Uno de mis términos de seguridad cibernética favoritos es
“botnet”. Evoca todo tipo de imágenes: robots interconectados, legiones de
trabajadores conectados en red simultáneamente apuntando hacia un objetivo
único. Curiosamente, la imagen que evoca la palabra es similar a lo que es una
botnet, al menos en términos indirectos.
Las botnets representan una gran cantidad de poder de
cómputo en todo el mundo. Y ese poder es regularmente (quizás incluso
consistentemente) la fuente de malware,
ransomware,
spam y más. Pero, ¿cómo nacen las botnets?
¿Quién las controla? ¿Y cómo podemos detenerlas?
¿Qué es una botnet?
La definición de botnet de SearchSecurity afirma que
“una botnet es una colección de dispositivos conectados a Internet, que pueden
incluir PC, servidores, dispositivos móviles e Internet
de las cosas que están infectados y
controlados por un tipo común de malware”. Los usuarios a menudo
desconocen que una botnet infecta su sistema.
La última oración de la definición es clave. Los
dispositivos dentro de una botnet generalmente no están ahí
voluntariamente. Los dispositivos infectados con ciertas variantes de
malware están controlados por actores de amenazas remotas, también conocidos como
ciberdelincuentes. El malware oculta las
actividades de botnet maliciosas en el dispositivo, haciendo que el propietario desconozca su rol en la
red. Podrías estar enviando miles de miles de correos spam.
Como tal, a menudo nos referimos a los
dispositivos de botnet infectados como “zombies”.
¿Qué hace una botnet?
Una botnet tiene varias funciones comunes dependiendo del
deseo del operador de botnet:
- Spam: envío de grandes cantidades de
correo no deseado en todo el mundo. Por ejemplo, la cantidad
promedio de spam en el tráfico global de correo electrónico entre
enero y septiembre fue del 56.69%. Cuando la firma de investigación
de seguridad FireEye detuvo temporalmente la notoria botnet Srizbi después
de que el infame hosting de McColo se desconectara, el spam global
disminuyó en gran cantidad (y de hecho, cuando finalmente se desconectó,
el spam global disminuyó temporalmente en un 50%).
- Malware: entrega de malware y spyware a
máquinas vulnerables. Los delincuentes compran y venden recursos de
Botnet para promover sus empresas delictivas.
- Datos: captura de contraseñas y otra
información privada. Esto se relaciona con lo anterior.
- Fraude de clics: un dispositivo infectado visita
sitios web para generar tráfico web falso e impresiones publicitarias.
- Bitcoin: los controladores de botnet dirigen
dispositivos infectados para minar Bitcoin y otras criptomonedas para
generar ganancias en silencio.
- DDoS:
los operadores de
botnet dirigen el poder de los dispositivos infectados hacia objetivos
específicos, llevándolos a estar fuera de línea en ataques de denegación
distribuida de servicio.
Los operadores de botnet generalmente convierten sus
redes en varias de estas funciones para generar ganancias. Por ejemplo,
los operadores de botnets que envían spam médico a ciudadanos estadounidenses
también son dueños de las farmacias que entregan los productos. (Oh, sí,
hay productos reales al final del correo electrónico.
Los principales botnets han cambiado ligeramente de
dirección en los últimos años. Mientras que los tipos médicos y otros
similares de correo no deseado fueron extremadamente rentables durante mucho
tiempo, las medidas enérgicas del gobierno en varios países erosionaron las
ganancias. Como tal, el número de correos electrónicos que contienen un
archivo adjunto malicioso aumentó a uno de cada 359 correos electrónicos,
según el informe de inteligencia de Symantec de julio de 2017.
¿Qué aspecto tiene una botnet?
Sabemos que una botnet es una red de computadoras
infectadas. Sin embargo, los componentes básicos y la arquitectura real de
las botnets son interesantes de considerar.
