TEMA 10: BOTNETS ¿QUÉ ES UNA RED DE ORDENADORES ZOMBIS?
Botnet o red de ordenadores zombis es el conjunto formado por ordenadores infectados por un tipo de software malicioso, que permite al
atacante controlar dicha red de forma remota. Los equipos que integran la red se denominan “zombis” o también drones. La
ciberdelincuencia suele estar detrás de estas botnets, con manifestaciones tan comunes como el spam o el ataque combinado a sitios
web (Ataque de Denegación de Servicio Distribuido, DDoS).
Este fenómeno ha experimentado un crecimiento continuado desde 2006, año en que los creadores de malware provocaron su
proliferación y su influencia a la vista de la rentabilidad que proporcionan los negocios ilícitos en Internet, hasta llegar en la actualidad a
las 6.000 botnets repartidas por todo el mundo. Un ejemplo es la detención en marzo de 2010 de la botnet “Mariposa” , cuya influencia
abarcaba a trece millones de ordenadores en 190 países.
1. C O M P A R T IR R EC UR SO S
Los fines ilícitos motivan el crecimiento de las botnets, a pesar de que el modelo utilizado, la informática distribuida, está creado para
entornos empresariales e institucionales, con fines productivos. Este sistema utiliza en red una serie de equipos organizados por un
administrador para realizar tareas complejas de una forma coordinada y sostenible.
En este sentido, el poder de cómputo de estas redes puede resolver problemas complejos en un tiempo razonable. Además, puede utilizar
sistemas heterogéneos (Windows, Linux, Mac, etc.), combinándolos de la forma más eficiente.
Las empresas y grandes compañías disponen de estas redes de ordenadores y el trabajo del administrador de la red, en estos casos, es
controlar el resto de los ordenadores de los usuarios para poder administrar, manipular, actualizar y gestionar la red. Más aún, su
potencial ha permitido la creación de iniciativas de repercusión global. Ejemplos:
- Distributed.net es un proyecto destinado a comprobar la seguridad de los algoritmos de cifrado más conocidos. Voluntarios
prestan de forma altruista la potencia de sus máquinas para procesar datos del algoritmo de cifrado elegido. Esta acción se
realiza mediante un sistema distribuido donde a cada voluntario se le asigna una tarea y es coordinada por un servidor.
- SETI, o la Búsqueda de Inteligencia Extraterrestre, es otro esfuerzo distribuido que trata de determinar si hay vida inteligente en el
Universo. Su proyecto SETI@Home, al igual que el anterior, utiliza ordenadores personales de usuarios voluntarios que ceden los
recursos de su ordenador (por ejemplo, Internet) mientras no lo están utilizando, para que el organismo aproveche estos
recursos y pueda procesar los datos producidos en sus radiotelescopios internacionales.
- BOINC, Programas de código abierto para computación voluntaria y computación en red 3, es un proyecto científico para
utilizar el potencial de ordenadores personales de todo el mundo para la investigación en múltiples campos (salud, clima, etc.).
La nota común en los diferentes ejemplos de infraestructuras distribuidas es el conocimiento por parte de los usuarios de su inclusión (la
de su equipo) en una red para realizar determinadas tareas con fines beneficiosos para la sociedad.
Por el contrario, en el caso de las redes de ordenadores zombis estas características se invierten y se observa cómo un controlador utiliza
una serie de equipos sin su consentimiento (ni conocimiento) con un propósito fraudulento. El ciberatacante instala un cliente en el
equipo del usuario (como en el caso de SETI), asegurándose el uso remoto del mismo para alojar programas maliciosos de fraude online
en la web, distribuir material pornográfico, o realizar ataques a empresas en base a sus contenidos en Internet, por ejemplo.
La ciberdelincuencia, por tanto, ha aprovechado el poder de la informática distribuida para provocar una evolución en sus prácticas,
aumentando la envergadura de sus redes y sus consecuencias.
2. F O R M A C IÓ N D E UN A B O T N ET Y F UN C IO N A M IE N T O
Aunque los métodos de creación y desarrollo del funcionamiento de una botnet son muy variados, se identifican una serie de etapas
comunes en la vida útil de este tipo de redes:
A. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios necesarios que va a emplear, incluido
el sistema de control de la red.
B. Además, necesitará un malware que se aloje en los equipos y permita el control del mismo, denominado bot, que
frecuentemente es un troyano. Este malware puede ser creado por él mismo (el creador de la red) o puede comprar este bot a
un creador de malware.
C. El siguiente paso consiste en distribuir el malware o bot por cualquier método: correo basura, páginas con vulnerabilidades,
ingeniería social, etc. El objetivo final es que las víctimas ejecuten el programa y se infecten. En la mayoría de las ocasiones el
propio troyano se propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero diseñados específicamente para
formar parte de una red concreta una vez infectados) de llegar a otros sistemas desde un sistema infectado a su vez. Si tiene
éxito, el número de zombis puede llegar a crecer exponencialmente.
, D. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados, puede conseguir el propósito buscado al
programar el sistema. Algunas pueden ser:
a. Robar información de los equipos infectados.
b. Enviar correo basura o spam.
c. Realizar ataques combinados a una página web o ataques de denegación de servicio distribuido.
d. Construir servidores web para alojar material ilícito (pornográfico y/o pedofílico), realizar ataques de fraude online
(phishing), alojar software malicioso.
e. Distribuir o instalar nuevo malware.
f. Crear nuevas redes de equipos zombies.
g. Manipular juegos online.
h. Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de escritorio remoto.
