UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

FACULTAD INTEGRAL DEL NORTE

ESCUELA INTEGRAL DE POSTGRADO

IDENTIFICAR HERRAMIENTAS Y MECANISMOS QUE

PERMITAN LA DETECCIÓN Y PROTECCIÓN CONTRA LOS
ATAQUES BOTNETS EN LAS REDES INALÁMBRICAS
(WLAN) DE LAS EMPRESAS, A TRABES DE LA REVISIÓN
BIBLIOGRÁFICA
DIPLOMADO: ADMINISTRACIÓN DE BASE DE DATOS Y REDES
TRABAJO MONOGRÁFICO: PARA OPTAR EL TITULO EN LICENCIATURA EN
“INGENIERIA EN SISTEMAS”
Elaborado por:

Elvis Mendoza Ibarra

Tutor:

MSC: Luis Alberto Herbas Cabrera

Montero, Santa Cruz – Bolivia 2018

 AGRADECIMIENTO

Primeramente, a Dios nuestro creador por darnos la vida y darnos fuerzas para seguir adelante

y así terminar el trabajo que un día empezamos.

A mi familia por el apoyo y comprensión que me brindaron en cada momento.

A la universidad Autónoma Gabriel René Moreno y a sus Docentes por la valiosa formación

que nos brindaron.

A mi asesor el Ing. Luis Alberto Herbas, por la colaboración prestada para poder realizar esta

monografía.
 DEDICATORIA

Dedicado especialmente a Dios por iluminarme en el trayecto de mi vida, A mis Padres Sra.

Sofía Ibarra Paco y Sr. Nicolás Mendoza Gonzales que con todo su amor, comprensión y cariño

me apoyaron a seguir adelante y poder concluir con este proyecto, a mis hermanos Aldair y

Jhonny por el apoyo, fortaleza y ejemplo de mi familia, a mis compañeros por haberme

colaborado en todas sus posibilidades.

Muchas gracias a todos por ayudarme a cumplir este desafío.

 RESUMEN

Las botnets o red de ordenadores zombis son conjuntos formados por ordenadores infectados

por algún tipo de software malicioso, que permite al atacante controlar dicha red de forma

remota para beneficio del Boot master.

Por consiguiente, el presente trabajo tiene por finalidad realizar un estudio sobre los

mecanismos de detección y protección de las botnets en las redes inalámbricas (WLAN) de las

empresas, basándose en el uso de la revisión bibliográfica, para lo cual se analizará conceptos y

características relacionados con las botnets, amenazas, vulnerabilidades y formas de infección.

Posteriormente, identificar herramientas y técnicas de detección, basándose en los protocolos

HTTP, DNS, IRC y P2P, que serán de ayuda para la inhabilitación de las botnets en las redes.
 INDICE DE CONTENIDO

AGRADECIMIENTO................................................................................................................II
DEDICATORIA.......................................................................................................................III
CAPITULO I..............................................................................................................................1
1.1 INTRODUCCION.....................................................................................................1
1.2 PLANTEAMIENTO DEL PROBLEMA..................................................................4
1.2.1 Problema Central....................................................................................................4
1.2.2 Problema Secundarios............................................................................................4
1.3 PREGUNTAS DE INVESTIGACION.....................................................................5
1.4 OBJETIVOS DE LA INVESTIGACION.................................................................6
1.4.1 Objetivo general.....................................................................................................6
1.4.2 Objetivos específicos.............................................................................................6
1.5 DELIMITACION DE LA INVESTIGACION.........................................................6
1.6 JUSTIFICACION DE LA INVESTIGACION.........................................................7
1.7 METODOLOGIA DE LA INVESTIGACION.........................................................7
1.7.1 Tipo de investigación.............................................................................................7
1.7.2 Fuentes de información..........................................................................................7
CAPITULO II.............................................................................................................................8
2.1 FUNDAMENTOS TEORICOS....................................................................................8
2.1.1 Descripción............................................................................................................8
2.1.2 Ciclo de vida..........................................................................................................9
2.1.3 Objetivos de las Botnets.......................................................................................10
2.2 ANTECEDENTES......................................................................................................11
2.2.1 Historia.................................................................................................................11
2.2.2 El Crimen Organizado.........................................................................................12
2.3 ARQUITECTURA......................................................................................................14
2.3.1 Arquitectura Comando y Control.........................................................................14
2.3.2 Arquitectura centralizada.....................................................................................15
2.3.3 Arquitectura descentralizada................................................................................16
2.4 PROTOCOLOS.......................................................................................................18
2.4.1 Protocolos de comunicación de las botnet...........................................................18
2.4.2 Protocolo IRC......................................................................................................18
 2.4.3 Protocolo HTTP...................................................................................................19
2.4.4 Otros protocolos...................................................................................................20
2.5 SITUACION ACTUAL...........................................................................................22
2.5.1 Situación actual de la amenaza............................................................................22
2.5.2 Casos reales más relevantes.................................................................................24
2.6 CREACION, FORMAS DE INFECCION Y VULNERABILIDADES.................28
2.6.1 Creación...............................................................................................................28
2.6.2 Formación de una botnet y funcionamiento.........................................................29
2.6.2 Formas de infección.............................................................................................31
2.7 MEDIOS DE DETECCION Y PROTECCION..........................................................35
2.7.1 Detección de botnets............................................................................................35
2.7.2 Técnicas de protección e inhabilitación de botnets..............................................46
CAPITULO TERCERO............................................................................................................51
3.1 DISCUCIÓN............................................................................................................51
3.2 CONCLUSIONES...................................................................................................52
Bibliografía...............................................................................................................................54
 INDICE DE FIGURAS

Figura 2.1 Topología clásica botnet...............................................................................9

Figura 2.2 Botnet centralizada y descentralizada.........................................................15

Figura 2.3 Mapa de Actividades actual botnets...........................................................22

Figura 2.4 Principales técnicas de detección de Botnets.............................................36

 1

CAPITULO I

1.1 INTRODUCCION

Hoy en día las redes de computadoras se han convertido en el soporte de cualquier empresa,

ya que estas ayudan a un mejor desarrollo de actividades y servicios. Estos servicios brindan

información sensible y de vital importancia para las empresas, generando diversas acciones

relacionadas con la toma de decisiones, políticas de administración, informes económicos entre

otros, siendo esta susceptible a cualquier variación, modificación o perdida. [1]

Las redes inalámbricas aparecen como una solución de comunicación en las empresas, de

manera que van tomando un papel muy importante. Una conexión inalámbrica se ha convertido

en una alternativa para ofrecer conectividad en lugares donde resulta complicado o imposible

brindar el servicio con una red cableada. [1]

Pero toda nueva tecnología trae consigo nuevos problemas, y en el caso de las redes

inalámbricas una de las principales dificultades es la seguridad. Se debe considerar que el

desconocimiento de las herramientas de seguridad disponibles para redes inalámbricas, hace que

estas redes de comunicación sean inseguras. Estos problemas de seguridad abarcan cuestiones

como vulnerabilidades en los protocolos de comunicación inalámbrica y mecanismos de

autenticación y protección de datos débiles en la red de las empresas. [1]

Todo esto implica que nuestros datos residen en ordenadores conectados a internet. Datos en

algunas ocasiones especialmente delicados, como es el caso de los datos bancarios, tramites de

las empresas, compras de artículos e incluso vida social. Además, lleva aparejado el aumento

exponencial en el número de máquinas conectadas en las empresas. [1]

 2

Los datos bancarios, las identidades y el ancho de banda son elementos que tienen un valor

monetario. Con un usuario y una contraseña se puede realizar transferencias bancarias o

consultar el numero de tarjetas de crédito, con el que se pueden hacer compras. Las identidades

se pueden utilizar para enviarnos publicidad, el ancho de banda permite enviar correos

electrónicos a otros usuarios o enviar trafico hacia objetivos concretos con el objetivo de saturar

su ancho de banda. [1]

Es aquí donde surgen las botnets como herramienta para obtener dinero a partir de los

usuarios y maquinas conectadas a internet. Las botnets, aunque se pueden utilizar como un tipo

de arquitectura para un software legítimo, se asocian a un tipo de malware que puede,

aprovechando las redes de comunicaciones, llevar a cabo las anteriores operaciones a gran escala

de forma automática. Este malware permite tener a miles de ordenadores trabajando a las

órdenes de un individuo. [2]

Los botnets están compuestos por bots (dispositivos infectados) que son controlados a

distancia por un maestro operador de la Bot a través de un canal de comando y control (C&C).

cada par se comunica entre sí, es decir bots y el maestro de la Bot. [2]

Las botnets se utilizan para realizas diferentes tipos de ataques como denegación de servicio

distribuido (DDoS), el robo de credenciales, spam, phishing etc. [2]

Las botnet se clasifican como centralizadas y descentralizadas. En las botnets centralizadas

los bots contactan periódicamente con el servidor C&C para recibir instrucciones. Algunos de los

protocolos de comunicación utilizados son HTTP y el IRC. En las botnets descentralizadas,

también llamadas “Peer To Peer” (P2P). solo uno de los bots recibe el mensaje directamente
 3

desde el servidor C&C, a continuación, este Bot es responsable de transmitir el mensaje a otros

bots y los bots a mas bots sucesivamente. Algunos protocolos de comunicación utilizados son

Overnet, Kademlia y HTTP2P. [2]

El numero de los botnets ha ido creciendo con el transcurso de los años y sus ataques siguen

produciendo perdidas de datos y la dificultad en el acceso a los servicios por los usuarios

legítimos. Como los siguientes:

 Durante el año 2017 las botnets extractoras de criptomonedas atacaron a casi dos millones

de usuarios, que consistía en una red de ordenadores infectados con un malware, un software

especializado que permite crear las monedas virtuales con tecnología “blockchain”,

necesaria para crear bitcoins. [23]

 En el último trimestre del 2017 según kaspersky Lab los ataques DDoS afectaron a 92

países, según la compañía de ciberseguridad ha explicado que las motivaciones detrás de los

incidentes más importantes fueron políticas. [13]

Por todas estas razones se ha propuesto la detección y protección contra los ataques botnets

en las redes inalámbricas (WLAN), con el propósito de proteger la información de las empresas

y evitar la propagación de las redes zombis, con el fin de mantener la integridad,

confidencialidad y disponibilidad de los servicios en las empresas.