Arquitectura
Hay dos arquitecturas de botnet principales:
- Modelo cliente-servidor: una botnet cliente-servidor generalmente utiliza un cliente de chat (anteriormente IRC, pero las botnets modernas han utilizado Telegram y otros servicios de mensajería cifrados), dominio o sitio web para comunicarse con la red. El operador envía un mensaje al servidor, retransmitiéndolo a los clientes, que ejecutan el comando. Aunque la infraestructura de la botnet difiere de básica a muy compleja, un esfuerzo concentrado puede desactivar una botnet cliente-servidor.
- Peer-to-Peer: una botnet punto a punto (P2P) intenta detener los programas de seguridad y los investigadores que identifican servidores C2 específicos mediante la creación de una red descentralizada. Una red P2P es más avanzada, en cierto modo, que un modelo cliente-servidor. Además, su arquitectura difiere de lo que la mayoría imagina. En lugar de una única red de dispositivos infectados interconectados que se comunican a través de direcciones IP, los operadores prefieren usar dispositivos zombis conectados a nodos, a su vez, conectados entre sí y al servidor de comunicación principal. La idea es que simplemente hay demasiados nodos interconectados pero separados para eliminarlos simultáneamente.
Comando y control
Los protocolos de comando y control (a veces escritos C&C
o C2) tienen varias formas:
- Telnet: las redes de bots de Telnet son
relativamente simples, y utilizan una secuencia de comandos para analizar
los intervalos de IP para los inicios de sesión de los servidores telnet y
SSH predeterminados a fin de agregar dispositivos vulnerables para agregar
bots.
- IRC: las redes IRC ofrecen un método de
comunicación de ancho de banda extremadamente bajo para el protocolo
C2. La capacidad de cambiar rápidamente de canal otorga cierta
seguridad adicional para los operadores de botnet, pero también significa
que los clientes infectados se desconectan fácilmente de la red de bots si
no reciben información de canal actualizada. El tráfico de IRC es
relativamente fácil de examinar y aislar, lo que significa que muchos
operadores se han alejado de este método.
- Dominios: algunas botnets grandes usan
dominios en lugar de un cliente de mensajería para su control. Los
dispositivos infectados acceden a un dominio específico que sirve una
lista de comandos de control, permitiendo cambios y actualizaciones
fácilmente sobre la marcha. El inconveniente es el enorme requisito
de ancho de banda para botnets grandes, así como la relativa facilidad con
la que se cierran los dominios de control sospechosos. Algunos
operadores utilizan el llamado host a prueba de balas para operar fuera de
la jurisdicción de países con estricta ley penal de Internet.
- P2P: un protocolo P2P generalmente
implementa la firma digital usando encriptación asimétrica (una clave
pública y una privada). Mientras que el operador tiene la clave
privada, es extremadamente difícil (esencialmente imposible) para
cualquier otra persona emitir comandos diferentes a la botnet. Del
mismo modo, la falta de un solo servidor C2 definido hace que atacar y
destruir un botnet P2P sea más difícil que sus contrapartes.
- Otros: a lo largo de los años, hemos visto operadores botnet usar algunos canales de comando y control interesantes. Los que inmediatamente se me ocurren son los canales de redes sociales, como la botnet Twitoor de Android, controlada a través de Twitter, o la Mac.Backdoor.iWorm que explotó el subreddit de la lista de servidores de Minecraft para recuperar las direcciones IP de su red. Instagram no es seguro, tampoco. En 2017, Turla, un grupo de ciberespionaje con vínculos estrechos con la inteligencia rusa, estaba usando comentarios sobre fotos de Instagram de Britney Spears para almacenar la ubicación de un servidor C2 de distribución de malware.
Zombies
La pieza final del rompecabezas de botnet son los
dispositivos infectados (es decir, los zombies).
Los operadores de botnet buscan e infectan dispositivos
vulnerables para expandir su poder operativo. Hemos enumerado los
principales usos de botnet anteriores. Todas estas funciones requieren
potencia de cálculo. Además, los operadores de botnet no siempre son
amigables entre sí, lo que hace que la potencia de sus máquinas infectadas se
relacione entre sí.
