Cuidado con ataques de bots maliciosos

Cuidado con ataques de bots maliciosos

  • martes 31 octubre, 2023

Cuidado con los ciber ataques de bots maliciosos. Conoce el poder y ventajas del escáner de vulnerabilidades de bots malos de Radware.

¿Qué es el escáner de vulnerabilidades de bots?

Bad Bot Vulnerability Scanner (BVS) es un servicio gratuito para evaluar la seguridad de sitios web mediante la simulación de ataques. Al igual que las herramientas DAST, BVS explota las vulnerabilidades de los bots, esto ayuda a proporcionar información detallada del tráfico y su impacto en los negocios.

El BVS no requiere integración adicional en el sitio web. Al ejecutar scripts, el escáner puede identificar y analizar diferentes generaciones de bots, ayudando a los usuarios a comprender su comportamiento y respuesta durante los ataques de bots.

Este conocimiento permite tomar medidas proactivas para fortalecer las medidas de seguridad y proteger los activos digitales de actividades de bots maliciosos.

Qué se necesita para ejecutar Bot Vulnerability Scanner

Para iniciar el BVS, todo lo que necesitamos es la URL del cliente y su consentimiento. Normalmente, se realizan entre 100 y 150 ataques como parte del proceso de escaneo. Todo el procedimiento se completa en 4-5 horas, teniendo en cuenta la complejidad del sitio. El objetivo es evaluar las vulnerabilidades y debilidades potenciales en la aplicación web del cliente, asegurando una evaluación exhaustiva y minimizando la interrupción de sus operaciones.

Conoce el detalle de los resultados del Scanner

El informe de Scanner ofrece información valiosa sobre los ataques realizados, así como la cantidad de ataques que se omitieron para una URL determinada.

Durante el proceso de escaneo, se cubren variedades de generaciones de bots, desde Gen-1 hasta Gen-4, y se analizan los casos de uso específicos presentes en el sitio web. El informe destaca los tipos de ataques más comunes encontrados, como el raspado de contenido, la apropiación de cuentas y el spam de formularios.

Bots de primera generación

Los bots de primera generación se caracterizan por su diseño simplista y capacidades limitadas. Estos bots generalmente se desarrollan utilizando herramientas de secuencias de comandos básicas y se basan en solicitudes similares a URL para interactuar con sitios web. Por lo general, operan desde una pequeña cantidad de direcciones IP, a menudo solo una o dos. Debido a su funcionalidad limitada, los bots de primera generación carecen de la capacidad de almacenar cookies o ejecutar JavaScript. Como resultado, carecen de las capacidades integrales de un navegador web genuino. Su objetivo principal es realizar tareas básicas como recuperar el contenido de una página web o extraer información específica.

Durante el ataque de URL dirigido, se llevan a cabo aproximadamente 150 ataques de bots gen-1, empleando cURL, wget y scrapy. El análisis exhaustivo confirmó la ejecución exitosa de todas estas solicitudes, lo que indica la presencia de una vulnerabilidad de alto riesgo dentro del sistema. Esta penetración de las solicitudes enfatiza la existencia de posibles brechas de seguridad que pueden ser aprovechadas por actores maliciosos.

Bot de segunda generación

Los navegadores sin cabeza como PhantomJS, Chrome y Firefox son populares entre los botmasters debido a su funcionamiento sin GUI, su capacidad de ejecución de JavaScript y su gestión de cookies. Permiten a los bots manejar sitios web con desafíos de JavaScript e imitar el comportamiento humano de manera efectiva. Los navegadores sin cabeza ofrecen flexibilidad para pruebas automatizadas, desarrollo web y tareas de extracción de datos al permitir interacciones programables sin una ventana de navegador visible. Sin embargo, esto también puede aprovecharse con fines maliciosos.

Durante la fase de prueba Gen 2, se inician aproximadamente 150 solicitudes utilizando las herramientas PhantomJS, Puppeteer y Selenium. Estas solicitudes fueron procesadas y completadas en un lapso de 10 minutos. En particular, las 150 solicitudes se omitieron con éxito. Como resultado, fueron clasificados como una vulnerabilidad de alto riesgo dentro del sistema. El hecho de que las 150 solicitudes se hayan realizado sin ser bloqueadas sugiere posibles brechas de seguridad dentro del sistema. Esto implica que los mecanismos de defensa existentes no pudieron detectar ni mitigar eficazmente las amenazas planteadas por estas herramientas.

Bots de tercera generación

Estos bots son navegadores completos secuestrados por malware para ejecutar sus operaciones. Además, emplean direcciones IP distribuidas para lanzar ataques volumétricos. Sin embargo, su comportamiento puede carecer de verdadera aleatoriedad y no lograr replicar los patrones humanos naturales de manera convincente.

Al analizar la tendencia de los ataques, resulta evidente que en un período de 15 minutos se generaron aproximadamente 150 solicitudes. Estas solicitudes se originaron en tres subredes diferentes, pero, curiosamente, se utilizaron alrededor de 15 direcciones IP distintas. Sin embargo, todas estas direcciones IP se generaron a partir de la misma herramienta de automatización o desarrollador.

Los atacantes detrás de esta campaña demostraron un enfoque inteligente al intentar engañar al sistema. Su objetivo era crear la impresión de diferentes fuentes utilizando direcciones IP de la misma subred pero con diferentes marcas de tiempo. Esta táctica añade una capa adicional de complejidad e intenta eludir las medidas de seguridad que pueden depender de la reputación o el bloqueo basados ​​en IP.

Este enfoque sofisticado resalta la necesidad de medidas de seguridad sólidas que vayan más allá del simple filtrado basado en IP. La implementación de técnicas avanzadas, como el análisis basado en el comportamiento, la detección de anomalías y la elaboración de perfiles de usuarios, puede mejorar la capacidad de detectar y mitigar dichos ataques de manera efectiva.

Bots de cuarta generación

La última generación de robots tiene características avanzadas de interacción similares a las de los humanos, incluido el movimiento del puntero del mouse en un patrón aleatorio similar al de los humanos en lugar de en líneas rectas. Estos robots también pueden cambiar sus UA mientras rotan entre miles de direcciones IP. Cada vez hay más evidencia que apunta a que los desarrolladores de bots llevan a cabo “secuestro de comportamiento”: registran la forma en que los usuarios reales tocan y deslizan aplicaciones móviles secuestradas para imitar más fielmente el comportamiento humano en un sitio web o aplicación. El secuestro de comportamiento los hace mucho más difíciles de detectar, ya que sus actividades no pueden diferenciarse fácilmente de las de los usuarios reales.

A pesar de la naturaleza sofisticada del ataque, que consta de aproximadamente 150 solicitudes, todas ellas lograron eludir las medidas de seguridad existentes.

¿Te interesa saber más y proteger tus aplicativos y portales web de bots maliciosos? Te invitamos a contactarnos por los siguientes medios y con gusto atenderemos tus necesidades.

ventas@advance-nt.com
whatsapp 5578679504

Post Recientes

Protección completa para móvil: Bot Manager de Radware

 martes 28 noviembre, 2023 Protección completa para móvil: Bot Manager de Radware

Combatiendo Bots: Detecta y mitiga ataques distribuidos

 miércoles 22 noviembre, 2023 Combatiendo Bots: Detecta y mitiga ataques distribuidos

México en momento crítico para reaccionar ante ciberataques

 martes 14 noviembre, 2023 México en momento crítico para reaccionar ante ciberataques

3 formas de proteger tu nube pública de ataques DDoS

 jueves 9 noviembre, 2023 3 formas de proteger tu nube pública de ataques DDoS