Mosquera, Elvis Contenido por Temas • Introducción • En que consiste • Funcionamiento • Mecanismos para minimizar este tipo de ataque • Ejemplos • Infografía Actividad para verificar que los compañeros comprendieron el tema Introducción
Botnet es un término que hace referencia a un conjunto o red de robots
informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Esta modalidad permite al hacker controlar múltiples equipos para la creación de sus delitos. ¿Qué es un botnet? Una botnet es una red de equipos informáticos que han sido infectados con software malicioso que permite su control remoto, obligándoles a enviar spam, propagar virus o realizar ataques de denegación de servicio distribuido (DDoS) sin el conocimiento o el consentimiento de los propietarios reales de los equipos ¿Cómo infecta al equipo? Los hackers usan dos métodos para infectar los ordenadores y estos formen parte de un botnet: ataques drive-by downloads y email.
En el primer caso, el proceso requiere de diferentes pasos y el atacante
debe encontrar una página web con una vulnerabilidad que pueda explotar. Entonces, el hacker carga su código malicioso en la página y explota la vulnerabilidad en un navegador web. El código redirige el navegador del usuario a otro sitio controlado por el delincuente donde el código bot se descarga e instala en el equipo.
En el segundo caso, el proceso es más simple, El atacante envía una
gran cantidad de spam, donde se adjunta un archivo Word o PDF con un código malicioso o un enlace a la página que aloja el código. Una vez el código está en el equipo, el ordenador se convierte en parte del botnet. El atacante puede manejar los comandos de forma remota, cargar datos en el PC o hacer lo que realmente desee con la máquina. Usos habituales de las botnets • Capturar contraseñas y datos personales. Recopilan las contraseñas de los servicios de banca, redes sociales, correo web (Gmail, Outlook, etc.) que utilizan los usuarios del ordenador infectado para después venderlas.
• Enviar spam y propagar virus. Los
ordenadores zombis pueden estar organizados para enviar spam, a miles de direcciones de correo que han sido recopiladas previamente de e-mails en cadenas y bulos, por ejemplo. Estos correos spam, pueden adjuntar ficheros que descargan virus en el ordenador del usuario al abrirlos o incluir enlaces a páginas que suplantan la identidad de servicios (phishing), descargan otros virus en el ordenador, instalan toolbars no deseados en el navegador, etc. • Ataques de denegación de servicio distribuidos DDoS. El ciberdelincuente que tenga el control de la botnet, indicará a todos sus zombis que accedan a la vez a una determinada página web para saturarla y provocar que deje de funcionar correctamente con el objetivo de chantajear al propietario o empresa responsable de la misma.
Minería y robo de Bitcoins. Con la
aparición de esta criptomoneda, se ideó un nuevo empleo para las botnets: usarlas para generar bitcoins. Un ejemplo de esta utilidad la ejemplifica ZeroAccess, un troyano que infectaba los PCs haciendo que estos formaran parte de una red de bots, unos ordenadores que los delincuentes aprovechaban para realizar las distintas operaciones para generar esta moneda, sin gastar electricidad ni hardware. Llevar a cabo desde tu ordenador otro tipo de fraudes. Acceder a páginas web cuyo contenido es denunciable o ilegal: pedofilia, prostitución, drogas, armas, manipulación de encuestas, etc. Almacenar y compartir ficheros con copyright, suplantar tu identidad para publicar anuncios falsos, etc. Mecanismos para minimizar este tipo de ataque • Tener instalado un software de seguridad, preferentemente con características de soluciones completas (spam, phishing, antivirus, firewall, etc.) • Estar al pendiente de las últimas actualizaciones del software que ejecute nuestra computadora. • Aumentar las configuraciones de seguridad en nuestros programas como son los navegadores web o cualquiera que realice una conexión a Internet. • Limitar la información que compartimos en la red y los privilegios de la misma al compartirla. • Evitar abrir o visualizar archivos adjuntos de remitentes desconocidos. • Seguir buenas prácticas de seguridad en general. Detección Aunque a veces los antivirus no sean capaces de detectar que el computador ha sido capturado como parte de una botnet, hay algunos indicios que pueden indicar esto:
