Análisis de un archivo js utilizado en ataques DDoS

Análisis del archivo bypass.js utilizado en ataques DDoS

Introducción

Twonet es un grupo pro ruso que opera en Telegram y se ha atribuido los últimos ciberataques DDoS a webs españolas.

Dentro de su canal de Telegram distribuye un archivo JavaScript que puede usarse para estos ataques. En este texto analizo algunas de sus características (https://t(dot)me/TwoNetOfficial/227).

Función y Uso

El archivo bypass.js es un script malicioso diseñado para realizar ataques de denegación de servicio (DoS) contra servidores web que utilizan el protocolo HTTP/2. Sus principales características son:

• Utiliza el protocolo HTTP/2 para enviar múltiples solicitudes al servidor objetivo.
• Emplea proxies para ocultar la dirección IP real del atacante.
• Implementa técnicas de evasión como la manipulación de encabezados HTTP y la generación de valores aleatorios.
• Usa clústeres para distribuir la carga del ataque entre múltiples procesos.
• Modifica configuraciones TCP para optimizar el rendimiento del ataque.
• El script se ejecuta desde la línea de comandos, tomando como argumentos la URL objetivo, la duración del ataque, el límite de solicitudes por segundo, el número de hilos y un archivo con lista de proxies.

Efectos Potenciales

Este script puede causar graves problemas de disponibilidad en el servidor objetivo:

• Sobrecarga de recursos del servidor al procesar múltiples solicitudes simultáneas.
• Agotamiento de conexiones TCP disponibles.
• Saturación del ancho de banda de la red.
• Posible bloqueo de servicios legítimos.

Mitigación

Para protegerse contra este tipo de ataques, se recomiendan las siguientes medidas:

• Implementar límites de tasa por IP y por sesión en servidores web y firewalls de aplicaciones.
• Utilizar sistemas de detección y prevención de intrusiones (IDS/IPS) para identificar patrones de tráfico malicioso.
• Configurar correctamente los parámetros de HTTP/2 en servidores web, limitando el número máximo de streams concurrentes.
• Mantener actualizados los servidores web y aplicaciones con los últimos parches de seguridad.
• Emplear servicios de mitigación de DDoS en la nube para absorber grandes volúmenes de tráfico.
• Monitorear activamente el tráfico de red y establecer alertas para patrones sospechosos.
• Implementar autenticación fuerte y filtrado de solicitudes en proxies inversos.
• Utilizar listas negras dinámicas para bloquear IPs sospechosas.
• Configurar adecuadamente los timeouts de conexión en servidores web.
• Realizar pruebas de estrés regulares para evaluar la capacidad de respuesta del sistema ante ataques.

Preparación y Ejecución del Ataque

Preparación del ataque:

• El atacante selecciona un servidor web objetivo que utilice HTTP/2.
• Obtiene una lista de servidores proxy para ocultar su dirección IP real.
• Configura los parámetros del ataque como la duración, el número de solicitudes por segundo y el número de hilos a utilizar.

Ejecución del ataque:

• El script establece múltiples conexiones al servidor objetivo a través de los proxies.
• Genera y envía un gran volumen de solicitudes HTTP/2 malformadas o manipuladas.
• Utiliza técnicas para evadir defensas comunes, como la rotación de encabezados y valores aleatorios.
• Distribuye la carga del ataque entre varios procesos para maximizar su impacto.

Impacto y Consecuencias

El servidor objetivo se ve inundado con solicitudes, agotando sus recursos. Puede causar una denegación de servicio, haciendo que el sitio web sea inaccesible para usuarios legítimos.

El uso de proxies y técnicas de evasión dificulta la identificación y bloqueo del atacante.

Detección y Prevención de Frames CONTINUATION en HTTP/2

Para detectar y prevenir el uso malintencionado de frames CONTINUATION en HTTP/2, se pueden implementar las siguientes medidas:

Detección

• Monitorear contadores específicos:
  • Observar un número inusualmente alto de frames CONTINUATION recibidos (http2_tot_continuation_frames_rcvd).
  • Verificar errores relacionados con el tamaño máximo de encabezados (http2_err_hdr_size_allowed_max).
  • Revisar la cantidad de frames CONTINUATION inválidos recibidos (http2_err_invalid_continuation_frame).
• Analizar el tráfico HTTP/2:
  • Examinar el tráfico HTTP sin procesar para identificar patrones sospechosos de frames CONTINUATION.
  • Buscar streams que no establezcan la bandera END_HEADERS durante un período prolongado.
• Implementar sistemas de detección de intrusiones (IDS):
  • Configurar reglas para identificar flujos anormales de frames CONTINUATION.

