Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tutor:
Primeramente, a Dios nuestro creador por darnos la vida y darnos fuerzas para seguir adelante
A la universidad Autónoma Gabriel René Moreno y a sus Docentes por la valiosa formación
A mi asesor el Ing. Luis Alberto Herbas, por la colaboración prestada para poder realizar esta
monografía.
DEDICATORIA
Dedicado especialmente a Dios por iluminarme en el trayecto de mi vida, A mis Padres Sra.
Sofía Ibarra Paco y Sr. Nicolás Mendoza Gonzales que con todo su amor, comprensión y cariño
me apoyaron a seguir adelante y poder concluir con este proyecto, a mis hermanos Aldair y
Jhonny por el apoyo, fortaleza y ejemplo de mi familia, a mis compañeros por haberme
Las botnets o red de ordenadores zombis son conjuntos formados por ordenadores infectados
por algún tipo de software malicioso, que permite al atacante controlar dicha red de forma
Por consiguiente, el presente trabajo tiene por finalidad realizar un estudio sobre los
mecanismos de detección y protección de las botnets en las redes inalámbricas (WLAN) de las
HTTP, DNS, IRC y P2P, que serán de ayuda para la inhabilitación de las botnets en las redes.
INDICE DE CONTENIDO
AGRADECIMIENTO................................................................................................................II
DEDICATORIA.......................................................................................................................III
CAPITULO I..............................................................................................................................1
1.1 INTRODUCCION.....................................................................................................1
1.2 PLANTEAMIENTO DEL PROBLEMA..................................................................4
1.2.1 Problema Central....................................................................................................4
1.2.2 Problema Secundarios............................................................................................4
1.3 PREGUNTAS DE INVESTIGACION.....................................................................5
1.4 OBJETIVOS DE LA INVESTIGACION.................................................................6
1.4.1 Objetivo general.....................................................................................................6
1.4.2 Objetivos específicos.............................................................................................6
1.5 DELIMITACION DE LA INVESTIGACION.........................................................6
1.6 JUSTIFICACION DE LA INVESTIGACION.........................................................7
1.7 METODOLOGIA DE LA INVESTIGACION.........................................................7
1.7.1 Tipo de investigación.............................................................................................7
1.7.2 Fuentes de información..........................................................................................7
CAPITULO II.............................................................................................................................8
2.1 FUNDAMENTOS TEORICOS....................................................................................8
2.1.1 Descripción............................................................................................................8
2.1.2 Ciclo de vida..........................................................................................................9
2.1.3 Objetivos de las Botnets.......................................................................................10
2.2 ANTECEDENTES......................................................................................................11
2.2.1 Historia.................................................................................................................11
2.2.2 El Crimen Organizado.........................................................................................12
2.3 ARQUITECTURA......................................................................................................14
2.3.1 Arquitectura Comando y Control.........................................................................14
2.3.2 Arquitectura centralizada.....................................................................................15
2.3.3 Arquitectura descentralizada................................................................................16
2.4 PROTOCOLOS.......................................................................................................18
2.4.1 Protocolos de comunicación de las botnet...........................................................18
2.4.2 Protocolo IRC......................................................................................................18
2.4.3 Protocolo HTTP...................................................................................................19
2.4.4 Otros protocolos...................................................................................................20
2.5 SITUACION ACTUAL...........................................................................................22
2.5.1 Situación actual de la amenaza............................................................................22
2.5.2 Casos reales más relevantes.................................................................................24
2.6 CREACION, FORMAS DE INFECCION Y VULNERABILIDADES.................28
2.6.1 Creación...............................................................................................................28
2.6.2 Formación de una botnet y funcionamiento.........................................................29
2.6.2 Formas de infección.............................................................................................31
2.7 MEDIOS DE DETECCION Y PROTECCION..........................................................35
2.7.1 Detección de botnets............................................................................................35
2.7.2 Técnicas de protección e inhabilitación de botnets..............................................46
CAPITULO TERCERO............................................................................................................51
3.1 DISCUCIÓN............................................................................................................51
3.2 CONCLUSIONES...................................................................................................52
Bibliografía...............................................................................................................................54
INDICE DE FIGURAS
CAPITULO I
1.1 INTRODUCCION
Hoy en día las redes de computadoras se han convertido en el soporte de cualquier empresa,
ya que estas ayudan a un mejor desarrollo de actividades y servicios. Estos servicios brindan
información sensible y de vital importancia para las empresas, generando diversas acciones
Las redes inalámbricas aparecen como una solución de comunicación en las empresas, de
manera que van tomando un papel muy importante. Una conexión inalámbrica se ha convertido
en una alternativa para ofrecer conectividad en lugares donde resulta complicado o imposible
Pero toda nueva tecnología trae consigo nuevos problemas, y en el caso de las redes
desconocimiento de las herramientas de seguridad disponibles para redes inalámbricas, hace que
estas redes de comunicación sean inseguras. Estos problemas de seguridad abarcan cuestiones
Todo esto implica que nuestros datos residen en ordenadores conectados a internet. Datos en
algunas ocasiones especialmente delicados, como es el caso de los datos bancarios, tramites de
las empresas, compras de artículos e incluso vida social. Además, lleva aparejado el aumento
Los datos bancarios, las identidades y el ancho de banda son elementos que tienen un valor
consultar el numero de tarjetas de crédito, con el que se pueden hacer compras. Las identidades
se pueden utilizar para enviarnos publicidad, el ancho de banda permite enviar correos
electrónicos a otros usuarios o enviar trafico hacia objetivos concretos con el objetivo de saturar
Es aquí donde surgen las botnets como herramienta para obtener dinero a partir de los
usuarios y maquinas conectadas a internet. Las botnets, aunque se pueden utilizar como un tipo
aprovechando las redes de comunicaciones, llevar a cabo las anteriores operaciones a gran escala
de forma automática. Este malware permite tener a miles de ordenadores trabajando a las
Los botnets están compuestos por bots (dispositivos infectados) que son controlados a
distancia por un maestro operador de la Bot a través de un canal de comando y control (C&C).
