Así funciona una botnet o red de ordenadores zombie

Al pensar en una botnet, es útil visualizarla como un ejército de dispositivos conectados. La comparación con un ejército es porque las botnets son una colección de dispositivos individuales que trabajan juntos como una sola unidad. Estos «ejércitos» pueden estar formados por PC, dispositivos móviles, servidores y dispositivos IoT. En este artículo, discutiremos de qué son capaces estos ejércitos y cómo se utilizan habitualmente. También explicaremos cómo las botnets y los ciberdelincuentes pueden llevar a cabo ataques DDoS, los ataques de botnet más “famosos” y cómo disminuir el potencial de estos ataques.

¿Qué es una botnet?

Las botnets son redes de computadoras comprometidas que son supervisadas por un canal de comando y control (C&C). La persona que opera la infraestructura de comando y control, el administrador de bots o botmaster, usa las computadoras comprometidas, o bots, para lanzar ataques diseñados para bloquear la red de un objetivo, inyectar malware, recolectar credenciales o ejecutar tareas intensivas en la CPU.

Los bots son procesos automatizados diseñados para infectar el dispositivo de una víctima y conectarlo de nuevo a un sistema central llamado botnet.

Una botnet es una forma de malware que involucra una red interconectada de computadoras pirateadas que conducen a una computadora centralizada controlada por un ciberdelincuente, que luego puede implementar fácilmente ciberataques en toda la red.

Una vez que las botnets establecen una red de dispositivos conectados e infectados, pueden enviar ataques amplios «basados en control remoto» a toda su red. Las botnets son peligrosas porque permiten a un ciberdelincuente automatizar ciberataques generalizados que cubren desde miles hasta millones de dispositivos con facilidad.

Componentes

Una red de ordenadores zombie consta de cuatro componentes clave:

Un botmaster o bot herder (botnet herder) es el hacker que organiza los ataques de botnet.
Un servidor de comando y control (C&C) es la computadora central que los ciberdelincuentes utilizan para comunicarse con todos los demás dispositivos infectados. Ten en cuenta que no todas las botnets utilizan servidores C&C (por ejemplo, botnets de topología aleatoria). En su lugar, crean redes de bots de igual a igual para transmitir los datos.
El código de bot es el caballo de Troya diseñado para ataques de botnet. También se denominan malware de botnet.
Los hosts de botnet, bots o dispositivos zombies son los dispositivos infectados con malware de botnet. Los botmasters usan dispositivos conectados a Internet como hosts de botnet.

¿Cómo se forman las redes de ordenadores zombie?

Debemos diferenciar tres fases principales para crear una botnet y para explicar cómo funciona la botnet.

Reclutamiento de nuevos anfitriones para unirse al ejército de botnets

Un requisito previo de un ataque de botnet es asegurarse de tener suficientes hosts infectados operando en el mismo servidor C&C. Un botmaster suele infectar nuevos dispositivos mediante los siguientes métodos comunes de inserción de malware:

Correos electrónicos de suplantación de identidad: el atacante envía a sus objetivos correos electrónicos de suplantación de identidad haciéndose pasar por empresas legítimas, reclutadores, equipos de soporte técnico, empleadores, colegas, etc. Estos correos electrónicos contienen archivos adjuntos maliciosos, macros o enlaces para redirigir a los usuarios a un sitio web no deseado. Cuando los usuarios descargan archivos adjuntos infectados o hacen clic en los enlaces maliciosos en los correos electrónicos, el malware de la botnet puede instalarse automáticamente en las computadoras de los usuarios.
Sitios web maliciosos: algunos sitios web ocultan malware en imágenes, videos, canciones, presentaciones de diapositivas, archivos, software y anuncios. Los enlaces y botones también pueden estar infectados con malware. Siempre que los usuarios visitan estos sitios y descargan archivos multimedia infectados o hacen clic en enlaces corruptos, el troyano botnet infecta sus computadoras o dispositivos.
Explotaciones de vulnerabilidad: el botmaster escanea Internet en busca de dispositivos conectados que tengan vulnerabilidades conocidas. Explotan estas vulnerabilidades para insertar malware en los dispositivos. Una vez que un dispositivo se infecta con un troyano botnet, también busca otros dispositivos vulnerables para infectar y hacer que se unan a la misma red botnet.

