CenturyLink · un cambio en la internet y que no somos observadores pasivos con respecto a la...

CenturyLink Informe sobre Amenzas 2019 1

CenturyLinkInforme sobre amenazas 2019


El tema de la seguridad no deberiacutea ser tan difiacutecil

O dicho de otra forma La seguridad puede ser compleja El verdadero arte consiste en lograr que la seguridad sea faacutecil de usar

Como empresa de Fortune 150 y siendo el segundo mayor proveedor de comunicaciones de los Estados Unidos para clientes corporativos a nivel global somos responsables de asegurar nuestras propias operaciones a traveacutes de un conjunto de soluciones de TI hiacutebrida nube redes y comunicaciones - ademaacutes de las operaciones de nuestros clientes Como CSO de esta compantildeiacutea puedo dar fe de que las presiones que padecen los liacutederes en seguridad actualmente son muchas

Por un lado tenemos la explosioacuten del traacutefico de red impulsados por el video 5G IoT dispositivos conectados y una fuerza laboral moacutevil por otra parte existe una intolerancia creciente y justificada de los usuarios - tanto internos como externos - ante cualquier desempentildeo que no sea perfecto y que no esteacute siempre activo A esto agreacuteguele la naturaleza de parche de muchas de las soluciones actuales de seguridad con las que a menudo las empresas deben arreglaacuterselas por siacute solas para enmendarlas la brecha entre los equipos de seguridad y de ingenieriacutea que a menudo se refleja en la implementacioacuten de la seguridad - y el panorama puede presentarse como desalentador

Pero la seguridad puede ser simple creemos que el valor inherente de un proveedor de soluciones de seguridad deberiacutea ser en primer lugar y como objetivo primordial el de brindar una simplicidad efectiva

En CenturyLink nuestra seguridad se construye sobre la base de dos directivas fundamentales aprovechar nuestra visibilidad global y expansiva de las amenzas y actuar en contra de las amenazas que vemos Nuestra exclusiva y profunda inteligencia sobre amenazas basada en la red hace que

La promesa de laSeguridad Conectada

Chris Betz CSO


nuestro abordaje sea posible - y es el cimiento de la Seguridad Conectada de nuestra visioacuten de una integracioacuten sin fisuras entre la seguridad y la red para transformar las comunicaciones del mantildeana

Cuanto maacutes podamos hacer como proveedores globales de servicios de seguridad para identificar o impactar en el traacutefico malicioso antes que eacuteste dantildee la infraestructura de nuestros clientes estos podraacuten focalizarse mejor y priorizar sus recursos en cualquier otro lugar Esta es la promesa de la Seguridad Conectada y la premisa sobre la cual hemos transformado nuestra red en un sensor de amenazas y una plataforma de defensa proactiva

Detener las amenazas a la seguridad que enfrentamos hoy diacutea ndash y aquellas amenazas que enfrentaremos mantildeana ndash requiere maacutes que inteligencia Requiere de un compromiso colectivo de compartir aquello que vemos y actuar sobre lo que sabemos Esperamos seguir trabajando juntos mientras seguimos impulsando la simplificacioacuten de la seguridad

Cordialmente

Chris Betz CSO de CenturyLink


Contenidos Parte I El rol de la inteligencia sobre amenazas profundas basada en la red 5

Black Lotus Labs Defensores de una internet limpia 5

Investigacioacuten sobre amenazas y operaciones en escala 8

Parte II Adentraacutendonos en las profundidades de los riesgos y ataques maacutes recientes 14

Combatiendo a las botnets El ejeacutercito de amenazas basadas en la red 14

Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs 15

Conducta de las botnets basadas en la red 17

Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas 19

Monitoreo de DNS Una medida de seguridad subutilizada 22

Tunelizacioacuten de DNS Ofuscando la actividad maliciosa 22

Secuestro de DNS Redireccionando las consultas de dominio 24

DGAs Cazando dominios de alta entropiacutea 26

Entropiacutea y teacutecnicas nuevas 26

El bueno el malo y el feo Coacutemo defenderse de las amenazas basadas en DNS 28

Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoS 29

Atreacutevase mdash pero con precaucioacuten 34

Conclusioacuten 35


Mantenerse seguro en un escenario de amenazas en constante cambio implica ver tanto el bosque como el aacuterbol Comprender exhaustivamente las motivaciones de los actores maliciosos conocer el alcance y la escala de las amenazas globales y la intuicioacuten del investigador ndash son todos factores criacuteti-cos para identificar los patrones clave y todos son recursos que nuestros equipos de inteligencia so-bre amenazas aprovechan para evaluar iacutentegramente el verdadero impacto de las amenazas en la red Con un crecimiento exponencial de los voluacutemenes de registro y la dependencia cada vez mayor de la conectividad a internet y a la nube las organizaciones enfrentan montantildeas de eventos de seguridad que abruman a los recursos de seguridad internos

Internet es la plataforma de negocio criacutetica en la que todos vivimos y nos comunicamos actualmente Dada la naturaleza global de la red troncal (backbone) de CenturyLink y su vasta capacidad de Peer-ing nuestro punto de ventaja nos da visibilidad en un amplio porcentaje del traacutefico mundial de internet Ya sea que el traacutefico de protocolo de Internet (IP) se origine o termine en nuestra red o viaje a traveacutes de nuestra backbone central podemos aprovechar los datos del flujo de traacutefico y nuestra inteligencia sobre amenazas para obtener un entendimiento profundo sobre queacute estaacute pasando en la internet Muy pocos proveedores poseen la amplitud y profundidad de visibilidad global de amenazas que detenta CenturyLink y debido a esto reconocemos que tenemos la responsabilidad de ayudar a defender y de proteger a la internet

Black Lotus Labs Defensores de una Internet limpia Es comuacuten decir en la industria que los actores de amenazas solo necesitan acertar una vez para tener eacutexito Pero en CenturyLink sabemos que los actores de amenazas solo necesitan ser predecibles para ser atrapados Al modelar las conductas de las amenazas entender las motivaciones usar teacutecnicas de atacante como punto central para la investigacioacuten y anaacutelisis y en uacuteltima instancia implementar los esfuerzos de disrupcioacuten hemos creado uno de los equipos de investigacioacuten sobre amenazas maacutes avanzados del mundo ndash Black Lotus Labs

Part I El rol de la inteligencia sobre amenazas basada en la red

CenturyLink Informe sobre Amenazas 2019 6

En CenturyLink estamos capacitando a nuestras fuerzas en una plataforma de defensa que nos permita ver maacutes amenazas mdash para que podamos detener maacutes Black Lotus Labs es un reflejo directo de nuestra dedicacioacuten e inversioacuten para focalizarnos en una profunda inteligencia sobre amenazas basada en la red El equipo caza identifica y observa a los malos actores que intentan aprovecharse de coacutedigos maliciosos luego revisa sus taacutecticas teacutecnicas y procedimientos (TTP) para identificar la infraestructura y los servidores de comando y control (C2s) que estaacuten usando

No obstante la analiacutetica de datos no puede por siacute sola encontrar una proverbial aguja maliciosa en un pajar

Desde 2013 Black Lotus Labs ha sentado las bases de la conducta del backbone global de CenturyLink mediante la ingesta y anaacutelisis de miles de millones de registros de datos para luego usar esta liacutenea de base con el fin de detectar anomaliacuteas potencialmente maliciosas Cada diacutea maacutes de 139 mil millones de sesiones de NetFlow y aproximadamente 771 millones de consultas de DNS son ingeridas por diversos modelos de aprendizaje automaacutetico desarrollados por Black Lotus Labs A lo largo del primer semestre de 2019 (1H19) Black Lotus Labs rastreoacute 38 millones de amenazas uacutenicas por mes en promedio Estas amenazas rastreadas se correlacionan contra nuestros metadatos de NetFlow y DNS para alertar a los clientes sobre un compromiso potencial

El descubrimiento y validacioacuten de amenazas realizado por Black Lotus Labs impulsa la fidelidad de nuestra profunda inteligencia basada en la red La validacioacuten de amenazas forma parte de un marco desarrollado por Black Lotus Labs para ayudar a garantizar la calidad de la inteligencia sobre amenazasEl equipo de investigacioacuten ejecuta la validacioacuten para enriquecer nuestra inteligencia con la confianza de que un tipo sospechoso de amenaza ha sido examinado y que coincide con un resultado esperado

Los sistemas de Black Lotus Labs monitorearon un promedio diario de ~12MM de amenazas exclusivas durante el primer semestre de 2019

Estas amenazas representan ~15MM de indicadores maliciosos exclusivos rastreados durante el mismo periacuteodo

Durante el Primer y Segundo Trimestre de 2019 Black Lotus rastreoacute 18470 C2s diario en promedio

Divisioacuten de los C2 validados por familia primer SEMESTRE de 2019 (1H19)

1394 Emotet

1438 Mirai

1240 Gafgyt

39Xor_DDoS

9Necurs


Por ejemplo si Black Lotus Labs identifica o realiza la ingesta de un dominio C2 sospechoso el equipo intenta ponerse en contacto con el protocolo propietario del malware para validar que sea de hecho un C2 malicioso De esta manera el equipo puede cazar identificar e interrumpir las amenazas globales Trabajando con socios de inteligencia de todo el mundo Black Lotus Labs validoacute 4120 C2 nuevos durante el primer semestre de 2019 lo que equivale a aproximadamente 686 C2 por mes

De los C2 nuevos identificados durante el primer trimestre de 2019 1935 fueron descubiertos de manera independiente y confirmados por Black Lotus Labs incluyendo 654 de Gafgyt 622 de Mirai y 659 de Emotet

