¿Qué es una botnet y cómo evitar que tu computadora sea parte de una?Uno de mis términos de seguridad cibernética favoritos es “botnet”. Evoca todo tipo de imágenes: robots interconectados, legiones de trabajadores conectados en red simultáneamente apuntando hacia un objetivo único. Curiosamente, la imagen que evoca la palabra es similar a lo que es una botnet, al menos en términos indirectos.
Las botnets representan una gran cantidad de poder de cómputo en todo el mundo. Y ese poder es regularmente (quizás incluso consistentemente) la fuente de malware, ransomware, spam y más. Pero, ¿cómo nacen las botnets? ¿Quién las controla? ¿Y cómo podemos detenerlas?
¿Qué es una botnet?La definición de botnet de SearchSecurity afirma que “una botnet es una colección de dispositivos conectados a Internet, que pueden incluir PC, servidores, dispositivos móviles e Internet de las cosas que están infectados y controlados por un tipo común de malware”. Los usuarios a menudo desconocen que una botnet infecta su sistema.
que es botnet en seguridad informatica
La última oración de la definición es clave. Los dispositivos dentro de una botnet generalmente no están ahí voluntariamente. Los dispositivos infectados con ciertas variantes de malware están controlados por actores de amenazas remotas, también conocidos como ciberdelincuentes. El malware oculta las actividades de botnet maliciosas en el dispositivo, haciendo que el propietario desconozca su rol en la red. Podrías estar enviando miles de miles de correos spam.
Como tal, a menudo nos referimos a los dispositivos de botnet infectados como “zombies”.
¿Qué hace una botnet?Una botnet tiene varias funciones comunes dependiendo del deseo del operador de botnet:
Spam: envío de grandes cantidades de correo no deseado en todo el mundo. Por ejemplo, la cantidad promedio de spam en el tráfico global de correo electrónico entre enero y septiembre fue del 56.69%. Cuando la firma de investigación de seguridad FireEye detuvo temporalmente la notoria botnet Srizbi después de que el infame hosting de McColo se desconectara, el spam global disminuyó en gran cantidad (y de hecho, cuando finalmente se desconectó, el spam global disminuyó temporalmente en un 50%).
Malware: entrega de malware y spyware a máquinas vulnerables. Los delincuentes compran y venden recursos de Botnet para promover sus empresas delictivas.
Datos: captura de contraseñas y otra información privada. Esto se relaciona con lo anterior.
Fraude de clics: un dispositivo infectado visita sitios web para generar tráfico web falso e impresiones publicitarias.
Bitcoin: los controladores de botnet dirigen dispositivos infectados para minar Bitcoin y otras criptomonedas para generar ganancias en silencio.
DDoS: los operadores de botnet dirigen el poder de los dispositivos infectados hacia objetivos específicos, llevándolos a estar fuera de línea en ataques de denegación distribuida de servicio.
Los operadores de botnet generalmente convierten sus redes en varias de estas funciones para generar ganancias. Por ejemplo, los operadores de botnets que envían spam médico a ciudadanos estadounidenses también son dueños de las farmacias que entregan los productos. (Oh, sí, hay productos reales al final del correo electrónico.
Los principales botnets han cambiado ligeramente de dirección en los últimos años. Mientras que los tipos médicos y otros similares de correo no deseado fueron extremadamente rentables durante mucho tiempo, las medidas enérgicas del gobierno en varios países erosionaron las ganancias. Como tal, el número de correos electrónicos que contienen un archivo adjunto malicioso aumentó a uno de cada 359 correos electrónicos, según el informe de inteligencia de Symantec de julio de 2017.
¿Qué aspecto tiene una botnet?Sabemos que una botnet es una red de computadoras infectadas. Sin embargo, los componentes básicos y la arquitectura real de las botnets son interesantes de considerar.
ArquitecturaHay dos arquitecturas de botnet principales:
Modelo cliente-servidor: una botnet cliente-servidor generalmente utiliza un cliente de chat (anteriormente IRC, pero las botnets modernas han utilizado Telegram y otros servicios de mensajería cifrados), dominio o sitio web para comunicarse con la red. El operador envía un mensaje al servidor, retransmitiéndolo a los clientes, que ejecutan el comando. Aunque la infraestructura de la botnet difiere de básica a muy compleja, un esfuerzo concentrado puede desactivar una botnet cliente-servidor.
Peer-to-Peer: una botnet punto a punto (P2P) intenta detener los programas de seguridad y los investigadores que identifican servidores C2 específicos mediante la creación de una red descentralizada. Una red P2P es más avanzada, en cierto modo, que un modelo cliente-servidor. Además, su arquitectura difiere de lo que la mayoría imagina. En lugar de una única red de dispositivos infectados interconectados que se comunican a través de direcciones IP, los operadores prefieren usar dispositivos zombis conectados a nodos, a su vez, conectados entre sí y al servidor de comunicación principal. La idea es que simplemente hay demasiados nodos interconectados pero separados para eliminarlos simultáneamente.
Comando y control
Los protocolos de comando y control (a veces escritos C&C o C2) tienen varias formas:Telnet: las redes de bots de Telnet son relativamente simples, y utilizan una secuencia de comandos para analizar los intervalos de IP para los inicios de sesión de los servidores telnet y SSH predeterminados a fin de agregar dispositivos vulnerables para agregar bots.
IRC: las redes IRC ofrecen un método de comunicación de ancho de banda extremadamente bajo para el protocolo C2. La capacidad de cambiar rápidamente de canal otorga cierta seguridad adicional para los operadores de botnet, pero también significa que los clientes infectados se desconectan fácilmente de la red de bots si no reciben información de canal actualizada. El tráfico de IRC es relativamente fácil de examinar y aislar, lo que significa que muchos operadores se han alejado de este método.
Dominios: algunas botnets grandes usan dominios en lugar de un cliente de mensajería para su control. Los dispositivos infectados acceden a un dominio específico que sirve una lista de comandos de control, permitiendo cambios y actualizaciones fácilmente sobre la marcha. El inconveniente es el enorme requisito de ancho de banda para botnets grandes, así como la relativa facilidad con la que se cierran los dominios de control sospechosos. Algunos operadores utilizan el llamado host a prueba de balas para operar fuera de la jurisdicción de países con estricta ley penal de Internet.
P2P: un protocolo P2P generalmente implementa la firma digital usando encriptación asimétrica (una clave pública y una privada). Mientras que el operador tiene la clave privada, es extremadamente difícil (esencialmente imposible) para cualquier otra persona emitir comandos diferentes a la botnet. Del mismo modo, la falta de un solo servidor C2 definido hace que atacar y destruir un botnet P2P sea más difícil que sus contrapartes.
Otros: a lo largo de los años, hemos visto operadores botnet usar algunos canales de comando y control interesantes. Los que inmediatamente se me ocurren son los canales de redes sociales, como la botnet Twitoor de Android, controlada a través de Twitter, o la Mac.Backdoor.iWorm que explotó el subreddit de la lista de servidores de Minecraft para recuperar las direcciones IP de su red. Instagram no es seguro, tampoco. En 2017, Turla, un grupo de ciberespionaje con vínculos estrechos con la inteligencia rusa, estaba usando comentarios sobre fotos de Instagram de Britney Spears para almacenar la ubicación de un servidor C2 de distribución de malware.
Zombies
La pieza final del rompecabezas de botnet son los dispositivos infectados (es decir, los zombies).Los operadores de botnet buscan e infectan dispositivos vulnerables para expandir su poder operativo. Hemos enumerado los principales usos de botnet anteriores. Todas estas funciones requieren potencia de cálculo. Además, los operadores de botnet no siempre son amigables entre sí, lo que hace que la potencia de sus máquinas infectadas se relacione entre sí.
La gran mayoría de las veces los propietarios de dispositivos zombies no conocen su rol en la botnet. A veces, sin embargo, el malware botnet actúa como un conducto para otras variantes de malware.
Tipos de dispositivosLos dispositivos en red se están conectando a una velocidad sorprendente. Y las botnets no solo están en busca de una PC o Mac. Como leerás más adelante, los dispositivos de Internet de las cosas son tan susceptibles (si no más) a las variantes de malware de botnet. Especialmente si son buscados debido a su seguridad nefasta.
Los teléfonos inteligentes y las tabletas tampoco son seguros. Android ha visto varias botnets a lo largo de los últimos años. Android es un objetivo fácil: es de código abierto, tiene múltiples versiones de sistema operativo y numerosas vulnerabilidades en cualquier momento. No se regocijen tan rápido, usuarios de iOS. Ha habido un par de variantes de malware dirigidas a los dispositivos móviles de Apple, aunque generalmente se limitan a iPhones jailbreak con vulnerabilidades de seguridad.
Otro objetivo central del dispositivo de botnet es un enrutador vulnerable. Los enrutadores que ejecutan un firmware viejo e inseguro son objetivos fáciles para botnets, y muchos propietarios no se darán cuenta de que su portal de internet tiene una infección. Del mismo modo, una cantidad simplemente asombrosa de usuarios de Internet no puede cambiar la configuración predeterminada en sus enrutadores después de la instalación. Al igual que los dispositivos IoT, esto permite que el malware se propague a un ritmo vertiginoso, con poca resistencia en la infección de miles de dispositivos.
Desmontando una botnetDesmontar una botnet no es una tarea fácil, por varias razones. A veces, la arquitectura de botnet permite que un operador reconstruya rápidamente. En otras ocasiones, la botnet es simplemente demasiado grande para derribarla de un solo golpe. La mayoría de las eliminaciones de botnets requieren la coordinación entre investigadores de seguridad, agencias gubernamentales y otros hackers, a veces confiando en consejos o puertas traseras inesperadas.
Un problema importante que enfrentan los investigadores de seguridad es la relativa facilidad con la que los operadores de imitación inician operaciones utilizando el mismo malware.
GameOver ZeusVoy a usar la botnet GameOver Zeus (GOZ) como un ejemplo de eliminación. GOZ fue una de las botnets más recientes, que se cree que tiene más de un millón de dispositivos infectados en su punto máximo. El uso principal de la botnet fue el robo de dinero (distribución del ransomware CryptoLocker ) y el correo no deseado y, utilizando un sofisticado algoritmo de generación de dominio de punto a punto, parecía imparable.
Un algoritmo de generación de dominio permite a la botnet pregenerar largas listas de dominios para usar como “puntos de encuentro” para el malware botnet. Múltiples puntos de encuentro hacen que detener el contagio sea casi imposible, ya que solo los operadores conocen la lista de dominios.
En 2014, un equipo de investigadores de seguridad, trabajando en conjunto con el FBI y otras agencias internacionales, finalmente forzaron a GameOver Zeus a dejar de funcionar, en la Operación Tovar. No fue fácil. Después de notar las secuencias de registro de dominio, el equipo registró unos 150,000 dominios en los seis meses previos al inicio de la operación. Esto fue para bloquear cualquier registro de dominio futuro de los operadores de botnet.
A continuación, varios ISP dieron el control de operación de los nodos proxy de GOZ, utilizados por los operadores de botnet para comunicarse entre los servidores de comando y control y el botnet real. Elliot Peterson, el principal investigador del FBI en la Operación Tovar, dijo: “Pudimos convencer a los bots de que éramos buenos para hablar, pero todos los pares y servidores y supernodos controlados por los malos eran malos para hablar y deberían ser ignorado.”
El dueño del botnet Evgeniy Bogachev (alias en línea Slavik) se dio cuenta de del derribo después de una hora, e intentó luchar durante otras cuatro o cinco horas antes de “conceder” la derrota.
Posteriormente, los investigadores pudieron descifrar el notorio ransomware encriptado CryptoLocker, creando herramientas de descifrado gratuitas para las víctimas.
Las redes de IoT son diferentes
Las medidas para combatir GameOver Zeus fueron extensas pero necesarias. Ilustra que el gran poder de una botnet ingeniosamente elaborada exige un enfoque global para la mitigación, que requiere "tácticas legales y técnicas innovadoras con herramientas tradicionales de aplicación de la ley”, así como " relaciones de trabajo sólidas con expertos de la industria privada y homólogos en más de 10 países de todo el mundo”.
Pero no todas las botnets son iguales. Cuando una botnet llega a su fin, otro operador está aprendiendo de la destrucción.
En 2016, la botnet más grande y maligna fue Mirai. Antes de su derribo parcial, la red de bots Mirai basada en Internet de las Cosas golpeó a varios objetivos destacados con asombrosos ataques DDoS. Uno de estos ataques golpeó el blog del investigador de seguridad Brian Krebs con 620Gbps, forzando eventualmente a la protección DDoS de Krebs a dejarlo como cliente. Otro ataque en los días siguientes golpeó al proveedor francés de alojamiento en la nube OVH con 1.2Tbps en el ataque más grande jamás visto.
Aunque Mirai ni siquiera estaba cerca de ser la red zombi más grande jamás vista, produjo los ataques más grandes. Mirai hizo un uso devastador de las franjas de dispositivos IoT ridículamente inseguros, utilizando una lista de 62 contraseñas predeterminadas inseguras para combinar dispositivos (admin/admin fue el primero de la lista).
El investigador de seguridad Marcus Hutchins (también conocido como MalwareTech) explica que parte de la razón del enorme poder de Mirai es que la mayoría de los dispositivos de IoT están allí, sin hacer nada hasta que se usan. Eso significa que casi siempre están en línea, y casi siempre tienen recursos de red para compartir. Un operador de botnet tradicional analizaría sus períodos de máxima potencia y ataques de tiempo en consecuencia.
Por lo tanto, a medida que más dispositivos de IoT mal configurados se conecten, la posibilidad de explotación aumenta.
¿Cómo mantenerse a salvo?Aprendimos sobre lo que hace una botnet, cómo crecen y más. Pero, ¿cómo impedir que tu dispositivo se convierta en parte de una? Bueno, la primera respuesta es simple: actualiza tu sistema. Las actualizaciones periódicas solucionan los agujeros vulnerables en tu sistema operativo, lo que a su vez reduce las posibilidades de explotación.
El segundo es descargar y actualizar un programa antivirus y un programa antimalware también. Existen numerosas suites antivirus gratuitas que ofrecen una excelente protección de bajo impacto. Invierte en un programa antimalware, como Malwarebytes. Una suscripción Premium de Malwarebytes te brinda protección contra malware en tiempo real. Bien vale la pena la inversión, en mi opinión.
Finalmente, toma un poco de seguridad adicional del navegador. Los kits de exploits de Drive-by son una molestia, pero se pueden evitar fácilmente cuando se utiliza una extensión de bloqueo de scripts como uBlock Origin.