cada par se comunica entre sí, es decir bots y el maestro de la Bot. [2]
Las botnets se utilizan para realizas diferentes tipos de ataques como denegación de servicio
los bots contactan periódicamente con el servidor C&C para recibir instrucciones. Algunos de los
también llamadas “Peer To Peer” (P2P). solo uno de los bots recibe el mensaje directamente
3
desde el servidor C&C, a continuación, este Bot es responsable de transmitir el mensaje a otros
bots y los bots a mas bots sucesivamente. Algunos protocolos de comunicación utilizados son
El numero de los botnets ha ido creciendo con el transcurso de los años y sus ataques siguen
produciendo perdidas de datos y la dificultad en el acceso a los servicios por los usuarios
Durante el año 2017 las botnets extractoras de criptomonedas atacaron a casi dos millones
de usuarios, que consistía en una red de ordenadores infectados con un malware, un software
especializado que permite crear las monedas virtuales con tecnología “blockchain”,
En el último trimestre del 2017 según kaspersky Lab los ataques DDoS afectaron a 92
países, según la compañía de ciberseguridad ha explicado que las motivaciones detrás de los
Por todas estas razones se ha propuesto la detección y protección contra los ataques botnets
en las redes inalámbricas (WLAN), con el propósito de proteger la información de las empresas
Las redes inalámbricas de las empresas son el punto blanco de los atacantes, un muy elevado
porcentaje de las redes son instaladas sin tener en consideración la seguridad, convirtiendo así
sus redes en redes abiertas (o muy vulnerables a los crackers), sin proteger la información que
donde surgen las botnets para tomar acceso de los dispositivos conectados a una red como
herramientas para realizar diferentes tipos de ataques como denegación de servicio distribuido
Problemas administrativos
La seguridad en las redes inalámbricas no se logra solo con las tecnologías y las políticas de
las empresas, sino también la capacitación a los usuarios desempeña un papel fundamental en la
Problemas tecnológicos
progresiva saturación del aspecto radioeléctrico, debida a la masificación de usuarios, esto afecta
El 55% de las empresas de América Latina utiliza software ilegal, lo que representa puntos
accesibles para los piratas informáticos, y así tomar control de las computadoras. [14]
¿Cómo se puede prevenir los posibles ataques botnet en las redes inalámbricas (WLAN) para
Realizar un estudio sobre los mecanismos de detección y protección de las botnets en las
redes inalámbricas (WLAN) de las empresas a través de la revisión bibliográfica, con la finalidad
Estudiar las botnets: definición, componentes, tipos, objetivos, ciclo de vida y otras
Distinguir las formas de infección de las botnets y las vulnerabilidades que se utilizan para
Identificar técnicas que permitan explorar las vulnerabilidades, diagnosticando los flujos de
tráfico, monitoreo del IRC y protección de las redes inalámbricas (WLAN), para mitigar
futuros ataques.
Aspecto: Malware
El motivo por el cual se ha decidido estudiar y analizar este problema radica en que las botnet
como tal es un virus que se infiltran en las redes inalámbricas afectando a los usuarios,
provocando multitudinarias perdidas no solo de índole económico, además este factor pasa a ser
hecho estudios sobre este tipo de infecciones, de manera que es muy importante el conocer que
medios utiliza este virus dañino para infiltrarse y no ser detectado, que perdidas puede llegar a
provocar si no es detectado y eliminado a tiempo, de que forma podemos evitar estas intrusiones
revistas de tecnologías, sitios webs y periódicos digitales, orientadas sobre la materia objeto de
estudio.
8
CAPITULO II
2.1.1 Descripción
La palabra Botnet hace referencia a la unión de dos palabras del idioma americano: “Bot”,
versión abreviada de la palabra Robot, y “Net”, que significa red. Por lo tanto, una botnet es una
red compuesta por robots. Computadores que han sido comprometido por un código malicioso
que ha sido instalado, y son todos controlados, como robots de forma remota con fines
maliciosos. [15][4]
Estas redes constituyen la mayor amenaza actual en internet, debido a que pueden atacar
de servicio (DDoS). Además, pueden servir para difundir correo spam, e incluso pueden ser
usados como centros de distribución de malware. Una vez que son ejecutados, estos ataques
Una botnet es parecida a un troyano en el sentido que se hacen pasar por programas validos
para que sean instalados en equipos victimas y pueden permitir que el atacante tenga absoluto
control sobre el equipo. No es necesario tener un amplio conocimiento informático para poder
desarrollar y controlar uno de estos Ejércitos con conocimiento rudimentarios y los kits
disponibles en internet se pueden desarrollar uno. [15] Este esquema de funcionamiento puede
Las botnets pueden ser creadas y mantenidas en cinco fases, estas son: [4]
Fase de infección inicial. - durante el periodo del atacante busca vulnerabilidades en algún host
Fase de inyección secundaria. - en el host infectado se ejecuta un script llamado “Shell Code”
este script incluye una imagen del Bot ejecutable (o binario) y se instala a si mismo. Esto puede
Fase de conexión. - luego de establecer un canal C&C (Command And Control), el programa se
conecta al servidor C&C. una vez establecida esta fase, el host infectado pasa a ser parte de la
red zombie.
