Descripción de la Tecnica
Application Exhaustion Flood es una técnica de ciberseguridad asociada al MITRE ATT&CK, clasificada como un T1499.003 (Impacto). Este ataque busca agotar los recursos de un sistema mediante la repetición intensa de solicitudes a características específicas de una aplicación, lo que puede provocar un Denial of Service (DoS) y hacer inaccesible el servicio o servidor afectado. Es especialmente efectivo en entornos con aplicaciones web, donde ciertos componentes pueden consumir recursos computacionales intensivamente.
Como Funciona
Los atacantes aprovechan funciones de una aplicación que requieren un alto consumo de CPU, memoria o I/O. Por ejemplo, operaciones como la generación de reportes en tiempo real, el procesamiento de grandes archivos o la ejecución de cálculos matemáticos complejos pueden volverse vulnerables si se envían múltiples solicitudes consecutivas. Esto agota los recursos del sistema, causando retrasos o caídas del servicio. La técnica puede aplicarse en sistemas basados en IaaS, Linux, Windows, macOS y plataformas web.
Actores que la Utilizan
Esta técnica es utilizada por actores con objetivos maliciosos, incluyendo cybercriminals, hacktivists y grupos estatal. No hay registros específicos de actores particulares asociados a este ataque, pero su implementación es común en ataques de DoS que buscan desbordar los recursos de un sistema.
Detección
La detección requiere monitoreo continuo de métricas de rendimiento y registros de acceso. Se deben buscar patrones anómalos como: - Uso excesivo de CPU o memoria en servidores con aplicaciones críticas. - Respuestas largas o nulas a solicitudes específicas. - Solicitudes repetidas a funciones específicas en logs de acceso. - Aumento de tráfico no normalizado en aplicaciones web.
Indicadores de Compromiso (IOCs)
No hay indicadores de compromiso públicos disponibles para esta técnica.
Mitigación
Las mitigaciones incluyen: - Límites de tasa para solicitudes repetidas a funciones específicas. - Balanceo de carga y reducción de recursos en servidores críticos. - Monitoreo proactivo de métricas de sistema y logs. - Actualización de software para corregir vulnerabilidades de uso intensivo. - Uso de Web Application Firewalls (WAF) para bloquear patrones de ataque.