 4

1.2 PLANTEAMIENTO DEL PROBLEMA

1.2.1 Problema Central

Las redes inalámbricas de las empresas son el punto blanco de los atacantes, un muy elevado

porcentaje de las redes son instaladas sin tener en consideración la seguridad, convirtiendo así

sus redes en redes abiertas (o muy vulnerables a los crackers), sin proteger la información que

por ellas circulan.

Debido a la inseguridad y la gran magnitud de computadoras conectadas a internet, es aquí

donde surgen las botnets para tomar acceso de los dispositivos conectados a una red como

herramientas para realizar diferentes tipos de ataques como denegación de servicio distribuido

(DDoS), el robo de credenciales, spam, phishing etc.

1.2.2 Problema Secundarios

Los problemas de las WLAN generalmente tienen causas distintas.

 Problemas administrativos

La seguridad en las redes inalámbricas no se logra solo con las tecnologías y las políticas de

las empresas, sino también la capacitación a los usuarios desempeña un papel fundamental en la

seguridad de una WLAN.

 5

 Problemas tecnológicos

Otro de los problemas a los cuales se enfrenta actualmente la tecnología WI-FI es la

progresiva saturación del aspecto radioeléctrico, debida a la masificación de usuarios, esto afecta

especialmente en las conexiones de larga distancia (mayor a 100 metros). [3]

El 55% de las empresas de América Latina utiliza software ilegal, lo que representa puntos

accesibles para los piratas informáticos, y así tomar control de las computadoras. [14]

1.3 PREGUNTAS DE INVESTIGACION

¿Cómo se puede prevenir los posibles ataques botnet en las redes inalámbricas (WLAN) para

garantizar los servicios de las empresas?

 6

1.4 OBJETIVOS DE LA INVESTIGACION

1.4.1 Objetivo general

Realizar un estudio sobre los mecanismos de detección y protección de las botnets en las

redes inalámbricas (WLAN) de las empresas a través de la revisión bibliográfica, con la finalidad

de evitar pérdidas de información y mantener fiabilidad de servicios en las empresas.

1.4.2 Objetivos específicos

 Estudiar las botnets: definición, componentes, tipos, objetivos, ciclo de vida y otras

características que serán de ayuda, para analizar el comportamiento de ellas, y evitar la

propagación del malware.

 Distinguir las formas de infección de las botnets y las vulnerabilidades que se utilizan para

tomar acceso de las redes inalambricas.

 Identificar técnicas que permitan explorar las vulnerabilidades, diagnosticando los flujos de

tráfico, monitoreo del IRC y protección de las redes inalámbricas (WLAN), para mitigar

futuros ataques.

1.5 DELIMITACION DE LA INVESTIGACION

Área: Seguridad Informática

Aspecto: Malware

Tiempo: La detección del virus tendrá un aproximado de 5 meses aproximado.

Espacio: Redes inalámbricas (WLAN)

 7

1.6 JUSTIFICACION DE LA INVESTIGACION

El motivo por el cual se ha decidido estudiar y analizar este problema radica en que las botnet

como tal es un virus que se infiltran en las redes inalámbricas afectando a los usuarios,

provocando multitudinarias perdidas no solo de índole económico, además este factor pasa a ser

secundario cuando se habla de perdida de información. En las redes inalámbricas no se han

hecho estudios sobre este tipo de infecciones, de manera que es muy importante el conocer que

medios utiliza este virus dañino para infiltrarse y no ser detectado, que perdidas puede llegar a

provocar si no es detectado y eliminado a tiempo, de que forma podemos evitar estas intrusiones

no deseadas teniendo un entendimiento completo y especifico sobre el tema.

1.7 METODOLOGIA DE LA INVESTIGACION

1.7.1 Tipo de investigación

El presente proyecto de investigación es de tipo descriptivo: donde se va a estudiar y analizar

como son las botnets y como se propaga este malware.

1.7.2 Fuentes de información

Para el presente trabajo investigativo se examinarán fuentes primarias y secundarias

confiables percibidas o encontradas en diversas fuentes de información, así como en libros,

revistas de tecnologías, sitios webs y periódicos digitales, orientadas sobre la materia objeto de

estudio.
 8

CAPITULO II

2.1 FUNDAMENTOS TEORICOS

2.1.1 Descripción

La palabra Botnet hace referencia a la unión de dos palabras del idioma americano: “Bot”,

versión abreviada de la palabra Robot, y “Net”, que significa red. Por lo tanto, una botnet es una

red compuesta por robots. Computadores que han sido comprometido por un código malicioso

que ha sido instalado, y son todos controlados, como robots de forma remota con fines

maliciosos. [15][4]

Estas redes constituyen la mayor amenaza actual en internet, debido a que pueden atacar

coordinadamente cualquier dirección IP y hacerla colapsar con ataques distribuidos de negación

de servicio (DDoS). Además, pueden servir para difundir correo spam, e incluso pueden ser

usados como centros de distribución de malware. Una vez que son ejecutados, estos ataques

pueden ser devastadores. [15] [4]

Una botnet es parecida a un troyano en el sentido que se hacen pasar por programas validos

para que sean instalados en equipos victimas y pueden permitir que el atacante tenga absoluto

control sobre el equipo. No es necesario tener un amplio conocimiento informático para poder

desarrollar y controlar uno de estos Ejércitos con conocimiento rudimentarios y los kits

disponibles en internet se pueden desarrollar uno. [15] Este esquema de funcionamiento puede

verse en la figura 2.1

 9

Figura 2.1 Topología clásica botnet

Fuente: (Pandora, 2018)

2.1.2 Ciclo de vida

Las botnets pueden ser creadas y mantenidas en cinco fases, estas son: [4]

Fase de infección inicial. - durante el periodo del atacante busca vulnerabilidades en algún host

de una subred particular e infecta a la víctima a través de algún método determinado.

Fase de inyección secundaria. - en el host infectado se ejecuta un script llamado “Shell Code”

este script incluye una imagen del Bot ejecutable (o binario) y se instala a si mismo. Esto puede

hacerlo vía FTP, HTTP o P2P.

Fase de conexión. - luego de establecer un canal C&C (Command And Control), el programa se

conecta al servidor C&C. una vez establecida esta fase, el host infectado pasa a ser parte de la

red zombie.
 10

Fase C&C (Command And Control). - en esta fase el Botnetmaster utiliza el canal C&C ya

establecido para controlar a su red zombie, así los bots reciben y ejecutan órdenes.

Mantenimiento y Actualización. - en esta fase, se les ordena a los bots a descargar

actualizaciones. También muchas veces se les ordena migrar a otros servidores C&C de esta

forma, mantiene indetectable su red.

2.1.3 Objetivos de las Botnets

Los botnets en general tienen los siguientes objetivos: [4]

1. Recopilación de información: Algunos bots tiene capacidad para capturar teclas en el

teclado, puntos de la pantalla al hacer clic en el botón del ratón, archivos, tráficos de red y

datos almacenados. Esta habilidad puede ser utilizado para capturar información sobre

tarjetas bancarias, estrategias, documentos de alto nivel de confidencialidad, entre otros.

2. Ataque distribuido de denegación de servicio (DDoS), botnets se utilizan para lanzamiento

de ataques de denegación de servicios que pueden detener un servicio o un servidor objetivo.

3. Enrutamiento de spam: los correos electrónicos no solicitados (spam) pueden ser

efectivamente distribuidos con mayor cobertura a través de las botnets.

4. Contenido ilegal: los botnets se pueden utilizar para el almacenamiento ilegal de contenido,

por ejemplo, archivos, documentos, números de tarjetas de crédito etc.

5. Anonimato: cuando varias maquinas en todo el mundo se utilizan como los puentes para

acceder a un host comprometido, es muy difícil realizar un seguimiento e identificar al

atacante real o Bot master.