Prevención

• Limitar el número de frames CONTINUATION:
  • Establecer un límite máximo de frames CONTINUATION permitidos por stream.
  • Implementar un timeout para streams que no completen sus encabezados en un tiempo razonable.
• Optimizar la gestión de recursos:
  • Configurar límites de memoria y CPU para el procesamiento de encabezados HTTP/2.
  • Implementar mecanismos de descarte de conexiones que excedan ciertos umbrales de recursos.
• Actualizar y parchear sistemas:
  • Mantener actualizados los servidores web y bibliotecas HTTP/2 con las últimas correcciones de seguridad.
• Utilizar proxies inversos:
  • Implementar un proxy inverso como HAProxy, que es resistente a este tipo de ataques y puede filtrar tráfico malicioso.
• Implementar controles de tasa:
  • Limitar la velocidad a la que se aceptan nuevos streams y frames CONTINUATION por conexión.
• Validar y sanitizar encabezados:
  • Implementar una validación estricta de los encabezados HTTP/2 para rechazar aquellos que no cumplan con las especificaciones.
• Utilizar firewalls de aplicaciones web (WAF):
  • Configurar reglas en el WAF para detectar y bloquear patrones de ataque de CONTINUATION Flood.
• Monitoreo y alertas:
  • Establecer sistemas de monitoreo en tiempo real para detectar anomalías en el tráfico HTTP/2.
  • Configurar alertas para notificar al personal de seguridad sobre posibles ataques en curso.

Implementando estas medidas de detección y prevención, se puede mitigar significativamente el riesgo de ataques de denegación de servicio basados en el uso malintencionado de frames CONTINUATION en HTTP/2.

El Proyecto DDoSia y NoName057(16)

El proyecto DDoSia y el grupo NoName057(16) representan una amenaza cibernética significativa que ha evolucionado considerablemente desde su aparición en 2022.

Proyecto DDoSia

DDoSia es una herramienta de ataque de denegación de servicio distribuido (DDoS) desarrollada por el grupo hacktivista prorruso NoName057(16). Sus características principales incluyen:

• Plataforma descentralizada que permite a voluntarios participar en ataques DDoS.
• Arquitectura modular que facilita actualizaciones frecuentes.
• Interfaz de usuario amigable que no requiere conocimientos técnicos avanzados.
• Integración con redes sociales para reclutamiento y coordinación de ataques.

NoName057(16)

Este grupo hacktivista prorruso surgió en marzo de 2022, poco después del inicio de la invasión rusa a Ucrania. Sus actividades principales incluyen:

• Ataques DDoS contra instituciones gubernamentales, infraestructura crítica y medios de comunicación de países que apoyan a Ucrania.
• Reclutamiento de voluntarios a través de canales de Telegram, ofreciendo compensación económica por participar en ataques.
• Colaboración con otros grupos hacktivistas prorrusos como Killnet.

Evolución y Alcance

En 2024, NoName057(16) ha experimentado un crecimiento significativo:

• Más de 10,000 usuarios activos participan en sus campañas DDoS.
• Expansión de objetivos más allá de Ucrania, incluyendo países de la OTAN y otros aliados occidentales.
• Formación de alianzas estratégicas con otros grupos hacktivistas prorrusos y pro-palestinos.

Impacto en España

NoName057(16) ha llevado a cabo varias campañas contra objetivos españoles:

• Ataques a sitios web gubernamentales, incluyendo el Ministerio de Justicia.
• Objetivos en el sector privado como la Cámara de Comercio de Madrid.
• Detención de tres sospechosos vinculados al grupo por parte de la Guardia Civil española en julio de 2024.

A pesar de que los ataques DDoS de NoName057(16) suelen ser de corta duración, su capacidad para movilizar rápidamente a un gran número de participantes y su constante evolución técnica los convierten en una amenaza persistente para la ciberseguridad internacional.

