Todo acerca de las Botnets (I)

Ataque y Comando y Control de Comportamiento

Botnets: no son ni spam ni virus o gusanos. Son quizás la amenaza actual más poderosa en Internet. Han cambiado las intenciones de los hackers al realizar ataques en Internet, antes, en busca de fama y reconocimiento, hoy, en el interés de organizaciones criminales que conducen ataques en pos de beneficios económicos; en tanto que los ataques de las botnets se hacen más poderosos y sofisticados, el número de incidentes con redes robot sigue en ascenso.

Una botnet, o red robot, consiste en cierto número de computadoras que, sin el conocimiento de sus propietarios, han sido infectadas por código malicioso y están siendo manipuladas a través de canales de IRC para enviar programas maliciosos, como spam y spyware, hacia otras computadoras en Internet. Tales computadoras, llamadas bots en el argot informático, operan bajo el control de un solo hacker (o un pequeño grupo de ellos) conocido como botmaster.

Una vez que el botmaster ha creado la botnet, los ataques pueden ocurrir de diferentes maneras: Negación Distribuida del Servicio (DDoS -Distributed Denial of Service), ingeniería social y otros relacionados al envío masivo de spam, ataques remotos o a través de keyloggers, así como espías del tráfico de la red (traffic sniffers). Las Botnets pueden integrar un tremendo potencial de poder de cómputo y están capacitados para desempeñar una gran variedad de ataques, contra un gran número de objetivos. Por ejemplo, el botmaster puede ordenar a cada unidad de la red robot (bot) el lanzamiento de spam masivo, robo de tarjetas de crédito mediante la implantación subrepticia de keyloggers y, simultáneamente, lanzar ataques DDos contra miles de servidores. Los botnets continúan creciendo en número, sofisticación y poder, dirigidos por bots nuevos y/o modificados, mejorados a partir de las experiencias obtenidas de sus predecesores.

Los botnets utilizan ingeniería social y la distribución de correos maliciosos para infectar a nuevos anfitriones. Un botnet puede distribuir mensajes de correo electrónico con malware adjunto o con un enlace a otros sitios de malware. Las técnicas de ingeniería social incluyen textos como “Check out this picture! (¡Mira esta foto!)” en el campo Asunto, y un archivo adjunto infectado que simula ser una imagen .JPG, son el anzuelo para que los usuarios ejecuten botnets de malware que pudieran comprometer a nuevos anfitriones, que buscan vulnerabilidades conocidas en el sistema operativo o en el navegador. Por esta vía, cada vez más anfitriones son reclutados para participar en el botnet.

Uno de los más antiguos mecanismos de ataque de los botnets es el ataque DDoS, en donde un gran número de computadoras infectadas atacan un solo objetivo, de tal forma que causan negación del servicio para los usuarios del sistema objetivo. El mecanismo, es sencillo: la inundación con información a un sistema, o el flujo de mensajes entrantes, lo lleva a bloquearse. En los inicios de los botnets, se lanzaron ataques DDoS contra grandes organizaciones como Yahoo! y Microsoft. Los ataques recientes de este tipo han variado y han implicado actos de extorsión corporativa, aunque, en general, son ahora menos frecuentes y de menor magnitud.

Los botnets también son ampliamente utilizados para diseminar spam, esto debido a que sus víctimas no pueden rastrear el spam desde la fuente para tomar acciones legales, esto es posible porque los botnets pueden distribuir volúmenes mayores de spam. Algunos tipos de spam se usados para distribuir código que explota vulnerabilidades, mientras que otros engañan a los usuarios para llevarlos a sitios maliciosos, donde pueden infectar sus sistemas con software malicioso, explotando vulnerabilidades del Navegador de Internet.