Como defensor de la internet Black Lotus Labs comienza con la capacidad para detectar e identificar adversarios Pero el equipo no se limita apenas a observar pasivamente a los actores maliciosos Black Lotus Labs demuestra una predisposicioacuten a actuar impactando en la capacidad de los hosts maliciosos verificados para acceder al backbone de CenturyLink y a la internet

Una vez que el equipo obtiene un alto grado de certeza de que un host estaacute actuando como un C2 malicioso y de que eliminarlo generaraacute un impacto Black Lotus Labs trabaja con los proveedores identificados de servicios con dependencias hacia arriba para inhabilitar la infraestructura maliciosa Durante el primer semestre de 2019 Black Lotus Labs notificoacute a otros proveedores de servicio sobre 468 C2 verificados por mes en promedio basados en la actividad maliciosa presenciada Si los proveedores no actuacutean lo hace CenturyLink eliminando la capacidad de aproximadamente 63 C2s por mes para acceder o enviar datos a traveacutes de la red global de CenturyLink

Identificar verificar y eliminar los C2s del backbone de CenturyLink significa que estamos impulsando un cambio en la internet y que no somos observadores pasivos con respecto a la actividad maliciosa ayudando de esa manera a proteger nuestra red y clientes con dependencia hacia abajo

Black Lotus Labs derriba ~63 C2s por mes de la red de CenturyLink

Visibilidad sobre Amenazas de CenturyLink

~139MMde sesiones de NetFlow ingeridas y analizadas

por diacutea

~771Mde consultas de DNS compiladas por diacutea


Investigacioacuten sobre amenazas y operaciones en escala Las organizaciones utilizan una variedad de meacutetodos para identificar y rastrear botnets actores maliciosos y hosts comprometidos actualmente Por ejemplo los sentildeuelos (honeypots) se usan para identificar la conducta de escaneo como asiacute tambieacuten para identificar nuevas cargas uacutetiles maliciosas que se entregan a traveacutes de explotaciones Los escaneos en toda la Internet pueden ayudar a identificar a los C2s a traveacutes de los encabezados respuestas o certificados de SSL El anaacutelisis de malware puede habilitar a los profesionales de la seguridad a comprender la infraestructura con la que las muestras de malware pueden estar comunicaacutendose Los investigadores usan sinkholes de dominios para redirigir un nombre de dominio malicioso a su propia direccioacuten IP controlada permitieacutendoles identificar todas las bots que estaacuten identificando dicho dominio Tanto los feeds pagos de terceros como los de fuente abierta tambieacuten se usan para rastrear indicadores de compromiso (IoCs) relacionados con tipos de amenazas geneacutericas o familias especiacuteficas de malware

Black Lotus Labs utiliza todos estos abordajes y agrega esta informacioacuten a un sistema de reputacioacuten customizado El equipo ingiere alrededor de 71 millones de entidades uacutenicas por diacutea y en un momento determinado considera 12 millones de estas como amenazas activas El teacutermino ldquoentidadrdquo se usa para referirse a una direccioacuten IP dominio o hash de malware Como CenturyLink es uno de los mayores proveedores de backbone de internet en el mundo los 12 millones de entidades estaacuten correlacionados con NetFlow y datos de Sistemas de Nombre de Dominio (DNS) Luego Black Lotus Labs ejecuta el aprendizaje automaacutetico y los algoritmos basados en heuriacutestica por encima de estas correlaciones para encontrar infraestructura que se presume maliciosa relacionada con estas entidades

Las meacutetricas de las paacuteginas siguientes representan las amenazas monitoreadas por Black Lotus Labs a traveacutes del tiempo y se dividen por tipo de amenaza y paiacutes de origen sospechoso El equipo determina el paiacutes de origen tomando la Direccioacuten IP de cada host y las compara contra un profuso conjunto de IPs para realizar mapeos geograacuteficos El promedio diario rastreado de hosts de C2 botnet hosts sospechosas hosts que emiten comandos de ataques hosts que distribuyen malware hosts que escanean la internet buscando vulnerabilidades durante el primer semestre de 2019 se muestra en los cuadros siguientes


9

8

4

73

2

65

110

1 C2 hosts average per day

Amenazas globales rastreadas por paiacutes promedio por diacutea

C2 hosts1 Estados Unidos 597 K

2 China 137 K

3 Rusia 44 K

4 Paiacuteses Bajos 37 K

5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110

2 Suspected botnet hosts per day

Botnet hosts Sospechosos1 Estados Unidos 93 K

2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10

3 Hosts issuing attack commands per day

Hosts que emiten comandos de ataques1 Estados Unidos 45 K

2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K

Hosts que distribuyen malware1 Estados Unidos 177 K

2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110

4 Hosts distributing malware per day


73

8 6

4

9 2

5

110

5 Hosts scanning for vulnerabilities per day

Hosts que escanean vulnerabilidades1 Estados Unidos 176 K

2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K


Hosts que contienen sitios de phishing por diacutea 1 Estados Unidos 202 K

2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K

6 Islas Viacutergenes 10 K

7 Irlanda 8 K

8 Hong Kong 7 K

9 Emiratos Aacuterabes Unidos 6 K

10 Canadaacute 5 K

73

6

4

9

5

1

10

6 Hosts containing phishing sites per day

8

2


76

4

5

10

7 Hosts sending spam per day

8

2

13

9

Hosts que enviacutean spam 1 China 103 K

2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K

7 Estados Unidos 14 K

8 Indonesia 13 K

9 Pakistaacuten 13 K

10 Argentina 11 K

Todas las amenazas amenazas acumuladas por paiacutes1 Estados Unidos 766 K

2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10

8 All threats Cumulative threats tracked by country per day

8

21

3

9

5


Una revisioacuten de los registros de honeypot durante el primer semestre de 2019 indica que ~25MM hosts uacutenicos intentaron conectarse con los honeypots de Black Lotus Labs con un promedio de ~33K hosts contactaacutendose diariamente

Esto equivale a ~ 764 eventos por minuto mdash o aproximadamente 12 por segundo

Si piensa que buscar infraestructura maliciosa es como encontrar una aguja en un pajar de la internet los algoritmos basados en aprendizaje automaacutetico de Black Lotus Labs reducen el pajar a un manojo de paja Para encontrar esta aguja la validacioacuten automaacutetica de amenazas tal como se describe arriba ayuda a determinar si un host es realmente una amenaza Las amenazas validadas luego son alimentadas nuevamente en el sistema de reputacioacuten permitieacutendole a Black Lotus Labs rastrear familias de malware masivo con el tiempo

Black Lotus Labs tambieacuten opera una extensa red de honeypots (sentildeuelos) conocida como la honeynet Cada honeypot contiene una variedad de recursos aparentemente valiosos aunque inocuos para que los actores de amenazas ataquen e intenten manipular Black Lotus Labs registra las TTP de los atacantes para su anaacutelisis y para producir inteligencia sobre amenazas accionable y confiable Luego el equipo agrega esta inteligencia a su sistema de reputacioacuten

El volumen de interacciones intentadas se compone tanto de la prevalencia continua de botnets de IoT y la velocidad en la que los adversarios estaacuten desarrollando nuevas teacutecnicas para capitalizar las vulnerabilidades existentes y para comprometer nuevos dispositivos como asiacute tambieacuten la infraestructura de otros actores


Combatiendo a las botnets ndash El ejeacutercito de amenazas basadas en la red A medida que las empresas se van enfocando en la innovacioacuten digital ingresan a un mundo nuevo de amenazas y riesgos sin precedentes en constante evolucioacuten Los atacantes y los agitadores que actuacutean como lobos solitarios motivados por obtener fama entre sus colegas de chat han sido reemplazados por naciones-estado bien financiadas y actores criminales dispuestos a jugar al largo plazo e invertir fuerte en estrategias y teacutecnicas de ataque Las amenazas siguen evolucionando y son cada vez maacutes sofisticadasmdashataques de Spear-phishing hiacuteper dirigidos en cuanto al objetivo malware sin archivos criptojacking ataques de chatbot y ataques de denegacioacuten distribuida de servicio (DDoS) a IoT conforman la situacioacuten actual El Ciberdelito como servicio no estaacute por llegar ndash ya estaacute aquiacute

Dos motivos del eacutexito continuo de las botnets son la facilidad con la que comprometen a sus objetivos y su capacidad de ser operadas remota y anoacutenimamente por los ciberdelincuentes Muchos dispositivos desde caacutemaras de seguridad hogarentildeas hasta aparatos inteligentes siguen siendo objetivos deseables porque son dispositivos de faacutecil acceso con caracteriacutesticas de seguridad limitadas ndash y los consumidores han sido lentos en darse cuenta y en reaccionar en lo que es su aporte al ciberdelito global En un principio estos dispositivos conectados se usaban para ataques de bajo nivel pero hoy en diacutea en CenturyLink advertimos una proliferacioacuten de dispositivos conectados que es usada para la infraestructura maliciosa por actores maacutes avanzados

Parte II Adentraacutendonos en las profundidades de los riesgos maacutes recientes

Las Botnets existen porque los actores criminales deben operar a escala para maximizar sus ganancias


Las botnets existen porque los actores criminales con el fin de maximizar sus beneficios necesitan operar infraestructura en escala Hoy se usan para todo tipo de actividad maliciosa que pueda imaginarse ndash desde el enviacuteo de cantidades masivas de spam y lanzamiento de ataques a gran escala que derriban nuestros servicios favoritos hasta intentos de hackeo malicioso Algunas botnets son incluso lo suficientemente sofisticadas para reconocer cuando han violado una red de alto perfil o de alguacuten modo valiosa y a la vez venden dicho acceso a otros actores para que estos ejecuten sus propios intentos maliciosos

