Documentos de Académico
Documentos de Profesional
Documentos de Cultura
x
im
a
P
ro
te
c
c
i
n
in
te
rm
e
d
ia
P
ro
te
c
c
i
n m
n
im
a
D
o
u
b
le
flu
x
S
in
g
le
flu
x
P
a
s
a
r
e
l
a
s
(
s
e
r
v
i
d
o
r
e
s
D
N
S
)
R
o
b
o
t
s
(
z
o
m
b
i
e
s
,
a
g
e
n
t
e
s
.
.
.
)
Operador
Lectura recomendada
Es interesante la lectura del
artculo Know Your
Enemy: Fast-Flux Service
Networks, An Ever
Changing Enemy, de los
autores del proyecto
Honeynet, donde se puede
ver la utilizacin de
FastFlux bsico y avanzado.
El artculo est disponible
en la siguiente direccin:
http://honeynet.org
/papers/ff/
Los cheros de conguracin de cada zona contendrn tambin el valor TTL
(tiempo de vida, del ingls, time-to-live) asociado con cada registro de direc-
cin. Dicho valor establece el tiempo (en general, en segundos) durante el cual
la asociacin es almacenada por el cliente en su memoria cach. Transcurri-
dos los TTL segundos, el cliente dar por caducada dicha asociacin y volver
a solicitar a su servidor de DNS que interrogue nuevamente a los servidores
raz la nueva direccin IP. Mediante la utilizacin de valores TTL pequeos,
los operadores asegurarn que todos los equipos de la botnet refresquen sus
enlaces de manera peridica. De nuevo, el objetivo nal es encontrar el me-
jor compromiso para que ningn punto de la red tenga dependencias directas
con nodos principales. En consecuencia, el descubrimiento de cualquier nodo
de la red elegido al azar supondr el mismo efecto para la botnet, aumentando
la robustez de la botnet contra una posible desarticulacin.
c
FUOC PID_00180828 32 Botnets
5. Modelo econmico asociado a las botnets
.
De modo muy breve, concluiremos este mdulo mostrando algunos detalles
sobre el modelo econmico que explica la existencia actual de los despliegues
de botnets. Este modelo es tambin clave para entender la progresiva evolu-
cin de estas redes hacia nuevas tcnicas que diculten las investigaciones
que tanto proveedores de servicios de Internet, como autoridades y fuerzas
policiales de distintos pases realizan a diario en su guerra particular contra las
organizaciones que promueven la existencia de las botnets (y a sus potenciales
clientes).
5.1. Primeras generaciones
Como ya hemos visto en los primeros apartados, las botnets iniciales se cons-
truyeron sobre esquemas muy bsicos, generalmente basados en un cdigo
ejecutado por parte de robots que contenan multitud de errores de progra-
macin (es decir, repletos de bugs software) y que presentaban facilidad de
deteccin y desarticulacin de los servidores C&C. Tambin, hemos visto que
el uso de arquitecturas centralizadas, comn en las primeras botnets, facilita-
ba el trabajo a investigaciones policiales con el objetivo de encontrar el origen
de los operadores y desarticular las botnets.
Los aos 2002 y 2003 fueron los aos de mayor auge de las botnets. En es-
pecial, con el despliegue de Gaobot y sucesores. Aunque su descubrimiento
y desarticulacin fue relativamente rpido, sientan las bases respecto a nue-
vos mtodos de reproduccin, bsqueda y explotacin de vulnerabilidades de
equipos poco protegidos (pero localizados en redes con grandes capacidades).
Estas tcnicas permitirn a sus operadores la expansin de actividades tpicas
de economas sumergidas del mundo real sobre el plano digital (a travs de
Internet). Estas primeras generaciones no se caracterizan por una alta calidad
de productos, sino por la fuerza potencial de sus recursos. Efectivamente, la
posibilidad de gestionar a distancia redes de ms de 65.000 robots permiten
recorrer con facilidad gran parte de los equipos conectados a Internet, gene-
rando por cada robot un volumen relativamente bajo de trco.
Las tendencias actuales se caracterizan por unos operadores de botnets cada
vez mejor formados, con amplios conocimientos en construccin de protoco-
los robustos y utilizacin de comunicaciones cifradas. De hecho, las botnets
esconden actualmente ingenieros con gran experiencia tanto en networking
como en seguridad. Estudios recientes muestran mejoras constantes de cana-
les C&C e incorporacin de tcnicas de anonimato para continuar dicultan-
do la deteccin y desarticulacin de robots y servidores asociados.
c
FUOC PID_00180828 33 Botnets
.
A medida que las tcnicas de deteccin de robots o servidores C&C
avanzan, los operadores de botnets tratan tambin de adoptar nuevas
medidas que diculten la deteccin de rmas o patrones que lideren la
desarticulacin de sus equipos.
Pero pasemos a repasar a continuacin, antes de concluir este mdulo, algunas
de las actividades principales que se esconden tras una botnet, as como las
previsiones de futuro que explican la mejora constante de las botnets.
5.2. Actividades asociadas a botnets actuales
Hemos destacado en el primer apartado de este mdulo que una de las prime-
ras actividades que dieron a conocer las botnets fue precisamente la ejecucin
de ataques. Ms concretamente, ataques de tipo DDoS. Se trata de ataques a
la disponibilidad de servicios ofrecidos por equipos o redes de terceros, que
desempearn el papel de vctimas de la botnet. El total, o un gran nme-
ro, de los robots de la botnet tratarn de consumir los recursos de las vctimas
de manera simultnea, anonimizando, adems, el origen real del ataque. En
efecto, los comandos y las peticiones originales del operador de la botnet pa-
sarn desapercibidos a ojos de la vctima y de las investigaciones posteriores
al ataque.
Tambin es conocido por todos el uso de las botnets para la puesta en prctica
de campaas de spamming para la diseminacin de anuncios deshonestos. Co-
mo la mayora de las amenazas a Internet, las campaas de spamming suelen
lanzarse desde botnets controladas por operadores annimos. Nuevamente,
los comandos y las peticiones originales por el operador pasarn desaperci-
bidas por las vctimas de estos ataques de venta ilcita de informacin, ga-
rantizando una diseminacin annima de productos en lnea, en busca de
compradores potenciales. Como en el caso anterior, los robots actan como
repetidores o pasarelas de los mensajes originales orquestados por los opera-
dores de la botnet.
Ved tambin
Para ms informacin sobre
vulnerabilidades web podis
ver el mdulo Ataques a
aplicaciones web.
Quiz, menos conocido por el pblico en general, es el uso de las botnets co-
mo lanzadera de diseminacin de cdigo malware para botnets ya existentes, o
para nuevas botnets que se estn an desplegando. De manera paralela a la di-
seminacin de mensajes considerados por las vctimas como spam, los robots
son utilizados con frecuencia para diseminar cdigo malware. El objetivo es
contaminar y continuar el despliegue de la misma botnet, o de terceras partes,
garantizando la existencia de bases de cdigo malware distribuido a lo largo de
Internet. Multitud de ataques relacionados con vulnerabilidades de servicios
web, tales como XSS, CSFR, phishing, etc., dependern en gran medida de la
existencia de botnets paralelas encargadas de garantizar el correcto despliegue
del cdigo nal de los ataques correspondientes.
c
FUOC PID_00180828 34 Botnets
Otro ejemplo, hasta hace poco desconocido por el pblico en general, es el
uso de botnets para espionaje, tanto de sectores pblicos y gubernamentales
como dentro de sectores privados (industrias de sectores como el del autom-
vil, el aeronutico y el de las nuevas tecnologas). Puesto que los robots de la
botnet suelen ser albergados en dichos sectores (pensemos en ordenadores o
equipos de sobremesa de trabajadores y ejecutivos asociados), es frecuente el
despliegue de ataques sobre vulnerabilidades de red que permitirn la ejecu-
cin de escuchas de red para recoger y reenviar a los operadores de la botnet
cualquier informacin que pase por dichos equipos sin la proteccin adecuada
(por ejemplo, sin capacidades de proteccin criptogrca).
Por ltimo, es importante tener tambin presente que las botnets son utili-
zadas actualmente para el almacenamiento y la distribucin de contenidos
audiovisuales. De hecho, la falta de madurez de un modelo econmico real
basado en la distribucin de contenidos audiovisuales a travs de Internet
abre a los operadores de botnets un nicho perfecto para almacenar y distribuir
contenidos audiovisuales obtenidos de manera ilcita. Se trata, por lo tanto,
del almacenamiento y de la distribucin de pelculas, series televisivas, libros
electrnicos y msica, sin el consentimiento de autores o instituciones que os-
tentan de manera legal el derecho de copia. Podramos incluir tambin en esta
categora la utilizacin de recursos para albergar servidores de juegos ilcitos,
tales como casinos en lnea y servicios de apuestas ilegales. El uso de sistemas
de cheros de gran capacidad por parte de los robots de una botnet, as como
el acceso a recursos de red con grandes anchos de banda y baja latencia, facili-
ta la distribucin de estos elementos y diculta las investigaciones posteriores
sobre el origen real de los equipos que albergan los cheros.
5.3. Perspectivas y garantas de mejoras continuas
Podemos armar que la poca en la que acionados de la informtica se dedi-
caban a programar cdigo malicioso por simple diversin, o para dar a conocer
sus habilidades tcnicas, ha terminado. Hoy en da, la programacin de cdi-
go para la construccin de botnets es un autntico negocio. Organizaciones
de todo tipo (gubernamentales, comerciales e incluso criminales) se dedican
a buscar y contratar a especialistas en la materia para que desarrollen nuevos
esquemas y estrategias.
.
En la actualidad, la motivacin principal de los operadores de una bot-
net suele ser de tipo econmica. A diferencia de actividades similares en
el mundo real, como por ejemplo el robo o atraco a personas o institu-
ciones fsicas, el robo de recursos electrnicos y su utilizacin con nes
deshonestos, adems de entraar muchos menos riesgos fsicos y jurdi-
cos, es automatizable y paralelizable. Una vez construida la red, dichos
recursos pueden ser alquilados a terceras partes. Estos ingresos econ-
micos explican la evolucin y mejora tcnica continua de los productos
asociados a las botnets actuales.
c
FUOC PID_00180828 35 Botnets
La mayora de los estudios actuales sobre las ganancias econmicas asociadas
con el mantenimiento de una botnet no deja lugar a dudas sobre la viabili-
dad de su modelo econmico. Algunas de las cifras que describimos a conti-
nuacin, basadas en un estudio realizado en el 2004 por Peter Haag y Alain
Hugentobler, ayudan a entender la continua evolucin y mejora de las tecno-
logas asociadas:
El alquiler de una cuenta de usuario, con acceso no exclusivo a los recursos
del robot, asciende a los 15 cntimos de euro mensuales.
El alquiler de una cuenta de usuario, con acceso exclusivo a los recursos de
un robot de la botnet, asciende a los 30 cntimos de euro mensuales.
El alquiler de una zona parcial de una botnet, con hasta 500 robots, puede
alcanzar los 380 euros mensuales.
La utilizacin puntual de un volumen mayor de robots para, por ejemplo,
la realizacin de un ataque de tipo DDoS contra una vctima que determi-
nar puede alcanzar entre 40 y 700 euros.
El alquiler de volmenes mayores (de un orden superior a los veinte mil
robots) para, por ejemplo, realizar una campaa de publicidad mediante el
uso de spam se comercializa a unos 75 euros por semana.
Informes elaborados por criminalistas y especialistas en delincuencia, tanto en
el mundo real como en su versin electrnica, arrojan a la luz cifras similares.
La mayora de estos estudios se basan, adems, en resultados y predicciones
de ms de 5 aos de antigedad, por lo que las cifras actuales pueden ser mu-
cho ms elevadas e inquietantes. La mayora de los especialistas en la materia
parecen estar de acuerdo sobre la gravedad de la situacin, as como el estado
de madurez de los cimientos sobre los que se apoyan hoy en da las botnets.
En relacin con las organizaciones que hay detrs de estas redes (tanto hoy en
da, como potencialmente las que las usarn en el futuro) se habla a menu-
do de organizaciones criminales relacionadas con maas del este de Europa,
al igual que carteles relacionados con contrabando de productos desde pases
africanos y americanos (tanto del norte como del sur). Tambin se habla a
menudo de organizaciones gubernamentales en pases asiticos, que podran
valerse de los recursos de las botnets para obtener ventajas industriales en
relacin con las industrias occidentales. Posiblemente, la realidad esconda a
muchos otros actores que nancian, directa o indirectamente, mejoras sustan-
ciales para que futuros operadores de botnets puedan pasar desapercibidos y
sus recursos difcilmente desarticulados.
Casos recientes de criminales, comerciales, ingenieros y desarrolladores aso-
ciados con las botnets estn empezando a salir a la luz, dando a conocer al
c
FUOC PID_00180828 36 Botnets
pblico general la realidad y potencia de esta gran amenaza. Todos estos ca-
sos demuestran una vez ms que el objetivo nal de las botnets, y el cdigo
malware asociado a estas redes, no es la destruccin masiva de equipos o recur-
sos informticos, o el simple acto de personas aisladas con pretensiones desho-
nestas, sino la obtencin de benecios. La asociacin de los primeros servicios,
la mayora relacionados con simples ataques, junto con las tendencias actua-
les de diseminar publicidad, campaas de venta de productos, e intercambio
de transacciones nancieras, muestran que no son actividades ingenuas, ni al
azar, sino ms bien negocios bien organizados y reexionados.
c
FUOC PID_00180828 37 Botnets
Resumen
Las botnets constituyen en la actualidad la mayor amenaza conocida contra
Internet. Las botnets son el resultado de una infeccin a gran escala de equipos
informticos que, una vez infectados, pasan a ser controlados por un mismo
atacante (o por una misma organizacin de atacantes), sin que los autnticos
propietarios lo descubran y, por lo general, con nes tanto malintencionados
como lucrativos. As pues, los equipos infectados componen la botnet resul-
tante, que puede ser nalmente denida como una red de robots al servicio
del atacante. El atacante se convierte en operador de una compleja y potente
red cuyos servicios sern nalmente vendidos a organizaciones de todo tipo.
La siguiente tabla resume la mayor parte de los aspectos que han sido tratados
en este mdulo.
Botnets
Bsqueda de vctimas
Barrido de puertos + escner de vulnera-
bilidades
Distribucin de mensajes corruptos, P2P,
IM...
Ingeniera social, servicios secretos...
Descubrimiento,
explotacin e
infeccin
Explotacin de vulnera-
bilidades
Desbordamientos de pila
Condiciones de carrera
Robo de contraseas, fuerza bruta...
Toma de control de los
equipos
Modicacin de servicios internos
Instalacin de cdigo malicioso
Obertura de puertas traseras
Despliegue de recursos
y canales C&C
Arquitecturas centralizadas
- Topologa monoservidor en estrella
- Topologa multiservidor en estrella
Arquitecturas descentralizadas
- Topologa aleatoria
Arquitecturas hbridas
- Topologa jerrquica
Coordinacin y
gestin de los
robots
Protocolos mayoritaria-
mente utilizados
IRC, HTTP, IM, FTP...
P2P (bittorrent, kademlia, Waste...)
DNS (resolucin y proteccin de recur-
sos)
Inicializacin y caracte-
rsticas de la comunica-
cin
Modelo PUSH monodireccional
Modelo PULL monodireccional
Modelo PULL bidireccional
Tcnicas de redundan-
cia y proteccin
Descentralizacin total de los servidores
C&C
Federacin de servidores C&C
Uso de FastFlux y FastFlux avanzado
Servicios y
actividades
asociadas al
modelo
econmico de
las botnets
actuales
Denegaciones de servi-
cio distribuidas
Campaas de venta
ilcita
Servicios de espionaje
Hospedaje de aplicacio-
nes ilcitas
Diseminacin de aplica-
ciones ilcitas
Servicios de spamming
Hospedaje de contenidos ilegales
...
c
FUOC PID_00180828 38 Botnets
Ejercicios de autoevaluacin
1. Cul de las siguientes armaciones es correcta?
a) Las primeras botnets de la historia fueron utilizadas por administradores de operadoras
de servicios ilcitos para proteger sus campaas de venta de productos ilegales y para
agilizar sus servicios de espionaje y de control de compaas de la competencia.
b) Los ataques de una botnet son controlados por el operador a travs de los servidores
C&C. Una vez seleccionada una vctima, los robots se limitarn a seguir rdenes y dirigir
las acciones hacia el equipo o las redes seleccionadas por el operador.
c) La utilizacin de protocolos de tipo P2P por parte de los robots de una botnet facilita la
identicacin de sus servidores C&C, asegurando un despliegue de resursos ms sencillo
y exible para los operadores de la red.
d) Las botnets actuales son operadas por amateurs con el objetivo de mostrar a amigos y
conocidos sus habilidades tcnicas a la hora de programar cdigo malicioso.
