SpamLoco

  • Noticias
  • Seguridad
  • Arduino
  • Videos
  • Foro

Ataques DDoS desde equipos CCTV-DVR infectados

Las CCTV botnets se conocen desde hace tiempo y en el blog de Sucuri, una empresa de seguridad que brinda servicios de protección para sitios web y que cuenta además con un estupendo scanner web gratuito que permite detectar infecciones en los sitios, han comentado algunos detalles de una CCTV botnet que llegó a generar hasta 50.000 peticiones HTTP por segundo contra un sitio.

Todo comenzó con un cliente (una joyería online) que contrató sus servicios para detener el DDoS, desde Sucuri cambiaron los DNS del dominio a los de su red para mitigar el ataque y de esta forma fácilmente el sitio del cliente volvió a estar online.

Nota: una alternativa gratuita que puede resultar útil en determinadas situaciones de ataques DDoS es utilizar los DNS de CloudFlare con su plan free.

A partir de ahí comenzó el análisis de la situación ya que el ataque aumentó su intensidad y duró varios días, lo cual no es habitual. Si bien no mencionan cuál era el sitio web del cliente, al tratarse de una joyería online imagino que el ataque buscaba generar una especie de SEO negativo al dejar el sitio offline, algo que puede ser bastante serio ya que no sólo se pierden ventas sino que también se pueden ver perjudicadas las posiciones en Google.

Detectaron más de 25 mil IPs desde las cuales se enviaban las peticiones, distribuidas por todo el mundo. Utilizaban distintos tipos de User-Agents y técnicas de referer spoofing para simular ser visitas normales, entre los referer se encontraban:

Referer: http://engadget.search.aol.com/search?q=RANDOMKEYWORD
Referer: http://www.google.com/?q=RANDOMKEYWORD
Referer: http://www.usatoday.com/search/results?q=RANDOMKEYWORD

Todas las peticiones se identificaban además como un servidor «Cross Web Server» y cargaban una página HTML por defecto con el título «DVR Components Download». Estaba claro que el ataque provenía de sistemas de vigilancia CCTV-DVR que de alguna forma estaban comprometidos.

pagina por defecto dvr

Identificaron también a las empresas que vendían estos sistemas de vigilancia como H.264 DVR, ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, entre otras. Y en el artículo hacen referencia a una vulnerabilidad de los sistemas DVR recientemente dada a conocer que afecta a más de 70 distribuidores (marcas blancas), pero que operan bajo el mismo software vulnerable. Si bien no se confirmó que sea la vulnerabilidad aprovechada en este caso, es muy posible que los equipos se hayan hackeado de esa forma.

Aquellos que tengan cámaras de seguridad con un DVR conectado a internet pueden aplicar filtros para que sólo determinadas IPs puedan acceder al equipo, también asegurarse de estar utilizando los últimos firmwares disponibles y algo básico pero que se suele olvidar, cambiar los usuarios y contraseñas que vienen por defecto.

De esta forma se evita que el DVR pueda terminar infectado, que nos espíen por las cámaras y hasta que intenten atacar otros equipos que formen parte de la misma red local.


1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (¿Te ha servido el artículo?)
Comparte en FacebookComparte en Twitter
Publicado por Alejandro Eguía el 5 julio, 2016 Archivado en: Noticias, Seguridad


Comentar con Facebook


Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Buscador

Suscripción al blog

Feed

Recibe los nuevos artículos del blog en tu correo suscribiéndote gratis:

Redes Sociales

facebook twitter spamloco-youtube google-plus-spamloco

Sobre SpamLoco

Este es un blog dedicado al mundo de la tecnología, internet y la seguridad informática. No te confundas con el nombre, sólo es un juego de palabras, no tiene nada que ver como el ''spam'' sino todo lo contrario.

Si necesitas ayuda puedes pasar por el Foro o contactarme.

Subir

Copyright © 2006 - 2018 SpamLoco.net | Términos del sitio | Cambiar opciones de privacidad | RSS | Contacto