos IoT como fuente DDoS . Los dispositivos infectados por Mirai todavía funcionaban; El aspecto DDoS era adicional a su funcionalidad normal. No era un DDoS contra el dispositivo en sí.

Si hubiera eliminado el funcionamiento normal y no hubiera proporcionado ninguna forma de eliminarlo, habría sido un PDoS contra el dispositivo y la fuente de un DDoS contra Internet en general.

Dave Newton
fuente
Ah, eso tiene sentido. Entonces, ¿el gusano brickerbot está desactivando los dispositivos IoT, mientras que Mirai simplemente hackeó el dispositivo para realizar un ataque DDoS en otros servidores?
anonymous2
@ anonymous2 Eso es lo que entiendo, sí. Ser capaz de bloquear dispositivos conectados es generalmente molesto, pero podría conducir a un peligro real en suficientes casos como para preocuparse.
Dave Newton
¡La conexión de dispositivos conectados es lo que puede llevar la cláusula de las grandes ciudades al apocalipsis! Una vez que el corredor no pueda publicar o verificar su última actuación, comenzará a deambular formando una horda completa ... Oh, debo comenzar a empacar un paquete de emergencia de apocalipsis IOT.
Arrastra y suelta el
5

Desarrollando un poco lo que Dave escribió, el principal factor diferenciador es que en el caso de las redes de bots DDoS, los dispositivos IoT se usan como atacantes, por lo general, ni siquiera impiden que los dispositivos funcionen de manera importante. Después de todos esos atacantes, no quieren perder el poder de tener una red de bots capaz de llevar a cabo ataques DDoS en terceros. El consumidor de IoT generalmente no nota nada.

Sin embargo, el BrickerBot ataca los dispositivos en sí y lo desactiva. Por lo tanto, el consumidor de IoT es el objetivo del ataque y no el proveedor involuntario del potencial de ataque.

Como muchos blogs suponen ( tome este ejemplo ), el bot podría ser un ataque preventivo para reducir los objetivos potenciales de los gusanos DDoS. Principalmente porque hay muy poco que ganar simplemente destruyendo cosas, además de reducir el potencial neto de bot, o la competencia.

Uno podría considerar esto algo bueno, ya que esta es una amenaza que realmente amenaza a los fabricantes de IoT ('imagen) y al consumidor, aumentando la urgencia de asegurar adecuadamente los dispositivos de IoT.

Helmar
fuente