As ferramentas de DoS da década passada ainda são relevantes em 2021?
This post is also available in:
Inglês 
Francês 
Alemão 
Italiano 
Espanhol 
Russo
Por incrível que pareça, a resposta é sim.
Depois que o Anonymous foi desmantelado em 2016, o panorama das ameaças mudou rapidamente. O grupo que antes dominava os ataques organizados de negação de serviço (DoS) com ferramentas simples baseadas em GUI não mais existia, à medida que a era dos ataques de negação de serviço distribuído (DDoS) e da DDoS-as-a-Service começava a ganhar forma sob o poder dos novos botnets de IoT, como Bashlite e Mirai.
Embora o Anonymous não tenha desaparecido totalmente, a pegada digital do grupo diminuiu significativamente nos últimos cinco anos. Hoje ainda é possível encontrar contas do Anonymous nas redes sociais e plataformas de vídeo habituais divulgando propaganda operacional, mas com um impacto limitado em comparação com o passado. No entanto, durante uma operação recente do Anonymous, fiquei surpreso ao descobrir que o grupo, que ainda usa PasteBin e GhostBin (para centralizar detalhes operacionais), tinha atualizado sua lista de alvos de anos anteriores e sugeriu o uso de Memcached e outros vetores de ataques de reflexão. Eles recomendaram o uso de ferramentas de DoS antiquadas, como LOIC, HOIC, ByteDoS e Pyloris, todas com quase dez anos de existência.
Ferramentas do passado
HOIC
O Canhão de Íons de Alta Órbita, ou apenas HOIC, é uma ferramenta de teste de estresse de rede relacionada ao LOIC. Ambos são usados para lançar ataques de negação de serviço popularizados pelo Anonymous. Essa ferramenta pode causar uma negação de serviço através de inundações HTTP. Além disso, o HOIC tem um sistema de script integrado que aceita arquivos .hoic chamados boosters. Esses arquivos permitem que um usuário implemente contramedidas de randomização anti-DDoS e aumente a magnitude do ataque.
Embora não tenha técnicas significativas de ofuscação ou anonimização para proteger a origem do usuário, o uso de scripts “booster” .hoic permite ao usuário especificar uma lista de URLs de destino rotativo, remetentes, agentes de usuário e cabeçalhos. Isso efetivamente causa uma condição de Negação de Serviço atacando várias páginas no mesmo site, fazendo parecer que os ataques vêm de vários usuários diferentes.,
Figura 1: HOIC
[Clique para ler o relatório completo: Relatório trimestral de Inteligência de ameaças]
ByteDOS
Antes considerada uma ferramenta destrutiva, o ByteDoS se tornou uma novidade em 2021. O ByteDos é uma aplicação de DoS para desktop Windows. É um arquivo executável simples e autônomo que não requer instalação e vem equipado com recursos de resolução IP integrados, que permitem que esta ferramenta de ataque resolva IPs a partir de nomes de domínio. Também é compatível com dois vetores de ataque: Inundação SYN e Inundação ICMP, permitindo que o usuário escolha seu vetor de ataque preferido. O ByteDos também é compatível com ataques por trás de proxies, que possibilitam que os invasores ocultem sua origem e identidade. A ferramenta é bastante comum entre “hacktivistas” e apoiadores do Anonymous (ela é muito eficaz quando usada coletivamente por muitos invasores em um ataque de negação de serviço coordenado).
Figura 2: ByteDOS
Pyloris
Outra ferramenta que já foi considerada destrutiva é o Pyloris. O Pyloris é uma ferramenta de DoS HTTP Low & Slow. Permite que o invasor crie solicitações HTTP com cabeçalhos de pacotes personalizados, cookies, tamanhos de pacotes, tempo limite e opções de CRLF (Line-Ending). O objetivo do Pyloris é manter conexões TCP abertas pelo maior tempo possível entre o invasor e os servidores da vítima, na tentativa de esgotar os recursos da tabela de conexão do servidor. Depois disso, o servidor não processará novas conexões de usuários legítimos, resultando em um estado de negação de serviço.
Figura 3: PyLoris
[Confira a edição mais recente da série Almanaque do hacker 1: os agentes de ameaças]
Quão eficazes são as ferramentas antigas
As ferramentas sugeridas para essa operação do Anonymous e muitas outras são antigas e ultrapassadas, mas, por incrível que pareça, ainda têm um lugar no cenário de ameaças. Em um mundo de botnets de IoT fáceis de criar e serviços de ataques baratos, é estranho ver algumas pessoas sugerindo o uso de ferramentas que têm quase dez anos. E, embora o uso dessas ferramentas não seja notável, elas ainda podem ser eficazes quando utilizadas corretamente contra sites desprevenidos e desprotegidos. Veja abaixo um gráfico que mostra eventos do ano passado relacionados a ataques de LOIC, HOIC, HULK e SlowLoris.
Figura 4: Eventos de DoS com HOIC, LOIC, HULK e Slowloris (fonte: Radware)
Como você pode ver, essas ferramentas ainda são relevantes em 2020/21, mas não tão conhecidas ou eficazes quanto costumavam ser devido à evolução do cenário de ameaças e aos avanços da tecnologia de mitigação. Embora o Anonymous não seja mais tão ameaçador quanto costumava ser, sempre existe um risco inerente de um lobo solitário ou um grupo de agentes de ameaças amadores surgir com essas ferramentas e apresentar um certo nível de risco para os desprotegidos.