Contacto:

• https://x.com/SoyMmadrigal
  
• https://bsky.app/profile/mmadrigal.bsky.social
  
• mmadrigal2003@gmail.com
  

Citas:

1. https://blog.tecnetone.com/qu%C3%A9-es-el-proyecto-ddosia-y-por-qu%C3%A9-representa-una-gran-amenaza
2. https://socradar.io/what-is-ddosia-project/
3. https://heimdalsecurity.com/blog/project-ddosia-pays-contributors-for-ddos-hacktivist-attacks/
4. https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/la-guardia-civil-detiene-tres-hacktivistas-prorrusos-del-grupo
5. https://en.wikipedia.org/wiki/Noname057(16)
6. https://cibersafety.com/noname057-ataques-ddos/
7. https://www.europapress.es/portaltic/ciberseguridad/noticia-grupo-hacktivista-noname05716-ataca-instituciones-espanolas-ministerio-justicia-camara-comercio-20240726132153.html
8. https://www.globalsecuritymag.com/NoName057-16-the-Pro-Russian-hacktivist-group-targeting-NATO.html
9. https://www.ciberseguridad.eus/sites/default/files/2024-04/Cyberzaintza_Informes%20-%20NoName057(16)_v3%20(1).pdf
10. https://www.radware.com/security/threat-advisories-and-attack-reports/the-rise-of-alliances-noname057-16-transformation-in-2024/
11. https://www.cyber.gc.ca/en/alerts-advisories/distributed-denial-service-campaign-targeting-multiple-canadian-sectors
12. https://www.link11.com/en/blog/threat-landscape/ddosia-attack-tool-with-explosive-growth/
13. https://www.netscout.com/blog/asert/noname057-16
14. https://es.linkedin.com/pulse/la-herramienta-de-ataque-ddosia-evoluciona-con-el-cifrado-y-se
15. https://otx.alienvault.com/pulse/65e5f71435f30008955f046f
16. https://flare.io/learn/resources/crowdsourced-ddos-attacks-amid-geopolitical-events/
17. https://twitter.com/elhackernet/status/1650981005866729472
18. https://decoded.avast.io/martinchlumecky/ddosia-project-how-noname05716-is-trying-to-improve-the-efficiency-of-ddos-attacks/
19. https://es.linkedin.com/posts/sixtine-leblanc-49b141107_noname05716s-ddosia-project-2024-updates-activity-7171062033809944578-XJaY
20. https://malpedia.caad.fkie.fraunhofer.de/details/win.dosia
21. https://blog.sekoia.io/noname05716-ddosia-project-2024-updates-and-behavioural-shifts/
22. https://www.bbc.com/news/articles/c36p063jz7do
23. https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/ddos-2024-01-25.html
24. https://fastnetmon.com/2025/01/24/noname05716-target-swiss-institutions-amid-world-economic-forum/
25. https://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/pro-russian-attackers-carry-out-ddos-against-state-entities-japan
26. https://valenciaplaza.com/valenciaplaza/el-grupo-de-hackers-prorrusos-noname05716-tumba-la-web-de-les-corts
27. https://hivepro.com/threat-advisory/pro-russian-hacktivist-group-noname05716-launches-cyber-attacks-on-ukraine-and-nato-organizations/
28. https://www.ciberseguridad.eus/empresa-segura/utilidades-empresa/guias-estudios-informes/noname057-16
29. https://www.radware.com/cyberpedia/ddos-attacks/noname057(16)/
30. https://www.ziur.eus/es/-/espa%C3%B1a-el-tercer-pais-mas-atacado-por-grupos-hacktivistas-prorrusos
31. https://www.ziur.eus/en/-/spain-the-third-most-attacked-country-by-pro-russian-hacktivist-groups
32. https://www.silicon.es/el-grupo-hacktivista-noname05716-ataca-a-espana-2555580
33. https://malpedia.caad.fkie.fraunhofer.de/actor/noname057(16)
34. https://blog.avast.com/ddosia-project
35. https://www.anomali.com/blog/anomali-cyber-watch-sms-phishing-campaign-targets-ups-usb-driven-malware-propagation-evasive-batloader-executes-ransomware-and-more
36. https://www.sekoia.io/en/glossary/ddosia-project/
37. https://www.radware.com/security/threat-advisories-and-attack-reports/project-ddosia-russias-answer-to-disbalancer/
38. https://www.elmundo.es/espana/2025/01/03/67783634e4d4d8fc268b458a.html
39. https://cybelangel.com/unmasking-noname05716/