Anaacutelisis profundo de la investigacioacuten de Malware Masivo de Black Lotus Labs En el Informe sobre Amenazas 2018 de CenturyLink compartimos una exploracioacuten profunda en la evolucioacuten y tendencias principales respecto de dos botnets de DDoS ampliamente extendidas en IoT Gafgyt y Mirai Al momento del informe advertimos que mientras Mirai atraiacutea una enorme atencioacuten de los medios Gafgyt era significativamente maacutes preponderante seguacuten nuestra visibilidad

Este antildeo analizamos nuevamente a Gafgyt y Mirai y agregamos a Xor_DDoS que comparte la misma preferencia por los dispositivos basados en Linux Basaacutendonos en los datos de Black Lotus Labs del primer semestre 2019 estamos advirtiendo algunas notables diferencias desde el uacuteltimo informe Por ejemplo la cantidad de C2s uacutenicos para Gafgyt y Mirai solo en el primer trimestre de 2019 parece estar en camino a superar ampliamente a las notadas en el reporte de 2018 Durante todo el 2017 Black Lotus Labs rastreoacute 562 C2 exclusivos de Gafgyt y 339 C2 exclusivos de Mirai En contraste las cifras actuales del siguiente cuadro representan solo el primer semestre de 2019

En CenturyLink reconocemos la importancia de interrumpir el trabajo de malos actores conocidos para ayudar a proteger los intereses de nuestros clientes y preservar la seguridad de internet iquestEs un poco como el juego del gato y el ratoacuten Absolutamente Sin embargo estos esfuerzos no son en vano Consideramos que nuestras acciones contribuyen a dificultar y hacer que las operaciones de los malos actores sean maacutes costosas y seguiremos trabajando dando el maacuteximo de nuestra capacidad para evitar que los actores maliciosos acumulen infraestructura capaz de interrumpir la internet en su totalidad


Si bien hubo menos C2s uacutenicos reportados para Xor_DDoS durante el primer semestre de 2019 el tiempo de actividad promedio se estaacute midiendo praacutecticamente en el doble del de Gafgyt o Mirai Existe una cantidad de razones potenciales por las cuales estamos asistiendo a una disminucioacuten del tiempo de actividad promedio de Gafgyt y Mirai

bull Maacutes investigadores y equipos de amenaza estaacuten rastreando sus movimientos desde upstream providers hacia nuevos operadores

bull Black Lotus Labs automatizoacute su sistema de alertas a upstream providers sobre los C2s ubicados en sus redes

bull Los investigadores de amenazas estaacuten mejorando en identificar a las nuevas variantes de Gafgyt y Mirai creadas para evadir la deteccioacuten

bull Los proveedores estaacuten mejorando su capacidad de identificar y rastrear proactivamente los C2s en sus redes en lugar de abordar reactivamente los problemas despueacutes de haber consumidos los recursos

Gafgyt Mirai Xor_DDoS

C2s uacutenicos rastreados 676 989 20Viacutectimas uacutenicas objeto de ataque 61911 88114 9575Tiempo de actividad promedio ndash (diacuteas) 12 14 32

Black Lotus Labs Visibilidad de la familia de IoT Primer Semestre 2019


Conducta de las botnets basadas en la RedDurante los uacuteltimos 12 meses Black Lotus Labs llevoacute a cabo y publicoacute anaacutelisis significativos sobre varias botnets Los defensores de la red encuentran valor en entender coacutemo operan las campantildeas de malware masivo En las siguientes secciones se brinda informacioacuten especiacutefica de las conductas observadas por Black Lotus Labs de familias de botnet seleccionadas

MylobotEl malware Mylobot es particularmente ruidoso desde una perspectiva de red Diariamente cada bot intenta resolver 1404 nombres de dominio preprogramados buscados aleatoriamente y para cada dominio enviacutea consultas para resolver 43 subdominios por un total de 60372 consultas de DNS de cada bot Si uno de los nombres de dominio consultados establece un viacutenculo con una direccioacuten IP el malware intenta conectarse con la direccioacuten IP en un puerto especiacutefico que fue preprogramado con dicho dominio Cuando una bot recibe una respuesta del C2 lo cifra con XOR con el byte OxDE La cadena de caracteres resultante contiene hasta dos URL Cada URL contiene una IP y un archivo que termina en gif El malware se conecta a esta URL y ejecuta el archivo descargado que el equipo identificoacute como Khalesi ndashun malware para sustraer informacioacuten Luego la bot ejecuta el archivo de descarga Esta flexibilidad con el descargador les permite a los autores del malware modificar la segunda etapa a su eleccioacuten

A fines de 2018 Black Lotus Labs advirtioacute 7764 direcciones IP distintas consultando estos dominios preprogramados y un total de 13402925 consultas de DNS en los datos pasivos de DNS de CenturyLink Los dos archivos vistos por Black Lotus Labs en la respuesta de C2 eran PE32 ejecutables

TheMoonTheMoon es una botnet modular que apunta a varias vulnerabilidades en dispositivos de IoT La comunicacioacuten C2 de la carga uacutetil inicial se hace en tres puertos TCP diferentes por lo general en el rango de 4000 a 6000 Desde una perspectiva de red la comunicacioacuten TCP a una sola IP sobre puertos muacuteltiples no estaacutendar en este rango puede ser un indicador de la comunicacioacuten C2 TheMoon usa cada puerto para fines distintos uno para registracioacuten otro para comando y control y un tercero para la descarga de las cargas uacutetiles Las cargas uacutetiles son binarios secundarios que tienen su propia comunicacioacuten C2 a veces a la misma IP que la del moacutedulo principal en un rango de puertos similar Esta familia de malware es conocida por convertir los dispositivos en proxies para que los usen otros actores CenturyLink recomienda controlar los dispositivos conectados a internet para asegurarse de que no haya puertos desconocidos o servicios abiertos Los puertos proxy para TheMoon superan los 10000 y se presentan como de naturaleza efiacutemera En su pico durante mediados de 2018 TheMoon tuvo un promedio de maacutes de 10000 proxies por diacutea


NecursLas bots Necurs se comunican con sus C2s usando solicitudes HTTP POST en el puerto 80 El camino de la URL siempre ha sido un archivo PHP en nuestras observaciones y el header anfitrioacuten siempre usa una Direccioacuten IP en lugar de un dominio Dependiendo de los moacutedulos instalados por la bot puede comunicarse con C2s en otros puertos tambieacuten tales como el puerto 5222 Las bots enviaraacuten una solicitud POST al C2 con una carga uacutetil encriptada de alrededor de 250 bytes la que incluye informacioacuten acerca de la bot anfitriona tales como su versioacuten de Windows y su bot ID Cuando intente encontrar un nuevo C2 a traveacutes de su red de peer-to-peer enviaraacute cargas uacutetiles encriptadas de 29 bytes a todos los pares conocidos principalmente a traveacutes de UDP pero a veces usando TCP utilizando el mismo puerto fuente para cada peer Cuando intente encontrar un nuevo C2 a traveacutes de su algoritmo de generacioacuten de dominio (DGA) consultaraacute hasta 2048 dominios DGA enviaacutendole a cada uno una carga uacutetil de 50 bytes a traveacutes de solicitudes HTTP POST La Direccioacuten IP recibida cuando se ponga en contacto con sus dominios DGA seraacute desofuscado por la bot y la bot enviaraacute el pedido de POST a la IP desofuscada en lugar de a la que estaacute en la respuesta de DBS A pesar de haber sido resuelto de un dominio el pedido de POST todaviacutea usaraacute la IP desofuscada en el Host header en lugar del dominio DGA

Una compantildeiacutea global de logiacutestica implementoacute los servicios de seguridad de CenturyLink para revisar los registros de seguridad de su red los que revelaron la presencia de un solo usuario con logins en 65 cuentas separadas Usando la inteligencia sobre amenazas de CenturyLink se identificoacute la conducta del usuario como la de un host infectado por Necurs CenturyLink le notificoacute inmediatamente al cliente y el problema fue remediado en menos de una hora del contacto inicial Ver el viacutedeo

Controlando los movimientos de Necurs


Anaacutelisis de Black Lotus Labs de familias de malware masivo seleccionadas

Queacute es


TheMoonNecursMylobotMiraiSatoriEmotet

Despueacutes de surgir en 2014 como un prominente troyano bancario Emotet mutoacute a un spam modular y botnet de malware como servicio con distribucioacuten global Principalmente apunta a las maacutequinas de Windows

Mirai debutoacute en 2016 como

malware desarrollado por

operadores de servidores

de videojuegos de lucha

Debido a que brindaba

un marco faacutecil de usar

escalable para los ataques

de IoT raacutepidamente se

hizo popular como una

plataforma geneacuterica de

ataque de DDoS Desde

ese entonces el malware

Mirai ha evolucionado

en muacuteltiples variantes

capaces de comprometer

dispositivos conectados a

internet para lanzar ataques

similares Satori es una

variante de la bot Mirai

Mylobot emergioacute en junio de 2018 como un malware sofisticado que usa teacutecnicas interesantes para evitar la deteccioacuten Funciona como un downloader y es capaz de entregar varios tipos de otros malware En 2019 fue observada por Black Lotus Labs descargando el malware que robaba la informacioacuten Khalesi

Descubierto primero en

2012 Necurs es una de

las botnets de distribucioacuten

de spam y malware maacutes

proliacuteficas de la historia

habiendo infectado muchos

millones de computadoras

Necurs ha evolucionado

de una botnet spam

entregando troyanos

bancarios y ransomware

a una herramienta

multifaceacutetica capaz de

hacer un proxy del traacutefico

habilitando la cripto-mineriacutea

y lanzando ataques de

DDoS

Identificado en 2014 TheMoon es una botnet IoT modular que apunta a las vulnerabilidades en ruteadores dentro de las redes de banda ancha tales como los usados por consumidores y pequentildeas empresas Los actores maliciosos usan TheMoon para ataques de credential-stuffing (relleno de cuentas y contrasentildeas) fraude de publicidad de video ofuscacioacuten de traacutefico de internet y maacutes

