Meris es la botnet de moda, está consiguiendo en las últimas semanas algunos de los ataques DDoS más grandes que se han registrado en la historia de Internet. Atacando principalmente a Rusia, Reino Unido, Estados Unidos y Nueva Zelanda, ha conseguido dejar K.O. multitud de servicios online. Pero comienza a perder fuerza, investigadores de seguridad están comenzado a encontrar sus puntos débiles y errores que sus creadores han cometido.
Unos días atrás vimos más en detalle cómo es Meris, la que actualmente es la botnet más grande de Internet. Se trata de una botnet que ataca mediante una gran cantidad de solicitudes en vez de solicitudes de gran tamaño a los servidores. Esta forma de colapsar los servicios no es tan común, pero muy efectiva si se cuenta con una red considerable de bots. Yandex registró desde Meris el que por ahora es el DDoS más grande hasta la fecha, con un máximo de 21,8 millones de solicitudes por segundo.
Un sumidero DNS para Meris
El operador ruso Rostelecom, que ha visto cómo Meris ha afectado a algunos de sus clientes, ha dado con un error en Meris recientemente realizando una investigación rutinaria de la botnet. Los ingenieros descubrieron que algunos de los routers infectados por Meris dirigían a un dominio no registrado. Rápidamente registraron el dominio para hacerse con el control de los ataques que llegaban a ese dominio desde Meris.
Esencialmente, lo que los ingenieros de Rostelecom han hecho es convertir el dominio en un sumidero DNS. Para explicarlo de forma sencilla, parte de los routers infectados por Meris acuden a este dominio en busca de instrucciones para llevar a cabo el ataque. Sin embargo, al ser ahora propiedad de Rostelecom pueden para esos ataques y en su lugar mostrar un mensaje a las víctimas indicando que forman parte de una botnet y qué pueden hacerlo para eliminar el malware. Algo relativamente similar ocurrió con WnnaCrypt.
Si bien es un avance, los routers que dirigen a este dominio son apenas alrededor de una quinta parte de toda la botnet. De todos modos, ha servido a los investigadores también para detectar nuevas pistas sobre cómo se originó Meris. En el código fuente del malware hay trozos de código que hacen referencia a Glupteba, una cepa de malware que se suele utilizar para cargar y lanzar otros malwares. Las redirecciones al dominio comprado por Rostelecom también confirmaron que Meris estaba en parte ensamblado mediante Gluptebpa.
¿Por qué es relevante esto? Porque puede ayudar a acabar antes con Meris sabiendo ya en parte cómo es Glupteba y parte de sus puntos débiles. También puede ser un indicio de que los creadores de Meris sean los mismos que los de Glupteba. Sea como sea, aún hay trabajo por delante para mitigar esta botnet. Mucho más del que se hace público.
Vía | The Record
Ver 3 comentarios