 11

2.2 ANTECEDENTES

2.2.1 Historia

Surgió junto con el crecimiento de los sistemas inteligentes. En un principio fue utilizado en

los sistemas de chat de IRC, donde existían unos servicios que era repetitivos, como control de

contenidos, privilegios, entre otras muchas tareas que podían ser sustituidos por algún programa

inteligente. [4]

El objetivo inicial de los Bots, era el de preservar nombres de usuario favoritos en los canales

de chat IRC, al finalizar la sesión uno activaba el Bot, el cual tomaría el nombre y permanecería

la sesión uno activaba el Bot, el cual tomaría el nombre y permanecería conectado al IRC,

preservando el nombre favorito y evitando que cualquier otro usuario pudiera tomarlo mientras

uno permanecía conectado. [4]

En 1993 nació la primera herramienta de Bot inteligente, el Eggdrop. Esta herramienta se

desarrolló con la finalidad de facilitar a los usuarios los distintos servicios de chat online pero la

idea se expandió y rápidamente muchos criminales cibernéticos empezaron a desarrollar

herramientas de Bot con intenciones maliciosas. [4]

Los ataques a estos sistemas de chat permitían a los atacantes obtener los privilegios de

control sobre un canal de chat, concediéndoles, de esta manera, la posibilidad de realizar

expulsiones a otros usuarios, así como cambiar la descripción de los chats, etc. [4]
 12

2.2.2 El Crimen Organizado

Alrededor del año 2003 cundo surgió un gran interés sobre las posibilidades ofrecidas por

botnets. Al principio de la década, el correo spam todavía era en gran parte una de las grandes

tareas de los bots. Bagle y Bobax fueron los primeros Botnets de spam y el malware Mytob fue

esencialmente una mezcla de un gusano de correo masivo. Los delincuentes evolucionaron las

botnets para distribuir sus actividades de spam en todas las maquinas víctima, dándole agilidad,

flexibilidad y ayudándoles a evitar la actividad de cumplimiento legal sobre el spam que ya se

aplicaba. [12]

En 2006 aparece RuStock como una botnet de spam y Zeus (2007) que se consideran como

una herramienta de tobo de información. Desde ese año, Zeus problavemente se ha convertido en

la herramienta criminal mas utilizada en robar información. Los creadores de Zeus lo han

actualizado regularmente lanzando nuevas versiones del rootkit y añadiendo o mejorando su

funcionalidad. [12]

Como estas nuevas versiones se han puesto a la venta a precios muy elevados, las versiones

anteriores se distribuyen gratuitamente. A menudo, estas versiones mas antiguas son infectadas

por los criminales, lo que significa que el “ladrón novato” también se convierte en la victima de

esa botnet. Este exceso de herramientas criminales de libre disposición ha reducido la barrera de

los costos de la ciberdelincuencia y alentó a mas criminales aspirantes a la delincuencia en línea.

Zeus ha sido diseñado para realizar una infección efectiva en internet. [12]

Durante esta época ya se vieron casos de botnets enormes. Por ejemplo, la fundación

Shadowserver ha detectado mas de 6000 servidores C&C y esa cifra podría incluso ser baja en
 13

comparación a la que se considera real. Trend Micro esta siguiendo decenas de millones de Pcs

infectados que se están utilizando para enviar Spam y esa cifra no incluye todas las demás Pc’s

infectados con bots que están siendo utilizados con fines de robo de información, DDoS o

cualquiera de los otros crímenes. [12]

 14

2.3 ARQUITECTURA

2.3.1 Arquitectura Comando y Control

La arquitectura C&C se refiere a la comunicación entre el maestro de la botnet (atacante) y

sus Bots (zombies) que son los dispositivos infectados.

Se cree que el servidor C&C es el cuello de botella de las botnets, debido a que si se logra

detectar entonces la botnet será deshabilitada. Si algún mecanismo de detección como los IDS

(Sistema de Detección de Intrusos) es capaz de detectar al servidor o los servidores C&C

utilizados por el maestro de la botnet, entonces será posible deshabilitar esa botnet si se

inhabilitan los servidores detectados, debido a que se inhabilitara la comunicación entre el

maestro de la Bot y los bots controlados. Sin ese enlace de comunicación la botnet no será capaz

de lanzar ataques tan poderosos, ya que el poder de las botnets esta directamente relacionado a su

tamaño (número de bots disponibles.) [5]

Existen dos tipos diferentes de arquitectura C&C: Centralizadas y Descentralizadas.

 15

Figura 2.2 Botnet centralizada y descentralizada

Fuente (Antrax, 2015)

2.3.2 Arquitectura centralizada

Como su nombre lo indica, el maestro de la Bot elige un único nodo considerado como el

punto central, en el que cada Bot se conecta cuando es infectado. Este nodo debe contar con un

gran ancho de banda, debido a que todas las comunicaciones pasan a través de ella. El maestro

de la Botnet puede ser el nodo central, pero de ser así, tendría la desventaja de perder la

dispersión en las comunicaciones. Por lo general el nodo central es un host comprometido. [5]

[6]
 16

Después de la infección y una vez que los bots se comunican con el servidor central C&C, el

muestreo de la botnet dará las ordenes a los bots, para lanzar ataques infectar otros dispositivos o

simplemente devolver la información obtenido desde ese host. [5]

Esta arquitectura tiene una alta supervivencia en el mundo real debido a que aun no hay

grandes contramedidas contra las botnets. A pesar de que los administradores de sistemas son

mas consientes de este problema, se han implementado mecanismos como el de captchas y las

listas negras para evitar que los bots ataquen a ciertos sistemas, no todos implementan

mecanismos para protegerse. [5]

Otras de sus ventajas es la pequeña latencia de mensajería, lo cual hace que sea mucho más

fácil coordinar y poner en marcha los ataques. El principal inconveniente es que aquí solo hay

una estructura de C&C, es la única fuente de la conexión entre el maestro de la botnet y los bots.

Así que una vez encontrado y desactivado, el maestro de la Bot no tiene manera de comunicarse

con la botnet y esto hace que la botnet quede inservible. Algunas botnet que utilizan esta

arquitectura son RBot y Neris, las cuales utilizan el protocolo IRC. [5]

2.3.3 Arquitectura descentralizada

En esta arquitectura el maestro de la botnet organiza los bots y los C&C como si se tratara de

la red P2P. puede ser estructurada o no estructurada. Esta tecnología es mucho mas resistente a la

detección y desactivación que el modelo centralizado, debido a que no necesita un servidor de

C&C ya que todos los bots pueden ser servidores de C&C por lo que una vez que uno se

desactiva casi no tiene efecto sobre la desactivación de toda la botnet. Esta característica es la

razón principal por esta arquitectura es una tendencia cada vez mayor entre la comunidad
 17

atacante. Su principal inconveniente es el problema de escalabilidad. Solo soporta

conversaciones entre grupos pequeños lo que hace que sea más difícil lanzar grandes ataques.

Además, no hay garantía de entrega de mensajes y tiene una latencia mas alta en la propagación

de mensajes cuando se compara con el modelo centralizado. Esto trae serios problemas de

coordinación sobre los bots despliegan el ataque, pero aporta un modelo mucho más robusto. [5]
 18

2.4 PROTOCOLOS

2.4.1 Protocolos de comunicación de las botnet

Los protocolos de comunicación utilizados por las botnets para el intercambio de información

son de una enorme utiliza para los investigadores y administradores de sistemas. La comprensión

y el conocimiento de como se comunican pueden responder a muchas preguntas como donde

buscar y que tipo de trafico observar. En primer lugar, por que si se conoce el protocolo utilizado

se puede monitorear por donde se envía normalmente el trafico y filtrarlo y en segundo lugar se

puede definir un patrón normal de un paquete o flujo del protocolo y filtrar lo que parece

sospechoso. Además de eso esta información proporciona la comprensión de las botnets, de

donde viene y que posibles herramientas de software se están utilizando. En esta sección se

mencionan algunos protocolos utilizados por las botnets. [5]

2.4.2 Protocolo IRC

Es el protocolo mas utilizado por los maestros de las botnets para ponerse en contacto con sus

bots, debido a que fue el primer protocolo usado por las botnets. El protocolo IRC esta diseñado

principalmente para las comunicaciones entre grupos grandes, pero permite las comunicaciones

privadas entre las entidades individuales, lo que da al maestro de las botnets la herramienta

adecuada para comunicarse de una manera fácil y flexible. Normalmente todos los bots se

conectarán con el mismo canal de IRC en el servidor C&C designado a un servidor IRC libre.

