The Great Cannon es una herramienta para realizar ataques de Denegación de Servicio Distribuido (DDoS) que funciona mediante la inyección de Javascript malicioso en las páginas servidas desde detrás del Great Firewall de China.

Estas secuencias de comandos, potencialmente servidas a millones de usuarios en Internet, secuestran las conexiones de los usuarios para realizar múltiples solicitudes contra el sitio víctima objetivo. Estas solicitudes consumen todos los recursos del sitio de destino, por lo que dejan de estar disponible.

Figura 1: Diagrama simplificado de cómo funciona el Gran Cañón
El Gran Cañón fue objeto de una intensa investigación después de que se utilizó para interrumpir el acceso al sitio web Github en 2015 y poco se ha visto del Gran Cañón desde 2015. Sin embargo, recientemente se han observado nuevos ataques, que se detallan a continuación.

Los ataques más recientes contra LIHKG

The Great Cannon está intentando desconectar el sitio web LIHKG que se ha utilizado recientemente para organizar protestas en Hong Kong. Utilizando un script simple que usa datos de UrlScan.io, identificamos nuevos ataques que probablemente comenzaron el lunes 25 de noviembre de 2019.

Los sitios web sirven indirectamente un archivo javascript malicioso desde:

• hxxp://push.zhanzhang.baidu.com/push.js; o
• hxxp://js.passport.qihucdn.com/11.0.1.js

Normalmente, estas URL sirven scripts de seguimiento de análisis estándar. Sin embargo, para un cierto porcentaje de solicitudes, Great Cannon las intercambia sobre la marcha con código malicioso.

El código intenta solicitar repetidamente otros recursos legales de los sitios web objetivos, para generar que los mismos sean accesibles.  Algunas otros "trucos" que se utilizan es cargar una imagen remota, cambiar su tamaño y luego servirla al usuario, lo cual genera un costo computacional alto para el servidor.

Se puede detectar Great Cannon con reglas de Suricata de AT&T Alien Labs y Emerging Threats Open.

Fuente: ATT