Coacutemo infecta

Emotet por lo general se expande a traveacutes de enlaces o adjuntos maliciosos en emails de phishing enviados desde dispositivos infectados Desde mayo 2019 Proofpoint informoacute que Emotet es responsable de maacutes de la mitad de todos los spam que cargas uacutetiles maliciosas en el momento

Mirai escanea la internet buscando dispositivos de IoT no protegidos con nombres de usuarios contrasentildeas por default o vulnerabilidades explotables Luego de conectarse a un host comprometido Mirai instala malware agregando los dispositivos de IoT vulnerables a la botnet en generalSatori es un ejemplo de una variante que apunta a los dispositivos Android En julio de 2018 CenturyLink descubrioacute bots Satori intentando infectar dichos

dispositivos

El vector de infeccioacuten inicial elude a la mayoriacutea de los investigadores no obstante despueacutes del compromiso inicial Mylobot puede instruir al host comprometido para que descargue otros tipos de malware

Los links al malware de Necurs se distribuyen a traveacutes de emails de phishing tales como los spams de citas con mujeres rusas y los scams de inflar y vender acciones Los usuarios hacen clic en los links que inician la descarga del malware Este meacutetodo simple de entrega de malware ha demostrado ser exitosoNecurs infecta las computadoras exitosamente ejecutando versiones de Windows pirateadas o sin parches que por lo general carecen de proteccioacuten antivirus Asiacute es que se ve principalmente en los paiacuteses subdesarrollados

Operadores de TheMoon escanean hosts buscando servicios vulnerables que esteacuten ejecutaacutendose en servicios de dispositivos de IoT no protegidos Una vez que se encuentra un servicio

TheMoon usa una explotacioacuten para lanzar un script Shell (caacutescara) que cuando es ejecutado descarga la carga uacutetil de la etapa inicial de domstates[]su TheMoon actualmente explota moacutedems de banda ancha o ruteadores desarrollados por Linksys ASUS MikroTik D-Link y maacutes recientemente GPON


Los actores de Emotet

mantiene maacutes de

cien C2 diferentes en

cualquier momento

determinado actualizando

frecuentemente los C2 que

estaraacuten activos a lo largo del

diacutea La estructura de capas

de C2 mencionada arriba

hace que la infraestructura

de Emotet sea notablemente

resistente a las disrupciones

de C2 individuales

Black Lotus Labs observoacute

aproximadamente 18000

IPs uacutenicas comunicaacutendose

con los C2 de Mylobot

La bot ejecuta buacutesquedas

de DNS que parecen ser

DGAs pero en realidad son

dominios predefinidos en el

malware

TheMoon cuenta con varias

IP preprogramadas que

utiliza para comunicarse

con los C2 dentro

de su coacutedigo binario

principal Las cargas uacutetiles

secundarias pueden tener

una infraestructura de C2

separada

La bot usa una red

distribuida peer-to-peer

para conectar maacutequinas

infectadas

Las botnets Mirai solo

pueden tener un servidor

de comando y control de

modo que cuando el mismo

es derribado la botnet

queda hueacuterfana Las bots

hueacuterfanas a menudo son

identificadas y suscritas

nuevamente a un nuevo C2

debido a que el compromiso

inicial queda sin resolver

Si bien las campantildeas de phishing de Emotet solo se han observado entregando al Emotet en siacute una vez que una computadora estaacute infectada con Emotet puede luego utilizarse para plantar familias adicionales de malware La infraestructura de C2 de Emotet es compleja Por ejemplo utiliza varios niveles de hosts para controlar su infraestructura Adicionalmente durante determinadas infecciones Emotet despliega un moacutedulo UPnP que posibilita que un dispositivo infectado actuacutee como un C2

Mylobot contiene teacutecnicas sofisticadas que apuntan a evitar los entornos de maacutequinas virtuales y sandboxing en un intento por evitar ser detectados Por ejemplo el malware puede instruir al host que permanezca inactivo durante 14 diacuteas antes de intentar contactar al C2

TheMoon distribuye

moacutedulos maliciosos de

funcionalidades diferentes

luego de la infeccioacuten inicial

Uno de los moacutedulos intenta

crear una red proxy para

que la usen los clientes

del operador Algunos de

estos clientes pueden usar

el proxy como servicio para

enviar traacutefico de ataque

dificultando auacuten maacutes el

rastreo de la verdadera

fuente de ataque

Necurs usa una DGA para habilitar una operacioacuten dinaacutemica y evitar el derribamiento total Cuando un host comprometido no puede alcanzar su infraestructura normal un algoritmo predefinido en el coacutedigo genera un listado de nombres de dominio que puede estar respondiendo como un nuevo C2 El host luego intenta conectarse con dicho C2 En ocasiones la red del C2 parece quedar offline por un determinado tiempo para evitar ser detectada Durante este periacuteodo los hosts comprometidos acceden al DGA en el malware y continuacutean buscando un C2

al cual conectarse

Los C2 de Mirai comienzan luego a emitir comandos de ataques de DDoS a cada una de las bots Estos comandos identifican un objetivo queacute puerto atacar queacute protocolo usar y

duracioacuten del ataqueEn enero de 2018 la variante de Satori comenzoacute a apuntar a los mineros de criptomonedas de Claymore secuestrando las direcciones de las billeteras de los mineros para apropiarse de la moneda

minada

Conducta

Caracteriacutesticas




En los uacuteltimos antildeos Emotet

se ha usado principal-

mente como un servicio de

distribucioacuten de malware por

otras familias tales como

Trickbot IcedID QakBot

Gookit y Dridex ty se ha

convertido en un elemento

central para el ecosistema

del ciberdelito

Antes de entregar la carga uacutetil Necurs es capaz de evaluar los hosts para determinar si califican como miembros potenciales de la botnet Por este motivo no entregaraacute cargas uacutetiles secundarias en un entorno de laboratorio ni atacaraacute modelos maacutes viejos de computadoras que carecen de poder de computacioacuten

Similar a Mylobot

TheMoon puede distribuir

cargas uacutetiles secundarias

adicionales de diversas

funcionalidades La

mayoriacutea de estas cargas

uacutetiles secundarias estaacuten

asociadas con convertir la

bot en un proxy ofrecido

como servicio

Mylobot es capaz de entregar varias cargas uacutetiles secundariasUn ejemplo es Khalesi malware de robo de informacioacutenKhalesi es un keystroke logger (registrador de teclas) que se apropia de datos financieros y de otra

iacutendole

Mirai no lanza una carga uacutetil

secundaria

Como Emotet se distribuye a traveacutes de emails de phishing los usuarios deberiacutean estar capacitados para no abrir los enlaces viacutea email de remitentes desconocidos y tampoco los adjuntos El coacutedigo binario de Emotet por lo general se distribuye a traveacutes de macros de Word Capacitar a los usuarios para que deshabiliten las macros o que las inhabiliten todas juntas es tambieacuten recomendable Como los macros Word de Emotel ejecutan un script a traveacutes de PowerShell se recomienda a las empresas usar monitoreo de punto final para detectar la ejecucioacuten de PowerShell de Word Los servidores C2 de Emotet estaacuten disponibles libremente de cualquier fuente online que pueda usarse para fines de deteccioacuten o bloqueo en el periacutemetro de la red

Los equipos de seguridad deberiacutean emparchar el software proactivamente para evitar las brechas que Necurs puede explotar Tambieacuten deberiacutean capacitar a los usuarios para que no abran emails de desconocidos ni hagan clic en los enlaceslinks

Los investigadores de Seguridad pueden usar meacutetodos como sinkholing (sumidero agujero negro) de dominios DGA identificados junto con el anaacutelisis de DNS y de traacutefico de red para enumerar las bots Necurs y la infraestructura de C2

Los fabricantes de

dispositivos de IoT y los

proveedores de red de

banda ancha deberiacutean

limitar los servicios abiertos

a internet y proporcionar

parches continuamente

para las vulnerabilidades a la

seguridad

Los nombres de usuarios

y contrasentildeas por default

deberiacutean cambiarse

inmediatamente cuando el

dispositivo es encendido

por primera vez

Las organizaciones que monitorean DNS pueden detectar a Mylobot cuando intenta contactar a un C2 Desde noviembre de 2018 hubo hasta 60000 dominios preprogramados consultados

Revise los registros para identificar cualquier pico en las consultas de DNS Use informes basados en DNS y filtrados para identificar y bloquear amenazas y recibir analiacutetica sobre intentos de ataques

Las empresas deberiacutean tener conocimiento de todos los dispositivos que acceden a internet a traveacutes de su red y generar una base o referencia de dicho traacutefico en un esfuerzo identificar las anomaliacuteas Ademaacutes las empresas deberiacutean ajustar las configuraciones de firewall para minimizar los vectores que pueden utilizarse para comprometer a los dispositivos conectados a internet

Coacutemo defender y proteger


Cargas uacutetiles



Monitoreo de DNS ndash Un control de seguridad subutilizado iquestHa chequeado su DNS uacuteltimamente Durante casi 40 antildeos lo hemos estado usando y nos hemos acostumbrado a aprovechar y beneficiarnos del DNS para navegar desde un nombre de dominio a una Direccioacuten IP

Pero como los actores de amenazas perfeccionan y mejoran sus TTPs monitorear el traacutefico de DNS buscando actividad maliciosa puede resultar un control de seguridad efectivo para los defensores actuales Al prestar atencioacuten a los servidores de DNS las organizaciones pueden aprovechar los datos para rastrear amenazas cuando los adversarios aumentan y aceleran sus ataques basados en DNS para dar soporte a una amplia gama de campantildeas maliciosas Maacutes adelante en este informe encontraraacute un ejemplo de este abordaje a cargo de uno de los socios de Black Lotus Labs para las investigaciones Cisco Talos

