Uno de mis términos de seguridad cibernética favoritos es "botnet". Conjura todo tipo de imágenes: robots interconectados, legiones de trabajadores conectados en red simultáneamente apuntando hacia un objetivo único. Curiosamente, la imagen que evoca la palabra es similar a lo que es una botnet, al menos en términos indirectos.
Los botnets representan una gran cantidad de poder de cómputo en todo el mundo. Y ese poder es regularmente (quizás incluso consistentemente) la fuente de malware, ransomware, spam y más. Pero, ¿cómo nacen las botnets? ¿Quién los controla? ¿Y cómo podemos detenerlos?
¿Qué es una botnet?
La definición de botnet SearchSecurity afirma que "una botnet es una colección de dispositivos conectados a Internet, que pueden incluir PC, servidores, dispositivos móviles e Internet de dispositivos que están infectados y controlados por un tipo común de malware". Los usuarios a menudo desconocen que una botnet infecta su sistema ".
La última oración de la definición es clave. Los dispositivos dentro de una botnet generalmente no están ahí voluntariamente. Los dispositivos infectados con ciertas variantes de malware están controlados por actores de amenazas remotos, también conocidos como ciberdelincuentes. El malware oculta las actividades de botnet maliciosas en el dispositivo, haciendo que el propietario desconozca su rol en la red. Podrías estar enviando miles de miles de tabletas de ampliación de apéndices de spam, sin sospechar nada.
Como tal, a menudo nos referimos a los dispositivos de botnet infectados ¿Es tu PC un Zombie? ¿Y qué es una computadora Zombie, de todos modos? [MakeUseOf Explains] ¿Tu PC es un Zombie? ¿Y qué es una computadora Zombie, de todos modos? [MakeUseOf Explains] ¿Te has preguntado de dónde viene todo el spam de Internet? Es probable que reciba cientos de correos no deseados filtrados con correo no deseado todos los días. ¿Significa eso que hay cientos y miles de personas allí sentadas ... Leer más como "zombis"?
¿Qué hace una botnet?
Una botnet tiene varias funciones comunes dependiendo del deseo del operador de botnet:
- Spam: envío de grandes cantidades de correo no deseado en todo el mundo. Por ejemplo, la porción promedio de spam en el tráfico global de correo electrónico entre enero y septiembre fue del 56.69 por ciento. Cuando la firma de investigación de seguridad FireEye detuvo temporalmente la notoria botnet Srizbi después de que el infame hosting de McColo se desconectara, el spam global disminuyó en gran cantidad (y de hecho, cuando finalmente se desconectó, el spam global disminuyó temporalmente en un 50%).
- Malware: entrega de malware y spyware a máquinas vulnerables. Los delincuentes compran y venden recursos de Botnet para promover sus empresas delictivas.
- Datos: captura de contraseñas y otra información privada. Esto se relaciona con lo anterior.
- Fraude de clics: un dispositivo infectado visita sitios web para generar tráfico web falso e impresiones publicitarias.
- Bitcoin: los controladores de botnet dirigen dispositivos infectados para minar Bitcoin y otras criptomonedas para generar ganancias en silencio.
- DDoS: los operadores de botnet dirigen el poder de los dispositivos infectados hacia objetivos específicos, llevándolos a estar fuera de línea en ataques de denegación distribuida de servicio.
Los operadores de botnet generalmente convierten sus redes en varias de estas funciones para generar ganancias. Por ejemplo, los operadores de botnets que envían spam médico a ciudadanos estadounidenses también son dueños de las farmacias que entregan los productos. (Oh, sí, hay productos reales al final del correo electrónico. La Nación de spam de Brian Krebs es un excelente vistazo a esto).
Nación Spam: la historia interna del cibercrimen organizado: de la epidemia global a su puerta principal Nación spam: la historia interna del cibercrimen organizado: de la epidemia global a su puerta principal Comprar ahora En Amazon $ 9.31
Los principales botnets han cambiado ligeramente de dirección en los últimos años. Mientras que los tipos médicos y otros similares de correo no deseado fueron extremadamente rentables durante mucho tiempo, las medidas enérgicas del gobierno en varios países erosionaron las ganancias. Como tal, el número de correos electrónicos que contienen un archivo adjunto malicioso aumentó a uno de cada 359 correos electrónicos, según el informe de inteligencia de Symantec de julio de 2017.