• Su equipo y sistema son inusualmente lentos, se bloquean o se detiene con
frecuencia al responder los comandos. • La red o conexión a internet es inusualmente lenta con los procesos de carga. • Hay actividad de red totalmente desconocida cuando nadie más está usando Internet. • El ordenador no puede acceder a algunas o varias características de sitios web. • La cantidad de SPAM (correo basura) que recibe, aumenta dramáticamente pudiendo provocar fallas y retrasos durante el procesamiento del sistema en algunos casos. • El firewall alerta sobre programas o procesos desconocidos que tratan de acceder desde Internet con fines maliciosos hacia su computadora. Ejemplos de Botnet RUSTOCK Año de descubrimiento: 2006 Origen: Rusia Número estimado de máquinas infectadas: Entre 150,000 y 2,400,000. Tipo de Botnet: Spammer Estado actual: Desarticulado por la Ley de EEUU en cooperación con Microsoft, FireEye, y la Universidad de Washington. Rustock se propagó como un troyano, infectando documentos descargados desde Internet o como adjunto de emails. Las máquinas infectadas enviaban más de 20.000 mensajes basura por hora cuando estaba activo. COFICKER Año de descubrimiento: 2008 Origen: Puede ser Alemán, por su nombre, o Ucraniano, por su servidor primario. Número estimado de máquinas infectadas: Entre 9,000,000 y 15,000,000. Tipo de Botnet: DoS y spammer Estado actual: Prácticamente desarticulado pero siguen existiendo máquinas infectadas. Conficker es el único que se descarga actualizaciones por sí solo, utilizando los binarios firmados y encriptados para ayudar a evitar cualquier acción de desinfección. Una vez que la versión E está activa, se descarga e instala Waledac para enviar spam. MARIPOSA Año de descubrimiento: 2008 Origen: España Número estimado de máquinas infectadas: Entre 1,000,000 y 12,000,000. Tipo de Botnet: Cyber-estafa y DDoS. Estado actual: Desarticulada gracias a los esfuerzos de la fuerzas de seguridad españolas, Defense Intelligence y Panda Security.
Mariposa es un keylogger, software que
monitoriza y graba en un registro la actividad de teclado del usuario para capturar credenciales en sitios bancarios, credenciales con la que realizar envió masivos de spam y tomar el control del equipo para su utilización en ataques DDoS. KELIHOS Año de descubrimiento: 2010 Origen: Rusia Número estimado de máquinas infectadas: Hasta 150,000 sistemas. Tipo de Botnet: Spammer y DDoS, con la última versión disponible para extraer y robar bitcoins. Estado actual: Desarticulado, gracias a los esfuerzos de Microsoft y agencias de seguridad de EEUU. Kelihos incluía funciones de control peer- to-peer tanto en la consola de comando central como en los elementos de control y podía propagarse a través de links a documentos y a través de la red social de Facebook. ZEROACCESS Año de descubrimiento: 2011 Origen: Desconocido Número estimado de máquinas infectadas: 9,000,000. Tipo de Botnet: Extracción de bitcoins y ciberestafa. Estado actual: Desarticulado, pero con posibilidades de reactivarse, Debido a que se perdió una parte de las consolas de mando y control, estos elementos peer-to-peer podrían lanzar nuevos ataques en el futuro. ZeroAccess puede comprometer un sistema infectando tanto el MBR del disco duro como drivers críticos y es capaz de deshabilitar tanto el firewall de Windows como software de antivirus. Infografía • https://www.danysoft.com/los-12-peores-botnets/ • https://www.genbeta.com/seguridad/que-son-las-botnets-y-por-que-se-usaron- en-el-ataque-ddos-del-viernes • https://revista.seguridad.unam.mx/numero-05/botnets • https://www.softzone.es/2018/04/21/botnet-protegernos/ • https://www.avast.com/es-es/c-botnet#academy • https://www.kaspersky.es/blog/que-es-un-botnet/755/