Botnet: anatomía de un ataque

Nicolas Casar Gonzalez CTO de PayperTIC analiza en ADN de una Botnet

Nicolas Casar Gonzalez CTO de PayperTIC analiza en ADN de una Botnet

¿Qué haría si se da cuenta que los dispositivos de TI de su empresa forman parte de una botnet que afecta a la sustentabilidad de su negocio?

Tiempo atrás, se descubrió que docenas de servidores Hadoop de las empresas estaban comprometidos y participaban en una botnet autorreplicante.

El malware de la botnet pudo instalarse a través de una vulnerabilidad en Hadoop que se conocía públicamente desde hacía un par de años mínimo.

Las botnets son una amenaza importante para la infraestructura en línea de EE. UU.

Según Kaspersky, la mayoría de los ciberataques que se originaron en botnets durante el último tiempo se dirigieron a servicios financieros y tiendas en línea.

Las botnets son una amenaza tanto doméstica como internacional, la mayoría de los ataques internacionales contra los EE. UU.

Se originan en direcciones IP rusas, a mis arquitectos suelo señalarles que el 80% de los ataques globales son de habla rusa.

En términos simples, una botnet es un conjunto de computadoras secuestradas que se utiliza para atacar a otros dispositivos conectados a la red.

Un ataque podría ser un ataque de denegación de servicio distribuido (DDoS), donde el objetivo está abrumado con tráfico de red malicioso para que no pueda responder al tráfico legítimo.

O bien, un ataque podría ser un intento de entrar en un sistema, donde la botnet se usa para ocultar la identidad del hacker.

El sistema en red que coordina el ataque se llama sistema de Comando y Control (C2) de la botnet.

Existen múltiples tipos de arquitecturas botnet C2.

Cada tipo de arquitectura tiene diferentes fortalezas y debilidades y, por lo tanto, requiere una estrategia diferente para la defensa.

Fundamentalmente, hay dos tipos de arquitecturas C2: descentralizadas y centralizadas.

Descentralizado

En una botnet descentralizada o de igual a igual (P2P), los dispositivos infectados se comunican directamente entre sí.

No hay un punto central de control y la botnet generalmente se propaga a través de malware autorreplicante.

Las primeras botnets P2P infectaron PC y se comunicaron a través de Internet.

Estas botnets se volvieron obsoletas mediante la adopción generalizada de la traducción de direcciones de red (NAT) en los routers, lo que impide la mayoría de las comunicaciones entre pares de PC a través de Internet y mediante la vigilancia de Internet a nivel de ISP.

Un ejemplo de una botnet P2P moderna es una botnet que se propaga solo a través de Bluetooth dentro de un área pequeña, como un campus universitario o un edificio corporativo.

El uso de Bluetooth para la comunicación con sus compañeros evita la detección mediante herramientas de monitoreo de red WLAN.

Otro ejemplo es una botnet P2P que infecta solo servidores, ya que a menudo están conectados directamente a Internet sin NAT.

Centralizado

Una botnet centralizada utiliza uno o más servidores para coordinar los dispositivos infectados. Este es un modelo asimétrico, en contraste con el modelo simétrico de la botnet P2P.

El C2 centralizado más simple es un servidor único que coordina toda la botnet.

Este modelo es obsoleto ya que es fácil de desmontar al ubicar y aprovechar el sistema C2 a través de acciones legales.

Las botnets centralizadas más nuevas usan múltiples servidores y dominios para C2.

Estos servidores y dominios pueden ubicarse en varios países y, por lo tanto, son difíciles, pero aún posible de eliminar mediante acciones legales.

Un ejemplo de una botnet centralizada muy resistente a la eliminación es una que utiliza una cadena de bloques pública para distribuir comandos.

Una botnet que usa una cadena de bloques para C2 se considera centralizada, aunque el C2 en sí es un sistema P2P porque los clientes de botnet se comunican con un sistema separado en lugar de entre sí.

La recuperación de comandos por parte de los clientes de botnet de blockchain no se puede distinguir de la actividad legítima de criptomonedas.

Los sistemas C2 basados ​​en Blockchain no pueden destruirse fácilmente por infiltración o acción legal, sino que deben mitigarse a través de defensas como firewalls que prohíben el tráfico de criptomonedas.

Su primera línea de defensa contra botnets incluye firewalls, software actualizado y monitoreo de red.

Las botnets son una seria amenaza para todos los dispositivos conectados a la red y saber cómo se organizan las botnets desde la perspectiva de los sistemas lo ayudará a mantener sus dispositivos seguros.

 

Por Nicolas Casar Gonzalez CTO de PayperTIC