Todos os posts tagados booter

O mundo dos Booters

booter_capa

Sabia que por alguns euros um utilizador pode colocar offline maioria dos sites que conhece?
Este facilitismo na contratação de serviços como Booters veio criar uma nova oportunidade a qualquer utilizador colocar sites em baixo.

Mas afinal o que é um Booter [também conhecido por Stresser]?
Um Booter é um serviço web que efetua DDoS com preços bastante baixos e de difícil deteção.
Os serviços de Booter têm um frontend web onde o cliente, após o devido pagamento, escolhe o site ou IP atacar. Basicamente um painel de controlo de aparente fácil utilização [exemplo].
No backend estão presentes os hosts, na grande maioria servidores dedicados com ligações superiores a 1Gbps, que executam o ataque, que por sua vez estão localizados noutro local.
Não existe qualquer tráfego DDoS feito diretamente pelo ISP do site. Todo o tráfego do ataque DDoS vem de uma infraestrutura separada que inclui muitos servidores espalhados [e computadores pessoais infetados] pela Internet, em que o Booter se coneta via proxies. Ou seja, temos uma aplicação web que se conecta a API preparada para lançar ataques de negação de serviço distribuído.
Pelo meio ainda existe um serviço que protege os sites de Booters com uma segurança web chave-na-mão. Basicamente, é necessário muita papelada, ordens do tribunal e muitas investigações para colocar estes serviços fora do ar.
Praticamente todos os Booters estão com conta no Cloudflare porque é muito recorrente os ataques DDoS à concorrência.
De referir que os Booters por vezes são suportados por botnets [conjunto de máquinas infetadas (bots) que recebem instruções do seu operador para ataques remotos] de grandes dimensões mas estes são muito dificeis de encontrar e de alugar.

Para ter uma ideia da capacidade de um Booter, segue as caracteristicas de um dos Booters mais utilizados no HackForums.net:

Métodos Layer 4 [ou SYN Flood] e Layer 7 [ou HTTP DoS]
Total capacidade – 216Gbps
Ligação garantida – 10 a 50Gbps usando SSDP e 20-70Gbps com NTP
Pode escolher o método de ataque: SSDP, SUDP, NTP, XML_RPC, POST, GET
Preços que começam em $17.99/mês [cerca de 15€] por 1200s (boot time)
Utilização de versões vulneráveis do CMS Joomla como amplificador de ataque

booter01

De referir que, segundo comentários e alguns contatos que fiz no HF, o método preferido neste momento é o SSDP porque amplifica o ataque em quase 30x. Já no passado muitos investigadores de segurança tinham alertado para o fato de haver muitos scanners à porta 1900/UDP – Simple Service Discovery Protocol (SSDP) que faz parte do Universal Plug and Play (UPnP). Routers vulneráveis a falhas UPnP estão a servir para lançar este tipo de ataques devastadores.

Como podemos ver pelo SSDPScan, em Portugal também temos bastantes portas abertas para lançar ataques indoor.

booter02

Pessoalmente acho estranho, quando o protocolo Network Time Protocol (NTP) tem um fator de amplificação maior. No entanto, nos exemplos de Booters que tenho visto, podem sempre escolher ambas as opções – SSDP ou NTP.

O mais grave é que os routers dos utilizadores estão a servir de arma de DDoS sem terem o conhecimento disso. Passwords default e serviços vulneráveis ativos são a porta de entrada para que os Booters tenham tanto sucesso.

Para ter noção da dimensão e o dano causa por este mercado, os Lizard Squad colocaram offline os serviços online da PSN e da XBOX na época natalícia para alegadamente promoverem o seu serviço de Booter – o Lizard Stresser [já encerrado pelas autoridades]. Esse ataque já foi explicado no blogue do Brian Krebs e confirmado por uma divulgação anónima feita no Pastebin. Os Lizard Squad para além de utilizarem routers domésticos para lançarem DDoS, utilizaram diversos IPs do Google – ou o grupo identificou uma falha em algum serviço do Google [não parece muito provável] ou então aproveitou-se de vouchers para o serviço VPS do Google.

