Red de bots
Una botnet es un grupo de dispositivos conectados a Internet, cada uno de los cuales ejecuta uno o más bots. Las botnets se pueden utilizar para realizar ataques de denegación de servicio distribuido (DDoS), robar datos, enviar spam y permitir que el atacante acceda al dispositivo y a su conexión. El propietario puede controlar la botnet mediante un software de comando y control (C&C). La palabra "botnet" es un acrónimo de las palabras "robot" y "red". El término suele utilizarse con una connotación negativa o maliciosa.
Descripción general
Una botnet es una colección lógica de dispositivos conectados a Internet, como computadoras, teléfonos inteligentes o dispositivos de Internet de las cosas (IoT), cuya seguridad ha sido violada y el control se ha cedido a un tercero. Cada dispositivo comprometido, conocido como "bot" se crea cuando un dispositivo es penetrado por software de una distribución de malware (software malicioso). El controlador de una botnet es capaz de dirigir las actividades de estas computadoras comprometidas a través de canales de comunicación formados por protocolos de red basados en estándares, como IRC y el Protocolo de transferencia de hipertexto (HTTP).
Los ciberdelincuentes alquilan cada vez más las botnets como productos para diversos fines, incluidos servicios de arranque y estrés.
Arquitectura
La arquitectura de las botnets ha evolucionado con el tiempo en un esfuerzo por evadir la detección y las interrupciones. Tradicionalmente, los programas bot se construyen como clientes que se comunican a través de servidores existentes. Esto permite que el bot herder (el controlador de la botnet) realice todo el control desde una ubicación remota, lo que confunde el tráfico. Muchas botnets recientes ahora dependen de redes peer-to-peer existentes para comunicarse. Estos programas bot P2P realizan las mismas acciones que el modelo cliente-servidor, pero no requieren un servidor central para comunicarse.
Modelo cliente-servidor
Los primeros botnets en Internet utilizaron un modelo cliente-servidor para realizar sus tareas. Típicamente, estos botnets operan a través de Internet Relay Chat redes, dominios o sitios web. Los clientes infectados acceden a una ubicación predeterminada y esperan comandos entrantes desde el servidor. El herder bot envía comandos al servidor, que los transmite a los clientes. Los clientes ejecutan los comandos e informan de sus resultados de vuelta al herder bot.
En el caso de las botnets de IRC, los clientes infectados se conectan a un servidor de IRC infectado y se unen a un canal predesignado para C&C por el responsable del bot. El pastor de robots envía comandos al canal a través del servidor IRC. Cada cliente recupera los comandos y los ejecuta. Los clientes envían mensajes al canal IRC con los resultados de sus acciones.
Peer-to-peer
En respuesta a los esfuerzos para detectar y decapitar botnets IRC, los pastores bot han comenzado a implementar malware en redes entre pares. Estos bots pueden usar firmas digitales para que sólo alguien con acceso a la llave privada pueda controlar el botnet, como en Gameover ZeuS y el botnet ZeroAccess.
Las botnets más nuevas funcionan completamente a través de redes P2P. En lugar de comunicarse con un servidor centralizado, los robots P2P funcionan como un servidor de distribución de comandos y como un cliente que recibe comandos. Esto evita tener un único punto de falla, lo cual es un problema para las botnets centralizadas.
Para encontrar otras máquinas infectadas, los robots P2P exploran discretamente direcciones IP aleatorias hasta que identifican otra máquina infectada. El bot contactado responde con información como su versión de software y una lista de bots conocidos. Si uno de los robots' La versión es inferior a la otra, iniciarán una transferencia de archivos para actualizar. De esta manera, cada bot aumenta su lista de máquinas infectadas y se actualiza comunicándose periódicamente con todos los bots conocidos.
Componentes principales
El creador de una botnet (conocido como "herder de bots" o "maestro de bots") controla la botnet de forma remota. Esto se conoce como comando y control (C&C). El programa para la operación debe comunicarse a través de un canal encubierto con el cliente en la máquina de la víctima (computadora zombie).
