Descripción de la Tecnica
La técnica
OS Exhaustion Flood es un patrón de ataque de denegación de servicio (DoS) que busca agotar los límites internos definidos por el sistema operativo (OS) de una máquina. Aunque no necesariamente consume recursos físicos del sistema, este tipo de ataque explora las capacidades limitadas del OS para prevenir un sobrecarga total. Es especialmente efectivo cuando el OS se encarga de gestionar la demanda de recursos y establece límites autónomos que pueden ser superados por un atacante malicioso.
Como Funciona
El ataque utiliza métodos como
TCP state exhaustion (MITRE: T1499.001), donde se generan paquetes TCP con secuencias de números específicos para forzar el OS a mantener conexiones sin un manejo adecuado. Esto puede llevar al agotamiento de recursos internos del sistema, como la memoria o el número de conexiones abiertas. Otros métodos incluyen ataques a protocolos de red que causan un uso excesivo de los mecanismos de control del OS, provocando instabilidades o rechazo de servicios críticos.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos con objetivos de denegación de servicio, como grupos de ransomware, APTs (Advanced Persistent Threats) y atacantes anónimos. No se especifica un actor particular en el contexto proporcionado, pero su aplicación es común en ataques de tipo DoS que buscan desbordar los mecanismos internos del sistema.
Detección
La detección implica monitorear la actividad de red y los recursos del sistema para identificar anomalías como:
- Uso inusual de recursos por parte del OS (ejemplo: conexión abierta sin validación).
- Aumento repentino de tráfico de protocolos específicos (como TCP) que no se relacionan con actividades legítimas.
- Estabilidad del sistema disminuida o rechazo de solicitudes de servicios críticos.
Analistas deben revisar registros de seguridad y usar herramientas de monitoreo para detectar patrones sospechosos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el impacto de este tipo de ataques:
1.
Actualizar el sistema operativo: Asegurar que las actualizaciones de seguridad estén aplicadas para corregir vulnerabilidades relacionadas con el manejo de recursos.
2.
Configuración de límites de recursos: Establecer límites razonables para el número de conexiones o la memoria asignada al OS.
3.
Firewall y reglas de seguridad: Bloquear tráficos sospechosos o limitar el acceso a servicios críticos.
4.
Monitoreo continuo: Implementar sistemas de alerta que detecten comportamientos anómalos en la actividad del sistema.