2. Cmo garantiza el operador que los robots continen bajo su control?
a) Mediante la modicacin de los registros o guiones de iniciazalicin de los equipos
infectados, asegurando que el cdigo malicioso se ponga en marcha tras cada nueva reini-
cializacin.
b) Con el uso de ingeniera social, haciendo que los usuarios de los equipos infectados
continen ejecutando las aplicaciones relacionadas con la botnet en cada reinicializacin.
c) Mediante el uso de incentivos econmicos, ofreciendo una participacin de la botnet a
los usuarios legitimos de los equipos infectados.
d) Por medio del uso de aplicaciones P2P y estructuras aleatorias para la gestin de canales
C&C que mantienen los propios usuarios.
3. Qu tipo de equipo informtico es infectado y transformado con mayor facilidad en
forma de robot de una botnet?
a) Los telfonos mviles, en especial aquellos que se caractericen por una mayor autono-
ma y libertad de movimiento.
b) Cualquier equipo informtico conectado a Internet que presente vulnerabilidades o
deciencias de seguridad no corregidas.
c) En general, todos aquellos equipos informticos con sistema operativo de la familia
Windows.
d) Cualquier equipo que ofrezca extensiones de programacin basadas en cdigo libre.
4. Por qu todos los protocolos para la gestin de robots de una botnet requieren conexio-
nes transportadas sobre TCP?
a) Porque TCP ofrece los mecanimos de redundancia y proteccin necesarios para evitar
una desarticulacin total de la botnet.
b) Porque las primeras botnets de la historia as lo hicieron, y las botnets actuales se
limitan a extender otras funcionalidades, pero no cambian los protocolos de transporte
originales.
c) Porque los operadores de las botnets requieren el uso de sesiones tipo TCP para codicar
los comandos de control.
d) No es cierto. Tambin existen casos de botnets cuyos canales C&C se construyen sobre
otros protocolos de transporte como, por ejemplo, UDP.
Solucionario
1. b; 2. a; 3. b; 4. d;
Glosario
bug m Error de programacin que puede desencadenar una deciencia de seguridad.
caballo de troya m Programa, aparentemente inofensivo, que contiene en su interior un
ataque contra una vulnerabilidad no corregida.
denegacin de servicio f Ataque que tratar de saturar recursos de la vctima, tales como
memoria o capacidad de clculo y procesamiento (en ingls, denial of service).
DDoS f Denegacin de servicio distribuida (en ingls, distributed denial of service).
DoS f Vase denegacin de servicio.
exploit m Tcnica (en general, de tipo software) que permite utilizar una vulnerabilidad,
an no corregida, con nes deshonestos.
exploracin de puertos f Tcnica utilizada para identicar los servicios que ofrece un
sistema o un equipo en particular.
c
FUOC PID_00180828 39 Botnets
escner de vulnerabilidades m Aplicacin que permite comprobar si un sistema es vul-
nerable a un conjunto de deciencias de seguridad.
huella identicativa f Informacin precisa que permite identicar un equipo o una red
en concreto (en ingls, ngerprinting).
malware m Programa con nes malintencionados.
requests for comments m Conjunto de documentos tcnicos y notas organizativas sobre
Internet.
RFC f Vase requests for comments.
robot m Programa deshonesto que permite al operador de una botnet controlar a distancia
los recursos de un equipo infectado.
sniffer m Aplicacin que intercepta toda la informacin que pase por la interfaz de red a la
que est asociada.
troyano m Vase caballo de troya.
c
FUOC PID_00180828 40 Botnets
Bibliografa
Filiol, Eric (2009). Les virus informatiques: thorie, pratique et applications. (2
a
ed.). Pars:
Springer-Verlag France.
Graham, James; y otros (2011). Cyber Security Essentials. Boca Ratn: Taylor & Francis
Group.
Paget, Franois (2005). Vers & Virus. Classication, lutte anti-virale et perspectives. Pars:
DUNOD.
Schiller, Craig A.; y otros (2007). Botnets: the killer web app. Waltham: Syngress Media Inc.