Gli strumenti DoS decennali sono ancora rilevanti nel 2021?


This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Sorprendentemente, la risposta è sì!

Dopo la caduta di Anonymous nel 2016, il panorama delle minacce è cambiato rapidamente. Il gruppo un tempo mainstream di attacchi organizzati Denial of Service (DoS) con semplici strumenti GUI-based non esisteva più con il prendere forma dell’era degli attacchi Distributed Denial of Service (DDoS) e DDoS-as-a-Service grazie alla potenza delle nuove botnet IoT come Bashlite e Mirai.

Per quanto Anonymous non sia completamente scomparso, negli ultimi cinque anni la sua impronta digitale si ridotta in modo significativo. Oggi è ancora possibile trovare account Anomymous che fanno propaganda attiva sui più comuni social media e piattaforme video, ma con un impatto più ridotto rispetto al passato.  Tuttavia, durante una recente operazione Anonymous, sono rimasto sorpreso nello scoprire che il gruppo, che utilizza ancora PasteBin e GhostBin (per centralizzare i dettagli operativi), aveva aggiornato la sua lista di target rispetto agli anni passati e suggeriva l’uso di Memcached e altri vettori di attacco riflessivi. Consigliava inoltre di usare strumenti DoS antiquati come LOIC, HOIC, ByteDoS e Pyloris, tutti di quasi 10 anni.

Strumenti del passato

HOIC

High Orbit Ion Cannon, o più brevemente HOIC, è uno strumento di stress test di rete correlato a LOIC; entrambi usati per lanciare attacchi Denial of Service diffusi da Anonymous. Questo strumento può causare un Denial of Service mediante l’uso di HTTPS Floods. Inoltre, HOIC ha un sistema di scripting integrato che accetta file .hoic chiamati booster. Questi file consentono all’utente di mettere in campo contromisure di randomizzazione anti-DDoS e aumentare la portata degli attacchi.

Per quanto non disponga di tecniche significative di offuscamento e anonimizzazione per proteggere l’origine dell’utente, l’uso di script “booster” .hoic consente a quest’ultimo di specificare una lista di URL di destinazione a rotazione, referrer, user agent e header. Questo provoca effettivamente una condizione di Denial of Service attaccando diverse pagine sullo stesso sito pur facendo sembrare il tutto una serie di attacchi da diversi utenti.

Figura 1: HOIC 

[Clicca per il Report completo: Quarterly Threat Intelligence Report]

ByteDOS

Considerato un tempo uno strumento distruttivo, ByteDoS è diventato una novità nel 2021. ByteDos è un’applicazione DoS per il desktop di Windows. Si tratta di un semplice file eseguibile standalone che non richiede installazione ed è dotato di funzionalità integrate di IP resolver che permettono a questo strumento di attacco di risolvere gli IP dai nomi di dominio. Supporta anche due vettori di attacco: SYN Flood e ICMP Flood, consentendo all’utente di scegliere il suo preferito. ByteDos supporta anche attacchi dietro ai proxy, consentendo all’aggressore di nascondere la sua fonte e la sua identità. Si tratta di uno strumento molto comune tra hactivisti e sostenitori di Anonymous (e diventa molto efficace se usato collettivamente da molti aggressori in un attacco Denial of Service coordinato).

Figura 2: ByteDOS

Pyloris

Un altro tool un tempo considerato uno strumento distruttivo è Pyloris. Pyloris è uno strumento di attacco DoS categorizzabile come low and slow. Pyloris permette a un utente malintenzionato di costruire richieste HTTP con pacchetti header personalizzati, cookies, informazioni di dimensione del pacchetto, timeout e opzioni di fine linea (CRLF). Il suo obiettivo è quello di tenere le connessioni TCP aperte il più a lungo possibile tra l’aggressore e i server della vittima nel tentativo di esaurire la tabella di risorse delle connessioni del server. Una volta esaurite, il server non gestirà nuove connessioni da utenti legittimi con un conseguente stato di denial-of-service.

[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware. ]

Figura 3: PyLoris 

[Consulta l’ultima edizione di Hacker’s Almanac Series 1:The Threat Actors]

Quanto sono efficaci i vecchi strumenti?

Gli strumenti suggeriti per l’operazione Anonymous e molti altri sono vecchi e datati, eppure hanno stranamente ancora un posto nel panorama delle minacce. In un mondo di botnet IoT di facile costruzione e servizi di attacco a buon mercato, è strano constatare come alcuni suggeriscano ancora di usare strumenti quasi decennali. E per quanto il loro utilizzo non sia più cospicuo, possono rivelarsi ancora efficaci se utilizzati correttamente contro siti web ignari e non protetti. Il diagramma seguente mostra gli eventi dell’ultimo anno correlati ad attacchi LOIC, HOIC, HULK e SlowLoris.

Figura 4: Eventi DoS HOIC, LOIC, HULK e Slowloris (fonte: Radware) 

Come si può vedere, questi strumenti sono ancora rilevanti nel 2020/21 per quanto non altrettanto diffusi o efficaci come un tempo, a causa dell’evoluzione del panorama delle minacce e dei progressi nelle tecnologie di mitigazione. Per quanto Anonymous non rappresenti più la minaccia che era un tempo, c’è sempre il rischio che un lupo solitario o un gruppo di hacker amatoriali salti fuori con questi strumenti, presentando un certo livello di rischio per chi non è protetto.

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center