Protocolos de control
IRC es un medio históricamente favorecido de C avecC debido a su protocolo de comunicación. Un herder de bot crea un canal IRC para que los clientes infectados se unan. Los mensajes enviados al canal se transmiten a todos los miembros del canal. El herder de bot puede establecer el tema del canal para ordenar el botnet. Por ejemplo, el mensaje :herder!herder@example.com TOPIC #channel DDoS www.victim.com desde el herder bot alerta a todos los clientes infectados pertenecientes a #channel para iniciar un ataque DDoS en el sitio web www.victim.com. Una respuesta de ejemplo :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com por un cliente de bot alerta al herder de bot que ha comenzado el ataque.
Algunas botnets implementan versiones personalizadas de protocolos conocidos. Las diferencias de implementación se pueden utilizar para la detección de botnets. Por ejemplo, Mega-D presenta una implementación del Protocolo simple de transferencia de correo (SMTP) ligeramente modificada para probar la capacidad de spam. Derribar el servidor SMTP de Mega-D desactiva todo el grupo de bots que dependen del mismo servidor SMTP.
Computadora zombi
En informática, una computadora zombie es una computadora conectada a Internet que ha sido comprometida por un hacker, un virus informático o un caballo de Troya y puede usarse para realizar tareas maliciosas bajo dirección remota. Las botnets de computadoras zombis se utilizan a menudo para difundir correo no deseado y lanzar ataques de denegación de servicio (DDoS). La mayoría de los propietarios de computadoras zombies no saben que su sistema está siendo utilizado de esta manera. Debido a que el propietario tiende a no darse cuenta, estas computadoras se comparan metafóricamente con zombis. Un ataque DDoS coordinado por varias máquinas botnet también se parece a un ataque de una horda de zombis.
El proceso de robar recursos informáticos como resultado de un sistema que se une a una "botnet" a veces se denomina "scrumping".
Mando y control
Los protocolos de comando y control (C&C) de botnets se han implementado de varias maneras, desde enfoques IRC tradicionales hasta versiones más sofisticadas.
Telnet
Las botnets Telnet utilizan un protocolo de botnet C&C simple en el que los bots se conectan al servidor de comando principal para alojar la botnet. Los bots se agregan a la botnet mediante un script de escaneo, que se ejecuta en un servidor externo y escanea los rangos de IP en busca de inicios de sesión predeterminados del servidor telnet y SSH. Una vez que se encuentra un inicio de sesión, el servidor de escaneo puede infectarlo a través de SSH con malware, que hace ping al servidor de control.
IRC
Las redes IRC utilizan métodos de comunicación simples y de bajo ancho de banda, lo que las hace ampliamente utilizadas para alojar botnets. Suelen ser de construcción relativamente simple y se han utilizado con éxito moderado para coordinar ataques DDoS y campañas de spam, al tiempo que pueden cambiar continuamente de canal para evitar ser eliminados. Sin embargo, en algunos casos, el simple bloqueo de determinadas palabras clave ha demostrado ser eficaz para detener las botnets basadas en IRC. El estándar RFC 1459 (IRC) es popular entre las botnets. El primer script de controlador de botnet popular conocido, "MaXiTE Bot" Estaba usando el protocolo IRC XDCC para comandos de control privado.
Un problema con el uso de IRC es que cada cliente bot debe conocer el servidor, puerto y canal de IRC para que sea de alguna utilidad para la botnet. Las organizaciones antimalware pueden detectar y cerrar estos servidores y canales, deteniendo efectivamente el ataque de botnet. Si esto sucede, los clientes siguen infectados, pero normalmente permanecen inactivos ya que no tienen forma de recibir instrucciones. Para mitigar este problema, una botnet puede constar de varios servidores o canales. Si uno de los servidores o canales queda desactivado, la botnet simplemente cambia a otro. Todavía es posible detectar e interrumpir servidores o canales de botnet adicionales rastreando el tráfico IRC. Un adversario de una botnet puede incluso adquirir conocimiento del esquema de control e imitar al pastor de bots emitiendo comandos correctamente.
P2P
Dado que la mayoría de las botnets que utilizan redes y dominios IRC pueden desactivarse con el tiempo, los piratas informáticos han pasado a las botnets P2P con C&C para hacer que la botnet sea más resistente y resistente a la terminación.
Algunos también han usado el cifrado como una forma de proteger o bloquear la botnet de otros; la mayoría de las veces, cuando usan cifrado es criptografía de clave pública y ha presentado desafíos tanto para implementarlo como para descifrarlo.
Dominios
Muchas grandes botnets tienden a utilizar dominios en lugar de IRC en su construcción (ver Rustock botnet y Srizbi botnet). Por lo general, están alojados en servicios de hosting a prueba de balas. Este es uno de los primeros tipos de C&C. Una computadora zombie accede a una página web o dominio(s) especialmente diseñado que proporciona la lista de comandos de control. Las ventajas de utilizar páginas web o dominios como C&C es que una gran botnet se puede controlar y mantener de manera efectiva con un código muy simple que se puede actualizar fácilmente.
Las desventajas de utilizar este método son que utiliza una cantidad considerable de ancho de banda a gran escala y que las agencias gubernamentales pueden apoderarse rápidamente de los dominios con poco esfuerzo. Si los dominios que controlan las botnets no son incautados, también son blancos fáciles de comprometer con ataques de denegación de servicio.
Se puede utilizar DNS Fast-Flux para dificultar el seguimiento de los servidores de control, que pueden cambiar día a día. Los servidores de control también pueden saltar de un dominio DNS a otro, y se utilizan algoritmos de generación de dominio para crear nuevos nombres DNS para los servidores de control.
Algunas botnets utilizan servicios de alojamiento de DNS gratuitos, como DynDns.org, No-IP.com y Afraid.org para apuntar un subdominio hacia un servidor IRC que alberga a los bots. Si bien estos servicios DNS gratuitos no albergan ataques, proporcionan puntos de referencia (a menudo codificados en el ejecutable de la botnet). Eliminar dichos servicios puede paralizar toda una botnet.
Otros
Volver a llamar a sitios populares como GitHub, Twitter, Reddit, Instagram, el protocolo de mensajes instantáneos de código abierto XMPP y los servicios ocultos de Tor son formas populares de evitar el filtrado de salida para comunicarse con un servidor C&C.
Construcción
Tradicional
Este ejemplo ilustra cómo se crea y utiliza una botnet con fines maliciosos.
- Un hacker compra o construye un kit de troyano y/o explotación y lo utiliza para comenzar a infectar las computadoras de los usuarios, cuya carga útil es una aplicación maliciosa, la Bot.
- El Bot instruye al PC infectado para conectarse a un servidor de comandos y control (C plagaC). (Esto permite al botmaster mantener registros de cuántos bots son activos y en línea.)
- El botmaster puede entonces utilizar los bots para reunir pulsaciones de teclas o utilizar el acaparamiento de formularios para robar credenciales en línea y puede alquilar el botnet como DDoS y/o spam como un servicio o vender las credenciales en línea para un beneficio.
- Dependiendo de la calidad y capacidad de los bots, el valor se aumenta o disminuye.
Los bots más recientes pueden escanear automáticamente su entorno y propagarse usando vulnerabilidades y contraseñas débiles. En general, cuanto más vulnerabilidades un bot puede escanear y propagarse, más valioso se convierte en una comunidad de controladores de botnet.
Las computadoras pueden ser incorporadas a una botnet cuando ejecutan software malicioso. Esto se puede lograr atrayendo a los usuarios para que realicen una descarga no autorizada, explotando las vulnerabilidades del navegador web o engañando al usuario para que ejecute un programa troyano, que puede provenir de un archivo adjunto de correo electrónico. Este malware normalmente instala módulos que permiten que el operador de la botnet ordene y controle la computadora. Después de descargar el software, llamará a casa (enviará un paquete de reconexión) a la computadora host. Cuando se realiza la reconexión, dependiendo de cómo esté escrito, un troyano puede eliminarse o permanecer presente para actualizar y mantener los módulos.
Otros
En algunos casos, hacktivistas voluntarios pueden crear temporalmente una botnet, como en las implementaciones del cañón de iones de órbita baja utilizado por los miembros de 4chan durante el Proyecto Chanology en 2010.
El Gran Cañón de China permite la modificación del tráfico legítimo de navegación web en las redes troncales de Internet en China para crear una gran botnet efímera para atacar objetivos grandes como GitHub en 2015.
Usos comunes
- Los ataques de denegación de servicio distribuidos son uno de los usos más comunes para los botnets, en los que múltiples sistemas presentan el mayor número posible de solicitudes a un solo ordenador o servicio de Internet, sobrecargandolo y evitando que preste servicios legítimos. Un ejemplo es un ataque al servidor de una víctima. El servidor de la víctima es bombardeado con solicitudes de los bots, tratando de conectarse al servidor, por lo tanto, sobrecargarlo. El zar de fraude de Google Shuman Ghosemajumder ha dicho que estos tipos de ataques que causan interrupciones en sitios web importantes continuarán ocurriendo regularmente debido al uso de botnets como servicio.
- Spyware es un software que envía información a sus creadores sobre las actividades de un usuario – generalmente contraseñas, números de tarjetas de crédito y otra información que se puede vender en el mercado negro. Las máquinas compuestas que se encuentran dentro de una red corporativa pueden valer más para el herder bot, ya que a menudo pueden obtener acceso a información corporativa confidencial. Varios ataques dirigidos contra grandes corporaciones apuntaron a robar información confidencial, como el botnet Aurora.
- Correo electrónico spam son mensajes de correo electrónico disfrazados de mensajes de personas, pero son publicitarios, molestos o maliciosos.
- Haga clic en el fraude ocurre cuando el usuario visita sitios web sin la conciencia del usuario para crear falso tráfico web para obtener ganancias personales o comerciales.
- El fraude de anuncios es a menudo una consecuencia de la actividad de bot maliciosa, según CHEQ, Ad Fraud 2019, El costo económico de los malos actores en Internet. Los propósitos comerciales de bots incluyen influencers que los utilizan para aumentar su supuesta popularidad, y editores en línea usando bots para aumentar el número de clics que recibe un anuncio, permitiendo a los sitios ganar más comisión de los anunciantes.
- Los ataques de relleno credencial utilizan botnets para iniciar sesión en muchas cuentas de usuario con contraseñas robadas, como en el ataque contra General Motors en 2022.
- La minería de bitcoin se utilizó en algunos de los botnets más recientes que incluyen la minería de bitcoin como característica para generar beneficios para el operador de la botnet.
- Funcionalidad de autoaprendizaje, para buscar el comando-and-control preconfigurado (CNC) la instrucción empujada contiene dispositivos o red dirigidos, para apuntar a más infección, también se observa en varios botnets. Algunos de los botnets están utilizando esta función para automatizar sus infecciones.
Mercado
La comunidad de controladores de botnets compite constantemente por quién tiene la mayor cantidad de bots, el mayor ancho de banda general y la mayor cantidad de 'alta calidad'. máquinas infectadas, como máquinas universitarias, corporativas e incluso gubernamentales.
Si bien las botnets suelen recibir el nombre del malware que las creó, varias botnets suelen utilizar el mismo malware pero son operadas por entidades diferentes.
Suplantación de identidad
Las botnets se pueden utilizar para muchas estafas electrónicas. Estas botnets se pueden utilizar para distribuir malware, como virus, para tomar el control de la computadora/software de un usuario normal. Al tomar el control de la computadora personal de una persona, esta tiene acceso ilimitado a su información personal, incluidas contraseñas e información de inicio de sesión en las cuentas. Esto se llama phishing. El phishing es la adquisición de información de inicio de sesión para el sitio web de la "víctima". cuentas con un enlace la "víctima" clics en que se envía a través de un correo electrónico o mensaje de texto. Una encuesta realizada por Verizon encontró que alrededor de dos tercios del "espionaje" Los casos provienen de phishing.
Contramedidas
La dispersión geográfica de las botnets significa que cada recluta debe ser identificado/acorralado/reparado individualmente y limita los beneficios del filtrado.
Los expertos en seguridad informática han logrado destruir o subvertir las redes de mando y control del malware, entre otros medios, confiscando servidores o aislándolos de Internet, negando el acceso a dominios que debían ser utilizados por el malware para contactar con sus infraestructura de C&C y, en algunos casos, irrumpir en la propia red de C&C. En respuesta a esto, los operadores de C&C han recurrido al uso de técnicas como la superposición de sus redes de C&C sobre otra infraestructura benigna existente como IRC o Tor, utilizando sistemas de redes peer-to-peer que no dependen de ningún servidor fijo. y el uso de cifrado de clave pública para frustrar los intentos de ingresar o falsificar la red.
Norton AntiBot estaba dirigido a consumidores, pero la mayoría se dirige a empresas y/o ISP. Las técnicas basadas en host utilizan heurísticas para identificar el comportamiento de los bots que han pasado por alto el software antivirus convencional. Los enfoques basados en redes tienden a utilizar las técnicas descritas anteriormente; cerrar servidores C&C, entradas DNS de enrutamiento nulo o apagar completamente servidores IRC. BotHunter es un software desarrollado con el apoyo de la Oficina de Investigación del Ejército de EE. UU. que detecta la actividad de botnets dentro de una red analizando el tráfico de la red y comparándolo con patrones característicos de procesos maliciosos.
Los investigadores de los Laboratorios Nacionales Sandia están analizando las redes de bots. comportamiento al ejecutar simultáneamente un millón de kernels de Linux (una escala similar a una botnet) como máquinas virtuales en un clúster de computadoras de alto rendimiento de 4.480 nodos para emular una red muy grande, lo que les permite observar cómo funcionan las botnets y experimentar formas de detenerlas. .
Detectar ataques de bots automatizados es cada día más difícil a medida que los atacantes lanzan generaciones de bots más nuevas y sofisticadas. Por ejemplo, un ataque automatizado puede desplegar un gran ejército de bots y aplicar métodos de fuerza bruta con listas de nombres de usuarios y contraseñas muy precisas para hackear cuentas. La idea es saturar los sitios con decenas de miles de solicitudes de diferentes IP en todo el mundo, pero con cada bot solo enviando una solicitud cada 10 minutos aproximadamente, lo que puede resultar en más de 5 millones de intentos por día. En estos casos, muchas herramientas intentan aprovechar la detección volumétrica, pero los ataques de bots automatizados ahora tienen formas de eludir los desencadenantes de la detección volumétrica.
Una de las técnicas para detectar estos ataques de bots es lo que se conoce como "sistemas basados en firmas" en el que el software intentará detectar patrones en el paquete de solicitud. Sin embargo, los ataques evolucionan constantemente, por lo que puede que esta no sea una opción viable cuando no se pueden discernir patrones a partir de miles de solicitudes. También existe el enfoque conductual para frustrar a los bots, que en última instancia intenta distinguirlos de los humanos. Al identificar el comportamiento no humano y reconocer el comportamiento conocido de los bots, este proceso se puede aplicar a nivel de usuario, navegador y red.
El método más capaz de utilizar software para combatir un virus ha sido utilizar software honeypot para convencer al malware de que un sistema es vulnerable. Luego, los archivos maliciosos se analizan mediante software forense.
El 15 de julio de 2014, el Subcomité sobre Crimen y Terrorismo del Comité Judicial del Senado de los Estados Unidos celebró una audiencia sobre las amenazas que plantean las botnets y los esfuerzos públicos y privados para perturbarlas y desmantelarlas.
El aumento de los dispositivos IoT vulnerables ha provocado un aumento de los ataques con botnet basados en IoT. Para abordar esto, se introdujo un nuevo método de detección de anomalías basado en la red para IoT llamado N-BaIoT. Captura instantáneas de comportamiento de red y emplea autoencoderes profundos para identificar tráfico anormal de dispositivos IoT comprometidos. El método fue probado por infectar nueve dispositivos IoT con botnets Mirai y BASHLITE, mostrando su capacidad para detectar con precisión y rapidez ataques procedentes de dispositivos IoT comprometidos dentro de un botnet.
Además, comparar diferentes formas de detectar botnets es realmente útil para los investigadores. Les ayuda a ver qué tan bien funciona cada método en comparación con otros. Este tipo de comparación es buena porque permite a los investigadores evaluar los métodos de manera justa y encontrar formas de mejorarlos.
Lista histórica de botnets
La primera botnet fue reconocida y expuesta por primera vez por EarthLink durante una demanda con el notorio spammer Khan C. Smith en 2001. La botnet fue construida con el propósito de enviar spam masivo y representó casi el 25% de todo el spam en ese momento.
Alrededor de 2006, para frustrar la detección, algunas botnets estaban reduciendo su tamaño.
| Fecha creada | Fecha desmantelada | Nombre | No. de bots | Capacidad de Spam (bn/day) | Aliases |
|---|---|---|---|---|---|
| 1999 | !a | 999,9999,999 | 100000 | !a | |
| 2003 | MaXiTE | 500-1000 servidores | 0 | MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ | |
| 2004 (Early) | Bagle | 230.000 | 5.7 | Beagle, Mitglieder, Lodeight | |
| Marina Botnet | 6.215.000 | 92 | Damon Briant, BOB.dc, Cotmonger, Hacktool. Spammer, Kraken | ||
| Torpig | 180.000 | Sinowal, Anserin | |||
| Storm | 160.000 | 3 | Nuwar, Peacomm, Zhelatin | ||
| 2006 (aproximadamente) | 2011 (marzo) | Rustock | 150.000 | 30 | RKRustok, Costrat |
| Donbot | 125.000 | 0,8 | Buzus, Bachsoy | ||
| 2007 (redondeado) | Cutwail | 1,500,000 | 74 | Pandex, Mutant (relacionado con: Wigon, Pushdo) | |
| 2007 | Akbot | 1.300,000 | |||
| 2007 (marzo) | 2008 (noviembre) | Srizbi | 450.000 | 60 | Cbeplay, Exchanger |
| Lethic | 260.000 | 2 | ninguno | ||
| Xarvester | 10.000. | 0.15 | Rlsloup, Pixoliz | ||
| 2008 (en torno a) | Sality | 1,000,000 | Sector, Kuku | ||
| 2008 (en torno a) | 2009-Dec | Mariposa | 12,000,000 | ||
| 2008 (en torno a) | Kraken | 495.000 | 9 | Kracken | |
| 2008 (noviembre) | Conficker | 10,500,000+ | 10 | DownUp, DownAndUp, DownAdUp, Kido | |
| 2008 (noviembre) | 2010 (marzo) | Waledac | 80.000 | 1,5 | Waled, Waledpak |
| Maazben | 50.000 | 0.5 | Ninguno | ||
| Onewordsub | 40.000 | 1.8 | |||
| Gheg | 30.000 | 0,244 | Tofsee, Mondera | ||
| Nucrypt | 20.000 | 5 | Loosky, Locksky | ||
| Wopla | 20.000 | 0.6 | Pokier, Slogger, Cryptic | ||
| 2008 (en torno a) | Asprox | 15.000 | Danmec, Hydraflux | ||
| 0 | Spamthru | 12.000 | 0,355 | Spam-DComServ, Covesmer, Xmiler | |
| 2008 (en torno a) | Gumblar | ||||
| 2009 (mayo) | Noviembre de 2010 (no completo) | BredoLab | 30,000,000 | 3.6 | Oficla |
| 2009 (Around) | 2012-07-19 | Grum | 560.000 | 39.9 | Tedroo |
| Mega-D | 509.000 | 10 | Ozdok | ||
| 2009 (agosto) | Festi | 250.000 | 2.25 | Spamnost | |
| 2010 (marzo) | Vulcanbot | ||||
| 2010 (enero) | LowSec | 11.000+ | 0.5 | Baja seguridad, FreeMoney, Ring0.Herramientas | |
| 2010 (en torno a) | TDL4 | 4,500,000 | TDSS, Alureon | ||
| Zeus | 300.000 (sólo EE.UU.) | Zbot, PRG, Wsnpoem, Gorhax, Kneber | |||
| 2010 | (Several: 2011, 2012) | Kelihos | 300.000+ | 4 | Hlux |
| 2011 o antes | 2015-02 | Ramnit | 3,000,000 | ||
| 2012 (Around) | Chameleon | 120.000 | Ninguno | ||
| 2014 | Necurs | 6,000,000 | |||
| 2016 (agosto) | Mirai | 380.000 | Ninguno | ||
| 2022 | Mantis | 5000 |
- Investigadores de la Universidad de California, Santa Barbara tomó el control de un botnet que era seis veces más pequeño de lo esperado. En algunos países, es común que los usuarios cambien su dirección IP algunas veces en un día. Estimar el tamaño del botnet por el número de direcciones IP es utilizado a menudo por investigadores, posiblemente conduce a evaluaciones inexactas.
Contenido relacionado
Spl (Unix)
Tabla de métodos virtuales
ALGOL Y
Hacer bucle while
API de repositorio de contenido para Java