Establecimiento de comunicación entre el dispositivo anfitrión y el bot

Para establecer la comunicación interna en una botnet, el botmaster crea una de estas dos rutas.

Red cliente-servidor

Aquí, todos los hosts (clientes) infectados reciben comandos de un único servidor central y lo informan. En algunos casos, el atacante utilizará una red de Internet Relay Chat (IRC) para comunicarse. Esto significa que todos los clientes comprometidos deben conocer el servidor, el puerto y el canal de IRC correctos para conectarse para comunicarse con el servidor maestro.

A veces, el pastor de bots utiliza un sitio web (nombre de dominio o dirección IP) como punto central de contacto. Cuando los bots infectados acceden al sitio web, obtienen acceso a una lista de comandos para ejecutar. Operar el sitio web es mucho más fácil que la red IRC, especialmente cuando hay un gran número de bots cliente. Además, toda la botnet puede beneficiarse de un canal HTTPS cifrado para ocultar su comunicación.

La desventaja de utilizar este método para los ciberdelincuentes es que si el sitio de alojamiento descubre una actividad inusual, pueden eliminar instantáneamente dicho sitio web. Luego, el hacker tiene que crear un punto de contacto centralizado en la red para su botnet.

Red de botnets punto a punto

Este es un canal más avanzado. Aquí, los bots no reciben comandos a través de un servidor C&C centralizado; más bien, transmiten los comandos que reciben a otros bots directamente. El gobierno y los investigadores de ciberseguridad enfrentan muchos desafíos cuando intentan detectar redes P2P porque con frecuencia están descentralizadas. Es un desafío porque no pueden apuntar, monitorizar y eliminar ningún servidor en particular porque los bots no se comunican con ningún servidor C&C centralizado.

Los bots a veces también usan infraestructura de clave pública. El componente de firma digital dificulta la detección e interceptación de redes peer-to-peer para los investigadores de seguridad. La firma digital implica el uso de encriptación asimétrica que involucra dos claves: una pública y otra privada.

Claves asimétricas: aquí, el atacante inserta una clave pública en el malware que infecta los dispositivos zombies. Para evitar el secuestro de la botnet, el atacante firma todos los comandos con las claves privadas correspondientes antes de distribuirlos a la botnet. Los bots autentican los comandos usando la clave pública para asegurarse de que los comandos provengan únicamente del botmaster.

Claves simétricas: en algunas redes de bots P2P, cada bot genera su propia clave simétrica y otros bots pueden usarla para transferir información entre ellos. Por lo tanto, tanto el botmaster como otros bots utilizan la clave simétrica para transmitir la información a otros bots. En este escenario, ningún otro cliente puede unirse a la red de igual a igual sin una clave privada correspondiente.

Uso de software malicioso de botnet para ataques cibernéticos

Cuando los perpetradores reclutan una gran cantidad de dispositivos infectados bajo el paraguas de una botnet, pueden usarlos para ejecutar varios tipos de ataques de botnet.

Dentro de los ataques realizados por una botnet están los ataques DDoS, Fuerza bruta, robo de datos, difusión de malware, minería de criptomonedas o tráfico falso.

¿Para qué se usan las botnets?

Los principales usos de una botnet son los siguientes.

Ataques distribuidos de denegación de servicio (DDoS)

Estar comprometido en un ataque DDoS mediante el uso de una botnet es una de las 7 principales amenazas a la seguridad de la información.

En un ataque DDoS, todos los bots visitan un sitio web específico y lo bombardean con numerosas solicitudes simultáneamente. Debido al tráfico pesado inesperado o al flujo de reenvío de paquetes, el ancho de banda del sitio web comienza a agotarse y el sitio web se vuelve lento o deja de responder en absoluto.