10
Fase C&C (Command And Control). - en esta fase el Botnetmaster utiliza el canal C&C ya
establecido para controlar a su red zombie, así los bots reciben y ejecutan órdenes.
actualizaciones. También muchas veces se les ordena migrar a otros servidores C&C de esta
teclado, puntos de la pantalla al hacer clic en el botón del ratón, archivos, tráficos de red y
datos almacenados. Esta habilidad puede ser utilizado para capturar información sobre
4. Contenido ilegal: los botnets se pueden utilizar para el almacenamiento ilegal de contenido,
5. Anonimato: cuando varias maquinas en todo el mundo se utilizan como los puentes para
2.2 ANTECEDENTES
2.2.1 Historia
Surgió junto con el crecimiento de los sistemas inteligentes. En un principio fue utilizado en
los sistemas de chat de IRC, donde existían unos servicios que era repetitivos, como control de
contenidos, privilegios, entre otras muchas tareas que podían ser sustituidos por algún programa
inteligente. [4]
El objetivo inicial de los Bots, era el de preservar nombres de usuario favoritos en los canales
de chat IRC, al finalizar la sesión uno activaba el Bot, el cual tomaría el nombre y permanecería
la sesión uno activaba el Bot, el cual tomaría el nombre y permanecería conectado al IRC,
preservando el nombre favorito y evitando que cualquier otro usuario pudiera tomarlo mientras
desarrolló con la finalidad de facilitar a los usuarios los distintos servicios de chat online pero la
Los ataques a estos sistemas de chat permitían a los atacantes obtener los privilegios de
expulsiones a otros usuarios, así como cambiar la descripción de los chats, etc. [4]
12
Alrededor del año 2003 cundo surgió un gran interés sobre las posibilidades ofrecidas por
botnets. Al principio de la década, el correo spam todavía era en gran parte una de las grandes
tareas de los bots. Bagle y Bobax fueron los primeros Botnets de spam y el malware Mytob fue
esencialmente una mezcla de un gusano de correo masivo. Los delincuentes evolucionaron las
botnets para distribuir sus actividades de spam en todas las maquinas víctima, dándole agilidad,
aplicaba. [12]
En 2006 aparece RuStock como una botnet de spam y Zeus (2007) que se consideran como
una herramienta de tobo de información. Desde ese año, Zeus problavemente se ha convertido en
la herramienta criminal mas utilizada en robar información. Los creadores de Zeus lo han
funcionalidad. [12]
Como estas nuevas versiones se han puesto a la venta a precios muy elevados, las versiones
anteriores se distribuyen gratuitamente. A menudo, estas versiones mas antiguas son infectadas
por los criminales, lo que significa que el “ladrón novato” también se convierte en la victima de
esa botnet. Este exceso de herramientas criminales de libre disposición ha reducido la barrera de
Zeus ha sido diseñado para realizar una infección efectiva en internet. [12]
Durante esta época ya se vieron casos de botnets enormes. Por ejemplo, la fundación
Shadowserver ha detectado mas de 6000 servidores C&C y esa cifra podría incluso ser baja en
13
comparación a la que se considera real. Trend Micro esta siguiendo decenas de millones de Pcs
infectados que se están utilizando para enviar Spam y esa cifra no incluye todas las demás Pc’s
infectados con bots que están siendo utilizados con fines de robo de información, DDoS o
2.3 ARQUITECTURA
Se cree que el servidor C&C es el cuello de botella de las botnets, debido a que si se logra
detectar entonces la botnet será deshabilitada. Si algún mecanismo de detección como los IDS
utilizados por el maestro de la botnet, entonces será posible deshabilitar esa botnet si se
maestro de la Bot y los bots controlados. Sin ese enlace de comunicación la botnet no será capaz
de lanzar ataques tan poderosos, ya que el poder de las botnets esta directamente relacionado a su
Como su nombre lo indica, el maestro de la Bot elige un único nodo considerado como el
punto central, en el que cada Bot se conecta cuando es infectado. Este nodo debe contar con un
gran ancho de banda, debido a que todas las comunicaciones pasan a través de ella. El maestro
de la Botnet puede ser el nodo central, pero de ser así, tendría la desventaja de perder la
dispersión en las comunicaciones. Por lo general el nodo central es un host comprometido. [5]
[6]
16
Después de la infección y una vez que los bots se comunican con el servidor central C&C, el
muestreo de la botnet dará las ordenes a los bots, para lanzar ataques infectar otros dispositivos o
Esta arquitectura tiene una alta supervivencia en el mundo real debido a que aun no hay
grandes contramedidas contra las botnets. A pesar de que los administradores de sistemas son
mas consientes de este problema, se han implementado mecanismos como el de captchas y las
listas negras para evitar que los bots ataquen a ciertos sistemas, no todos implementan
Otras de sus ventajas es la pequeña latencia de mensajería, lo cual hace que sea mucho más
fácil coordinar y poner en marcha los ataques. El principal inconveniente es que aquí solo hay
una estructura de C&C, es la única fuente de la conexión entre el maestro de la botnet y los bots.
Así que una vez encontrado y desactivado, el maestro de la Bot no tiene manera de comunicarse
con la botnet y esto hace que la botnet quede inservible. Algunas botnet que utilizan esta
arquitectura son RBot y Neris, las cuales utilizan el protocolo IRC. [5]
En esta arquitectura el maestro de la botnet organiza los bots y los C&C como si se tratara de
la red P2P. puede ser estructurada o no estructurada. Esta tecnología es mucho mas resistente a la
C&C ya que todos los bots pueden ser servidores de C&C por lo que una vez que uno se
desactiva casi no tiene efecto sobre la desactivación de toda la botnet. Esta característica es la
razón principal por esta arquitectura es una tendencia cada vez mayor entre la comunidad
17
conversaciones entre grupos pequeños lo que hace que sea más difícil lanzar grandes ataques.