Aquí el maestro de la Bot emitirá una orden y los bots utilizaran su programa para interpretar los

comandos y seguir la orden, ya sea para atacar y otras actividades maliciosas. Se podría pensar

que al examinar el contenido del tráfico IRC, se podría detectar comandos botnet, pero existen
 19

inconvenientes al tratar de examinar contenido. Primero los canales de IRC permiten a los

usuarios tener una contraseña en el canal por lo que los mensajes están cifrados. Segundo, cada

Bot tiene sintaxis diferente y puesto que hay una gran cantidad de familias y cientos de

variaciones, prácticamente imposible probar todas. [5]

En la mayoría de las redes corporativas el uso de clientes IRC o servidores se bloquea

normalmente, lo que hace que sea más fácil saber si un Bot esta actuando ya que no hay trafico

IRC y si lo hay significa que alguien ha sido infectado. Hoy en día y para pasar este obstáculo,

los bots han sido capaces de crear un túnel bajo HTTP para utilizar el protocolo IRC, lo que hace

que sea más difícil para los métodos de detección, el detectarlo. Ya hay algunos IDS (Sistema de

detección de intrusos) que pueden detectar este tipo de tráfico. [5] [11]

A pesar de que en los lugares corporativos han tomado algunas medidas para detectar este tipo

de actividad, la mayoría de los hogares y las pequeñas empresas no están bien protegidos contra

este tipo de actividad lo que hace que este protocolo sea una herramienta muy atractiva, para ser

utilizada por los atacantes ya que hay un gran numero de mecanismos de software que hacen que

sea muy fácil de configurar y usar. [5]

2.4.3 Protocolo HTTP

La popularidad el uso de este protocolo se ha relacionado con la atención que se ha prestado a

la utilización de IRC. La principal ventaja es fácil de notar, la mayor parte del trafico en internet

es HTTP por lo que es mucho más difícil encontrar actividades maliciosas ya que el objetivo a

examinar es mucho más grande. [5]

 20

Su funcionamiento es sencillo, solo necesita usar la URL para publicar los comandos

necesarios. Después de ser infectado, el Bot visita una URL con su ID, lo cual esta en el servidor

controlado por el maestro de la botnet, el servidor responde con una nueva dirección. URL que

será analizada poro el Bot para interpretar las ordenes de la actividad maliciosa. [5]

Normalmente los cortafuegos bloquean el trafico entrante de IRC, pero no pueden hacer lo

mismo para el HTTP (o bloquearían todas las conexiones normales HTTP), entonces se tendrían

que aplicar filtros adecuados para las cabeceras anómalas o el payload (si no está cifrado). La

practica de actividades maliciosas que utilizan este protocolo tiende a crecer y tal vez un día

podrían ser el mas utilizado, la ventaja de pasar por los cortafuegos de una manera fácil y el

porcentaje de trafico a analizar, hace que sea una herramienta poderosa. Tal vez el principal

inconveniente es la latencia inherente a ponerse en contacto con un gran numero de bots y unir

fuerzas para lanzar un gran ataque. [5]

2.4.4 Otros protocolos

En los últimos años se observan métodos alternativos para controlar los sistemas zombis,

destinados a eludir en lo posible que la red resulte detectada. En 2007 se informó el uso de redes

P2P para el control de botnets, que prescindían de un controlador clásico y realizaban este

control por medio de un sistema distribuido similar al que se usa para el intercambio de archivos

multimedia (redes de pares o P2P) en populares programas como eMule. [4]

Las redes sociales son actualmente uno de los focos de infección preferidos para alojar

botnets. En agosto de 2009 se utilizó la infraestructura de Twitter como panel de control de una

botnet. Un usuario registrado (el atacante) cada vez que publicaba una nota estaba en realidad
 21

enviando mensajes a las máquinas comprometidas que formaban parte de la botnet. Los mensajes

se hallaban codificados de forma que resultaban incomprensibles, pero el equipo de Seguridad de

Twitter pudo descifrarlos y detectarlos, evitando así su propagación. [4]

De nuevo en mayo de 2010 Twitter ha sido objeto de otro ciberataque de estas características5,

detectándose una aplicación que permite infectar usuarios registrados en la red social. El

malware recibe los comandos a través del perfil del usuario, por lo que atacante puede controlar

los equipos infectados a través de los contenidos que escriba en su perfil de Twitter. Entre los

ataques que puede realizar el ciber atacante están la denegación de servicio distribuida (DDoS),

apertura automática de páginas web o descarga de nuevos códigos maliciosos en el equipo de la

víctima. Por último, el atacante puede realizar la eliminación automática de la botnet y el perfil

Twitter si quiere pasar inadvertido. [4]

 22

2.5 SITUACION ACTUAL

2.5.1 Situación actual de la amenaza

Como una imagen vale más que mil palabras, se presenta la imagen 2.3 obtenida de Trend

Micro, que nos muestra la actividad y la situación de las botnets a nivel mundial durante los

últimos 14 días (tomada el 24/05/18) relacionados con los botnets en el mundo divididas en

“C&C server” y “Target Computers”, se pueden observar que existen más de 11348 servers

“localizados” (estimadoso que se puede localizar solo un porcentaje menor de ellos) y más de

1.588.947 de Target Computers.

Figura 2.3 Mapa de Actividades actual botnets

Fuente: (Micro, TrendMicro, s.f.)

 23

Hay que tener en cuenta, además que se estima que solo se pueden detectar una minoría de

ellos y que algunos no se muestran al no encontrarse en actividad durante el escaneo de los

últimos días. Estas cifras son preocupantes ya que, aunque detectados siguen con su actividad y

no resulta sencillo poder inhabilitarlos.

Por otro lado, el llamado crimeware (Tipo de software que ha sido específicamente diseñado

para la ejecución de delitos financieros) preocupa mucho al ámbito económico y está muy

relacionado con las botnets. Tanto es así que una empresa como Heimdal Security en un artículo

suyo (año 2017) establece que de los 10 malware más peligrosos como Crimeware los 9

primeros son botnets relacionados con Zeus y la décima es un ransomware. La lista es la

mostrada a continuación: [17]

1. Zbot/Zeus

2. Zeus Gameover (P2P) (Zeus Family)

3. SpyEye (Zeus Family)

4. Ice IX (Zeus Family)

5. Citadel (Zeus Family)

6. Carberp (Zeus Family)

7. Bugat (Zeus Family)

8. Shylock (Zeus Family)

9. Torping (Zeus Family)

10. CryptoLocker
 24

2.5.2 Casos reales más relevantes

Existen multitud de casos reales y conocidos en el empleo de botnets para el cibercrimen. Se

podrá realizar una clasificación de los más grandes, los más destructivos o los más conocidos. A

continuación, se han seleccionado los casos reales que han podido tener más “impacto” social

teniendo en cuenta todos los parámetros (tamaño, nivel de destrucción y popularidad). [17]

Es importante remarcar que existen multitud de variantes o “reléase” de una misma botnet, ya

que los desarrolladores los van mejorando para adaptarse a las medidas de seguridad para variar

el tipo de ataques o para obtener nuevos medios de propagación.

STORM

 Año de descubrimiento: 2007

 Año de desaparición: finales 2008

 Reaparición: 2010

 Origen: desconocido, se sospecha que cibercriminales rusos ya que se encontraron palabras

rusas en el código fuente.

 Numero estimados de máquinas infectadas: Mas de 1.000.000, existen estimaciones de hasta

50.000.000

 Tipo de botnet: Múltiples ataques, incluyendo acceso a datos secretos, retransmisiones

SMTP, recolección de direcciones email, spam y DDoS.

 Estado actual: Desarticulado.

 Características: Storm fue la botnet más grande y con mayor propagación hasta la fecha,

tenía el valor añadido de estar disponible para la venta o su alquiler. Empleada

 25

habitualmente por su capacidad de DDoS. La ingeniería social y el spam ayudaron a su

propagación, pero sus atacantes también lanzaron a través de las descargas en los sitios web

populares comprometidos, haciendo de las descargas un importante factor de infección.

CONFICKER

 Año de descubrimiento: 2008

 Origen: Puede ser alemán, por su nombre, o ucraniano, por su servidor primario.

 Numero estimados de máquinas infectadas: entre 9.000.000 y 15.000.000

 Tipo de botnet: DoS y spammer

 Estado actual: Prácticamente desarticulado, pero siguen existiendo maquinas infectadas.

 Características: Conficker es el único que descarga actualizaciones por si solo utilizando

binarios firmados y encriptados para ayudar a evitar cualquier acción de desinfección. Una

vez que la versión esta activa, se descarga e instala el malware “Waledac” para enviar spam.

Una de sus variaciones fue SpyProtect (2009) con la que trataba de convencer a las

potenciales víctimas para comprar un falso programa antivirus cuando en realidad lo que

hace es iniciar una serie de ataques DoS a la red local a través inundaciones ARP, bloqueos

de cuentas, deshabilitando actualizaciones automáticas y actualizaciones de antivirus.

MARIPOSA

 Año de descubrimiento: 2008

 Año de desaparición: finales 2010

 Origen: España

 Numero estimados de máquinas infectadas: Mas de 12.000.000

 26

 Tipo de botnet: Cyber-estafa y DDoS

 Estado actual: desarticulada gracias a los esfuerzos de las fuerzas de seguridad españolas

(Guardia Civil), defensa intelligence, Georgia Tech y Panda Security

 Características: Mariposa es un keylogger, software que monitoriza y graba en un registro la

actividad de teclado del usuario para capturar credenciales en sitios bancarios, de

credenciales con la que realizar envió masivo de spam y tomar el control del equipo para su

utilización en ataques DDoS. La red mariposa estaba disponible para ser alquilada. El 3 de

febrero de 2010, la guardia civil procedió a la detención de Netkairo líder de la banda DDP

Team (Dias de pesadilla team) que usaba MARIPOSA para detener más tarde a su creador,

el hacker apodado “Iserdo”, de 23 años de edad y autor confirmado del kit de botnet

Mariposa.

MIRAI

 Año de descubrimiento: 2016

 Origen: desconocido

 Numero estimados de máquinas infectadas: Desconocido, posiblemente millones

 Tipo de botnet: Mirai es una botnet cuyo objetivo son dispositivos del llamado internet de

las cosas (En ingles, Internet of Thing, abreviado IoT). Los principales objetivos de este

malware se han sido los Reuters, grabadores digitales de video y cámaras IP de vigilancia,

usado principalmente para ataques DDoS.

 Estado actual: Activo.

