Botnets

Botnets

Los bots son un tipo de programa malicioso que permite a los atacantes tomar el control de uno o más equipos infectados.

Este artículo fue publicado originalmente en la edición de abril de 2010 de DattaMagazine, la revista de tecnología de Dattatec.
Autor: Javier Richarte – javier.richarte@dattamagazine.com

Comúnmente, estos “robots de la web”, son parte de una red de equipos infectados, conocido como botnet (o “red de bots”), que suele estar integrada por computadoras o sitios web infectados (a los cuales se los denomina “zombies”) de todas partes del mundo.

Las botnets pueden comprender desde cientos a miles de equipos infectados. Sin embargo, otros cuentan con decenas y hasta centenares de miles de zombies a su servicio. La gran mayoría de estas computadoras quedan infectadas sin que sus usuarios se den cuenta de ello. Al igual que cualquier virus o software malicioso, un bot puede provocar que un equipo muestre los mismos síntomas: cuelgues o reinicios repentinos, funcionar más lento y/o mostrar mensajes misteriosos.
Al ser uno de los ataques más dañinos (tanto para los usuarios y las empresas, como para los proveedores de Internet), se suele investigar este tipo de actividad delictiva hasta dar con sus responsables. Sin ir más lejos, en el mes de febrero de 2010, en España, arrestaron al menos a cinco creadores de una botnet, poniéndolos a disposición de la Justicia.

Esta actividad está seduciendo cada vez más atacantes porque les provee un beneficio económico muy tentador con un esfuerzo mínimo, ya que operan desde su casa controlando la red de zombies en cuestión de minutos. Según rumores de destacados expertos en seguridad de todo el mundo, el sueldo mensual promedio de un botmaster (así es como se llaman los operadores de una botnet) ronda los 6500 dólares.

¿CÓMO SE PROPAGAN LAS BOTNETS?

Ejecutan de manera autónoma ciertas funciones principales más las que su desarrollador pueda ir dictándole remotamente, generalmente vía el protocolo IRC (el mismo usado en las salas de chat) y más recientemente mediante HTTP. En otros entornos como BSD, UNIX o GNU/Linux, el método más utilizado de ataque a servidores para expandirse y funcionar es mediante los protocolos telnet o SSH, basándose en la prueba y error: intentando loguear usuarios de uso común y contraseñas al azar contra todas las direcciones IP que se pueda de forma sistemática o bien mediante ataques a vulnerabilidades conocidas que no han sido parcheadas, por descuido, en los sistemas.

En sistemas Windows, la forma más común de expansión de estos bots que integran la botnet, suele ser mediante uso de cracks o parches para hacer funcionar aplicaciones comerciales de manera completa sin pagar por su licencia de uso. Estas pequeñas aplicaciones suelen tener el código malicioso que al lanzar el ejecutable, escanea la red local y los discos duros para infectar otros archivos, pudiendo propagarse mediante vulnerabilidades conocidas de Windows.

¿QUÉ HACEN LAS BOTNETS?

Sus objetivos, habitualmente, son poco éticos. Básicamente los bots contienen instrucciones previamente programadas por un hacker, que le indica cómo propagarse e instalarse en la mayor cantidad posible de equipos vulnerables al ataque. De ahí en más y una vez que se ha creado una cantidad aceptable para el atacante, los bots quedan a la espera de las órdenes remotas de su creador, las cuales pueden ser de las más variadas: envío de correo no deseado desde los mismos bots, generar ataques de DDoS (Distributed Denial Of Service) hacia determinado host, robo de información sensible (números de cuentas bancarias y su clave, números de tarjetas de crédito, etc.).

Por ejemplo, veamos cómo es la secuencia de acción de una botnet diseñada para el envío de SPAM (la actividad principal actualmente de toda botnet):

El desarrollador de la botnet envía troyanos y virus a sus víctimas. Logra una determinada cantidad de equipos infectados que lo deja conforme. Mediante turbias salas de chat, los spammers compran el acceso a esa botnet a su operador/diseñador. Una vez efectuado el pago o depósito, el spammer recibe las instrucciones para enviar las propias a esos bots alojados en los equipos remotos que fueron infectados. Estas computadoras, de usuarios comunes, comienzan a enviar e-mails no solicitados, sin que sus dueños siquiera lo noten.