Además, no hay garantía de entrega de mensajes y tiene una latencia mas alta en la propagación
de mensajes cuando se compara con el modelo centralizado. Esto trae serios problemas de
coordinación sobre los bots despliegan el ataque, pero aporta un modelo mucho más robusto. [5]
18
2.4 PROTOCOLOS
Los protocolos de comunicación utilizados por las botnets para el intercambio de información
son de una enorme utiliza para los investigadores y administradores de sistemas. La comprensión
buscar y que tipo de trafico observar. En primer lugar, por que si se conoce el protocolo utilizado
se puede monitorear por donde se envía normalmente el trafico y filtrarlo y en segundo lugar se
puede definir un patrón normal de un paquete o flujo del protocolo y filtrar lo que parece
donde viene y que posibles herramientas de software se están utilizando. En esta sección se
Es el protocolo mas utilizado por los maestros de las botnets para ponerse en contacto con sus
bots, debido a que fue el primer protocolo usado por las botnets. El protocolo IRC esta diseñado
principalmente para las comunicaciones entre grupos grandes, pero permite las comunicaciones
privadas entre las entidades individuales, lo que da al maestro de las botnets la herramienta
adecuada para comunicarse de una manera fácil y flexible. Normalmente todos los bots se
conectarán con el mismo canal de IRC en el servidor C&C designado a un servidor IRC libre.
Aquí el maestro de la Bot emitirá una orden y los bots utilizaran su programa para interpretar los
comandos y seguir la orden, ya sea para atacar y otras actividades maliciosas. Se podría pensar
que al examinar el contenido del tráfico IRC, se podría detectar comandos botnet, pero existen
19
inconvenientes al tratar de examinar contenido. Primero los canales de IRC permiten a los
usuarios tener una contraseña en el canal por lo que los mensajes están cifrados. Segundo, cada
Bot tiene sintaxis diferente y puesto que hay una gran cantidad de familias y cientos de
normalmente, lo que hace que sea más fácil saber si un Bot esta actuando ya que no hay trafico
IRC y si lo hay significa que alguien ha sido infectado. Hoy en día y para pasar este obstáculo,
los bots han sido capaces de crear un túnel bajo HTTP para utilizar el protocolo IRC, lo que hace
que sea más difícil para los métodos de detección, el detectarlo. Ya hay algunos IDS (Sistema de
detección de intrusos) que pueden detectar este tipo de tráfico. [5] [11]
A pesar de que en los lugares corporativos han tomado algunas medidas para detectar este tipo
de actividad, la mayoría de los hogares y las pequeñas empresas no están bien protegidos contra
este tipo de actividad lo que hace que este protocolo sea una herramienta muy atractiva, para ser
utilizada por los atacantes ya que hay un gran numero de mecanismos de software que hacen que
la utilización de IRC. La principal ventaja es fácil de notar, la mayor parte del trafico en internet
es HTTP por lo que es mucho más difícil encontrar actividades maliciosas ya que el objetivo a
Su funcionamiento es sencillo, solo necesita usar la URL para publicar los comandos
necesarios. Después de ser infectado, el Bot visita una URL con su ID, lo cual esta en el servidor
controlado por el maestro de la botnet, el servidor responde con una nueva dirección. URL que
será analizada poro el Bot para interpretar las ordenes de la actividad maliciosa. [5]
Normalmente los cortafuegos bloquean el trafico entrante de IRC, pero no pueden hacer lo
mismo para el HTTP (o bloquearían todas las conexiones normales HTTP), entonces se tendrían
que aplicar filtros adecuados para las cabeceras anómalas o el payload (si no está cifrado). La
practica de actividades maliciosas que utilizan este protocolo tiende a crecer y tal vez un día
podrían ser el mas utilizado, la ventaja de pasar por los cortafuegos de una manera fácil y el
porcentaje de trafico a analizar, hace que sea una herramienta poderosa. Tal vez el principal
inconveniente es la latencia inherente a ponerse en contacto con un gran numero de bots y unir
En los últimos años se observan métodos alternativos para controlar los sistemas zombis,
destinados a eludir en lo posible que la red resulte detectada. En 2007 se informó el uso de redes
P2P para el control de botnets, que prescindían de un controlador clásico y realizaban este
control por medio de un sistema distribuido similar al que se usa para el intercambio de archivos
Las redes sociales son actualmente uno de los focos de infección preferidos para alojar
botnets. En agosto de 2009 se utilizó la infraestructura de Twitter como panel de control de una
botnet. Un usuario registrado (el atacante) cada vez que publicaba una nota estaba en realidad
21
enviando mensajes a las máquinas comprometidas que formaban parte de la botnet. Los mensajes
De nuevo en mayo de 2010 Twitter ha sido objeto de otro ciberataque de estas características5,
detectándose una aplicación que permite infectar usuarios registrados en la red social. El
malware recibe los comandos a través del perfil del usuario, por lo que atacante puede controlar
los equipos infectados a través de los contenidos que escriba en su perfil de Twitter. Entre los
ataques que puede realizar el ciber atacante están la denegación de servicio distribuida (DDoS),
víctima. Por último, el atacante puede realizar la eliminación automática de la botnet y el perfil
Como una imagen vale más que mil palabras, se presenta la imagen 2.3 obtenida de Trend
Micro, que nos muestra la actividad y la situación de las botnets a nivel mundial durante los
últimos 14 días (tomada el 24/05/18) relacionados con los botnets en el mundo divididas en
“C&C server” y “Target Computers”, se pueden observar que existen más de 11348 servers
“localizados” (estimadoso que se puede localizar solo un porcentaje menor de ellos) y más de
Hay que tener en cuenta, además que se estima que solo se pueden detectar una minoría de
últimos días. Estas cifras son preocupantes ya que, aunque detectados siguen con su actividad y
Por otro lado, el llamado crimeware (Tipo de software que ha sido específicamente diseñado
para la ejecución de delitos financieros) preocupa mucho al ámbito económico y está muy
relacionado con las botnets. Tanto es así que una empresa como Heimdal Security en un artículo
suyo (año 2017) establece que de los 10 malware más peligrosos como Crimeware los 9
1. Zbot/Zeus
10. CryptoLocker
24
podrá realizar una clasificación de los más grandes, los más destructivos o los más conocidos. A
continuación, se han seleccionado los casos reales que han podido tener más “impacto” social
teniendo en cuenta todos los parámetros (tamaño, nivel de destrucción y popularidad). [17]
Es importante remarcar que existen multitud de variantes o “reléase” de una misma botnet, ya
que los desarrolladores los van mejorando para adaptarse a las medidas de seguridad para variar
STORM
Reaparición: 2010
50.000.000
Características: Storm fue la botnet más grande y con mayor propagación hasta la fecha,
propagación, pero sus atacantes también lanzaron a través de las descargas en los sitios web
CONFICKER
Origen: Puede ser alemán, por su nombre, o ucraniano, por su servidor primario.
binarios firmados y encriptados para ayudar a evitar cualquier acción de desinfección. Una
vez que la versión esta activa, se descarga e instala el malware “Waledac” para enviar spam.