 27

 Características: este malware ataca a dispositivos con sistemas embebidos Linux, el

principal método de infección de Mirai es mediante el uso de credenciales por defecto que el

malware, incluye ya que muchas de las cuales son usadas en dispositivos IoT donde la

seguridad en muchos casos es deficiente. Ha evolucionado y es capaz de infectar maquinas

Windows. El 21 de octubre del 2016, la compañía de servicios de nombre de dominio

Dynpico, Dyn fue inundado por 1.2 Tbps de tráfico, el mayor volumen de tráfico DDoS

jamas grabado. El análisis del ataque confirmo que el tráfico DDoS se origino en los

dispositivos de internet de las cosas infectadas por la botnet Mirai.

 28

2.6 CREACION, FORMAS DE INFECCION Y VULNERABILIDADES

2.6.1 Creación

Normalmente el código que se emplea para crear los artefactos de control y contaminación de

una botnet utilizan lenguajes Orientados a Objetos (POO) ya que resultan mucho más cómodos

de utilizar.

El empleo de técnicas de reutilización de códigos de otras botnets (en desuso o actuales) o de

empleo de técnicas de coordinación entre artefactos troyano ya existentes son también habituales

en su desarrollo.

Por otro lado, el empleo del modularidad en su diseño y, por lo tanto, el empleado en la

descarga e instalación de un Bot nos permite crear unos bots iniciales muy reducidos que luego

irán descargando las herramientas (o módulos de código) asociadas que necesiten. Ello hace que,

además puedan pasar más inadvertidos ante aplicaciones o herramientas de seguridad. [18]

Es necesario tener en cuenta que un Bot, troyano o un RAT (Remote Acces Tools) a veces

puedan parecer sinónimos, pero no lo son. En teste ámbito podríamos describirlos como: [18]

 Remote Acces Tools: Herramienta de software que crea un medio de enlace a través de un

puerto para exponer al servicio o recibir ordenes remotamente. No todos los RATs son

malware, existen herramientas de acceso remoto para, por ejemplo, administrar servicios o

máquinas.
 29

 Troyano: Elemento software que tiene una finalidad distinta a la que el usuario cree y por

ello (a veces) la instala conscientemente (otras veces no). Este elemento lo que si realiza son

acciones maliciosas con distintos fines. Además, este troyano puede o ser ser un RAT.

 Bot: Habitualmente es un troyano con funcionalidad de RAT para poder ejecutar ordenes,

entregar resultados y descargar o instalar los módulos necesarios para desarrollar sus

actividades maliciosas.

2.6.2 Formación de una botnet y funcionamiento

Aunque los métodos de creación y desarrollo del funcionamiento de una Botnet son muy

variados, se identifican una serie de etapas comunes en la vida útil de este tipo de redes: [4]

1. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios

necesarios que va a emplear, incluido el sistema de control de la red.

2. Además, necesitará un malware que se aloje en los equipos y permita el control del mismo,

denominado Bot, que frecuentemente es un troyano. Este malware puede ser creado por él

mismo (el creador de la red) o puede comprar este Bot a un creador de malware.

3. El siguiente paso consiste en distribuir el malware o Bot por cualquier método: correo basura,

páginas con vulnerabilidades, ingeniería social, etc. El objetivo final es que las víctimas

ejecuten el programa y se infecten. En la mayoría de las ocasiones el propio troyano se

propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero diseñados

específicamente para formar parte de una red concreta una vez infectados) de llegar a otros

sistemas desde un sistema infectado a su vez. Si tiene éxito, el número de zombis puede llegar

a crecer exponencialmente.
 30

4. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados, puede

conseguir el propósito buscado al programar el sistema. Algunas de estas actuaciones pueden

ser:

 Robar información de los equipos infectados.

 Enviar correo basura o spam.

 Realizar ataques combinados a una página web o ataques de denegación de servicio

distribuido.

 Construir servidores web para alojar material ilícito (pornográfico y/o pedófilo), realizar

ataques de fraude online (phishing), alojar software malicioso.

 Distribuir o instalar nuevo malware.

 Crear nuevas redes de equipos zombis.

 Manipular juegos online.

 Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de

escritorio remoto.

5. El creador de la botnet puede explotarla de diversas formas:

 Utilizar la red directamente en su beneficio.

 Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador controla la

red.
 31

 Vender entornos de control, es decir, el creador vende el programa de control de zombis al

cliente, para que este último lo explote.

6. La botnet permanecerá activa mientras se produzca la actualización del Bot para dificultar su

detección, añadir alguna funcionalidad o alguna otra mejora. El declive de la misma puede

provocarse con la resolución de vulnerabilidades de sistemas operativos y aplicaciones tras

la publicación por parte de los fabricantes de las actualizaciones, la mejora en el control de

las redes, utilización de antivirus y anti espías, etc.

2.6.2 Formas de infección

Para que una botnet se extienda, debe tener una forma de infección eficaz. Existen varias

formas de infección, con intervención o sin intervención del usuario. Las que requieren

intervención del usuario suelen utilizar técnicas de ingeniería social para lograr infiltrarse en el

ordenador.

La infección por vulnerabilidades utiliza errores de programación de aplicaciones o sistemas

operativos para instalarse en el sistema sin que el usuario se percate de ello. La ejecución de

código por desbordamiento de buffer es una de las vulnerabilidades más conocidas para la

instalación de malware. SDBot utiliza varias vulnerabilidades de software como una de las

formas de propagarse.

Cuando la instalación del malware requiere la intervención del usuario para su ejecución, una

de las técnicas de propagación que se suele utilizar se basa en el envió masivo de emails. El

email recibido contiene un texto y un adjunto que resulta inocente para el usuario, como puede

ser la simulación de una factura. Al ejecutar el adjunto, se instala el malware. El mail en

 32

ocasiones lleva un enlace, en lugar de un adjunto, que abre la pagina web que contiene el

malware. En estos casos, se instala explotando vulnerabilidades del explorador o alguno de sus

componentes o, de forma mas simple, descargando un archivo que el usuario deberá ejecutar. La

mensajería instantánea también ha sido utilizada como medio para propagar malware, actuando

de forma similar al correo electrónico.

Las botnets en ocasiones utilizan vulnerabilidades de las aplicaciones para propagarse. En este

caso, su uso es muy diverso y esta condicionado al lanzamiento de un parche por parte del

fabricante que lo corrija. El lanzamiento de parches también se utiliza por parte de los

desarrolladores de malware para lanzar vectores de infección que exploten esa vulnerabilidad en

equipos que no están actualizados. Hay multitud de ejemplos de vulnerabilidades que han sufrido

o sufren los distintos sistemas operativos, las máquinas virtuales javas, adobe flash player, adobe

acrobat reader y los navegadores de internet, que se corrigen mediante parches y versiones

nuevas.

La instalación de software supuestamente legitimo en un ordenador se puede aprovechar para

instalar malware sin ser detectado. En esta ocasión, el paquete de software no se descarga del

sitio oficial y contiene, además de la funcionalidad correcta, el malware, que habitualmente va

unido al instalador del software. De forma transparente para el usuario, el malware se instala de

forma silenciosa previo a la instalación del software legítimo. Se utiliza en aplicaciones

freeware, shareware y comerciales obtenidas de sitios web no fiables, así como complementos a

estas, como generadores de claves o supuestos crakeadores de aplicaciones.

Las principales formas de infección son las siguientes.

 33

 Descarga e instalaciones de software infectado que realiza el propio usuario.

 Ejecución de enlaces a correos (emails) que realiza el usuario.

 Visita a paginas web infectadas o maliciosas (driver by downloads).

 Falta de seguridad y parches de actualización en el sistema operativo victima

 Servicios con contraseñas débiles o por defecto (IoTs)

 Empleo de dispositivos (USB’S, DVD, HDDs, etc) infectados

 Conexiones a recursos infectados.

 Empleo de redes WIFI no seguras o desconocidas (normalmente gratuitas y abiertas).

Los dispositivos que pueden ser infectados por estos bots y convertirse en maquinas zombis

son todos aquellos relacionados con las comunicaciones y/o la informática, es decir cualquiera

que sea capaz de ejecutar código. Ejemplos de ellos serian ordenadores personales, tables,

smartphones, dispositivos de internet de las cosas (IoT), servidores, maquinas de control

industrial, etc.

En las plataformas Windows, es habitual que los usuarios se descarguen programas desde

internet sin saber exactamente que es lo que hace el programa. Este software podría contenet un

Bot, una vez que el programa se ejecuta, puede escanear la red de área local, disco duro, puede

intentar propagarse usando vulnerabilidades conocidas de Windows.

En entornos como UNIX, GNU/Linux o BSD, muy empleados en IoTs, la forma de ataque a

servidores para construir expandir una Bonet suele ser por telnet o SSH (puertos 23 y 22). Esto

se realiza con el método de “Prueba y error”, probando usuarios comunes y contraseñas por
 34

defecto o al azar o con herramientas de fuerza bruta. También se pueden aprovechar ataques a

bugs conocidos que no se hayan corregido.

La forma de infección que llevo a Mirai a “secuestrar” millones de dispositivos IoT fue con el

usuario y contraseña por defecto que casi nadie se molesta en cambiar en este tipo de elementos.
 35

2.7 MEDIOS DE DETECCION Y PROTECCION

Existe una infinidad de clasificaciones de mecanismos sobre medios de detección y protección

ante las botnets, algunas podrían fijarse en si se usan técnicas pasivas o activas, si son a nivel de

host o de red, si son de detección de prevención restrictivas o correctivas, etc.