La gran mayoría de las veces los propietarios de
dispositivos zombies no conocen su rol en la botnet. A veces, sin embargo,
el malware botnet actúa como un conducto para otras variantes de malware.
Tipos de dispositivos
Los dispositivos en red se están conectando a una
velocidad sorprendente. Y las botnets no solo están en busca de una PC o
Mac. Como leerás más adelante, los dispositivos de Internet de las cosas son
tan susceptibles (si no más) a las variantes de malware de
botnet. Especialmente si son buscados debido a su seguridad nefasta.
Los teléfonos inteligentes y las tabletas tampoco
son seguros. Android ha visto varias botnets a lo largo de los últimos
años. Android es un objetivo fácil: es de código abierto, tiene
múltiples versiones de sistema operativo y numerosas vulnerabilidades en
cualquier momento. No se regocijen tan rápido, usuarios de iOS. Ha
habido un par de variantes de malware dirigidas a los dispositivos móviles de
Apple, aunque generalmente se limitan a iPhones jailbreak con vulnerabilidades
de seguridad.
Otro objetivo central del dispositivo de botnet es un
enrutador vulnerable. Los
enrutadores que ejecutan un firmware viejo e inseguro son objetivos fáciles
para botnets, y muchos propietarios no se darán cuenta de que su portal de
internet tiene una infección. Del mismo modo, una cantidad simplemente
asombrosa de usuarios de Internet no puede cambiar la configuración
predeterminada en sus enrutadores después de la instalación. Al
igual que los dispositivos IoT, esto permite que el malware se propague a un
ritmo vertiginoso, con poca resistencia en la infección de miles de
dispositivos.
Desmontando una botnet
Desmontar una botnet no es una tarea fácil, por varias
razones. A veces, la arquitectura de botnet permite que un operador
reconstruya rápidamente. En otras ocasiones, la botnet es simplemente demasiado
grande para derribarla de un solo golpe. La mayoría de las eliminaciones
de botnets requieren la coordinación entre investigadores de seguridad,
agencias gubernamentales y otros hackers, a veces confiando en consejos o
puertas traseras inesperadas.
Un problema importante que enfrentan los investigadores de
seguridad es la relativa facilidad con la que los operadores de imitación
inician operaciones utilizando el mismo malware.
GameOver Zeus
Voy a usar la botnet GameOver Zeus (GOZ) como un ejemplo
de eliminación. GOZ fue una de las botnets más recientes, que se cree que
tiene más de un millón de dispositivos infectados en su punto máximo. El
uso principal de la botnet fue el robo de dinero (distribución del
ransomware CryptoLocker ) y el correo no deseado y, utilizando un
sofisticado algoritmo de generación de dominio de punto a punto, parecía
imparable.
Un algoritmo de generación de dominio permite a la botnet
pregenerar largas listas de dominios para usar como “puntos de encuentro” para
el malware botnet. Múltiples puntos de encuentro hacen que detener el
contagio sea casi imposible, ya que solo los operadores conocen la lista de
dominios.
En 2014, un equipo de investigadores de seguridad,
trabajando en conjunto con el FBI y otras agencias internacionales, finalmente
forzaron a GameOver Zeus a dejar de funcionar, en la Operación Tovar. No
fue fácil. Después de notar las secuencias de registro de dominio, el
equipo registró unos 150,000 dominios en los seis meses previos al inicio de la
operación. Esto fue para bloquear cualquier registro de dominio futuro de
los operadores de botnet.
A continuación, varios ISP dieron el control de operación
de los nodos proxy de GOZ, utilizados por los operadores de botnet para
comunicarse entre los servidores de comando y control y el botnet
real. Elliot Peterson, el principal investigador del FBI en la Operación
Tovar, dijo: “Pudimos convencer a los bots de que éramos buenos para hablar,
pero todos los pares y servidores y supernodos controlados por los malos eran
malos para hablar y deberían ser ignorado.”