¿Qué aspecto tiene una botnet?
Sabemos que una botnet es una red de computadoras infectadas. Sin embargo, los componentes básicos y la arquitectura real de botnets son interesantes de considerar.
Arquitectura
Hay dos arquitecturas de botnet principales:
- Modelo cliente-servidor: una botnet cliente-servidor generalmente utiliza un cliente de chat (anteriormente IRC, pero las botnets modernas han utilizado Telegram y otros servicios de mensajería cifrados), dominio o sitio web para comunicarse con la red. El operador envía un mensaje al servidor, retransmitiéndolo a los clientes, que ejecutan el comando. Aunque la infraestructura de la botnet difiere de básica a muy compleja, un esfuerzo concentrado puede desactivar una botnet cliente-servidor.
- Peer-to-Peer: una botnet punto a punto (P2P) intenta detener los programas de seguridad y los investigadores que identifican servidores C2 específicos mediante la creación de una red descentralizada. Una red P2P es más avanzada 10 Términos de redes que probablemente nunca conoció, y lo que significan 10 términos de redes que probablemente nunca conoció, y lo que significan Aquí exploraremos 10 términos de redes comunes, lo que significan y dónde es probable que se encuentre ellos. Lea más, de alguna manera, que un modelo de cliente-servidor. Además, su arquitectura difiere de lo que la mayoría imagina. En lugar de una única red de dispositivos infectados interconectados que se comunican a través de direcciones IP, los operadores prefieren usar dispositivos zombis conectados a nodos, a su vez, conectados entre sí y al servidor de comunicación principal. La idea es que simplemente hay demasiados nodos interconectados pero separados para eliminarlos simultáneamente.
Comando y control
Los protocolos de comando y control (a veces escritos C & C o C2) tienen varias formas:
- Telnet: las redes de bots de Telnet son relativamente simples, y utilizan una secuencia de comandos para analizar los intervalos de IP para los inicios de sesión de los servidores telnet y SSH predeterminados a fin de agregar dispositivos vulnerables para agregar bots.
- IRC: las redes IRC ofrecen un método de comunicación de ancho de banda extremadamente bajo para el protocolo C2. La capacidad de cambiar rápidamente de canal otorga cierta seguridad adicional para los operadores de botnet, pero también significa que los clientes infectados son fácilmente desconectados de la red de bots si no reciben información de canal actualizada. El tráfico de IRC es relativamente fácil de examinar y aislar, lo que significa que muchos operadores se han alejado de este método.
- Dominios: algunas botnets grandes usan dominios en lugar de un cliente de mensajería para su control. Los dispositivos infectados acceden a un dominio específico que sirve una lista de comandos de control, permitiendo cambios y actualizaciones fácilmente sobre la marcha. La desventaja es el enorme requisito de ancho de banda para botnets grandes, así como la relativa facilidad con la que se cierran los dominios de control sospechosos. Algunos operadores utilizan el llamado host a prueba de balas para operar fuera de la jurisdicción de países con estricta ley penal de Internet.
- P2P: un protocolo P2P generalmente implementa la firma digital usando encriptación asimétrica (una clave pública y una privada). Mientras que el operador tiene la clave privada, es extremadamente difícil (esencialmente imposible) para cualquier otra persona emitir comandos diferentes a la botnet. Del mismo modo, la falta de un solo servidor C2 definido hace que atacar y destruir un botnet P2P sea más difícil que sus contrapartes.
