T-1000, Botnet basadas en el navegador

egún informan en Incapsula se ha detectado un ataque DDoS basado en el browser y lo han denominado con el simpático nombre de T-1000.
La botnet está formando por miles de navegadores ejecutando copias de PhantomJS, una herramienta de desarrollo que utiliza un navegador con plena capacidad de navegación pero sin interfaz de usuario, sin botones, sin barra de direcciones, etc. Originalmente el objetivo de PhantomJS es la automatización y monitorización de sitios pero utilizado de esta manera se ha transformado en una herramienta de ataque.

El ataque actual ha durado más de 150 horas, durante las cuales se han registrado más de 180.000 IPs atacando desde todo el mundo.

En términos de volúmenes, el ataque alcanzó a 6.000 hits/segundo y un promedio de +690.000.000 visitas diarias. El número de IPs, así como su variedad geográfica, inicialmente llevó a creer que podría tratarse de un esfuerzo coordinado, que involucraría a más de una botnet. Durante la duración del ataque se vieron 861 variantes de user-agent para evadir las defensas y se utilizaron diversas variantes de Chrome, Opera y FireFox.

Es interesante notar que en un esfuerzo para imitar el comportamiento humano y para evitar las reglas de seguridad basadas en comportamiento, los atacantes aprovecharon el número de IPs disponibles para intentar evitar la detección.

Fuente: Segu-Info

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos