Análisis de malware

Enfoque de malware: ¿Qué son las botnets?

noviembre 5, por Greg Belding

Introducción

Dicen que los planes simples tienen más probabilidades de tener éxito, y este dicho definitivamente se traslada al mundo de la ciberseguridad. Este viejo dicho también se aplica al mundo de los atacantes: las estrategias de ataque simples tienen más probabilidades de tener éxito.

Las botnets son la versión que tiene el atacante de poner en práctica este dicho, y este artículo proporcionará una descripción general de alto nivel de estos instrumentos de simplicidad. Exploraremos qué son las botnets, sus dos estructuras principales, los diferentes ataques que suelen lanzar las botnets y cómo protegernos contra ellos. Si no sabe cómo se aplica la simplicidad a las botnets, este artículo le ayudará a comprender cómo se relaciona todo.

Simplicidad, ¿eh?

Desde la perspectiva del atacante, absolutamente. Considere esto: durante una campaña de ataque, varios sistemas pueden tener malware instalado. Estos sistemas pueden estar distribuidos por todo el mundo, en diferentes países y definitivamente en diferentes redes.

Un enfoque torpe para gestionar todos estos sistemas comprometidos es iniciar sesión manualmente en cada uno de estos sistemas durante el ataque. Esto acaba convirtiéndose en un lío gigantesco donde el ataque sólo avanza en la medida en que avanza el atacante.

Ninguna campaña de ataque, por obvias razones logísticas, funciona así. Más bien, los atacantes utilizan lo que se llama una botnet, donde sólo unos pocos clics en el extremo del atacante hacen que todos los sistemas comprometidos trabajen juntos. En pocas palabras, las botnets convierten un desorden inmanejable en un plan simple y eficiente.

¿Qué es una botnet?

Botnet es un nombre extraño porque es un acrónimo o combinación de dos palabras diferentes. La primera parte del nombre proviene de “robot” porque los sistemas comprometidos que tienen instalado el malware del atacante son como robots o esclavos zombis que cumplen las órdenes del atacante. La segunda parte del nombre proviene de “red”, porque los sistemas comprometidos están vinculados entre sí en virtud (o falta de ella) del atacante.

Estructuras de botnets

Hay dos estructuras principales de botnets: cliente-servidor y peer-to-peer.

Modelo cliente-servidor

Este modelo es probablemente el que más se piensa al imaginar una estructura de botnet, lo que lo convierte en un excelente punto de partida. En el modelo cliente-servidor, se crea una red básica con clientes o bots, donde hay un servidor central que controla la transmisión de información desde los bots individuales. Este servidor se denomina servidor de comando y control, o C2. También se le puede denominar botmaster. El servidor C2 mantiene el control sobre los bots con un software especial, que es otra pieza de malware y otra conversación completamente diferente.

Este modelo de estructura de botnet tiene sus desventajas, lo que puede convertirlo en una opción poco atractiva para algunos. Las estructuras de botnet cliente-servidor dependen completamente del servidor C2, hasta el punto de que si el servidor deja de funcionar, también lo hace la botnet. Este modelo también es fácil de localizar, lo que hace que el servidor C2 corra aún más riesgo de ser desactivado.

De igual a igual

Como se esperaba del comportamiento del malware en el pasado, el campo de las botnets ha evolucionado para abordar los principales inconvenientes del modelo cliente-servidor. Peer-to-peer es el segundo modelo principal de botnet que ha eliminado por completo el servidor C2. Los bots en una botnet peer-to-peer actúan como cliente y servidor, por lo que si un bot falla, la botnet no dejará de funcionar (ni siquiera se verá interrumpida por ninguna medida significativa). Esto hace que el modelo peer-to-peer sea una estructura de botnet más sólida y versátil.

Ataques típicos de botnets

Bien, entonces los atacantes pueden formar redes de zombis. Esta estructura conectada y organizada hace que realizar ciertos ataques sea mucho más fácil y manejable. A continuación se muestra una lista de los ataques comunes de botnets:

Servicio distribuido de denegación de operaciones (DDoS)

Este tipo de ataque ocurre cuando un atacante sobrecarga los recursos computacionales o provoca un consumo masivo del ancho de banda de la víctima. Los tipos más comunes son los ataques de inundación UDP y TCP SYN. Las botnets están en una posición única para los ataques DDoS debido a la cantidad potencialmente alta de bots y su capacidad para operar al unísono.

Registro de teclas

Esta técnica de ataque ayuda al servidor C2 a recopilar información confidencial sobre sus objetivos. Esta capacidad se puede configurar para comenzar a registrar pulsaciones de teclas únicamente después de palabras interesantes que puedan indicar información confidencial como Visa, PayPal, etc.

Propagación de botnets

A veces, las botnets lanzan ataques que no provocan ninguna pérdida de información confidencial para la víctima, sino que pretenden propagarse o incluso iniciar otras botnets. Esto se denomina propagación de botnet y normalmente implica correos electrónicos con archivos adjuntos infectados que convencen al destinatario de descargar software que propaga la botnet.

Monitoreo de tráfico y spam

Cuando un sistema se infecta, el ataque contra el zombie no se detiene cuando se instala el bot. Se pueden utilizar bots para rastrear el sistema zombie en busca de información confidencial, incluidos nombres de usuario y contraseñas. Los bots también tienen la interesante capacidad de determinar si hay botnets de la competencia instalados en su máquina zombie y secuestrarlos.

Medidas anti-botnets

Las botnets no son tan exóticas como amenazas de malware, y las medidas preventivas contra ellas son relativamente sencillas. A continuación se muestra una lista de medidas proactivas que pueden evitar que su sistema se una al proverbial ejército de los no-muertos.

• Formación en ciberseguridad: nada supera el poder preventivo de una buena formación en ciberseguridad, lo que la convierte en la principal medida anti-botnets.
• Manténgase alejado de los sitios que son focos de infección: mire, lo entiendo. Todos navegamos a lugares extraños en la web. Solo asegúrate de que los que visites no estén cargados con malware.
• Mantenga su sistema actualizado: si su sistema operativo no hace esto automáticamente en este momento, configúrelo para que lo haga si es posible.
• Utilice una solución antimalware sólida
• Monitorear los procesos del sistema que muestran picos de datos asociados con procesos desconocidos

Conclusión

Las botnets son redes de sistemas cliente infectados con malware, o bots, controlados por un servidor C2 o por bots que pueden funcionar como cliente y servidor. Hacen que los ataques sean más fáciles de gestionar, especialmente cuando estos ataques dependen de transmisiones o picos masivos de tráfico de información (DDoS). Afortunadamente, las medidas estándar de ciberseguridad harán que sea mucho menos probable que su sistema forme parte de una botnet.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. Botnet Malware: Qué es y cómo combatirlo , Vivimos la Seguridad.
2. Botnets y sus tipos , Blog del Consejo de la CE
3. Los ataques DDoS impulsados ​​por botnets representan una ciberamenaza en desarrollo , Corero
4. Esto es lo que necesita saber sobre las botnets , McAfee