- Otros: a lo largo de los años, hemos visto operadores botnet usar algunos canales de comando y control interesantes. Los que inmediatamente se me ocurren son los canales de redes sociales, como la botnet Twitoor de Android, controlada a través de Twitter, o la Mac.Backdoor.iWorm que explotó el subreddit de la lista de servidores de Minecraft para recuperar las direcciones IP de su red. Instagram no es seguro, tampoco. En 2017, Turla, un grupo de ciberespionaje con vínculos estrechos con la inteligencia rusa, estaba usando comentarios sobre fotos de Instagram de Britney Spears para almacenar la ubicación de un servidor C2 de distribución de malware.
Zombies
La pieza final del rompecabezas de botnet son los dispositivos infectados (es decir, los zombies).
Los operadores de botnet buscan e infectan dispositivos vulnerables para expandir su poder operativo. Hemos enumerado los principales usos de botnet anteriores. Todas estas funciones requieren potencia de cálculo. Además, los operadores de botnet no siempre son amigables entre sí, lo que hace que la potencia de sus máquinas infectadas se relacione entre sí.
La gran mayoría de las veces los propietarios de dispositivos zombies no conocen su rol en la botnet. A veces, sin embargo, el malware botnet actúa como un conducto para otras variantes de malware.
Este video de ESET da una buena explicación sobre cómo se expanden los botnets:
Tipos de dispositivos
Los dispositivos en red se están conectando a una velocidad sorprendente. Y las botnets no solo están en busca de una PC o Mac. Como leerá más en la siguiente sección, los dispositivos de Internet of Things son tan susceptibles (si no más) a las variantes de malware de botnet. Especialmente si son buscados debido a su seguridad atroz.
Si les digo a mis padres que devuelvan su nueva televisión inteligente que salieron a la venta porque IOT está muy insegura, ¿esto me convierte en una buena hija o una mala?
Pregunté si podía escuchar los comandos de voz, dijeron que sí; Hice un sonido crepitante. Dijeron que hablaremos mañana.- Tanya Janca (@shehackspurple) 28 de diciembre de 2017
Los teléfonos inteligentes y las tabletas tampoco son seguros. Android ha visto varias botnets a lo largo de los últimos años. Android es un objetivo fácil ¿Cómo ingresa el malware en su teléfono inteligente? ¿Cómo entra el malware en su teléfono inteligente? ¿Por qué los proveedores de malware quieren infectar su teléfono inteligente con una aplicación infectada, y cómo el malware ingresa a una aplicación móvil en primer lugar? Leer más: es de código abierto, tiene múltiples versiones de sistema operativo y numerosas vulnerabilidades en cualquier momento. No se regocijen tan rápido, usuarios de iOS. Ha habido un par de variantes de malware dirigidas a los dispositivos móviles de Apple, aunque generalmente se limitan a iPhones jailbreak con vulnerabilidades de seguridad.
Otro objetivo básico del dispositivo botnet es un enrutador vulnerable. 10 maneras en que su enrutador no es tan seguro como usted piensa. 10 maneras en que su enrutador no es tan seguro como usted. Aquí hay 10 maneras en que su router podría ser explotado por hackers y secuestradores inalámbricos . Lee mas . Los enrutadores que ejecutan un firmware viejo e inseguro son objetivos fáciles para botnets, y muchos propietarios no se darán cuenta de que su portal de internet tiene una infección. Del mismo modo, una cantidad simplemente asombrosa de usuarios de Internet no puede cambiar la configuración predeterminada en sus enrutadores 3 Contraseñas predeterminadas que debe cambiar y por qué 3 Contraseñas predeterminadas que debe cambiar y por qué las contraseñas son inconvenientes, pero necesarias. Muchas personas tienden a evitar contraseñas siempre que sea posible y están felices de utilizar la configuración predeterminada o la misma contraseña para todas sus cuentas. Este comportamiento puede hacer que sus datos y ... Leer más después de la instalación. Al igual que los dispositivos IoT, esto permite que el malware se propague a un ritmo vertiginoso, con poca resistencia en la infección de miles de dispositivos.
Desmontando una botnet
Desmontar una botnet no es una tarea fácil, por varias razones. A veces, la arquitectura de botnet permite que un operador reconstruya rápidamente. En otras ocasiones, el botnet es simplemente demasiado grande para derribarlo de un solo golpe. La mayoría de las eliminaciones de botnets requieren la coordinación entre investigadores de seguridad, agencias gubernamentales y otros hackers, a veces confiando en consejos o puertas traseras inesperadas.
Un problema importante que enfrentan los investigadores de seguridad es la relativa facilidad con la que los operadores de imitación inician operaciones utilizando el mismo malware.
GameOver Zeus
Voy a usar el botnet GameOver Zeus (GOZ) como un ejemplo de eliminación. GOZ fue una de las botnets más recientes, que se cree que tiene más de un millón de dispositivos infectados en su punto máximo. El uso principal de la botnet fue el robo de dinero (distribuir CryptoLocker ransomware Una historia de ransomware: dónde comenzó y hacia dónde va una historia de ransomware: dónde comenzó y dónde va Ransomware data de mediados de la década de 2000 y como muchas amenazas de seguridad informática, originado de Rusia y Europa del Este antes de evolucionar para convertirse en una amenaza cada vez más potente. Pero ¿qué depara el futuro para el ransomware? Read More) y correo no deseado y, utilizando un sofisticado algoritmo de generación de dominios punto a punto, parecía ser imparable.
Un algoritmo de generación de dominio permite a la botnet pregenerar largas listas de dominios para usar como "puntos de encuentro" para el malware botnet. Múltiples puntos de encuentro hacen que detener el contagio sea casi imposible, ya que solo los operadores conocen la lista de dominios.
En 2014, un equipo de investigadores de seguridad, trabajando en conjunto con el FBI y otras agencias internacionales, finalmente forzaron a GameOver Zeus fuera de línea, en la Operación Tovar. No fue fácil. Después de notar las secuencias de registro de dominio, el equipo registró unos 150, 000 dominios en los seis meses previos al inicio de la operación. Esto fue para bloquear cualquier registro de dominio futuro de los operadores de botnet.
A continuación, varios ISP dieron el control de operación de los nodos proxy de GOZ, utilizados por los operadores de botnet para comunicarse entre los servidores de comando y control y el botnet real. Elliot Peterson, el principal investigador del FBI en la Operación Tovar, dijo: "Pudimos convencer a los bots de que éramos buenos para hablar, pero todos los pares y servidores y supernodos controlados por los malos eran malos para hablar y deberían ser ignorado."
El dueño del botnet Evgeniy Bogachev (alias en línea Slavik) se dio cuenta de que el derribo estaba en su lugar después de una hora, e intentó luchar durante otras cuatro o cinco horas antes de "conceder" la derrota.
Posteriormente, los investigadores lograron descifrar el notorio cifrado CryptoLocker ransomware, creando herramientas de descifrado gratuitas para las víctimas. CryptoLocker Is Dead: ¡Así es cómo puede recuperar sus archivos! CryptoLocker Is Dead: ¡Aquí le mostramos cómo puede recuperar sus archivos! Lee mas .
Las redes de IoT son diferentes
Las medidas para combatir GameOver Zeus fueron extensas pero necesarias. Ilustra que el gran poder de una botnet ingeniosamente elaborada exige un enfoque global para la mitigación, que requiere "tácticas legales y técnicas innovadoras con herramientas tradicionales de aplicación de la ley", así como "relaciones de trabajo sólidas con expertos de la industria privada y homólogos en más de 10 países de todo el mundo ".
Pero no todas las botnets son iguales. Cuando una botnet llega a su fin, otro operador está aprendiendo de la destrucción.
En 2016, el botnet más grande y más malo fue Mirai. Antes de su desmontaje parcial, la botnet Mirai basada en Internet de las cosas golpeó varios objetivos importantes. ¿Por qué su moneda de cifrado no es tan segura como usted piensa? ¿Por qué su moneda de cifrado no es tan segura como usted piensa? Bitcoin continúa alcanzando nuevos máximos. El recién llegado de criptomonedas Ethereum amenaza con estallar en su propia burbuja. El interés en blockchain, minería y criptomoneda está en su punto más alto. Entonces, ¿por qué están en peligro los entusiastas de las criptomonedas? Lea más con asombrosos ataques DDoS. Uno de estos ataques golpeó el blog del investigador de seguridad Brian Krebs con 620Gbps, forzando eventualmente a la protección DDoS de Krebs a dejarlo como cliente. Otro ataque en los días siguientes golpeó al proveedor francés de alojamiento en la nube OVH con 1.2Tbps en el ataque más grande jamás visto. La imagen de abajo ilustra cuántos países golpeó Mirai.