Una de sus variaciones fue SpyProtect (2009) con la que trataba de convencer a las
potenciales víctimas para comprar un falso programa antivirus cuando en realidad lo que
hace es iniciar una serie de ataques DoS a la red local a través inundaciones ARP, bloqueos
MARIPOSA
Origen: España
Estado actual: desarticulada gracias a los esfuerzos de las fuerzas de seguridad españolas
credenciales con la que realizar envió masivo de spam y tomar el control del equipo para su
utilización en ataques DDoS. La red mariposa estaba disponible para ser alquilada. El 3 de
febrero de 2010, la guardia civil procedió a la detención de Netkairo líder de la banda DDP
Team (Dias de pesadilla team) que usaba MARIPOSA para detener más tarde a su creador,
el hacker apodado “Iserdo”, de 23 años de edad y autor confirmado del kit de botnet
Mariposa.
MIRAI
Origen: desconocido
Tipo de botnet: Mirai es una botnet cuyo objetivo son dispositivos del llamado internet de
las cosas (En ingles, Internet of Thing, abreviado IoT). Los principales objetivos de este
malware se han sido los Reuters, grabadores digitales de video y cámaras IP de vigilancia,
principal método de infección de Mirai es mediante el uso de credenciales por defecto que el
malware, incluye ya que muchas de las cuales son usadas en dispositivos IoT donde la
Dynpico, Dyn fue inundado por 1.2 Tbps de tráfico, el mayor volumen de tráfico DDoS
jamas grabado. El análisis del ataque confirmo que el tráfico DDoS se origino en los
2.6.1 Creación
Normalmente el código que se emplea para crear los artefactos de control y contaminación de
una botnet utilizan lenguajes Orientados a Objetos (POO) ya que resultan mucho más cómodos
de utilizar.
empleo de técnicas de coordinación entre artefactos troyano ya existentes son también habituales
en su desarrollo.
Por otro lado, el empleo del modularidad en su diseño y, por lo tanto, el empleado en la
descarga e instalación de un Bot nos permite crear unos bots iniciales muy reducidos que luego
irán descargando las herramientas (o módulos de código) asociadas que necesiten. Ello hace que,
además puedan pasar más inadvertidos ante aplicaciones o herramientas de seguridad. [18]
Es necesario tener en cuenta que un Bot, troyano o un RAT (Remote Acces Tools) a veces
puedan parecer sinónimos, pero no lo son. En teste ámbito podríamos describirlos como: [18]
Remote Acces Tools: Herramienta de software que crea un medio de enlace a través de un
puerto para exponer al servicio o recibir ordenes remotamente. No todos los RATs son
malware, existen herramientas de acceso remoto para, por ejemplo, administrar servicios o
máquinas.
29
Troyano: Elemento software que tiene una finalidad distinta a la que el usuario cree y por
ello (a veces) la instala conscientemente (otras veces no). Este elemento lo que si realiza son
acciones maliciosas con distintos fines. Además, este troyano puede o ser ser un RAT.
Bot: Habitualmente es un troyano con funcionalidad de RAT para poder ejecutar ordenes,
entregar resultados y descargar o instalar los módulos necesarios para desarrollar sus
actividades maliciosas.
Aunque los métodos de creación y desarrollo del funcionamiento de una Botnet son muy
variados, se identifican una serie de etapas comunes en la vida útil de este tipo de redes: [4]
1. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios
2. Además, necesitará un malware que se aloje en los equipos y permita el control del mismo,
denominado Bot, que frecuentemente es un troyano. Este malware puede ser creado por él
mismo (el creador de la red) o puede comprar este Bot a un creador de malware.
3. El siguiente paso consiste en distribuir el malware o Bot por cualquier método: correo basura,
páginas con vulnerabilidades, ingeniería social, etc. El objetivo final es que las víctimas
propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero diseñados
específicamente para formar parte de una red concreta una vez infectados) de llegar a otros
sistemas desde un sistema infectado a su vez. Si tiene éxito, el número de zombis puede llegar
a crecer exponencialmente.
30
4. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados, puede
ser:
distribuido.
Construir servidores web para alojar material ilícito (pornográfico y/o pedófilo), realizar
escritorio remoto.
Alquilarla a terceros, de tal forma que el cliente recibe los servicios y el creador controla la
red.
31
6. La botnet permanecerá activa mientras se produzca la actualización del Bot para dificultar su
detección, añadir alguna funcionalidad o alguna otra mejora. El declive de la misma puede
Para que una botnet se extienda, debe tener una forma de infección eficaz. Existen varias
formas de infección, con intervención o sin intervención del usuario. Las que requieren
intervención del usuario suelen utilizar técnicas de ingeniería social para lograr infiltrarse en el
ordenador.
operativos para instalarse en el sistema sin que el usuario se percate de ello. La ejecución de
código por desbordamiento de buffer es una de las vulnerabilidades más conocidas para la
instalación de malware. SDBot utiliza varias vulnerabilidades de software como una de las
formas de propagarse.
