Gli strumenti DoS decennali sono ancora rilevanti nel 2021?
This post is also available in:
Inglese
Francese
Tedesco
Portoghese, Brasile
Spagnolo
Russo
Sorprendentemente, la risposta è sì!
Dopo la caduta di Anonymous nel 2016, il panorama delle minacce è cambiato rapidamente. Il gruppo un tempo mainstream di attacchi organizzati Denial of Service (DoS) con semplici strumenti GUI-based non esisteva più con il prendere forma dell’era degli attacchi Distributed Denial of Service (DDoS) e DDoS-as-a-Service grazie alla potenza delle nuove botnet IoT come Bashlite e Mirai.
Per quanto Anonymous non sia completamente scomparso, negli ultimi cinque anni la sua impronta digitale si ridotta in modo significativo. Oggi è ancora possibile trovare account Anomymous che fanno propaganda attiva sui più comuni social media e piattaforme video, ma con un impatto più ridotto rispetto al passato. Tuttavia, durante una recente operazione Anonymous, sono rimasto sorpreso nello scoprire che il gruppo, che utilizza ancora PasteBin e GhostBin (per centralizzare i dettagli operativi), aveva aggiornato la sua lista di target rispetto agli anni passati e suggeriva l’uso di Memcached e altri vettori di attacco riflessivi. Consigliava inoltre di usare strumenti DoS antiquati come LOIC, HOIC, ByteDoS e Pyloris, tutti di quasi 10 anni.
Strumenti del passato
HOIC
High Orbit Ion Cannon, o più brevemente HOIC, è uno strumento di stress test di rete correlato a LOIC; entrambi usati per lanciare attacchi Denial of Service diffusi da Anonymous. Questo strumento può causare un Denial of Service mediante l’uso di HTTPS Floods. Inoltre, HOIC ha un sistema di scripting integrato che accetta file .hoic chiamati booster. Questi file consentono all’utente di mettere in campo contromisure di randomizzazione anti-DDoS e aumentare la portata degli attacchi.
Per quanto non disponga di tecniche significative di offuscamento e anonimizzazione per proteggere l’origine dell’utente, l’uso di script “booster” .hoic consente a quest’ultimo di specificare una lista di URL di destinazione a rotazione, referrer, user agent e header. Questo provoca effettivamente una condizione di Denial of Service attaccando diverse pagine sullo stesso sito pur facendo sembrare il tutto una serie di attacchi da diversi utenti.

Figura 1: HOIC
[Clicca per il Report completo: Quarterly Threat Intelligence Report]
ByteDOS
Considerato un tempo uno strumento distruttivo, ByteDoS è diventato una novità nel 2021. ByteDos è un’applicazione DoS per il desktop di Windows. Si tratta di un semplice file eseguibile standalone che non richiede installazione ed è dotato di funzionalità integrate di IP resolver che permettono a questo strumento di attacco di risolvere gli IP dai nomi di dominio. Supporta anche due vettori di attacco: SYN Flood e ICMP Flood, consentendo all’utente di scegliere il suo preferito. ByteDos supporta anche attacchi dietro ai proxy, consentendo all’aggressore di nascondere la sua fonte e la sua identità. Si tratta di uno strumento molto comune tra hactivisti e sostenitori di Anonymous (e diventa molto efficace se usato collettivamente da molti aggressori in un attacco Denial of Service coordinato).

Figura 2: ByteDOS
Pyloris
Un altro tool un tempo considerato uno strumento distruttivo è Pyloris. Pyloris è uno strumento di attacco DoS categorizzabile come low and slow. Pyloris permette a un utente malintenzionato di costruire richieste HTTP con pacchetti header personalizzati, cookies, informazioni di dimensione del pacchetto, timeout e opzioni di fine linea (CRLF). Il suo obiettivo è quello di tenere le connessioni TCP aperte il più a lungo possibile tra l’aggressore e i server della vittima nel tentativo di esaurire la tabella di risorse delle connessioni del server. Una volta esaurite, il server non gestirà nuove connessioni da utenti legittimi con un conseguente stato di denial-of-service.

Figura 3: PyLoris
[Consulta l’ultima edizione di Hacker’s Almanac Series 1:The Threat Actors]
Quanto sono efficaci i vecchi strumenti?
Gli strumenti suggeriti per l’operazione Anonymous e molti altri sono vecchi e datati, eppure hanno stranamente ancora un posto nel panorama delle minacce. In un mondo di botnet IoT di facile costruzione e servizi di attacco a buon mercato, è strano constatare come alcuni suggeriscano ancora di usare strumenti quasi decennali. E per quanto il loro utilizzo non sia più cospicuo, possono rivelarsi ancora efficaci se utilizzati correttamente contro siti web ignari e non protetti. Il diagramma seguente mostra gli eventi dell’ultimo anno correlati ad attacchi LOIC, HOIC, HULK e SlowLoris.

Figura 4: Eventi DoS HOIC, LOIC, HULK e Slowloris (fonte: Radware)
Come si può vedere, questi strumenti sono ancora rilevanti nel 2020/21 per quanto non altrettanto diffusi o efficaci come un tempo, a causa dell’evoluzione del panorama delle minacce e dei progressi nelle tecnologie di mitigazione. Per quanto Anonymous non rappresenti più la minaccia che era un tempo, c’è sempre il rischio che un lupo solitario o un gruppo di hacker amatoriali salti fuori con questi strumenti, presentando un certo livello di rischio per chi non è protetto.