Este desafío de clasificar lo inclasificable se debe a la multitud de puntos de vista que puedan

existir con respecto a la botnet. Así podremos verlo desde el punto de vista del atacante, de la

victima o incluso desde el punto de vista del tercero que la está detectando.

En esta sección queremos, sencillamente, ceñirnos a la clasificación inicial, es decir formas o

detección y formas o medios de protección desde un punto de vista de host y de red. Si se

necesita especificar alguna de las clasificaciones anteriores se hará de manera individualizada.

2.7.1 Detección de botnets

En las anteriores secciones ha quedado claro que existen una serie de botnets que trabajan de

diferente manera. El tipo de frecuencia, destinos, cómo se infectan, como se crean, su

funcionalidad, objetivos y el tamaño de tráfico que puede causar en una red. Por consiguiente, a

continuación, se va detallar las formas de detección de las botnets.

 36

Figura 2.4 Principales técnicas de detección de Botnets

Fuente (Canton, Certsi, 2016)

Técnicas de detección a nivel de host. – la forma de detección en la que somos víctimas o

verdugos (en caso de ser un equipo zombi) de una botnet es la siguiente. [12]

 Detección de una infección por el antivirus (existen muchas infecciones que no se

detectaran).

 Paquetes de detección de rootkits (conjunto de herramientas usadas frecuentemente por los

intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema

informático).
 37

 Percepción en la modificación del archivo de hosts de Windows.

 La máquina tarda más de apagarse de lo normal.

 Recepción de correo extraño o tus contactos reciben correos tuyos que no enviaste.

 Aparición de ventanas emergentes aleatorias que probablemente sean una infección a veces

puede ser una forma de actividad relacionada con botnets.

 Lentitud de la máquina, aunque se puede deber a otros aspectos, es una señal de alarma para

malware tipo botnet o relacionado.

 Servidores de resolución DNS predeterminados en la maquina no confiable. Comparar los

servidores DNS de la compañía ISP, o el del enrutador de su LAN interna.

 Actividad de la maquina (disco duro, uso de memoria o conexión al Router del hogar)

sospechosa en momentos que no esta utilizándose.

 Las aplicaciones antivirus no se actualizan adecuadamente.

 Programas con nombres sospechosos en el administrador de tareas (entornos Windows).

 Picos de funcionamiento inestable en la conexión a internet

 Etc.

La realidad es que las posibilidades de detección a nivel de host una vez que el equipo esta

infectado son realmente bajas. Ellos nos llevan a considerar otras técnicas más afectivas (a nivel

red).
 38

Técnicas de detección a nivel de red. - El monitoreo de una red de malware (en nuestro caso

botnets) se puede realizar a nivel de muestra red local y su conexión al exterior (y viceversa) o se

puede ver desde el punto de vista de la monitorización de internet, que suele ser llevado a cabo

por organismos constituidos para proporcionar seguridad, como las empresas dedicada al test de

botnets.

Los síntomas que nos pueden indicar que existen sospechas de trafico botnet en la red son los

siguientes. [12]

 Trafico IRC que sele ir en texto claro con lo que se puede analizar y podríamos realizar

búsquedas de palabras clave relacionadas con comandos de una botnet, búsqueda de puertos

IRCs predeterminados (el rango de puerto completo especificado por el RFC es 6660-6669,

7000 y el 113). Hay que tener en cuenta que muchos administradores de botnet utilizaran

puertos IRC no estándares.

 Emplear listas de servidores conocidos C&C para ver si existen intentos de conexión de

ellos. En dssshield mantienen una lista negra de IP’s generada cooperativamente pro sus

miembros.

 Existen firmas creadas expresamente en la detección de servidores C&C y que se pueden

usar herramientas como Snort (IDS).

 Detección de tráfico mediante análisis de paquetes. Es una técnica que emplea varias de las

descritas anteriormente.

 Detección de tráfico mediante análisis de flujo.

 39

 Detección a través de trafico DNS. Si una gran cantidad de máquinas están haciendo las

mismas solicitudes de DNS, o accediendo al mismo servidor probablemente sea debido a la

existencia de una botnet.

 Detección de cualquier tipo de malware en la red propia. Este podría haber sido descargado

por el propio Bot o tener relación con este.

 Instalación de un honeypot basado en malware en la red interna para detectar propagaciones

de malware de las maquinas infectadas.

 Establecer estrategias de vigilancia de puertos abiertos típicamente vulnerables. Por ejemplo,

excesivo trafico en los puertos 135, 139, 445 (intercambio de archivos Windows).

 Existencia de trafico de escaneo de puertos, señal que invoca que están buscando servicios y

vulnerabilidades en la red.

 Trafico NO correspondiente a esa máquina. Por ejemplo, si se observa trafico SMTP en una

maquina que no es un servidor SMTP (Botnet SpamThru)

 Si en una red usamos un proxy HTTP no deberíamos observar solicitud de datos HTTP

externos al proxy.

 Empleo estadístico en tiempo real ajustadas a patrones de botnets conocidas. Hay que tener

en cuenta que muchas botnets están relacionadas entre si y sus desarrollos provienen de un

código “base” común entre ellas.

 40

Detección de botnets mediante análisis de paquetes [19]

Estas técnicas consisten en inspeccionar los paquetes del trafico de red en busca de patrones o

características previamente definidas para detectar posibles amenazas. Se basan en la simple

observación, sin interferir o modificar ninguno de los elementos implicados. Estas técnicas

tienen la ventaja de ser más difíciles de detectar por los Bot Masters.

Ejemplos de uso de esta técnica es comprobar las IP de destino de los paquetes con las listas

negras de IP clasificadas como C&C de botnets, monitorizar conexiones a puertos diferentes de

los habituales o la búsqueda de cadenas de caracteres especiales que puedan identificar una

amenaza.

En función del tipo de análisis de paquetes podríamos distinguir entre inspección superficial

de paquetes (Stateful Packet Inspection o SPI) o inspección a fondo de los paquetes (Deep

Packet Inspection o DPI).

El análisis SPI se centra exclusivamente en los datos de cabecera (IP’s, puertos, protocolos,

etc.) pero no en el contenido del paquete. Este tipo de análisis SPI es el que realizan

normalmente los firewalls.

Por otro lado, en un análisis DPI, además de tenerse en cuenta los datos de cabecera de los

paquetes, el sistema analiza el contenido o parte útil del paquete. Este tipo de análisis es el mas

interesante desde el punto de vista de detección de botnets, ya que se utiliza una combinación de

técnicas de análisis basados en firmas, estadísticas y de anomalías para detectar posibles

amenazas en la red.
 41

Los tipos de sistemas o aplicaciones existen enfocados en realizar análisis DPI pueden ser

clasificados en IDS (Detección de Intrusos) e IPS (Detección preventiva de Intrusos).

Los IDS son sistemas pasivos que solo generan alertas, mientras que los IPS toman medidas

activas como cortar las conexiones sospechosas.

Ejemplos de este tipo de software IDS/IPS son SNORT,

Suricata o Bro.

Aunque esta técnica de detección es útil tiene varios problemas:

1. Falta de escalabilidad en redes con gran trafico la cantidad de información puede crear un

cuello de botella si las reglas del sistema no están bien definidas.

2. Alta tasa de falsos positivos.

3. Dificultades con el análisis de paquetes si las comunicaciones están cifradas, ya que no se

podrán descifrar el contenido de los paquetes a analizar.

A favor del análisis de paquetes tendría las siguientes ventajas:

1. Tiempo de reacción bajo, “simplemente” actualizando las reglas se puede proteger al

sistema frente a nuevas amenazas.

2. Flexibilidad, el sistema es capaz de detectar amenazas no definidas si se descubre

comportamientos anómalos.

3. Permite analizar ataques a posterior, si se registra el trafico de red.

 42

Detección de paquetes mediante análisis de flujo [20]

Esta técnica se basa en analizar el tráfico desde un punto de vista más abstracto, sin entrar a

analizar los datos propiamente dichos.

Básicamente, la idea es caracterizar las comunicaciones a partir de datos como direcciones IP

de origen y destino, puertos de comunicación, volumen de tráfico transmitido o duración de las

sesiones. Con todos estos datos, el sistema de análisis de flujo de red puede detectar

comportamientos estadísticamente anómalos o patrones de comportamiento mediante los cuales

se detecten botnets u otro tipo de amenazas.

Para este tipo de detección se usan herramientas como Netflow (protocolo de red que se ha

convertido en estándar de facto para el análisis de flujos de red en routers y switches). El análisis

de flujo de red puede detectar tanto amenazas desconocidas, al detectar comportamientos

anómalos como por ejemplo una botnet no identificada, como amenazas previamente

identificadas, como son IPs conocidas de los centros de C&C de una botnet.

Otra ventaja de esta técnica de análisis es la posibilidad de almacenar los reducidos metadatos

de las comunicaciones, gracias a lo cual se pueden realizar análisis retrospectivos de amenazas o

de ataques con el objeto estudiar la respuesta del sistema y mejorar las contramedidas existentes.

Por el contrario, esta técnica genera una sobrecarga de tráfico considerable, ya que los

dispositivos de enrutamiento envían los metadatos de las comunicaciones al servidor encargado

de almacenar y procesar esta información.