Como CenturyLink opera uno de los servicios de resolucioacuten de DNS maacutes grandes en Iternet Black Lotus Labs posee una visibilidad uacutenica para potencialmente identificar y enumerar los cambios en la infraestructura maliciosa ni bien se propagan El monitoreo de DNS posibilita que Black Lotus Labs rastree amenazas de avanzada y describa la conducta de los actores para correlacionar los tiempos o plazos de las campantildeas de ataque

Para este informe Black Lotus Labs se focalizoacute en coacutemo los datos de DNS pueden revelar informacioacuten importante sobre las maneras en que los actores operan los ataques basados en DNS En la seccioacuten que sigue se brindan algunas formas comunes sobre coacutemo los atacantes se aprovechan del DNS para alcanzar sus metas las que incluyen tunelizacioacuten de DNS para exfiltracioacuten de datos secuestro de DNS y la creacioacuten de algoritmos de generacioacuten de dominio (DGAs)

Tunelizacioacuten de DNS ndash Ofuscacioacuten de la actividad maliciosa Con el tiempo los defensores fueron mejorando en la identificacioacuten y bloqueo del traacutefico malicioso de red sin embargo ciertos tipos de traacutefico siguen pasando desapercibidos Como resultado de ello los actores maliciosos han encontrado maneras de usar protocolos bien conocidos raramente monitoreados ndash como DNS ndash para beneficio propio Si bien muchas organizaciones no piensan en la tunelizacioacuten de DNS como un vector de ataque la misma puede utilizarse para codificar datos en subdominios de consulta o respuesta de DNS

Muchas organizaciones no restringen queacute consultas pueden ejecutarse dentro de sus entornos En muchos casos las organizaciones estaacuten satisfechas con el filtrado y haciendo el proxy del ataque de intermediario (man-in-the-middle) con el traacutefico HTTP pero dejan pasar el traacutefico DNS Esto puede crear un escenario peligroso pues permite que alguien enviacutee traacutefico arbitrario fuera de la red Si bien algunos pueden cuestionar el riesgo de la situacioacuten la pregunta formulada por el servidor DNS autoritativo lo provee el host de consultas permitiendo un camino de comunicacioacuten directo cuando la consulta se ejecuta correctamente


La tunelizacioacuten de DNS podriacutea ser un indicador de exfiltracioacuten de datos por maacutes actores sofisticados o podriacutea utilizarse para subvertir los controles de seguridad mediante la colocacioacuten de datos en la consulta Estos datos podriacutean ser datos a nivel de host de maacutequinas comprometidas en la red de una empresa o algo mucho maacutes valioso para el atacante Los defensores deberiacutean monitorear maacutes de cerca su infraestructura de DNS y buscar anomaliacuteas basadas en DNS que pudieran indicar una actividad maliciosa

Black Lotus Labs estaacute llevando a cabo una investigacioacuten en la tunelizacioacuten de DNS y ha disentildeado un modelo de deteccioacuten para identificar posibles datos codificados en las consultas de DNS El modelo mira la cantidad de consultas a un dominio de segundo nivel como asiacute tambieacuten examina los subdominios que se estaacuten consultando A continuacioacuten dos ejemplos de consultas que fueron marcados como posible tunelizacioacuten de DNS en tipos de registros TXT y NULL

Por ejemplo APT32 tambieacuten conocido como OceanLotus usoacute comunicacioacuten de C2 a traveacutes de DNS en el malware SOUNDBITE Marcamos consultas similares en nuestros datos PDNS

bull 72jjbQAAAAAAAAAAAAAAAAAAAAAAAJS4znsquery[]netbull JCx0-wAAAAAAAAAAAAAAAAAAAAAAAAhzzteriava[]combull KBb5wQAAAAAAAAAAAAAAAAAAAAAAAPMLztulationeva[]com

Las consultas DNS consistieron en tipos de registro NULL y TXT e incluyeron datos codificados basados en 64 en los subdominios Tambieacuten marcamos una alerta en otros cuatro dominios que pareciacutean estar codificando datos en un formato similar

bull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAGe5zjessicajoshua[]combull SGlEFwAAAAAAAAAAAAAAAAAAAAAAAKrkzthomaswaechter[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAMxFzphillippcliche[]combull G9PNggAAAAAAAAAAAAAAAAAAAAAAAPWczpoppyranken[]com

Black Lotus Labs tambieacuten observoacute las consultas DNS a un dominio usado por el malware Xshell Ghost que usa una puerta trasera que fue descubierta en Xshell y que utiliza mensajes DNS TXT para exfiltrar datos El malware utiliza una DGA que genera un dominio nuevo cada mes para la comunicacioacuten DNS Vimos consultas tales como la siguiente al dominio luvifolufwbsb[]com que es el dominio usado en abril de 2019 (Vea los reportes netlab360 y arXiv rque proporcionaron la semilla de investigacioacuten inicial)

bull qajajlyoogrmkclivhqbtgpbpmwlvcjikdtkkgwfvdkbkoqfukognnvfuhxcohnnqlmoxgqftfrcsbtpqluvifolufwbsb[]com

Si bien estas teacutecnicas se descubrieron hace varios antildeos nuestra investigacioacuten muestra que la amenaza no fue eliminada y en algunos casos notamos incluso un aumento de esta actividad incluyendo la actividad de nuevos dominios no reportados previamente


Secuestro de DNS ndash Redireccionamiento de las consultas de dominioEl secuestro de DNS praacutectica que consiste en subvertir la resolucioacuten de DNS por manipulacioacuten puede adoptar varias formas ndash desde cambiar las configuraciones de DNS en los dispositivos hasta desviar cada paquete de datos que salga de la red de una empresa mediante el redireccionamiento del destino del dominio El secuestro de DNS ademaacutes se expandioacute recientemente para incluir la manipulacioacuten de registros de DNS Los registradores de DNS pueden ser blancos de ataques de fuerza bruta para obtener sus contrasentildeas aunque las instancias maacutes populares de secuestro de DNS uacuteltimamente han sido resultado de phishing realizados contra los administradores de DNS para luego utilizar sus credenciales legiacutetimas para ejecutar el ataque

Durante el uacuteltimo trimestre de 2018 uno de los socios maacutes cercanos de Black Lotus Labs en inteligencia sobre amenazas Cisco Talos reportoacute el surgimiento de una campantildea de ataque con muchos pivotes a la que denominoacute DNSpionage (espionaje de DNS) Los Atacantes hicieron phishing de los nombres de usuarios y contrasentildeas para comprometer la integridad de los objetivos de DNS en un pivote con el objeto de obtener las credenciales de los registradores A traveacutes de estas credenciales los atacantes instalaron nuevos nombres de host y obtuvieron nuevos certificados de TLS emitidos para convertirse en usuarios vaacutelidos del dominio y hacerse pasar por el sitio Si bien los atacantes solo sentildealaron dominios sustraiacutedos a sus hosts maliciosos durante pocos minutos pudieron obtener vastas cantidades de credenciales de usuarios y VPN Este eacutexito les provee a los atacantes tiempo para desarrollar malware customizado sitios web impostores y para enumerar objetivos menores tales como publicaciones de puestos de trabajo con el fin de lanzar ataques futuros bien dirigidos sin ser advertidos Mientras que la campantildea DNSpionage pasoacute inadvertida durante un tiempo cuando fueron atrapados en el acto estos actores siguieron lanzando ataques de secuestro de DNS como tambieacuten lo informaron CrowdStrike y FireEye a principios de este antildeo

Como ejemplo durante un periodo de varias semanas los algoritmos de Black Lotus Labs encontraron un promedio de 250 dominios por diacutea que estaban siendo activamente abusados para la tunelizacioacuten de datos Esto representa maacutes de 70000 buacutesquedas para cada dominio demostrando el volumen de datos que puede ser visible cuando se investigan estas amenazas

Black Lotus Labs identificoacute ~250 dominios por diacutea siendo abu-sados para la tunelizacioacuten de datos lo que representa 70000+ buacutesquedas para cada dominio


Black Lotus Labs monitorea y rastrea continuamente las nuevas amenazas para proteger a los clientes de CenturyLink Con el fin de entender el impacto de los eventos descritos en el informe Talos en forma maacutes amplia Black Lotus Labs ejecutoacute un anaacutelisis independiente posterior al evento sobre 3 IP involucradas en el ataque de DNSpionage tal como se demuestra en el graacutefico que sigue El 15 de septiembre de 2018 se registroacute un pequentildeo pico en 185201878 que correspondiacutea directamente al secuestro de DNS identificado por Talos En octubre el equipo advirtioacute un notable incremento en el traacutefico hacia 18516121172 Los datos PDNS de CenturyLink muestran que esta IP estuvo asociada con el dominio C2 desde el 8 al 30 de octubre de 2018 alineaacutendose directamente con este aumento en la actividad NetFlow Hasta noviembre el equipo vio un giro en el traacutefico hacia 18520184138 y 185201878 que tambieacuten coincide con las resoluciones de dominio C2 desde el 5 al 27 de noviembre de 2018

Black Lotus Labs continuacutea monitoreando esta amenaza para proteger la red de CenturyLink y las redes de sus clientes

2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15

Talos DNSpionagetraffic review byBlack Lotus Labs

1852018413818516121172185201878

Anaacutelisis de NetFlow independiente por Black Lotus Labs sobre la campantildea de DNSpionage identificada por Cisco Talos