También, los botnets son utilizados comúnmente para robar a los usuarios información a través de keyloggers y espías del tráfico de red. Los keyloogers modifican el sistema operativo de la computadora infectada para espiar a los usuarios activos y capturar la actividad del teclado. Los espías del tráfico de red (sniffers = husmeadores) monitorean el tráfico en la red del host comprometido. Estas herramientas tienen acceso a datos confidenciales, los compilan y los envían a sus botmasters, a través de algún canal IRC creado por un botnet, o bien a direcciones de correo electrónico específicas.

Los botmasters típicamente controlan las redes robot de una de tres maneras posibles: Centralizadamente, en Comunicación Directa (peer to peer) y de forma aleatoria. El Comando & Control (C&C) de las botnets es único y es poco probable que se modifique entre los bots y sus variantes. El C&C es esencial para apoyar la operatividad y efectividad del botnet y es el eslabón más débil de la operación de una red robot. Si se logra tirar un C&C activo, o se interrumpe la comunicación, los botmasters estarán impedidos para establecer contacto con sus bots, o para lanzar ataques coordinados a gran escala. Por lo tanto, la comprensión de la función de los C&C en una botnet es de gran valía en la lucha contra este tipo de amenazas.

El modelo Centralizado de Comando y Control es el predominantemente usado por las botnets actuales. Mediante este modelo, el botmaster selecciona un solo sistema infectado con ancho de banda suficiente para ser el punto de contacto (el servidor C&C) con todos sus bots. El servidor C&C es usualmente una computadora comprometida, corre servicios de red como IRC, http, y otros. Cuando una computadora es infectada por un bot, ésta se une a la botnet mediante una conexión al servidor C&C. El bot tiene que esperar los comandos del botmaster a través del servidor C&C. Las botnets suelen incluir mecanismos para proteger sus comunicaciones. Por ejemplo, los canales IRC pueden ser protegidos por contraseñas que sólo conocen los bots y sus botmasters para prevenir intrusiones.

Algunos autores de botnets han iniciado la construcción de sistemas de comunicación alternativos, los cuales son más resistentes a las fallas en la red. El modelo C&C basado en comunicaciones “peer to peer” (P2P) es mucho más difícil de detectar y destruir. En tanto que los sistemas de comunicación no dependen de unos cuantos servidores selectos, la destrucción de uno o incluso varios de sus bots, no necesariamente conduce a la destrucción del botnet. Sin embargo, los sistemas P2P tienen ciertas restricciones. Primero, solo soportan conversaciones de pequeños grupos de usuarios, normalmente en rangos de 10 a 50 (muy pocos, si se le compara con una red robot “pequeña” de 1000 computadoras, en una botnet con C&C centralizado). Segundo, no aseguran la entrega de mensajes y de latencia en la propagación, ya que este modelo de botnet es más difícil de coordinar que aquellos que usan la centralización C&C. Estas dos condiciones han limitado una amplia adopción del modelo de comunicación basada en p2p. Los escasos botnets existentes basados en p2p son usados por hackers para atacar pequeñas cantidades de hosts previamente seleccionados. Sin embargo, las experiencias en la implementación en botnets basados en p2p, seguramente lograrán que los nuevos botnets basados en este modelo, superen las limitaciones mencionadas.

El Modelo Aleatorio (1) de C&C no ha sido utilizado en los botnets en el mundo real, pero puede asegurar su viabilidad. En el modelo aleatorio, más que entrar activamente en contacto con otros bots o el botmaster, cada integrante de la red escucha las conexiones entrantes de su botmaster. Para lanzar ataques, un botmaster explora el Internet para encontrar sus bots. En tanto que es más fácil ejecutar y más resistente a ser descubierto y destruido, el modelo tiene intrínsecamente un problema de escalabilidad y es difícil que sea utilizado en el corto plazo, en ataques coordinados a gran escala.

Manténgase atento a la segunda parte de este artículo, en donde examinaremos los mecanismos usados para descubrir y controlar nuevos bots, los protocolos de comunicación usados para comunicarse entre botnets y las maneras en que los botnets evaden la detección.