Ataque y Comando y Control de Comportamiento<\/p>\n
Botnets: no son ni spam ni virus o gusanos. Son quiz\u00c3\u00a1s la amenaza actual m\u00c3\u00a1s poderosa en Internet. Han cambiado las intenciones de los hackers al realizar ataques en Internet, antes, en busca de fama y reconocimiento, hoy, en el inter\u00c3\u00a9s de organizaciones criminales que conducen ataques en pos de beneficios econ\u00c3\u00b3micos; en tanto que los ataques de las botnets se hacen m\u00c3\u00a1s poderosos y sofisticados, el n\u00c3\u00bamero de incidentes con redes robot sigue en ascenso.<\/p>\n
Una botnet, o red robot, consiste en cierto n\u00c3\u00bamero de computadoras que, sin el conocimiento de sus propietarios, han sido infectadas por c\u00c3\u00b3digo malicioso y est\u00c3\u00a1n siendo manipuladas a trav\u00c3\u00a9s de canales de IRC para enviar programas maliciosos, como spam y spyware, hacia otras computadoras en Internet. Tales computadoras, llamadas bots en el argot inform\u00c3\u00a1tico, operan bajo el control de un solo hacker (o un peque\u00c3\u00b1o grupo de ellos) conocido como botmaster.<\/p>\n
Una vez que el botmaster ha creado la botnet, los ataques pueden ocurrir de diferentes maneras: Negaci\u00c3\u00b3n Distribuida del Servicio (DDoS -Distributed Denial of Service), ingenier\u00c3\u00ada social y otros relacionados al env\u00c3\u00ado masivo de spam, ataques remotos o a trav\u00c3\u00a9s de keyloggers, as\u00c3\u00ad como esp\u00c3\u00adas del tr\u00c3\u00a1fico de la red (traffic sniffers). Las Botnets pueden integrar un tremendo potencial de poder de c\u00c3\u00b3mputo y est\u00c3\u00a1n capacitados para desempe\u00c3\u00b1ar una gran variedad de ataques, contra un gran n\u00c3\u00bamero de objetivos. Por ejemplo, el botmaster puede ordenar a cada unidad de la red robot (bot) el lanzamiento de spam masivo, robo de tarjetas de cr\u00c3\u00a9dito mediante la implantaci\u00c3\u00b3n subrepticia de keyloggers y, simult\u00c3\u00a1neamente, lanzar ataques DDos contra miles de servidores. Los botnets contin\u00c3\u00baan creciendo en n\u00c3\u00bamero, sofisticaci\u00c3\u00b3n y poder, dirigidos por bots nuevos y\/o modificados, mejorados a partir de las experiencias obtenidas de sus predecesores.<\/p>\n
Los botnets utilizan ingenier\u00c3\u00ada social y la distribuci\u00c3\u00b3n de correos maliciosos para infectar a nuevos anfitriones. Un botnet puede distribuir mensajes de correo electr\u00c3\u00b3nico con malware adjunto o con un enlace a otros sitios de malware. Las t\u00c3\u00a9cnicas de ingenier\u00c3\u00ada social incluyen textos como \u00e2\u20ac\u0153Check out this picture! (\u00c2\u00a1Mira esta foto!)\u00e2\u20ac\u009d en el campo Asunto, y un archivo adjunto infectado que simula ser una imagen .JPG, son el anzuelo para que los usuarios ejecuten botnets de malware que pudieran comprometer a nuevos anfitriones, que buscan vulnerabilidades conocidas en el sistema operativo o en el navegador. Por esta v\u00c3\u00ada, cada vez m\u00c3\u00a1s anfitriones son reclutados para participar en el botnet.<\/p>\n
Uno de los m\u00c3\u00a1s antiguos mecanismos de ataque de los botnets es el ataque DDoS, en donde un gran n\u00c3\u00bamero de computadoras infectadas atacan un solo objetivo, de tal forma que causan negaci\u00c3\u00b3n del servicio para los usuarios del sistema objetivo. El mecanismo, es sencillo: la inundaci\u00c3\u00b3n con informaci\u00c3\u00b3n a un sistema, o el flujo de mensajes entrantes, lo lleva a bloquearse. En los inicios de los botnets, se lanzaron ataques DDoS contra grandes organizaciones como Yahoo! y Microsoft. Los ataques recientes de este tipo han variado y han implicado actos de extorsi\u00c3\u00b3n corporativa, aunque, en general, son ahora menos frecuentes y de menor magnitud.<\/p>\n
Los botnets tambi\u00c3\u00a9n son ampliamente utilizados para diseminar spam, esto debido a que sus v\u00c3\u00adctimas no pueden rastrear el spam desde la fuente para tomar acciones legales, esto es posible porque los botnets pueden distribuir vol\u00c3\u00bamenes mayores de spam. Algunos tipos de spam se usados para distribuir c\u00c3\u00b3digo que explota vulnerabilidades, mientras que otros enga\u00c3\u00b1an a los usuarios para llevarlos a sitios maliciosos, donde pueden infectar sus sistemas con software malicioso, explotando vulnerabilidades del Navegador de Internet.<\/p>\n
Tambi\u00c3\u00a9n, los botnets son utilizados com\u00c3\u00banmente para robar a los usuarios informaci\u00c3\u00b3n a trav\u00c3\u00a9s de keyloggers y esp\u00c3\u00adas del tr\u00c3\u00a1fico de red. Los keyloogers modifican el sistema operativo de la computadora infectada para espiar a los usuarios activos y capturar la actividad del teclado. Los esp\u00c3\u00adas del tr\u00c3\u00a1fico de red (sniffers = husmeadores) monitorean el tr\u00c3\u00a1fico en la red del host comprometido. Estas herramientas tienen acceso a datos confidenciales, los compilan y los env\u00c3\u00adan a sus botmasters, a trav\u00c3\u00a9s de alg\u00c3\u00ban canal IRC creado por un botnet, o bien a direcciones de correo electr\u00c3\u00b3nico espec\u00c3\u00adficas.<\/p>\n