DGA ndash Cazando dominios de alta entropiacutea El uso de algoritmos de generacioacuten de dominio (DGAs) en el malware en siacute mismo hace abuso del proceso de registracioacuten de dominio y en coacutemo DNS resuelve los dominios Algunas familias de malware utilizan nombres de dominio generados algoriacutetmicamente para localizar su infraestructura de C2 Si bien la comunidad de investigacioacuten en seguridad estaacute mejorando en la mitigacioacuten de la infraestructura de control utilizando dominios o IP preprogramados los DGA permiten que el malware genere un nuevo dominio para que el actor pueda cambiar la infraestructura algo que puede ser difiacutecil de detectar para los investigadores de seguridad Black Lotus Labs usa modelos de aprendizaje automaacutetico para predecir y anticipar estos dominios aparentemente generados al azar Con base en nuestra investigacioacuten podemos entender la cadencia cuaacutendo los actores de amenazas evolucionan el malware y coacutemo cambian las taacutecticas y teacutecnicas para estar siempre un paso adelante

Los dominios generados algoriacutetmicamente han sido usados por autores de malware durante varios antildeos permitieacutendoles actualizar la infraestructura usada sin tener que actualizar el malware en siacute La manera maacutes sencilla de estos algoritmos comienza con un valor (que puede ser preprogramado o derivado de otra fuente como por ejemplo fechahora) para plantar un algoritmo pseudo aleatorio que escoge letras nuacutemeros o una combinacioacuten de ambos para elaborar el nombre de dominio Algunos ejemplos de dominios DGA basados en diferentes semillas o valores originales de la familia de malware Necurs son los siguientes

DGA05 smjteudue[]pwDGA09 vyosbpxjoffckyntpgk[]pwDGA13 vdnpaaovoyjoyrfmlejpe[]pwDGA15 tquxdrapf[]pw

Marcar estos dominios es bastante directo ya que los mismos no se adeudan a modelos linguumliacutesticos previsibles lo que resulta en maacutes entropiacutea y en una mayor posibilidad de no pasar desapercibidos para las teacutecnicas de anaacutelisis El nivel de entropiacutea con respecto a los dominios corresponde a la aleatoriedad de la entrada del dominio ndash cuanto mayor sea el nivel de aleatoriedad mayor seraacute el nivel de entropiacutea Usamos el nivel de entropiacutea combinado con varias otras caracteriacutesticas para marcar dominios DGA aleatoriamente

Entropiacutea y teacutecnicas nuevas Dado que la entropiacutea es un meacutetodo efectivo para detectar estos nombres de dominio generados aleatoriamente los actores han pasado a teacutecnicas nuevas Por ejemplo los autores de malware han evolucionado sus teacutecnicas y varias familias de malware usan algoritmos que eligen palabras al azar de un listado fijo de palabras o del diccionario para componer el nombre de dominio bajando de esa manera su entropiacutea Un dominio DGA simple como por ejemplo QmxhY2tMb3R1c0xhYnMuaW8[]io


nuestra un elevado nivel de entropiacutea y es aparentemente aleatorio ndash no obstante en este caso el malware posee la clave que transforma este dominio con alta entropiacutea en uno que sea accesible

Detectar los DGA basados en el diccionario es un problema maacutes difiacutecil porque los dominios resultantes tienen menor entropiacutea y una distribucioacuten de caracteres similar a las palabras en ingleacutes Black Lotus Labs desarrolloacute modelos para detectar estos dominios extrayendo y analizando la asociacioacuten entre las palabras que conforman el dominio Ejemplos de DGA basados en el diccionario que fueron marcados por nuestro modelo incluyen uponthank[]net y rathersafety[]net Ambos DGA fueron informados por otra fuente de terceros como relacionados con la familia del malware Suppobox

Los algoritmos DGA aleatorios no van a desaparecer por completo parcialmente porque pueden ser programados en un par de liacuteneas de coacutedigo mientras que el malware que usa un algoritmo basado en el diccionario necesita o bien tener el diccionario preprogramado o faacutecilmente accesible Los modelos de Black Lotus Labs usan procesamiento natural del lenguaje y otras teacutecnicas de aprendizaje automaacutetico para marcar los dominios DGA tanto aleatorios como basados en el diccionario El equipo ejecuta los modelos contra un conjunto de datos que consta de datos DNS pasivos (PDNS) diarios internos los que incluyen en parte los mapeos entre los dominios y las IPrsquos a las que resuelven que es frecuentemente aprovechado por Black Lotus Labs para rastrear la infraestructura maliciosa La produccioacuten resultante de este proceso de anaacutelisis incluye marcar aproximadamente 130000 dominios por diacutea que sean potencialmente DGA aleatorios o dominios DGA basados en el diccionario

Durante el primer semestre de 2019 Black Lotus Labs observoacute 1549 familias de malware que utilizaban 6883871 dominios distintos De dichas familias de malware y dominios 52 familias estaacuten usando DGAs lo que representa 6076207 de todos los dominios observados El nuacutemero de dominios es relativamente alto debido a la proliferacioacuten de malware que utiliza un DGA para producir dominios C2 que cambian constantemente

Black Lotus Labs marca ~130000 DGA potenciales aleatorios o dominios DGA basados en el diccionario diariamente


El bueno el malo y el feo coacutemo defenderse de las amenazas DNS

Tunelizacioacuten de DNS y exfiltracioacuten de DNSbull Revea los registros de DNS en su infraestructura y monitores

las anomaliacuteas grandes voluacutemenes de cambios y dominios no vistos previamente

bull Monitoree la red en buacutesqueda de grandes voluacutemenes de traacutefico dirigidos a servidores uacutenicos de DNS Monitoree las terminales para identificar los procesos que no se comunican normalmente por la red

bull Use un upstream provider que bloquee los nombres de dominio maliciosos

bull Aproveche una IDSIPS basada en la red con firmas especiacuteficas de exfiltracioacuten

bull Busque anomaliacuteas estadiacutesticas en las consultas de dominio que puede lograr que estos ataques no pasen desapercibidos en los conjuntos de registros de DNS La tunelizacioacuten de DNS tiende a ser muy ruidosa

Secuestro de DNSbull Aseguacuterese de que los administradores de DNS o cualquier

persona con acceso al sistema registrador de DNS de su organizacioacuten use autenticacioacuten multifactor para el registrador La autenticacioacuten multifactor ayuda a mitigar los intentos de phishing exitosos

bull Audite constantemente los registros puacuteblicos de DNS para verificar que esteacuten resolvieacutendose conforme a lo previsto

bull Busque cualquier certificado de encriptacioacuten relacionado con dominios sospechosos y revoque cualquier certificado solicitado fraudulentamente

bull Use DNSSEC para mitigar cambios no autorizados a un dominio tales como envenenamiento de cacheacute de una DNS en una red local

Es importante tener en mente que las teacutecnicas de mitigacioacuten son contextuales al entorno de una organizacioacuten y la defensa contra las amenazas de DNS no estaacute limitado a estas recomendaciones

Pero como las campantildeas basadas en DNS evolucionan hoy en diacutea


los defensores pueden ganar perspectivas valiosas y reforzar las defensas mediante la inclusioacuten de monitoreo de DNS como parte de sus controles de seguridad

Entorpeciendo a los disruptores proteccioacuten contra los ataques de DDoSLos ataques de DDoS han estado presentes por deacutecadas y seguiraacuten siendo un arma popular de eleccioacuten para que los ciberdelincuentes dirijan sus ataques y desborden todo desde un servidor a toda una red Los ciberdelincuentes han apuntado a todas las verticales de la industria y entidades gubernamentales causando demoras del servicio o tomando el control de las operaciones del negocio y dejaacutendolas totalmente offline Muchos lanzan ataques de DDoS para probar la capacidad de respuesta de los objetivos a los que apuntan

Si bien la industria en su totalidad ha visto y probablemente siga siendo testigo de una progresioacuten continua en la envergadura de los ataques CenturyLink tambieacuten observoacute un incremento en los arques de corta duracioacuten de ancho de banda maacutes bajo que a menudo duran de 30 segundos a un minuto Los actores estaacuten motivados por el hecho de que las soluciones de mitigacioacuten de DDoS de algunos proveedores se esfuerzan por mitigar estos ataques en raacutefaga Los defensores dependiendo del entorno y de las aplicaciones de su cliente tal vez necesiten evaluar su tolerancia al riesgo para los ataques de disrupcioacuten del servicio de corta duracioacuten y considerar las opciones de mitigacioacuten siempre activas (always-on) como asiacute tambieacuten las automaacuteticas con alguna solucioacuten de mitigacioacuten bajo demanda

Durante el primer semestre de 2019 los Centros de Operaciones de Seguridad (SOCs) de CenturyLink a nivel global mitigaron maacutes de 14000 ataques de DDoS a los clientes (aproximadamente 120 ataques por diacutea) ndash incluyendo un incremento de los ataques multi-vector y de capas de aplicaciones combinadas Adicionalmente como los actores maliciosos fueron cambiando los tipos de ataques continuamente CenturyLink varioacute con regularidad las contramedidas para mitigar los ataques efectivamente El martes 5 de febrero marcoacute el diacutea donde se registroacute el volumen maacutes alto de ataques durante el primer semestre de 2019 muchos de esos ataques incluiacutean extorsioacuten y pareciacutean haber sido coordinados

Asimismo los SOCs globales de CenturyLink confiaron en la inteligencia en tiempo casi real en el