Los ataques DDoS exitosos interrumpen los servicios y hacen que los sitios web no estén disponibles para los usuarios legítimos. Algunas redes de bots populares para ataques DDoS son Nitol, AgoBot, Cyclone, SDBot, Cutwail y PhatBot.

Ataques de fuerza bruta

Una botnet puede ejecutar un ataque de fuerza bruta exitoso en el sitio web incluso si el webmaster ha habilitado la función de intentos de inicio de sesión limitados. En un ataque de fuerza bruta promedio, un atacante usa una lista preconfigurada de valores (ID de usuario y contraseñas) para intentar adivinar las credenciales de inicio de sesión. Utilizarán este proceso para probar diferentes combinaciones una por una en las páginas de inicio de sesión hasta que obtengan acceso al sistema.

Los atacantes utilizan con frecuencia scripts para automatizar este proceso. Pero los sitios web pueden prevenir fácilmente los ataques de fuerza bruta limitando los intentos de inicio de sesión por dirección IP. Las páginas de inicio de sesión se congelan para cualquier dirección IP individual después de un número específico de intentos fallidos de inicio de sesión.

En los ataques de fuerza bruta de botnet, los bots reciben una lista de sitios web (o direcciones IP) y algunos pares de nombres de usuario y contraseñas (generalmente menos de tres) del botmaster para cada dirección IP. Los bots intentan autenticar el conjunto de credenciales dado en la IP designada. Si tiene éxito, informa al servidor de C&C. De lo contrario, continúa su viaje a otras direcciones IP.

Robo de datos

Otro beneficio de utilizar una botnet es que permite a los ciberdelincuentes robar información confidencial de sus dispositivos host. Los troyanos instalados en los dispositivos host para los ataques de botnet pueden hacer cualquiera o todas las siguientes acciones y enviar la información al botmaster:

Seguimiento de todas las actividades de los usuarios,
Registra la información almacenada en las computadoras host,
Supervisa las transacciones en línea de los usuarios.
Utiliza el registro de pulsaciones de teclas para registrar la actividad del teclado de los usuarios y
Utiliza la captura de formularios (también conocida como formjacking) para robar las credenciales de inicio de sesión de los formularios en línea.

Un botmaster puede robar y hacer un uso indebido de una variedad de información de los usuarios para cometer fraude financiero o de identidad, que incluyen:

Nombres y apellidos
Números de tarjetas de crédito o débito
ID de usuario y contraseñas
Correos electrónicos
Direcciones físicas

Los ataques de botnet también se utilizan para robar información confidencial relacionada con el gobierno, la política o el ejército.

Difusión de malware

Una vez que un dispositivo se infecta, su malware autopropagado pasa a otros dispositivos para reclutar bots en la misma red. Un ejemplo de esto es cuando, el dispositivo infectado envía enlaces cargados de malware, archivos adjuntos y correos electrónicos de phishing a los contactos de las redes sociales / directorio telefónico del anfitrión y las listas de contactos de correo electrónico, sin el conocimiento del usuario. También corrompen los otros dispositivos conectados.

Por ejemplo, si una computadora portátil se infecta con un troyano botnet, propaga el código malicioso a todos los demás dispositivos de IoT que se le conecten, como una impresora, un enrutador Wi-Fi, una unidad USB e incluso un teléfono móvil y una cámara CCTV que tenga conectado con la computadora portátil infectada a través de Bluetooth o cable USB .

Minería de criptomonedas

Aquí, las botnets están programadas para minar la criptomoneda seleccionada. El botmaster usa el poder de cálculo acumulativo de miles de computadoras simultáneamente. Por lo tanto, el resultado puede ser más rápido y el botmaster puede robar más criptomonedas. Algunas redes de bots populares para la minería de criptomonedas son Smominru, Adylkuzz, Bondnet, PyCryptoMiner.

Tráfico falso

Los bots infectados deben visitar un sitio web para generar más tráfico y hacer clic en los anuncios para obtener más dinero del modelo de publicidad de ingresos por clic (RPC). Se llama fraudes por clic.

¿Qué problemas causan en el equipo del usuario?

Una vez que un dispositivo es pirateado, se infecta con una cepa particular de malware que se puede utilizar para volver a conectar el dispositivo al servidor central de la botnet. Una vez que todos los dispositivos dentro de una red de bots están conectados de nuevo al creador, pueden comenzar a implementar comandos y ejecutar ataques.

Cuando se configura una botnet, puede:

Monitorizar las actividades en línea del usuario final
Robar los datos personales del usuario final
Buscar vulnerabilidades en otros dispositivos
Leer y escribir datos del sistema
Instalar y ejecutar aplicaciones

Ejemplos de botnets

Hay cientos de tipos de botnets. Estas son algunas redes de bots populares que se utilizan con más frecuencia para los perpetradores.

Mirai

La botnet Mirai, que utiliza malware Mirai, se dirige a servidores basados en Linux y dispositivos IoT como enrutadores, DVR y cámaras IP. Mirai usa el canal encriptado para comunicarse con los hosts y se borra automáticamente después de que se ejecuta el malware. De ahí por qué es difícil de detectar para las organizaciones.

Los operadores de botnet Mirai lo utilizan principalmente para ataques DDoS y minería de criptomonedas (criptominería). Se ha dirigido a algunas de las organizaciones populares como GitHub, Twitter, Reddit, Netflix, Airbnb, Krebs on Security y la Universidad de Rutgers..

Dridex

Dridex es un troyano bancario que utiliza un sistema de afiliados para sus redes de bots.

La operación de Dridex está segregada en las principales redes de bots que utilizan una infraestructura de comando y control (C2) diferente, pero comparten el mismo diseño y arquitectura de red conceptual. Luego, cada botnet importante se segrega en pequeñas botnets lógicas que comparten la misma infraestructura C2. Cada botnet se identifica mediante un ID de botnet.

El objetivo primordial de este malware es robar información bancaria de los usuarios de máquinas infectadas para inmediatamente lanzar transacciones fraudulentas. Para obtener la información bancaria el malware instala un escucha de teclado y realiza ataques de tipo inyección web. Durante 2015, las pérdidas por causadas por este malware fueron estimadas en 20 millones de libras en el Reino Unido y en 10 millones de dólares en Estados Unidos.

Bredolab

La botnet Bredolab, también conocida por su alias Oficla, era una botnet rusa involucrada principalmente en spam de correo electrónico viral. Antes de que la botnet fuera finalmente desmantelada en noviembre de 2010 mediante la incautación de sus servidores de comando y control, se estimaba que consistía en millones de computadoras zombies.

La principal forma de propagación de Bredonet era mediante el envío de correos electrónicos maliciosos que incluían archivos adjuntos de malware que infectarían una computadora cuando se abrieran, convirtiendo efectivamente la computadora en otro zombi controlado por la botnet. En su apogeo, la botnet era capaz de enviar 3.600 millones de correos electrónicos infectados todos los días.

La otra forma principal de propagación fue mediante el uso de descargas no autorizadas, un método que aprovecha las vulnerabilidades de seguridad en el software. Este método permitió a la botnet evitar la protección del software para facilitar las descargas sin que el usuario se diera cuenta.

Mariposa

Esta botnet fue descubierta en diciembre de 2008 y sus principales técnicas de ataque se centraban en cyberscamming y ataques de tipo DoS. Para intentar llevar ante la justicia a los criminales que estaban detrás de esta red se creó el Mariposa Working Group,

Mariposa comenzó a construirse a través de un kit de malware conocido como Butterfly Bot. Este kit puede adquirirse en la red por un valor aproximado de entre 500 y 1.000 euros y permite a cibercriminales con escasos conocimientos crear botnets con más de 700 zombis.