Cuando la instalación del malware requiere la intervención del usuario para su ejecución, una
de las técnicas de propagación que se suele utilizar se basa en el envió masivo de emails. El
email recibido contiene un texto y un adjunto que resulta inocente para el usuario, como puede
ocasiones lleva un enlace, en lugar de un adjunto, que abre la pagina web que contiene el
malware. En estos casos, se instala explotando vulnerabilidades del explorador o alguno de sus
componentes o, de forma mas simple, descargando un archivo que el usuario deberá ejecutar. La
mensajería instantánea también ha sido utilizada como medio para propagar malware, actuando
Las botnets en ocasiones utilizan vulnerabilidades de las aplicaciones para propagarse. En este
caso, su uso es muy diverso y esta condicionado al lanzamiento de un parche por parte del
fabricante que lo corrija. El lanzamiento de parches también se utiliza por parte de los
desarrolladores de malware para lanzar vectores de infección que exploten esa vulnerabilidad en
equipos que no están actualizados. Hay multitud de ejemplos de vulnerabilidades que han sufrido
o sufren los distintos sistemas operativos, las máquinas virtuales javas, adobe flash player, adobe
acrobat reader y los navegadores de internet, que se corrigen mediante parches y versiones
nuevas.
instalar malware sin ser detectado. En esta ocasión, el paquete de software no se descarga del
unido al instalador del software. De forma transparente para el usuario, el malware se instala de
freeware, shareware y comerciales obtenidas de sitios web no fiables, así como complementos a
Los dispositivos que pueden ser infectados por estos bots y convertirse en maquinas zombis
son todos aquellos relacionados con las comunicaciones y/o la informática, es decir cualquiera
que sea capaz de ejecutar código. Ejemplos de ellos serian ordenadores personales, tables,
industrial, etc.
En las plataformas Windows, es habitual que los usuarios se descarguen programas desde
internet sin saber exactamente que es lo que hace el programa. Este software podría contenet un
Bot, una vez que el programa se ejecuta, puede escanear la red de área local, disco duro, puede
En entornos como UNIX, GNU/Linux o BSD, muy empleados en IoTs, la forma de ataque a
servidores para construir expandir una Bonet suele ser por telnet o SSH (puertos 23 y 22). Esto
se realiza con el método de “Prueba y error”, probando usuarios comunes y contraseñas por
34
defecto o al azar o con herramientas de fuerza bruta. También se pueden aprovechar ataques a
La forma de infección que llevo a Mirai a “secuestrar” millones de dispositivos IoT fue con el
usuario y contraseña por defecto que casi nadie se molesta en cambiar en este tipo de elementos.
35
ante las botnets, algunas podrían fijarse en si se usan técnicas pasivas o activas, si son a nivel de
Este desafío de clasificar lo inclasificable se debe a la multitud de puntos de vista que puedan
existir con respecto a la botnet. Así podremos verlo desde el punto de vista del atacante, de la
victima o incluso desde el punto de vista del tercero que la está detectando.
En las anteriores secciones ha quedado claro que existen una serie de botnets que trabajan de
funcionalidad, objetivos y el tamaño de tráfico que puede causar en una red. Por consiguiente, a
verdugos (en caso de ser un equipo zombi) de una botnet es la siguiente. [12]
detectaran).
informático).
37
Recepción de correo extraño o tus contactos reciben correos tuyos que no enviaste.
Aparición de ventanas emergentes aleatorias que probablemente sean una infección a veces
Lentitud de la máquina, aunque se puede deber a otros aspectos, es una señal de alarma para
Actividad de la maquina (disco duro, uso de memoria o conexión al Router del hogar)
Etc.
La realidad es que las posibilidades de detección a nivel de host una vez que el equipo esta
infectado son realmente bajas. Ellos nos llevan a considerar otras técnicas más afectivas (a nivel
red).
38
Técnicas de detección a nivel de red. - El monitoreo de una red de malware (en nuestro caso
botnets) se puede realizar a nivel de muestra red local y su conexión al exterior (y viceversa) o se
puede ver desde el punto de vista de la monitorización de internet, que suele ser llevado a cabo
por organismos constituidos para proporcionar seguridad, como las empresas dedicada al test de
botnets.
Los síntomas que nos pueden indicar que existen sospechas de trafico botnet en la red son los
siguientes. [12]
Trafico IRC que sele ir en texto claro con lo que se puede analizar y podríamos realizar
búsquedas de palabras clave relacionadas con comandos de una botnet, búsqueda de puertos
IRCs predeterminados (el rango de puerto completo especificado por el RFC es 6660-6669,
7000 y el 113). Hay que tener en cuenta que muchos administradores de botnet utilizaran
Emplear listas de servidores conocidos C&C para ver si existen intentos de conexión de
ellos. En dssshield mantienen una lista negra de IP’s generada cooperativamente pro sus
miembros.
Detección de tráfico mediante análisis de paquetes. Es una técnica que emplea varias de las
descritas anteriormente.
Detección a través de trafico DNS. Si una gran cantidad de máquinas están haciendo las
Detección de cualquier tipo de malware en la red propia. Este podría haber sido descargado
excesivo trafico en los puertos 135, 139, 445 (intercambio de archivos Windows).
Existencia de trafico de escaneo de puertos, señal que invoca que están buscando servicios y
vulnerabilidades en la red.
Trafico NO correspondiente a esa máquina. Por ejemplo, si se observa trafico SMTP en una
Si en una red usamos un proxy HTTP no deberíamos observar solicitud de datos HTTP
externos al proxy.
Empleo estadístico en tiempo real ajustadas a patrones de botnets conocidas. Hay que tener
en cuenta que muchas botnets están relacionadas entre si y sus desarrollos provienen de un
Estas técnicas consisten en inspeccionar los paquetes del trafico de red en busca de patrones o
observación, sin interferir o modificar ninguno de los elementos implicados. Estas técnicas
tienen la ventaja de ser más difíciles de detectar por los Bot Masters.
Ejemplos de uso de esta técnica es comprobar las IP de destino de los paquetes con las listas
los habituales o la búsqueda de cadenas de caracteres especiales que puedan identificar una
amenaza.