Los botmasters t\u00c3\u00adpicamente controlan las redes robot de una de tres maneras posibles: Centralizadamente, en Comunicaci\u00c3\u00b3n Directa (peer to peer) y de forma aleatoria. El Comando & Control (C&C) de las botnets es \u00c3\u00banico y es poco probable que se modifique entre los bots y sus variantes. El C&C es esencial para apoyar la operatividad y efectividad del botnet y es el eslab\u00c3\u00b3n m\u00c3\u00a1s d\u00c3\u00a9bil de la operaci\u00c3\u00b3n de una red robot. Si se logra tirar un C&C activo, o se interrumpe la comunicaci\u00c3\u00b3n, los botmasters estar\u00c3\u00a1n impedidos para establecer contacto con sus bots, o para lanzar ataques coordinados a gran escala. Por lo tanto, la comprensi\u00c3\u00b3n de la funci\u00c3\u00b3n de los C&C en una botnet es de gran val\u00c3\u00ada en la lucha contra este tipo de amenazas.<\/p>\n
El modelo Centralizado de Comando y Control es el predominantemente usado por las botnets actuales. Mediante este modelo, el botmaster selecciona un solo sistema infectado con ancho de banda suficiente para ser el punto de contacto (el servidor C&C) con todos sus bots. El servidor C&C es usualmente una computadora comprometida, corre servicios de red como IRC, http, y otros. Cuando una computadora es infectada por un bot, \u00c3\u00a9sta se une a la botnet mediante una conexi\u00c3\u00b3n al servidor C&C. El bot tiene que esperar los comandos del botmaster a trav\u00c3\u00a9s del servidor C&C. Las botnets suelen incluir mecanismos para proteger sus comunicaciones. Por ejemplo, los canales IRC pueden ser protegidos por contrase\u00c3\u00b1as que s\u00c3\u00b3lo conocen los bots y sus botmasters para prevenir intrusiones.<\/p>\n
Algunos autores de botnets han iniciado la construcci\u00c3\u00b3n de sistemas de comunicaci\u00c3\u00b3n alternativos, los cuales son m\u00c3\u00a1s resistentes a las fallas en la red. El modelo C&C basado en comunicaciones \u00e2\u20ac\u0153peer to peer\u00e2\u20ac\u009d (P2P) es mucho m\u00c3\u00a1s dif\u00c3\u00adcil de detectar y destruir. En tanto que los sistemas de comunicaci\u00c3\u00b3n no dependen de unos cuantos servidores selectos, la destrucci\u00c3\u00b3n de uno o incluso varios de sus bots, no necesariamente conduce a la destrucci\u00c3\u00b3n del botnet. Sin embargo, los sistemas P2P tienen ciertas restricciones. Primero, solo soportan conversaciones de peque\u00c3\u00b1os grupos de usuarios, normalmente en rangos de 10 a 50 (muy pocos, si se le compara con una red robot \u00e2\u20ac\u0153peque\u00c3\u00b1a\u00e2\u20ac\u009d de 1000 computadoras, en una botnet con C&C centralizado). Segundo, no aseguran la entrega de mensajes y de latencia en la propagaci\u00c3\u00b3n, ya que este modelo de botnet es m\u00c3\u00a1s dif\u00c3\u00adcil de coordinar que aquellos que usan la centralizaci\u00c3\u00b3n C&C. Estas dos condiciones han limitado una amplia adopci\u00c3\u00b3n del modelo de comunicaci\u00c3\u00b3n basada en p2p. Los escasos botnets existentes basados en p2p son usados por hackers para atacar peque\u00c3\u00b1as cantidades de hosts previamente seleccionados. Sin embargo, las experiencias en la implementaci\u00c3\u00b3n en botnets basados en p2p, seguramente lograr\u00c3\u00a1n que los nuevos botnets basados en este modelo, superen las limitaciones mencionadas.<\/p>\n
El Modelo Aleatorio (1) de C&C no ha sido utilizado en los botnets en el mundo real, pero puede asegurar su viabilidad. En el modelo aleatorio, m\u00c3\u00a1s que entrar activamente en contacto con otros bots o el botmaster, cada integrante de la red escucha las conexiones entrantes de su botmaster. Para lanzar ataques, un botmaster explora el Internet para encontrar sus bots. En tanto que es m\u00c3\u00a1s f\u00c3\u00a1cil ejecutar y m\u00c3\u00a1s resistente a ser descubierto y destruido, el modelo tiene intr\u00c3\u00adnsecamente un problema de escalabilidad y es dif\u00c3\u00adcil que sea utilizado en el corto plazo, en ataques coordinados a gran escala.<\/p>\n
Mant\u00c3\u00a9ngase atento a la segunda parte de este art\u00c3\u00adculo, en donde examinaremos los mecanismos usados para descubrir y controlar nuevos bots, los protocolos de comunicaci\u00c3\u00b3n usados para comunicarse entre botnets y las maneras en que los botnets evaden la detecci\u00c3\u00b3n.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ataque y Comando y Control de Comportamiento Botnets: no son ni spam ni virus o gusanos. Son quiz\u00c3\u00a1s la amenaza actual m\u00c3\u00a1s poderosa en Internet. Han cambiado las intenciones de los hackers al realizar ataques en Internet, antes, en busca de fama y reconocimiento, hoy, en el inter\u00c3\u00a9s de organizaciones criminales que conducen ataques en […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-5","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n