Después de recopilar información sobre la red y localizar los diferentes paneles de control desde donde los criminales mandaban instrucciones a los dispositivos, se pudo saber cuáles eran las principales actividades delictivas que se llevaban a cabo a través de Mariposa:

Robo de credenciales de los equipos infectados
Spam mediante email
Modificación de resultados de búsquedas, redireccionando a los usuarios a anuncios que hacían ganar dinero a los criminales.

Prevención ante una botnet

Para saber cómo prevenir ataques de botnets, debes tener en cuenta dos cuestiones fundamentales.

Protege tus dispositivos para que no se infecten con los troyanos de botnets:
- Actualizaciones de software: actualiza periódicamente todo el software a la última versión.
- Correos electrónicos de phishing: ten cuidado con los correos electrónicos de phishing. Asegúrate de que la dirección de correo electrónico del remitente pertenezca a la empresa que dice ser.
- Descargas en línea: evita descargar archivos adjuntos o hacer clic en los enlaces de los correos electrónicos si el correo electrónico es de un remitente desconocido. Ten cuidado al descargar software, imágenes, videos, canciones, etc. de sitios desconocidos. Escanea todo con una solución antivirus confiable antes de descargarlos.
- Software de seguridad: instala robustos anti-malware, anti-spyware y firewalls en tus dispositivos.
- Comprobación manual de carpetas: comprueba periódicamente las carpetas C: / Program File y C: / Program Files (x86). Cuando veas algún programa desconocido, búscalo en Internet. Si no es de un editor de confianza, elimínalo de tu ubicación original y también de la papelera de reciclaje.
Si eres propietario de un sitio web, debes proteger tu sitio web para que no sea el objetivo de varios tipos de ataques de botnets. Estas son algunas de las formas en que puedes hacerlo:
- Limita el acceso y los intentos de inicio de sesión: para los ataques de fuerza bruta, es posible que no sea suficiente habilitar la función de intentos de inicio de sesión limitados. Establecer un método de verificación de dos o múltiples factores, en el que los usuarios reciben un código secreto o contraseña de un solo uso (OTP) en sus móviles a través de SMS o llamadas de voz automatizadas.
- Usa firewalls: implementa un firewall de aplicaciones web (WAF) en tu servidor.
- Implementa herramientas de protección DDoS: para reducir los efectos de los ataques DDoS, usa herramientas para monitorizar y controlar el tráfico que llega a tu sitio web o aplicación.
- Utiliza soluciones de software que tengan la capacidad de prevenir ataques de botnet. Estos tipos de software tienen la capacidad de monitorizar, detectar amenazas de redes de bots y romper la interacción entre los bots y el servidor de C&C.

¿Cómo saber si has sido infectado?

Al igual que otras variedades de malware, el tipo que convierte un dispositivo conectado a Internet en un nodo de botnet está diseñado para ser lo más imperceptible posible. Los usuarios que notan algo extraño en su computadora, teléfono inteligente o dispositivo de IoT pueden sospechar, y eso significa que la botnet podría perder un nodo valioso.

Eso no significa que no se dejen rastros. Las botnets utilizan los recursos informáticos de otras personas para realizar sus tareas, lo que significa que las señales reveladoras son visibles si sabe qué buscar.

Algunos síntomas de infección con botnets son:

Está funcionando el ventilador de tu computadora mientras está inactiva
Problemas para apagar la computadora
Publicaciones misteriosas en las redes sociales de tus cuentas
Tu máquina funciona lentamente
No puedes descargar actualizaciones del sistema ni del antivirus
El acceso a Internet es muy lento
Tus contactos reciben emails sospechosos tuyos
Aparecen ventanas emergentes en momentos aleatorios, incluso cuando no estás en línea
Se están ejecutando nombres de programas irreconocibles en el Administrador de tareas.