En función del tipo de análisis de paquetes podríamos distinguir entre inspección superficial
de paquetes (Stateful Packet Inspection o SPI) o inspección a fondo de los paquetes (Deep
El análisis SPI se centra exclusivamente en los datos de cabecera (IP’s, puertos, protocolos,
etc.) pero no en el contenido del paquete. Este tipo de análisis SPI es el que realizan
Por otro lado, en un análisis DPI, además de tenerse en cuenta los datos de cabecera de los
paquetes, el sistema analiza el contenido o parte útil del paquete. Este tipo de análisis es el mas
interesante desde el punto de vista de detección de botnets, ya que se utiliza una combinación de
amenazas en la red.
41
Los tipos de sistemas o aplicaciones existen enfocados en realizar análisis DPI pueden ser
Los IDS son sistemas pasivos que solo generan alertas, mientras que los IPS toman medidas
Suricata o Bro.
1. Falta de escalabilidad en redes con gran trafico la cantidad de información puede crear un
comportamientos anómalos.
Esta técnica se basa en analizar el tráfico desde un punto de vista más abstracto, sin entrar a
sesiones. Con todos estos datos, el sistema de análisis de flujo de red puede detectar
Para este tipo de detección se usan herramientas como Netflow (protocolo de red que se ha
convertido en estándar de facto para el análisis de flujos de red en routers y switches). El análisis
anómalos como por ejemplo una botnet no identificada, como amenazas previamente
identificadas, como son IPs conocidas de los centros de C&C de una botnet.
Otra ventaja de esta técnica de análisis es la posibilidad de almacenar los reducidos metadatos
de ataques con el objeto estudiar la respuesta del sistema y mejorar las contramedidas existentes.
Por el contrario, esta técnica genera una sobrecarga de tráfico considerable, ya que los
Por supuesto, esta técnica de detección es fácilmente evadible si es la única medida que se
aplica para detectar botnets. Existen técnicas, como la del algoritmo de generación de dominios
43
(DGA) o covert channel (por ejemplo, con el de empleo de otro tipo de tráfico, como el ICMP),
que son utilizadas para evitar su detección, intentando que las conexiones realizadas por tipo de
Por lo tanto, aunque útil, esta técnica no puede ser la única a ser usada en un sistema y deberia
ser complementada con otras, como el análisis de paquetes, análisis de logs, análisis de DNS, etc.
Ya se explicó todas las técnicas que emplean las botnets para evitar ser detectadas (DGA, fast
flux, etc.), debido a ellas se producen unas características en el empleo a las llamadas a los
dominios (a través de la traducción que proporciona el DNS) y son estas características las que
1. Solicitudes DNS fallidas (NXDOMAIN): existen estudios que muestran que una forma de
dominios utilizados por las botnets como C&C. Botnets como Conficker o Torpig utilizan
dominios con una alta entropía para evitar su posible detección, es decir que la utilización de
cada uno de los dominios es poco probable, con lo que necesita un gran número de dominios
para funcionar y muchos de estos pueden fallar en su resolución. Se buscan pues, masivas
realizadas al servidor DNS y comprobar que el dominio a resolver no está en ninguna lista
44
negra (como las publicadas en DNSL o Realtime Blackhole List-RBL-). Estas listas son
3. Dominios con bajos TTL’s: Otro de los métodos usados por los creadores de botnets para
anomalías. Para realizar este cambio, estos dominios tienen un TTL o tiempo de vida muy
bajo, de este modo se fuerza a que los sistemas DNS a refrescar frecuentemente la caché de
lo tanto, aquellas peticiones DNS cuyo TTL sea muy bajo son sospechosas. Esta técnica
puede crear falsos positivos, ya que existen sistemas legítimos conectados a Internet que
4. Detección de tráfico DNS anormal: Existen estudios que analizan la detección de botnets
en base al comportamiento anómalo de las peticiones DNS. Según estos estudios, algunas de
a) Búsqueda de nombres de dominio cuyas tasas de consulta sean anormalmente altas o que
por una misma IP o analizando las peticiones generadas por IP’s diferentes. El objetivo es la
c) Peticiones a servidores DNS de países extranjeros puede ser un indicio para sospechar de la
existencia de una botnet. Quitando los grandes servidores de DNS, como Google, que alguien de
45
un país dado realice peticiones a servidores DNS de otros países puede ser un indicio de un
comportamiento sospechoso.
d) Análisis de las direcciones que se solicitan para su resolución (DNS), analizando posibles
e) Análisis de uso de TCP como protocolo de transporte para consultas DNS, debido a que su
uso suele ser residual (se suele utilizar UDP) puede ser un indicador de un comportamiento
anómalo.
Un honeypot es un recurso informático cuyo único objetivo es ser atacado. Así, un honeypot
descubrirlos, aprender sobre ellos y luego inhabilitarlos (si es posible). Existen dos tipos de
honeypot.
De baja interacción: A los honeypot de baja interacción se les permite una interacción
“limitada” con su atacante, todos los servicios de un honeypot de baja interacción son
emulados. Esto significa que los honeypot de baja interacción no son vulnerables y no se
sistemas completos, fingiendo todo el dialogo de red a medida que avanza el ataque. El
software honeypots de baja interacción son Google Hack Honeypot, HoneyBOT, Honeytrap,
vulnerable real, contralando de cerca el sistema, ya que es realmente explotado por los
atacantes. Esto tiene una ventaja sobre los honeypots de interacción bajos, ya que es posible
obtener una imagen mucho mas detallada de como exactamente progresa un ataque o como
previamente desconocidos. Por su propia naturaleza, sim embargo es probable que los
honeypots de alta interacción se infecten por sí mismo, lo que requiere la mayor atención por
parte de los operadores para evitar que las consecuencias desastrosas se sigan propagando a
sistemas remotos o incluso locales. Es por estas razones que las salvaguardas mas estrictas
deben construirse alrededor del honeypot en lo que respecta a las políticas de seguridad de la
Una vez que estas botnets han sido detectadas lo habitual es protegerse de ellas. Aquí
Después de reunir suficientes evidencias sobre la existencia de una botnet se deben de tomar
Las técnicas de protección en nuestra red y de las maquinas infectadas seria la siguiente:
47
Hay que valorar la posibilidad de formatear todas las maquinas y que esto acabe con el
No poner nada en producción hasta que se compruebe que el sistema y toda la red esta libre
de ese malware.