Aunque Mirai ni siquiera estaba cerca de ser la red zombi más grande jamás vista, produjo los ataques más grandes. Mirai hizo un uso devastador de las franjas de dispositivos IoT ridículamente inseguros. ¿Está su hogar inteligente en riesgo de las vulnerabilidades de Internet of Things? ¿Está su hogar inteligente en riesgo de las vulnerabilidades de Internet of Things? ¿Es seguro el Internet de las cosas? Es de esperar que sí, pero un estudio reciente ha puesto de relieve que las preocupaciones de seguridad planteadas hace varios años aún no se han abordado. Tu hogar inteligente podría estar en riesgo. Lea más, usando una lista de 62 contraseñas predeterminadas inseguras para amasar dispositivos (admin / admin estaba en la parte superior de la lista, vaya a la figura).
El investigador de seguridad Marcus Hutchins (también conocido como MalwareTech) explica que parte de la razón del enorme poder de Mirai es que la mayoría de los dispositivos de IoT se sientan allí, sin hacer nada hasta que se solicite. Eso significa que casi siempre están en línea, y casi siempre tienen recursos de red para compartir. Un operador de botnet tradicional analizaría sus períodos de máxima potencia y ataques de tiempo en consecuencia. IoT botnets, no tanto.
Por lo tanto, a medida que más dispositivos de IoT mal configurados se conecten, la posibilidad de explotación aumenta.
Mantenerse a salvo
Aprendimos sobre lo que hace una botnet, cómo crecen y más. Pero, ¿cómo impide que su dispositivo se convierta en parte de uno? Bueno, la primera respuesta es simple: actualice su sistema Cómo arreglar Windows 10: Preguntas frecuentes para principiantes Cómo arreglar Windows 10: Preguntas frecuentes para principiantes ¿Necesita ayuda con Windows 10? Respondemos las preguntas más frecuentes sobre el uso y la configuración de Windows 10. Lea más. Las actualizaciones periódicas solucionan los agujeros vulnerables en su sistema operativo, lo que a su vez reduce las posibilidades de explotación.
El segundo es descargar y actualizar un programa antivirus y un programa antimalware también. Existen numerosas suites antivirus gratuitas que ofrecen una excelente protección de bajo impacto. Invierta en un programa antimalware, como Malwarebytes. La Guía completa para la eliminación de malware La Guía completa para la eliminación de malware. El malware está en todas partes en estos días, y erradicar el malware de su sistema es un proceso largo que requiere orientación. Si crees que tu computadora está infectada, esta es la guía que necesitas. Lee mas . Una suscripción Premium de Malwarebytes le devolverá $ 24.95 en el año, brindándole protección contra malware en tiempo real. Bien vale la pena la inversión, en mi opinión.
Finalmente, tome un poco de seguridad adicional del navegador. Los kits de exploits de Drive-by son una molestia, pero se pueden evitar fácilmente cuando se usa una extensión de bloqueo de scripts como uBlock Origin What Is Cryptojacking y How Can You Avoid It? ¿Qué es cryptojacking y cómo puedes evitarlo? Una nueva amenaza de seguridad está en la ciudad: cryptojacking, en el cual su computadora es secuestrada para generar Bitcoins. Pero ¿cuán extendida está, y cómo puedes evitar que tu sistema se trastorne de esta manera? Lee mas .
¿Tu computadora formaba parte de una botnet? ¿Cómo te diste cuenta? ¿Descubrió qué infección estaba usando su dispositivo? Háganos saber sus experiencias a continuación!