Por supuesto, esta técnica de detección es fácilmente evadible si es la única medida que se

aplica para detectar botnets. Existen técnicas, como la del algoritmo de generación de dominios
 43

(DGA) o covert channel (por ejemplo, con el de empleo de otro tipo de tráfico, como el ICMP),

que son utilizadas para evitar su detección, intentando que las conexiones realizadas por tipo de

amenazas pasen desapercibidas.

Por lo tanto, aunque útil, esta técnica no puede ser la única a ser usada en un sistema y deberia

ser complementada con otras, como el análisis de paquetes, análisis de logs, análisis de DNS, etc.

Detección de botnets basada en DNS [21]

Ya se explicó todas las técnicas que emplean las botnets para evitar ser detectadas (DGA, fast

flux, etc.), debido a ellas se producen unas características en el empleo a las llamadas a los

dominios (a través de la traducción que proporciona el DNS) y son estas características las que

emplean para la búsqueda de patrones botnet. A continuación, se muestran algunos ejemplos de

técnicas de detección de Botnets basadas en DNS:

1. Solicitudes DNS fallidas (NXDOMAIN): existen estudios que muestran que una forma de

detectar amenazas potenciales de malware perteneciente a una botnet es el análisis

estadístico de las peticiones fallidas de resolución de DNS al no estar registrados los

dominios utilizados por las botnets como C&C. Botnets como Conficker o Torpig utilizan

dominios con una alta entropía para evitar su posible detección, es decir que la utilización de

cada uno de los dominios es poco probable, con lo que necesita un gran número de dominios

para funcionar y muchos de estos pueden fallar en su resolución. Se buscan pues, masivas

respuestas de petición a dominios que no existen.

2. Monitorización de dominios maliciosos: Consiste en monitorizar todas las peticiones

realizadas al servidor DNS y comprobar que el dominio a resolver no está en ninguna lista
 44

negra (como las publicadas en DNSL o Realtime Blackhole List-RBL-). Estas listas son

generadas por diferentes organizaciones como Spamhaus o SpamRats.

3. Dominios con bajos TTL’s: Otro de los métodos usados por los creadores de botnets para

dificultar su detección es la modificación de la IP asociada a un dominio, técnica conocida

como fast-flux. De este modo al cambiar la IP de destino se dificulta la detección de

anomalías. Para realizar este cambio, estos dominios tienen un TTL o tiempo de vida muy

bajo, de este modo se fuerza a que los sistemas DNS a refrescar frecuentemente la caché de

resolución de la IP asociada al dominio, o en caso de TTL nulo, ni siquiera almacenarla. Por

lo tanto, aquellas peticiones DNS cuyo TTL sea muy bajo son sospechosas. Esta técnica

puede crear falsos positivos, ya que existen sistemas legítimos conectados a Internet que

utilizan este tipo de técnicas de ir cambiando la IP asociada a un dominio para balancear

carga en sus sistemas (por ejemplo, Google).

4. Detección de tráfico DNS anormal: Existen estudios que analizan la detección de botnets

en base al comportamiento anómalo de las peticiones DNS. Según estos estudios, algunas de

las aproximaciones que se utilizan son:

a) Búsqueda de nombres de dominio cuyas tasas de consulta sean anormalmente altas o que

están temporalmente concentradas.

b) Análisis de peticiones similares, tanto temporalmente analizando el tráfico DNS generado

por una misma IP o analizando las peticiones generadas por IP’s diferentes. El objetivo es la

detección de patrones de comunicaciones.

c) Peticiones a servidores DNS de países extranjeros puede ser un indicio para sospechar de la

existencia de una botnet. Quitando los grandes servidores de DNS, como Google, que alguien de
 45

un país dado realice peticiones a servidores DNS de otros países puede ser un indicio de un

comportamiento sospechoso.

d) Análisis de las direcciones que se solicitan para su resolución (DNS), analizando posibles

patrones como por ejemplo porcentaje de caracteres numéricos (cuando se generan

aleatoriamente como ya hemos comentado) o la inclusión de palabras reconocibles.

e) Análisis de uso de TCP como protocolo de transporte para consultas DNS, debido a que su

uso suele ser residual (se suele utilizar UDP) puede ser un indicador de un comportamiento

anómalo.

Empleo de honeypot [22]

Un honeypot es un recurso informático cuyo único objetivo es ser atacado. Así, un honeypot

atacado e investigado puede proporcionar información valiosa sobre el ataque y su atacante. El

empleo de honeypot para la investigación de botnet es habitual y es también la forma de

descubrirlos, aprender sobre ellos y luego inhabilitarlos (si es posible). Existen dos tipos de

honeypot.

 De baja interacción: A los honeypot de baja interacción se les permite una interacción

“limitada” con su atacante, todos los servicios de un honeypot de baja interacción son

emulados. Esto significa que los honeypot de baja interacción no son vulnerables y no se

infectara con el exploit. Estos servicios emulados se disfrazan de software vulnerable o

sistemas completos, fingiendo todo el dialogo de red a medida que avanza el ataque. El

objetivo final es simplemente recolectar una muestra de malware descargado. Ejemplo de

 46

software honeypots de baja interacción son Google Hack Honeypot, HoneyBOT, Honeytrap,

KFSensor, Multipot, Dionea, etc.

 Alta interacción: Los honeypots de alta interacción utilizan el servicio o software

vulnerable real, contralando de cerca el sistema, ya que es realmente explotado por los

atacantes. Esto tiene una ventaja sobre los honeypots de interacción bajos, ya que es posible

obtener una imagen mucho mas detallada de como exactamente progresa un ataque o como

se comporta una muestra de malware particular en un sistema real.

Además, los servicios emulados no se tiene la posibilidad de descubrir exploits

previamente desconocidos. Por su propia naturaleza, sim embargo es probable que los

honeypots de alta interacción se infecten por sí mismo, lo que requiere la mayor atención por

parte de los operadores para evitar que las consecuencias desastrosas se sigan propagando a

sistemas remotos o incluso locales. Es por estas razones que las salvaguardas mas estrictas

deben construirse alrededor del honeypot en lo que respecta a las políticas de seguridad de la

red. Ejemplo de honeypots de alta interacción son HoneyWall y Sebek.

Una vez que estas botnets han sido detectadas lo habitual es protegerse de ellas. Aquí

entramos en lo que llamamos la protección e inhabilitación de botnets.

2.7.2 Técnicas de protección e inhabilitación de botnets

Después de reunir suficientes evidencias sobre la existencia de una botnet se deben de tomar

medidas para inhabilitar nuestras maquinas afectadas por la botnet.

Las técnicas de protección en nuestra red y de las maquinas infectadas seria la siguiente:
 47

 Inicialmente TODAS las maquinas se consideran infectadas a la espera de la verificación

que niegue esa suposición.

 Hay que valorar la posibilidad de formatear todas las maquinas y que esto acabe con el

malware instalado (existen APT’s (Advanced Persistent Threat) capaces de permanecer en

un dispositivo, aunque este sea formateado).

 No poner nada en producción hasta que se compruebe que el sistema y toda la red esta libre

de ese malware.

 En general:

- Todos los host deber tener actualizado su sistema operativo (incluyendo los parches

correspondientes)

- Todas las aplicaciones deberían de ser legales, oficiales y obviamente también

actualizadas y parcheadas.

- Lo mismo se puede decir de un antivirus y un firewall de host eficaz.

- En la red es aconsejable disponer de sistemas IDS (como Snort) e IPS (como suricata)

con reglas especificas para botnets como emerging-botcc rules y botnet-cnc-ru.

- Es deseable que la red tenga bien configurados sus dispositivos cortafuegos y sus

capacidades de IDS/IPS si las tienen.

- Los usuarios no deben ejecutar contenido no confiable y menos con privilegios de

administrador (si disponen de él).

- Las comunicaciones de cualquier tipo deberían pasar a través de servicios proxis.

- Solo deberían permitirse consultas a DNS internos o confiables.

- Es una buena práctica disponer de un Honeypot (o varios) en la red empresarial y

monitorizar la red en tiempo real.

 48

- Empleo de herramientas gratuitas (o de pago) de detección de botnets (por ejemplo, Bot

Revolt, RuBotted, Bot Hunter, etc).

- Empleo de herramientas on-line de servicios antibotnet (como las de OSI-Incibe, Costant

Guard, Microsoft Safety Scaner, etc).

- Etc.

Además de las anteriores y para los administradores de sistemas se recomienda.

 Usar un firewall para bloquear todas las conexiones entrantes de internet a servicios que no

deberían estar disponibles al público (WhiteList).

 Aplicar políticas de contraseñas.

 Asegurar de que los programas y usuarios del equipo usen el nivel mas bajo de privilegios

necesarios para completar una tarea.

 Desactivar la reproducción automática para evitar el inicio de archivos ejecutables en la red

y de las unidades extraíbles (USB’s).

 Desactivar el uso compartido de archivos si no es necesario. Si se requiere compartir

archivos, usar ACL’s y protección con contraseñas para limitar el acceso. Deshabilitar el

acceso anónimo a las carpetas compartidas. Conceder acceso únicamente a cuentas de

usuario con contraseñas seguras a carpetas que deben compartirse.

 Desconectar y anular los servicios innecesarios.