Otra finalidad habitual de las botnets es la de descargar archivos que ocupan gran espacio en disco (generalmente películas pirateadas) y consumen gran cantidad de ancho de banda. Por último, se las crea para efectuar ataques DDoS.

LOS BOTMASTERS HABLAN

En numerosos sitios web relacionados con la seguridad informática, se han publicado entrevistas a dos botmasters de 21 años de edad, que viven en el Líbano y se conocieron por chat.

Ambos infectan miles de computadoras de todo el mundo y aseguran que lo hacen principalmente por diversión: «tenemos bajo control estable miles de computadoras, pero la mayoría ni las usamos; los asalté para demostrar mi poder» y agregan «la policía no puede hacerme nada si no lo hago por dinero y, además, no tienen idea de lo que tengo».

Actualmente son muy pocos los botmasters que están en la cárcel por estos delitos. Acostumbran esconder sus lugares de residencia reales saltando a través de otras PCs infectadas. Así, la dirección IP que impacta en los análisis es la de alguno de esos equipos y no la del propio.

Estos operadores pueden trabajar en organización o en forma particular. En este último caso, venden o alquilan sus redes de bots a empresas que desean mandar correo basura, bombardear o espiar a otras empresas, o bien, robar información bancaria.

Un español experto en seguridad informática, llamado Bernardo Quintero, asegura que «un botmaster que se dedique a mandar spam gana entre 50000 y 100000 dólares al año».

Además pueden llegar a vender o alquilar sus conjuntos de sitios web o equipos infectados o programas para crear botnets a otros que quieran reforzar o construir la suya.

El costo de un bot (en el mercado negro) es de unos 1000 dólares si es indetectable para los antivirus y 3000 o más, para los mejor diseñados. Existen además, best-sellers como ZeuS, que permite crear una botnet personalizada.

Llegó a existir una botnet con más de 11000 sitios web comprometidos y cada usuario de Windows que visitaba esos sitios con un navegador web desactualizado quedaba automáticamente infectado. ¿El resultado? En dos días esa red de bots trepó a 90.000 equipos conformándola.

El botmaster observa todo lo que sucede desde su panel de comandos. Puede ver, en tiempo real, los equipos que pasan a formar parte de la botnet, los que salen porque sus dueños los han desinfectado, estadísticas geográficas, sistemas operativos, etc. A través del mismo panel, el botmaster envía órdenes a los equipos zombie.

¿QUÉ HACER SI SOMOS VÍCTIMAS?

En caso de estar bajo los efectos de un ataque de este tipo, depende de qué acciones realice el bot integrante de la botnet. Por ejemplo, si poseemos un sitio web que está siendo atacado por una red de bots, dada la dispersión geográfica de los equipos que la componen, es imposible encontrar un patrón de PCs que estén atacándonos y dada la gran cantidad de equipos infectados que atacan al mismo tiempo, se torna dificultoso el filtrado de paquetes como solución. Sin embargo, realizar un análisis pasivo de paquetes para adaptar la configuración del firewall puede ayudar a reducir el problema.

Las botnets suelen usar servicios de DDNS gratuitos, como No-IP.com o DynDns.org para dirigirse a un dominio que el creador pueda conectarse en caso que se cierre el servidor de IRC mediante el cual opera. Basta con sospechar que nuestra PC está infectada para realizar un análisis del tráfico entrante/saliente con algún software analizador de protocolo TCP/IP y avisar a los mencionados proveedores de servicios DNS para que cancelen las cuentas, pudiendo llegar a desbaratar la botnet entera. Sin embargo, algunas botnets se basan en un diseño más refinado y cuentan con una lista de servidores DNS alternativos, para evitar depender de uno solo.

¿CÓMO PREVENIRSE?

Los consejos con respecto a evitar infecciones y los efectos de un ataque de bots o botnets, suelen ser similares a los de cualquier otro tipo de malware:

* Instalar un antivirus como Eset NOD32 4.0 o, mejor aún, un paquete de antivirus más firewall, como Eset SmartSecurity 4.0.
* Limitar los permisos de usuario al permanecer online.
* Utilizar un navegador web seguro, como Mozilla Firefox. Actualizarlo permanentemente y configurarlo para incrementar la seguridad.
* No abrir archivos adjuntos precipitadamente.
* Actualizar Windows mediante Windows Update en forma periódica.