Cómo sacar tu equipo de una botnet

Además de comprender qué es un ataque de botnet, es importante saber cómo detenerlos. Debido a que las botnets pueden infectar tantos dispositivos y estar dispersas en muchos dispositivos, es difícil acabar con una red existente de botnets con un solo enfoque. La mejor manera es apuntar a aspectos específicos del funcionamiento de la botnet y los dispositivos individuales, y proteger todas las facetas de tu red que podrían ser atacadas por botnets.

Hay varias formas de abordar un problema de botnet. Deshabilitar los centros de control de una botnet implica cortar la «cabeza» de la botnet, mientras que la eliminación de la infección se centra en abordar los dispositivos individuales comprometidos. También puede limitar el tipo de código de terceros que se puede ejecutar en sus dispositivos, lo que evita que el código peligroso se establezca en primer lugar.

Además, monitorizar los datos a medida que ingresan y salen de los dispositivos puede detectar botnets cuando intentan invadir sus computadoras o aquellas conectadas a ellas. Finalmente, siempre es una buena idea usar contraseñas más seguras para evitar que los invasores accedan a su sistema a través de dispositivos débilmente protegidos.

Herramientas anti-botnets

Una forma más efectiva de detectar una infección por bot es analizando el comportamiento de la computadora y aquí tienes una serie de herramientas que lo hacen.

DE-Cleaner desarrollado por Avira

DE-Cleaner es un servicio gratuito iniciado por la Asociación de la Industria Alemana de Internet para aumentar la conciencia de que la computadora del usuario es parte de las redes de bots. El sitio web oficial contiene información que explica las redes de bots, cómo se infecta, etc.

Dos reconocidas empresas de seguridad que crean uno de los software antivirus más populares, Avira y Kaspersky, han participado en este proyecto, ofreciendo herramientas de análisis gratuitas para detectar y eliminar software malicioso. incluido el malware bot.

El instalador de Avira DE-Cleaner requiere una conexión a Internet para descargar el programa y los archivos de patrones más recientes.

RuBotted

Es una herramienta gratuita de monitorización de infecciones de bots creada por Trend Micro que es muy fácil de usar sin necesidad de configuración o conocimientos. Simplemente descarga, instala y permite que el programa se ejecute automáticamente durante el inicio de Windows, que se ubicará en silencio en el área de notificación que monitoriza tu sistema Windows.

Cuando se encuentra una infección, RuBotted usa otra de sus herramientas gratuitas llamada HouseCall para limpiar el malware del bot. Además de monitorizar archivos en busca de comportamientos sospechosos similares a bot, RuBotted también trabaja con su tecnología basada en la nube llamada Smart Protection Network para detectar más a fondo botnets conocidas y desconocidas.

Mirage Anti-Bot

Usa el archivo HOSTS de Windows para evitar que conectes los servidores de comando y control conocidos. La lista de URL incorrectas conocidas se descarga de abuse.ch que rastrea los servidores ZeuS, SpyEye y Palevo C&C. Aparte de eso, PhrozenSoft también tiene su propia base de datos global y también puede agregar un nuevo host personalizado.

Mirage Anti-Bot actualizará automáticamente la lista de bloqueo, pero también puede forzar manualmente una verificación de actualización haciendo clic en el botón Actualizar.

Bot Revolt

Afirma ser un software de consumo anti-botnet que protege tu computadora de virus, bots y piratas informáticos. Pero Bot Revolt simplemente hace exactamente lo mismo que PeerBlock, que bloquea las direcciones IP incorrectas conocidas de acuerdo con categorías como gobiernos, corporaciones, máquinas anti-P2P y países. Su lista de direcciones IP se compila a partir de algunas fuentes, como spamcop, i-blocklist, spamhaus, blocklistpro y afirma que bloquea más de mil millones de direcciones IP.

Siempre que tu computadora reciba un paquete, Bot Revolt verifica la fuente del paquete entrante con su lista de bloqueo y automáticamente permitirá o bloqueará el paquete según la configuración.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.