 Si un malware infecta a un equipo en la red interna, deshabilitar o bloquear el acceso a

servicios desde este equipo hasta que se limpie.

 Mantener un DNS interno o confiable y no permitir añadir nuevas URL’s a HOSTS.

 49

 Configurar el servidor de correo electrónico para bloquear o eliminar el correo electrónico

que contenga archivos adjuntos que se usan comúnmente para propagar amenazas, como

archivos .vbs, .bat, .exe, .pif y .src

 Capacitar a los empleados para que no abran archivos adjuntos a menos que los estén

esperando y que no ejecute el software que se descargue de internet a menos que haya sido

escaneado en busca de virus. Simplemente visitar un sitio web comprometido puede causar

infección si ciertas vulnerabilidades del navegador no están parcheadas.

 Desactivar el bluetooh cuando no sea necesario.

 Mantener nuestra red local con el software de los equipos de red (router, switches, firewall,

etc.)

 Tener activados IDS, IPS y otro tipo de medidas con la regla de detección precisas y

actualizadas.

Por último, y aunque las técnicas de inhabilitación de las botnets pueden ser muy diversa y

estas suelen involucrar a varias organizaciones, diferentes organismos y gobiernos, se exponen

formas de desmantelar o al menos inutilizar una botnet.

Si tenemos estas sospechas, debemos emplear las siguientes medidas orientadas a la limpieza

de los equipos (en algunos casos es aconsejable desconectarnos de la red).

 Realizar una búsqueda o escaneo a través de aplicaciones, en búsqueda de artefactos

maliciosos.

 Programar la acción de un escaneo del antivirus antes del arranque del S.O.
 50

 Empleo de herramientas online que buscan conexiones “sospechosas” o a URL “maliciosas”

como podría ser la del servicio Antibotnet del INCIBE que incluso dispone de un plug-in

para navegadores.

 Empleo de herramientas de desinfección locales como HitmanPro.

 Empleo de herramientas para la desinfección especifica de Zeus como ZbotKiller

(Kaspersky) o SpyHunter Anti-Malware Tool.

 Si es posible, restaura el equipo a una configuración segura anterior a través de un Backup o

una aplicación que guarde este tipo de configuraciones.

 Realización de un análisis forense (muy técnico).

 Desinfección manual de los equipos (muy técnico). Aislar las computadoras comprometidas

para evitar que las amenazas se propaguen aún más. Realizar un análisis forense y restaurar

las computadoras utilizando medios confiables.

 Crear reglas específicas para IDS/IPS una vez analizado el malware, su código (si esto es

posible) y su comunicación.

 Difundir lo mas posibles sus direcciones DNS de C&C y la botnet en si para que sea

conocida (cuando más rápido mejor). Inhabilitar los alojamientos Web a través de sus

Webhosting o su IPS.

 Cerrar el trafico a determinadas direcciones IP dominios (listas negras en routers o

servidores proxy).

Hay que tener en cuenta que existen avisos de infección NO reales que nos invitan a ejecutar

algo que nos limpiara el equipo. Esto habitualmente nos descarga y nos instala un malware.
 51

CAPITULO TERCERO

3.1 DISCUCIÓN

Según el artículo, el Cuaderno de Notas del Observatorio (Inteco), nos dice que las botnets o

red de ordenadores zombis son conjuntos formados por ordenadores infectados por un tipo de

software malicioso, que permite al atacante controlar dicha red de forma remota. También nos

dice que este fenómeno ha experimentado un crecimiento continuado desde el 2006, año en que

los creadores de malware provocaron su proliferación y su influencia a la vista de la rentabilidad

que proporcionan los negocios ilícitos en internet.

Así también el informe de AndaluciaCert nos dice que hay múltiples maneras de infección y

vulnerabilidades, lo cual es bastante importante mitigarlas, a continuación, algunas de las formas

de infección: descarga e instalación de software infectados, ejecución de enlaces a correos

(emails), visita a páginas web infectadas o maliciosas etc. También nos indica las

vulnerabilidades a nivel red y host de las cuales son: contraseñas por defecto, software

parcheados ilegalmente, errores de sistemas, etc.

Sim embargo David Cantón, analista de ciberseguridad en Instituto Nacional de

Ciberseguridad (INCIBE) en ransomware, botnets y análisis de datos, nos indica técnicas para la

detección de botnets, técnicas pasivas y activas de las cuales son: inspección de paquetes,

análisis de registros de flujo, análisis de logs, infiltración, análisis de IRC’s y otras técnicas que

serán de ayuda para la inhabilitación de las botnets.

 52

3.2 CONCLUSIONES

El presente trabajo de investigación se basó en el estudio sobre los mecanismos de detección y

protección de las botnets en las redes inalámbricas (WLAN), basándose en el uso de técnicas de

detección a nivel host, red, análisis de paquetes y análisis de flujo.

Las botnets son una red compuesta por maquinas infectadas, con la finalidad de atacar, robar

credenciales y spamear, a sus víctimas, conforme va aumentando el numero de maquinas se

vuelve mas peligroso, dejando fuera de línea cualquier sistema conectado a internet, así también

afectando a las maquinas infectadas que realizan el ataque, también colapsando los servicios que

tienen debido al consumo de los recursos producido por el ataque.

Por consiguiente, se identificó las formas de infección y vulnerabilidades, concluyendo que

existen varias formas de infección, con intervención o sin intervención del usuario, de manera

que las que son con intervención del usuario suelen utilizar técnicas de ingeniería social para

lograr infiltrarse en el ordenador, y las que son sin intervención utiliza errores de programación

de aplicaciones o sistemas operativos para instalarse en el sistema, sin que el usuario se percate

de ello, así también aprovechando las vulnerabilidades que sufren los sistemas operativos al

instalar programas supuestamente legítimos en su ordenador o también utilizando contraseñas

por defecto en sus dispositivos.

De manera que se identificó técnicas que permiten analizar, diagnosticar, la detección de

botnets, clasificando estas técnicas en pasivas y activas. Por consiguiente, las técnicas pasivas

son: inspección de paquetes, análisis de registro de flujo, análisis basados en DNS, análisis de

SPAM, análisis de logs, honeypots, antivirus. Mientras que las técnicas activas son: infiltración
 53

DNS cache snooping, detección de redes Fast-Flux, análisis de IRC’s, enumeración de redes P2P

y otras técnicas que serían reversing, análisis forense de C&C y listas negras.
 54

Bibliografía

[1] Sergio, F. (1996). Tecnologias de la Informacion Segunda Edicion.

[2] C. A. Schiller, j. B. (2007). Botnet The Killer Web App.

[3] Mario, P. (2001). Auditoria Informatica un enfoque practico.

[4] Inteco. (2016). Botnets, Cuadernos de Notas del Observatorio.

[5] Orvalho, A. (2012). Botnet Detection By Correlation Analysis.

[6] Micro, T. (2006). Taxonomia Of Botnet Threats.

[7] Antrax. (2015). Botnets Desde Cero.

[8] AndaluciaCert. (2011) Redes de Ordenadores “Zombie”

[10] Netqual. (2015). Netqual. Obtenido de Netqual: http://www.netqual.com.ar/netqual/los-20-

ciberataques-considerados-los-mas-impactantes-del-siglo-xxi/

[11] Pandora. (2018). Pandora. Obtenido de Pandora: https://blog.pandorafms.org/es/botnet/

[12] Botnets.(s.f.). ShadowServer. Obtenido de ShadowServer:

https://www.shadowserver.org/wiki/pmwiki.php/Information/Botnets

[13] Press, E. (2018). Europa Press. Obtenido de Europa Press:

http://www.europapress.es/portaltic/ciberseguridad/noticia-ataques-botnet-ddos-

afectaron-92-paises-ultimo-trimestre-2017-kaspersky-lab-20180323172546.html
 55

[14] Dinero. (2017). Dinero. Obtenido de Dinero:

https://www.dinero.com/empresas/articulo/porcentaje-de-uso-de-software-ilegal-en-las-

empresas-segun-bsa/251575

[15] Wikipedia. (2014). Wikipedia. Obtenido de Wikipedia:

https://es.wikipedia.org/wiki/Zombi_%28inform%C3%A1tica%29

[16] Micro, T. (s.f.). TrendMicro. Obtenido de https://botnet-cd.trendmicro.com

[17] Malware, T. T. (2017). HeimdalSecurity. Obtenido de https://heimdalsecurity.com/blog/top-

financial-malware/

[18] WeLiveSecurity. (2009). WeLiveSecurity. Obtenido de WeLiveSecurity:

https://www.welivesecurity.com/la-es/2009/08/14/rat-troyanos-para-hacer-troyanos-

espian-usuario/

[19] Canton, D. (2016). Certsi. Obtenido de https://www.certsi.es/blog/botnets-analisis-paquetes

[20] Canton, D. (2016). Certsi. Obtenido de Certsi: https://www.certsi.es/blog/botnets-analisis-

flujo

[21] Canton, D. (2016). Cetsi. Obtenido de Cetsi: https://www.certsi.es/blog/botnets-dns

[22] Sacchetin, M. .. (2008). Botnet Detection and Analysis Using Honeynet.

[23] Europa, Press (2017). Obtenido de ABC: http://www.abc.es/tecnologia/redes/abci-botnets-

extractoras-criptomonedas-atacan-casia-millones-usuarios-2017-201709300312_noticia.html