En general:
- Todos los host deber tener actualizado su sistema operativo (incluyendo los parches
correspondientes)
actualizadas y parcheadas.
- En la red es aconsejable disponer de sistemas IDS (como Snort) e IPS (como suricata)
- Es deseable que la red tenga bien configurados sus dispositivos cortafuegos y sus
- Etc.
Usar un firewall para bloquear todas las conexiones entrantes de internet a servicios que no
Asegurar de que los programas y usuarios del equipo usen el nivel mas bajo de privilegios
archivos, usar ACL’s y protección con contraseñas para limitar el acceso. Deshabilitar el
que contenga archivos adjuntos que se usan comúnmente para propagar amenazas, como
Capacitar a los empleados para que no abran archivos adjuntos a menos que los estén
esperando y que no ejecute el software que se descargue de internet a menos que haya sido
escaneado en busca de virus. Simplemente visitar un sitio web comprometido puede causar
Mantener nuestra red local con el software de los equipos de red (router, switches, firewall,
etc.)
Tener activados IDS, IPS y otro tipo de medidas con la regla de detección precisas y
actualizadas.
Por último, y aunque las técnicas de inhabilitación de las botnets pueden ser muy diversa y
Si tenemos estas sospechas, debemos emplear las siguientes medidas orientadas a la limpieza
maliciosos.
Programar la acción de un escaneo del antivirus antes del arranque del S.O.
50
como podría ser la del servicio Antibotnet del INCIBE que incluso dispone de un plug-in
para navegadores.
Desinfección manual de los equipos (muy técnico). Aislar las computadoras comprometidas
para evitar que las amenazas se propaguen aún más. Realizar un análisis forense y restaurar
Crear reglas específicas para IDS/IPS una vez analizado el malware, su código (si esto es
posible) y su comunicación.
Difundir lo mas posibles sus direcciones DNS de C&C y la botnet en si para que sea
conocida (cuando más rápido mejor). Inhabilitar los alojamientos Web a través de sus
Webhosting o su IPS.
servidores proxy).
Hay que tener en cuenta que existen avisos de infección NO reales que nos invitan a ejecutar
algo que nos limpiara el equipo. Esto habitualmente nos descarga y nos instala un malware.
51
CAPITULO TERCERO
3.1 DISCUCIÓN
Según el artículo, el Cuaderno de Notas del Observatorio (Inteco), nos dice que las botnets o
red de ordenadores zombis son conjuntos formados por ordenadores infectados por un tipo de
software malicioso, que permite al atacante controlar dicha red de forma remota. También nos
dice que este fenómeno ha experimentado un crecimiento continuado desde el 2006, año en que
Así también el informe de AndaluciaCert nos dice que hay múltiples maneras de infección y
(emails), visita a páginas web infectadas o maliciosas etc. También nos indica las
vulnerabilidades a nivel red y host de las cuales son: contraseñas por defecto, software
Ciberseguridad (INCIBE) en ransomware, botnets y análisis de datos, nos indica técnicas para la
detección de botnets, técnicas pasivas y activas de las cuales son: inspección de paquetes,
análisis de registros de flujo, análisis de logs, infiltración, análisis de IRC’s y otras técnicas que
3.2 CONCLUSIONES
protección de las botnets en las redes inalámbricas (WLAN), basándose en el uso de técnicas de
Las botnets son una red compuesta por maquinas infectadas, con la finalidad de atacar, robar
vuelve mas peligroso, dejando fuera de línea cualquier sistema conectado a internet, así también
afectando a las maquinas infectadas que realizan el ataque, también colapsando los servicios que
existen varias formas de infección, con intervención o sin intervención del usuario, de manera
que las que son con intervención del usuario suelen utilizar técnicas de ingeniería social para
lograr infiltrarse en el ordenador, y las que son sin intervención utiliza errores de programación
de aplicaciones o sistemas operativos para instalarse en el sistema, sin que el usuario se percate
de ello, así también aprovechando las vulnerabilidades que sufren los sistemas operativos al
botnets, clasificando estas técnicas en pasivas y activas. Por consiguiente, las técnicas pasivas
son: inspección de paquetes, análisis de registro de flujo, análisis basados en DNS, análisis de
SPAM, análisis de logs, honeypots, antivirus. Mientras que las técnicas activas son: infiltración
53
DNS cache snooping, detección de redes Fast-Flux, análisis de IRC’s, enumeración de redes P2P
y otras técnicas que serían reversing, análisis forense de C&C y listas negras.
54
Bibliografía
ciberataques-considerados-los-mas-impactantes-del-siglo-xxi/
https://www.shadowserver.org/wiki/pmwiki.php/Information/Botnets
http://www.europapress.es/portaltic/ciberseguridad/noticia-ataques-botnet-ddos-
afectaron-92-paises-ultimo-trimestre-2017-kaspersky-lab-20180323172546.html
55
https://www.dinero.com/empresas/articulo/porcentaje-de-uso-de-software-ilegal-en-las-
empresas-segun-bsa/251575
https://es.wikipedia.org/wiki/Zombi_%28inform%C3%A1tica%29
financial-malware/
https://www.welivesecurity.com/la-es/2009/08/14/rat-troyanos-para-hacer-troyanos-
espian-usuario/
flujo
extractoras-criptomonedas-atacan-casia-millones-usuarios-2017-201709300312_noticia.html