Muitos dos últimos ataques DDoS que tem havido e tem sido divulgados nos media são resultado de Booters.

http://www.websegura.net/videos-no-youtube-anunciam-venda-de-ataques-ddos/
http://www.websegura.net/bancos-estao-a-ser-atingidos-por-ataques-ddos/
http://pplware.sapo.pt/informacao/depois-da-psn-e-do-xbox-live-o-alvo-do-ataque-e-a-rede-tor/
http://www.techworld.com/news/security/attackers-install-ddos-bots-on-amazon-cloud-exploiting-elasticsearch-weakness-3533164/
http://www.computerworld.com/article/2862652/garden-variety-ddos-attack-knocks-north-korea-off-the-internet.html
http://www.theregister.co.uk/2014/12/24/rackspace_restored_after_ddos_takes_out_dns/

É claro que este lado negro não é de confiar. A maioria dos Booters têm sempre uma validade bastante curta porque dependem muitas das máquinas comprometidas e do próprio suporte técnico do serviço. Em pesquisas pela web é possível ler várias queixas de utilizadores que no ínicio tinham ligações de ataques DDoS com 15 a 20Gbps e alguns dias depois tinha 3 a 1 Gbps. Afinal, estão a contratar um serviço ilegal, estão à espera de que?

Grande parte dos Booters que foram encerrados foi devido aos pagamentos. Os responsáveis dos sites de Booters preferem ter alternativas de pagamentos ao Bitcoin, como o PayPal e por vezes as autoridades apenas têm de seguir o dinheiro.

Tentei questionar alguns grupos portugueses que efetuam regularmente DDoS mas até à data não obtive qualquer resposta.
No entanto contatei um administrador de uma reputada empresa de hosting portuguesa sobre DDoS:

Penso que nenhum operador em Portugal tem capacidade para “gerir um ataque” bem realizado e bem direcionado de 20Gbps constantes de chegada sem grande impacto ou quebras no serviço. Não me refiro a “kiddies” mas sim de alguém ou de algum grupo com experiência que tenha conhecimento e recursos para iniciar um ataque elaborado e previamente estudado.

Claro que irá depender muito da origem, da estrutura, da evolução e do destino do ataque mas não existem muitos service providers nacionais com backbone internacional de 20gbps o que por si só tem algum significado. É também necessário ter equipamento com capacidade suficiente para gerir os 20gbps e como podem confirmar com uma pesquisa rápida não existem muitas opções com throughtput suficiente para tal, os que existem são ainda de valor bastante elevado. Quando falamos de um ataque estamos ainda a considerar tráfego adicional às normais operações do serviço o que pode significar a necessidade de um backbone e de uma capacidade de gestão global muito superior à força do ataque.

Mas tudo isto é muito subjectivo, “20gbps” pode ter realmente muitos significados, no entanto a nível geral teria com certeza grande impacto nos serviços de qualquer dos operadores nacionais. Prevejo mesmo um cenário bastante negro, a grande maioria ficaria offline por completo pelo menos por longos períodos de dezenas de minutos.

A nível nacional os services providers não estão preparados para acontecimentos desta magnitude. Os grandes operadores dispõe de algumas condições e capacidade mas se olharmos por exemplo para as empresas no hosting, 90% não dispõem sequer de equipamento de rede próprio o que significa que estão sempre dependentes de terceiros e nesse sentido também mais vulneráveis e incapacitadas nestas situações.

Na verdade não seria algo inédito, existem alguns reports não confirmados de DDoS com destino a Portugal nos 20gbps. Os resultados foram devastadores, com períodos elevados de total indisponibilidade do provider, desvalorização e queda da reputação do serviço e da empresa, perda elevada de clientes, etc…

São situações bastante complicadas, existem cada vez mais afectados mas também mais estudo, melhor preparação, mais compreensão e colaboração. Acredito que num futuro bastante próximo as forças estejam mais equilibradas a nível global.

Espero ter contribuído para um melhor entendimento sobre este assunto.
Fica a dica, estejam atentos à segurança do vosso router.