El dueño del botnet Evgeniy Bogachev (alias en línea
Slavik) se dio cuenta de del derribo después de una hora, e intentó luchar
durante otras cuatro o cinco horas antes de “conceder” la derrota.
Posteriormente, los investigadores pudieron descifrar el
notorio ransomware encriptado CryptoLocker, creando herramientas de
descifrado gratuitas para las víctimas.
Las redes de IoT son diferentes
Las medidas para combatir GameOver Zeus fueron extensas
pero necesarias. Ilustra que el gran poder de una botnet ingeniosamente
elaborada exige un enfoque global para la mitigación, que requiere
"tácticas legales y técnicas innovadoras con herramientas tradicionales de
aplicación de la ley”, así como " relaciones de trabajo
sólidas con expertos de la industria privada y homólogos en más de 10
países de todo el mundo”.
Pero no todas las botnets son iguales. Cuando una
botnet llega a su fin, otro operador está aprendiendo de la destrucción.
En 2016, la botnet más grande y maligna fue
Mirai. Antes de su derribo parcial, la red
de bots Mirai basada en Internet de las Cosas golpeó a varios objetivos
destacados con asombrosos ataques DDoS. Uno de estos ataques
golpeó el blog del investigador de seguridad Brian Krebs con 620Gbps, forzando
eventualmente a la protección DDoS de Krebs a dejarlo como cliente. Otro
ataque en los días siguientes golpeó al proveedor francés de alojamiento en la
nube OVH con 1.2Tbps en el ataque más grande jamás visto.
Aunque Mirai ni siquiera estaba cerca de ser la red zombi
más grande jamás vista, produjo los ataques más grandes. Mirai hizo un uso
devastador de las franjas de dispositivos IoT ridículamente inseguros,
utilizando una lista de 62 contraseñas predeterminadas inseguras para combinar
dispositivos (admin/admin fue el primero de la lista).
El investigador de seguridad Marcus Hutchins (también
conocido como MalwareTech) explica que parte de la razón del enorme poder de
Mirai es que la mayoría de los dispositivos de IoT están allí, sin hacer nada
hasta que se usan. Eso significa que casi siempre están en línea, y casi
siempre tienen recursos de red para compartir. Un operador de botnet
tradicional analizaría sus períodos de máxima potencia y ataques de tiempo en
consecuencia.
Por lo tanto, a medida que más dispositivos de IoT mal configurados se conecten, la
posibilidad de explotación aumenta.
¿Cómo mantenerse a salvo?
Aprendimos sobre lo que hace una botnet, cómo crecen y
más. Pero, ¿cómo impedir que tu dispositivo se convierta en parte de una?
Bueno, la primera respuesta es simple: actualiza
tu sistema. Las actualizaciones
periódicas solucionan los agujeros vulnerables en tu sistema operativo, lo que
a su vez reduce las posibilidades de explotación.
El segundo es descargar y actualizar un programa antivirus y
un programa antimalware también. Existen numerosas suites antivirus
gratuitas que ofrecen una excelente protección de bajo impacto. Invierte
en un programa
antimalware, como Malwarebytes. Una suscripción Premium
de Malwarebytes te brinda protección contra malware en tiempo
real. Bien vale la pena la inversión, en mi opinión.
Finalmente, toma un poco de seguridad adicional del
navegador. Los kits de exploits de Drive-by
son una molestia, pero se pueden evitar fácilmente cuando se utiliza una
extensión de bloqueo de scripts como uBlock Origin.
¿Algún dispositivo tuyo ha sido parte de una botnet? ¿Te
ha sido útil el artículo? – por favor compártelo en las redes sociales.
Me estaba informando sobre este tema y aun no había dado con un post tan completo sobre este tipo de ataques botnet y cómo evitarlos. Gracias por el contenido de calidad informativa
ResponderBorrar