Los SOCs globales de CenturyLink mitigaron +14000 ataques de DDoS a los clientes durante el primer semestre de 2019


enriquecimiento de datos y en la visibilidad de Black Lotus Labs que habilitaron maacutes decisiones informadas sobre el tipo de contramedidas a implementar Estas podriacutean aplicarse directamente como controles en la red de CenturyLink depositando el traacutefico malicioso en el punto de peering o en el borde de la red usando BGP FlowSpec o participando de un derribamiento de C2 Cuando emprendemos los derribamientos de C2 nuestra prioridad consiste en hacerlo sin causar dantildeos colaterales Dichos controles se implementaron juntamente con la infraestructura de depuracioacuten tradicional de DDoS filtros basados en la heuriacutestica y en la firma para una mayor mitigacioacuten

Como CenturyLink opera uno de los mayores backbones globales de internet Black Lotus Labs posee una capacidad de avanzada para derribar los C2s que producen los ataques de DDoS La habilidad de Black Lotus Labs de eliminar la fuente de la infraestructura C2 es criacutetica para combatir los ataques de DDoS en IoT Con el creciente nuacutemero de dispositivos conectados a internet combinado con el creciente throughput disponible en los hogares de los consumidores (considere que los avances de las velocidades de 1Gbps y 5G inalaacutembrico estaraacuten llegando pronto) los actores maliciosos tienen un poderoso incentivo para compilar un arsenal de dispositivos de IoT bajo la misma infraestructura de comando y control Ya sea que el C2 esteacute usando bots para lanzar un ataque de DDoS escaneando internet o el entorno de la empresa o esparciendo en forma lateral desde dispositivos conectados a otros activos en el hogar o en la empresa los dispositivos de IoT son puntos terminales atractivos en donde los actores de amenazas pueden fortalecer sus botnets

Game over DDoSLos operadores de DDoS usan botnets como Mirai para lanzar ataques Estas botnets tambieacuten pueden usarse para cubrir otras actividades maliciosas Para una compantildeiacutea de juegos que estuvo a punto de lanzar un nuevo juego CenturyLink bloqueoacute proactivamente una infraestructura de C2 de una botnet despueacutes de haber recibido una conversacioacuten sobre un ataque pendiente Dicha accioacuten posibilitoacute que la compantildeiacutea lanzara su juego exitosamente sin tener que preocuparse porque su plataforma de disponibilidad del juego fuera obstruida por un ataque de DDoS


Tamantildeo duracioacuten y tipo de ataque de DDoS ndash Primer semestre 2019

Segmentacioacuten por tipo de ataque de DDoS

de ataques DDoSmitigados

Diariamente = ~120 1 semestre 2019 =

~14K

Tamantildeo promedio de los ataques =

4 Gbps

Tamantildeo promedio de ataque pico diariamente =

25 Gbps

Mayor ataque visto =

430 Gbps

Duracioacuten promedio de un ataque =

44 Minutos

Duracioacuten promedio de un ataque=

1 Horas 51 Minutos

Ataque de DDoS maacutes largo =

9 Diacuteas4 Horas

40 Minutos

De los primeros 100 ataques la mayoriacutea utilizoacute tres o cuatro vectores dentro de un solo ataque

89 multi-vector

11 un solo vectorLos porcentaje representa el vector dominante en los ataques mitigados

9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18

Inundacioacuten ICMP17

inundacioacuten SYN

19Miscelaacuteneos

12Reflexioacuten NTP

HTTP capa 7 puertos UDP no estaacutendar etc



Los 50 ataques principales por envergadura por vector ndash Primer semestre 2019 1 Reflexioacuten de DNS2 Inundacioacuten ICMP - Inundacioacuten SYN puerto 80 -

Inundacioacuten SYN puerto muacuteltiple3 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN

puerto muacuteltiple 4 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten

ICMP - Reflexioacuten de NTP - VPN Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple

5 Inundacioacuten ICMP - Reflexioacuten de NTP6 Inundacioacuten SYN puerto 55903 - Inundacioacuten SYN

puerto 55919 - Inundacioacuten SYN puerto 55970 - Inundacioacuten SYN puerto muacuteltiple

7 Reflexioacuten de DNS8 Reflexioacuten de DNS - Inundacioacuten ICMP9 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP -

Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto muacuteltiple

10 Inundacioacuten ICMP - Reflexioacuten de NTP11 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de

NTP - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 30110

12 Reflexioacuten de DNS13 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN

puerto 25 - Inundacioacuten SYN puerto muacuteltiple14 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP

- Reflexioacuten de SSDP - Inundacioacuten SYN puerto 3012015 Inundacioacuten SYN puerto muacuteltiple16 Reflexioacuten de Chargen17 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN

puerto 2518 Reflexioacuten de DNS - Inundacioacuten ICMP19 Reflexioacuten de DNS - Inundacioacuten ICMP20 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP

- Reflexioacuten de RPC - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 30120

21 Inundacioacuten ICMP - Reflexioacuten de NTP22 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de

NTP - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple

23 Inundacioacuten ICMP - Reflexioacuten de Chargen24 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN

puerto 25 - Inundacioacuten SYN puerto 53 - Inundacioacuten SYN puerto 993 - Inundacioacuten SYN puerto muacuteltiple

25 Reflexioacuten de DNS - Inundacioacuten ICMP Inundacioacuten SYN puerto muacuteltiple

26 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 5816

27 Inundacioacuten ICMP - Reflexioacuten de Chargen

28 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 30122

29 Reflexioacuten de DNS - Inundacioacuten ICMP - Inundacioacuten SYN puerto 25 - Inundacioacuten SYN puerto muacuteltiple

30 Reflexioacuten de DNS31 Reflexioacuten de DNS - Inundacioacuten ICMP 32 Reflexioacuten de DNS33 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de

NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 30110 - Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto 30121 - Inundacioacuten SYN puerto 3389 - Inundacioacuten SYN puerto muacuteltiple

34 Inundacioacuten ICMP - Reflexioacuten de NTP35 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de

SSDP - Inundacioacuten SYN puerto 3012036 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN

puerto 3012037 Reflexioacuten de Chargen - Inundacioacuten ICMP - Reflexioacuten de

NTP - Reflexioacuten de RPC38 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de RPC

- Inundacioacuten SYN puerto 30120 - Inundacioacuten SYN puerto muacuteltiple

39 Inundacioacuten ICMP - Reflexioacuten de NTP40 Inundacioacuten ICMP - Reflexioacuten de NTP41 Inundacioacuten ICMP - Inundacioacuten SYN puerto 44342 Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de

SSDP 43 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN

puerto 80 - Inundacioacuten SYN puerto muacuteltiple44 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten

ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC45 Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN

puerto 22 - Inundacioacuten SYN puerto 443 - Inundacioacuten SYN puerto muacuteltiple ndash fragmentos de UDP

46 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de SSDP - Inundacioacuten SYN puerto 443

47 Reflexioacuten de Chargen - Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Reflexioacuten de RPC - Inundacioacuten SYN puerto 28015 - Inundacioacuten SYN puerto 29085

48 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP - Inundacioacuten SYN puerto 22 - Inundacioacuten SYN puerto 80 - Inundacioacuten SYN puerto muacuteltiple

49 Reflexioacuten de DNS50 Reflexioacuten de DNS - Inundacioacuten ICMP - Reflexioacuten de NTP



Primeros 500 ataques de DDoS de mayor envergadura por industria ndash Primer semestre 2019


61 Web hosting

10 Telecomunicaciones

9 Servicios de salud

7 Servicios profesionales

4 Retail

4 Servicios financieros

2 Educacioacuten

1 Juegos

1 Sin fines de lucro

1 Medios y entretenimiento

Segmentacioacuten por Web hosting42 Juegos

42 Apuestas online


5 E-commerce

1 Educacioacuten


Atreacutevase mdash pero con precaucioacuten Tal como indican estos hallazgos las ciberamenazas estaacuten escalando maacutes raacutepidamente que lo que muchas empresas puedan indentificar bloquear y mitigar La visibilidad del paisaje de las amenazas en franca expansioacuten es un imperativo aunque es auacuten maacutes esencial actuar Como comunidad preocupada por la seguridad necesitamos una colaboracioacuten continua para mejorar las poliacuteticas los programas y las plataformas de seguridad para estar a la altura de la uacuteltima generacioacuten de amenazas

iquestQueacute puede hacer para proteger su negocio contra las amenazas actuales y futuras A continuacioacuten le brindamos cinco recomendaciones

1 Incorpore la seguridad a la red Las redes se estaacuten expandiendo maacutes raacutepidamente que nunca El volumen y la velocidad de los datos de red estaacute creciendo ndash y seguiraacute disparaacutendose Implementar una mejor seguridad en una capa de red le ayudaraacute a proveer un beneficio desproporcionado debido al mayor ancho de banda IoT el servicio moacutevil y el 5G aportaraacuten a la red

2 Redoble su apuesta por los expertos El talento en seguridad es escaso Las organizaciones deben determinar queacute aspectos son esenciales para armar y entregar internamente y cuaacuteles otros es mejor que queden en manos de socios de confianza Piense cuidadosamente en doacutende invierte sus maacuteximos talentos y en doacutende puede depender de otros

3 Simplifique la seguridad Al evaluar las soluciones de seguridad los compradores deberiacutean mantener las siguientes consideraciones como prioritarias iquestmejora la seguridad disminuye los costos y reduce la friccioacuten Las soluciones de seguridad deben al menos cumplir con dos de estos criterios

4 Cierre la brecha de la seguridad e ingenieriacutea Los equipos de seguridad TI e ingenieriacutea del negocio deben trabajar estrechamente para garantizar que cada producto sea seguro La seguridad atornillada a la red de manera tardiacutea en el proceso termina siendo disruptiva tanto para el negocio como para la experiencia del usuario Es esencial que la seguridad esteacute incorporada en cada producto y solucioacuten como parte de un proceso de ingenieriacutea ininterrumpido

