Cómo crecen, se comunican y evaden la detección
La actual generación de bots es compleja. Se propagan a la manera de los gusanos, se esconden como los virus y pueden escalarse para emprender grandes ataques coordinados. Las técnicas más populares utilizadas por los botmasters para reclutar grupos de computadoras personales infectadas en una red de bots, involucran a los servidores de nombre de dominio (DNS, por sus siglas en inglés). Asà como un proveedor de servicios de Internet utiliza un DNS dinámico para asignar nombres de dominio de Internet a una computadora con diversas direcciones IP, los bots incluyen nombres de dominio predeterminados, asignados por proveedores dinámicos de DNS. Algunos redes robot más recientes, dirigen sus propios servicios DNS distribuidos, que corren en números de puerto altos, para evadir la detección de los dispositivos de seguridad en el gateway.
Los bots se comunican entre sà y con sus botmasters, a través de protocolos de red bien definidos. En lugar de crear nuevos protocolos de red utilizan, en la mayorÃa de los casos, protocolos de comunicación existentes, que son implementados por herramientas públicas de software disponibles.
El protocolo IRC predomina en las comunicaciones de botnet. Este protocolo, diseñado para comunicaciones grupales en foros de discusión a los que se llama “canales†(channels), también permite la comunicación uno a uno por medio de mensajes privados. En sÃ, el protocolo IRC puede ser utilizado por los botmasters para dirigir su ejército botnet usando las habilidades de la comunicación grupal), y controlar selectivamente algunos de los bots (comunicación uno a uno) para actividades especÃficas. Los firewalls pueden configurarse para bloquear el tráfico IRC, pero es mucho más complicado detectar los canales IRC integradas en las comunicaciones en protocolo HTTP.
Es por esta razón que el protocolo HTTP es hoy dÃa un método popular de comunicación utilizado por los botnets. El uso del protocolo HTTP dificulta la detección del botnet ya que puede confundirse con el resto del tráfico de Internet. Adicionalmente, la mayorÃa de las polÃticas del firewall son implementadas en el servidor de acceso a la red (gateway), donde se puede bloquear el tráfico entrante y saliente utilizando el protocolo IRC. No obstante, el hecho de que los botnets usen el protocolo http, les permite evadir generalmente las polÃticas de seguridad del firewall.
Algunos botnets más avanzados utilizan protocolos IM (MensajerÃa Instantánea) y peer-to-peer (P2P). Aunque el número de botnets que utilizan protocolos diferentes al IRC y HTTP es relativamente pequeño, estos protocolos podrÃan alcanzar un uso más generalizado en un futuro cercano, lo cual implicará un reto más complejo para la detección de botnets.
Las redes robot se hacen cada dÃa más sofisticados y, de esta forma, más hábiles para evadir la detección. No sólo son los mejores para evadir los motores antivirus y sistemas de detección de intrusos (IDS) basados en firmas; son también más evasivos a los sistemas de detección basados en identificación de anomalÃas.
Los botnets evaden los antivirus y los sistemas IDS basados en firmas, mediante métodos como los empaquetadores ejecutables, rootkits y otras técnicas de evasión de protocolos, los cuales perfeccionan la supervivencia de los botnets y el porcentaje de éxito de nuevos anfitriones comprometidos. Asimismo, los botnets también han añadido- y continúan haciéndolo- nuevos mecanismos para disimular los rastros de su comunicación. Como se mencionó anteriormente, algunos botnets ya están abandonando el IRC, y se mudan hacia protocolos modificados IRC o HTTP, y más recientemente a protocolos VoIP. Algunas veces, los bots utilizan esquemas de encriptación para prevenir que su contenido sea revelado. Actualmente los botnets utilizan TCP (Transmisión Control Protocol), ICMP (Internet Control Message Protocol), e incluso IPv6 (el último nivel de creación de túneles en protocolo de Internet). La aparición masiva de estos nuevos botnets es sólo cuestión de tiempo.
Los nuevos descubrimientos en materia de bots y en técnicas para creación de botnets, asà como los nuevos esquemas de detección y prevención de las redes robot, harán que esta guerra de la seguridad sea cada dÃa mayor en los próximos tiempos.
Fuente: http://www.trendmicro.com/la