5 Cambie el modo de confiar Los diacuteas de confianza impliacutecita estaacuten terminados Un dispositivo atado a la identidad de una persona no puede ser confiable inherentemente Resulta criacutetico mirar coacutemo estamos aplicando la seguridad de manera consistente en dispositivos asociados con la identidad de una persona independientemente de quieacutenes sean y doacutende se ecuentren


Conclusioacuten Las organizaciones seguiraacuten acelerando la implementacioacuten de nuevas tecnologiacuteas y capacidades que impulsen el traacutefico de red y la complejidad de la seguridad Esta explosioacuten de datos y la creciente dependencia de la conectividad de internet significa que debemos construir controles de seguridad en la capa de la red para ayudar a proteger el negocio digital

Para ser utilizable la seguridad debe ser simple Si la seguridad interrumpe la capacidad del negocio digital actual de adquirir analizar y actuar sobre los datos su valor queda erosionado Proteger el negocio digital ndash incluyendo a las aplicaciones y a los datos ndash significa que la seguridad y la red deben estar conectadas para maximizar el valor impulsado por los datos

CenturyLink provee capas de proteccioacuten basadas en la red para ayudar a defenderse de un paisaje de amenazas cada vez maacutes complicado Tenemos uno de los backbones IP maacutes grandes y con mayor cantidad de peers del mundo lo que nos brinda una visibilidad expansiva casi en tiempo real en el escenario de las amenazas A traveacutes de nuestra inversioacuten continua en Black Lotus Labs hemos aprovechado la potencia de nuestra visibilidad global para socavar el accionar de los actores maliciosos

Nuestras acciones directas apuntan a impactar la capacidad de los actores maliciosos para operar el malware masivo en escala y convertirse en demasiado poderosos Esto significa que haya menos traacutefico malicioso atacando los firewalls de los clientes e ingresando en las redes internas reduciendo el nuacutemero de eventos que los equipos de seguridad sobrecargados deben investigar CenturyLink estaacute focalizada en incorporar la seguridad en nuestros servicios de red e integrar nuestra inteligencia global sobre amenazas directamente en nuestras soluciones

Como buenos encargados de proteger Internet estamos protegiendo la conectividad global de manera proactiva sea usted o no cliente de CenturyLink Lo hacemos no para nuestro propio beneficio sino por el bien comuacuten Sentimos que es nuestra responsabilidad exclusiva como proveedor global de comunicaciones actuar sobre nuestro punto de ventaja y convertir nuestro backbone en un sensor de amenazas y plataforma proactiva de defensa Significa que estamos comprometidos a hacer nuestra parte para ayudar a mantener la internet limpia para todos

iquestDesea proteger su red Conozca maacutes acerca de Connected Security de CenturyLinkContacte a un experto al +54 11 5170-1444

Si desea colaborar con Black Lotus Labas sobre las investigaciones de amenazas por favor contaacutectenos a traveacutes de BlackLotusLabs

Los servicios no se encuentran disponibles en todas partes CenturyLink puede modificar o cancelar productos y servicios o sustituir productos y servicios similares a su exclusiva discrecionalidad sin necesidad de notificacioacuten alguna copy2019 CenturyLink Todos los Derechos Reservados

El presente documento se entrega solo con fines informativos y probablemente requiera de investigacioacuten y sustanciacioacuten adicionales de parte del usuario final Ademaacutes la infor-macioacuten se brinda ldquocomo estaacuteldquo sin garantiacutea ni condicioacuten alguna ya sea expresa o impliacutecita El uso de esta informacioacuten es responsabilidad del usuario final CenturyLink no garantiza que la informacioacuten cumpla con los requerimientos del usuario final o que la implementacioacuten o uso de esta derive en el resultado deseado del usuario final El presente documento representa a los productos y a las ofertas de CenturyLink a la fecha de su emisioacuten


El tema de la seguridad no deberiacutea ser tan difiacutecil

O dicho de otra forma La seguridad puede ser compleja El verdadero arte consiste en lograr que la seguridad sea faacutecil de usar

Como empresa de Fortune 150 y siendo el segundo mayor proveedor de comunicaciones de los Estados Unidos para clientes corporativos a nivel global somos responsables de asegurar nuestras propias operaciones a traveacutes de un conjunto de soluciones de TI hiacutebrida nube redes y comunicaciones - ademaacutes de las operaciones de nuestros clientes Como CSO de esta compantildeiacutea puedo dar fe de que las presiones que padecen los liacutederes en seguridad actualmente son muchas

Por un lado tenemos la explosioacuten del traacutefico de red impulsados por el video 5G IoT dispositivos conectados y una fuerza laboral moacutevil por otra parte existe una intolerancia creciente y justificada de los usuarios - tanto internos como externos - ante cualquier desempentildeo que no sea perfecto y que no esteacute siempre activo A esto agreacuteguele la naturaleza de parche de muchas de las soluciones actuales de seguridad con las que a menudo las empresas deben arreglaacuterselas por siacute solas para enmendarlas la brecha entre los equipos de seguridad y de ingenieriacutea que a menudo se refleja en la implementacioacuten de la seguridad - y el panorama puede presentarse como desalentador

Pero la seguridad puede ser simple creemos que el valor inherente de un proveedor de soluciones de seguridad deberiacutea ser en primer lugar y como objetivo primordial el de brindar una simplicidad efectiva

En CenturyLink nuestra seguridad se construye sobre la base de dos directivas fundamentales aprovechar nuestra visibilidad global y expansiva de las amenzas y actuar en contra de las amenazas que vemos Nuestra exclusiva y profunda inteligencia sobre amenazas basada en la red hace que

La promesa de laSeguridad Conectada

Chris Betz CSO





Cordialmente



















Conclusioacuten 35















1394 Emotet

1438 Mirai

1240 Gafgyt

39Xor_DDoS

9Necurs










por diacutea







9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten























Cordialmente



















Conclusioacuten 35















1394 Emotet

1438 Mirai

1240 Gafgyt

39Xor_DDoS

9Necurs










por diacutea







9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten




































Conclusioacuten 35















1394 Emotet

1438 Mirai

1240 Gafgyt

39Xor_DDoS

9Necurs










por diacutea







9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten

































1394 Emotet

1438 Mirai

1240 Gafgyt

39Xor_DDoS

9Necurs










por diacutea







9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten




























por diacutea







9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten
























9

8

4

73

2

65

110




2 China 137 K

3 Rusia 44 K


5 Meacutexico 32 K

6 Singapur 27 K

7 Alemania 24 K

8 Francia 23 K

9 Reino Unido 20 K

10 Corea 14 K

9

8

4

7 3

2

6

5110



2 Espantildea 76 K

3 India 75 K

4 Indonesia 43 K

5 Turquiacutea 32 K

6 Vietnam 32 K

7 Meacutexico 28 K

8 Marruecos 26 K

9 Brasil 25 K

10 Iraacuten 24 K


7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten




















7

8

3

6

492

51

10



2 Vietnam 27 K

3 Indonesia 17 K

4 India 14 K

5 China 13 K

6 Rusia 13 K

7 Brasil 7 K


9 Tailandia 7 K

10 Taiwaacuten 6 K


2 China 54 K


4 Reino Unido 4 K

5 Alemania 3 K

6 Francia 3 K

7 Rusia 2 K

8 Japoacuten 1 K

9 Singapur 892

10 Hong Kong 836

7

386

4

9

2

5

110



73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten




















73

8 6

4

9 2

5

110



2 China 87 K

3 Egipto 65 K

4 Rusia 58 K

5 Brasil 53 K

6 Taiwaacuten 35 K

7 Corea 27 K

8 India 24 K

9 Francia 21 K



2 Alemania 29 K


4 Francia 16 K

5 Rusia 15 K


7 Irlanda 8 K

8 Hong Kong 7 K


10 Canadaacute 5 K

73

6

4

9

5

1

10


8

2


76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten




















76

4

5

10


8

2

13

9


2 Vietnam 61 K

3 India 34 K

4 Rusia 30 K

5 Brasil 30 K

6 Iraacuten 14 K


8 Indonesia 13 K


10 Argentina 11 K


2 China 290 K

3 India 152 K

4 Rusia 146 K

5 Vietnam 136 K

6 Brasil 117 K

7 Espantildea 94 K

8 Egipto 94 K

9 Indonesia 84 K

10 Alemania 60 K

7

6

4

10


8

21

3

9

5





































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten























































Queacute es
































de una botnet spam

entregando troyanos


a una herramienta





DDoS


Coacutemo infecta



dispositivos









cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten























cualquier momento









de C2 individuales









malware




con los C2 dentro





separada

La bot usa una red



infectadas














TheMoon distribuye













fuente de ataque


al cual conectarse



minada

Conducta














del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten





























del ciberdelito


Similar a Mylobot




funcionalidades La





como servicio


iacutendole


secundaria




Los fabricantes de








seguridad






por primera vez






Cargas uacutetiles



























2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten












































2018-09-01

2018-09-15

2018-10-01

2018-10-15

2018-11-01

2018-11-15

2018-12-01

2018-12-15


1852018413818516121172185201878













































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten






























































~14K


4 Gbps


25 Gbps


430 Gbps


44 Minutos


1 Horas 51 Minutos


9 Diacuteas4 Horas

40 Minutos


89 multi-vector


9Reflexioacuten de

Chargen

25Reflexioacuten de

DNS18


inundacioacuten SYN

19Miscelaacuteneos

















































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten
































































61 Web hosting




4 Retail


2 Educacioacuten

1 Juegos




42 Apuestas online


5 E-commerce

1 Educacioacuten



















CenturyLink · un cambio en la internet y que no somos observadores pasivos con respecto a la...

Documents

Transcript of CenturyLink · un cambio en la internet y que no somos observadores pasivos con respecto a la...