E. El creador de la botnet puede explotarla de diversas formas:
a. Utilizar la red directamente en su beneficio
b. Alquilarla a terceros: el cliente recibe los servicios y el creador controla la red
c. Vender entornos de control, es decir, el creador vende el programa de control de zombis al cliente, para que este
último lo explote.
F. La botnet permanecerá activa mientras se produzca la actualización
del bot para dificultar su detección, añadir alguna funcionalidad o
alguna otra mejora. El declive de la misma puede provocarse con la
resolución de vulnerabilidades de sistemas operativos y aplicaciones
tras la publicación por parte de los fabricantes de las actualizaciones,
la mejora en el control de las redes, utilización de antivirus y antiespías,
etc.
3. M É TO D O S D E C O N T R O L D E LA S B O T N ET S
El método de control o protocolo de comunicación de la botnet es su núcleo y ofrece diferentes posibilidades al atacante, desde el
control de forma segmentada (canales de IRC) al control por medio de sistemas de nombre de dominio (DNS) o control a través de la
navegación web (HTTP), entre otros. La evolución de estos protocolos implica a su vez fórmulas más sofisticadas de protección del
malware para evitar que la red zombi sea descubierta. La dificultad de realizar esta detección plantea problemas no solo técnicos, sino
también judiciales, ya que estas redes suelen propagarse por varios países a la vez, afectando por tanto a varias legislaciones.
TIP O S D E P R O TO C O LO S D E C O N TR O L D E LA S B O TN ET S
PUERTOS FIJOS Y PUERTAS TRASERAS
Los bot tradicionales abrían una puerta trasera en un ordenador (un puerto lógico o socket) que permitía al atacante conectarse
directamente y controlar el sistema infectado. Aunque los programas ofrecían ventajas para gestionar a un gran número de sistemas
con la puerta trasera “disponible”, esto resultaba incómodo para el atacante, y no era una forma eficiente de controlar una botnet.
Además, la aparición del cortafuegos activo por defecto con el Service Pack 2 de Windows XP, limitó en gran medida la posibilidad de este
tipo de conexión.
IRC (CHAT)
La forma tradicional de control que se ha venido empleando ha sido a través de un típico chat (protocolo IRC o Internet Relay Chat). Los
sistemas zombi infectados pasan a formar parte de una sala privada, como las tradicionales salas de chat en las que los participantes
pueden enviarse mensajes cruzados. En esta sala, su operador principal (denominado Comando y Control o Command & Control, C&C)
en vez de “hablar” con los usuarios, les envía comandos. Estos comandos son interpretados como órdenes por los sistemas infectados
que visitan la sala. El bot o troyano alojado en la víctima se encarga de procesar ese comando y ejecutarlo. El comando puede ser
cualquier cosa para lo que esté diseñado, desde “infecta a otros sistemas” hasta “abre la bandeja de la unidad de CD/DVD”
Poco a poco el IRC ha perdido protagonismo, aunque todavía es usado. Posee la desventaja de que los comandos son enviados por la
red sin cifrar, lo que supone un riesgo para que el atacante sea atrapado. Además, la evolución de otros programas que permiten una
gestión de la botnet más cómoda ha desplazado a este método tradicional.
Botnet o red de ordenadores zombis es el conjunto formado por ordenadores infectados por un tipo de software malicioso, que permite al
atacante controlar dicha red de forma remota. Los equipos que integran la red se denominan “zombis” o también drones. La
ciberdelincuencia suele estar detrás de estas botnets, con manifestaciones tan comunes como el spam o el ataque combinado a sitios
web (Ataque de Denegación de Servicio Distribuido, DDoS).
Este fenómeno ha experimentado un crecimiento continuado desde 2006, año en que los creadores de malware provocaron su
proliferación y su influencia a la vista de la rentabilidad que proporcionan los negocios ilícitos en Internet, hasta llegar en la actualidad a
las 6.000 botnets repartidas por todo el mundo. Un ejemplo es la detención en marzo de 2010 de la botnet “Mariposa” , cuya influencia
abarcaba a trece millones de ordenadores en 190 países.
1. C O M P A R T IR R EC UR SO S
Los fines ilícitos motivan el crecimiento de las botnets, a pesar de que el modelo utilizado, la informática distribuida, está creado para
entornos empresariales e institucionales, con fines productivos. Este sistema utiliza en red una serie de equipos organizados por un
administrador para realizar tareas complejas de una forma coordinada y sostenible.
En este sentido, el poder de cómputo de estas redes puede resolver problemas complejos en un tiempo razonable. Además, puede utilizar
sistemas heterogéneos (Windows, Linux, Mac, etc.), combinándolos de la forma más eficiente.
Las empresas y grandes compañías disponen de estas redes de ordenadores y el trabajo del administrador de la red, en estos casos, es
controlar el resto de los ordenadores de los usuarios para poder administrar, manipular, actualizar y gestionar la red. Más aún, su
potencial ha permitido la creación de iniciativas de repercusión global. Ejemplos:
- Distributed.net es un proyecto destinado a comprobar la seguridad de los algoritmos de cifrado más conocidos. Voluntarios
prestan de forma altruista la potencia de sus máquinas para procesar datos del algoritmo de cifrado elegido. Esta acción se
realiza mediante un sistema distribuido donde a cada voluntario se le asigna una tarea y es coordinada por un servidor.
- SETI, o la Búsqueda de Inteligencia Extraterrestre, es otro esfuerzo distribuido que trata de determinar si hay vida inteligente en el
Universo. Su proyecto SETI@Home, al igual que el anterior, utiliza ordenadores personales de usuarios voluntarios que ceden los
recursos de su ordenador (por ejemplo, Internet) mientras no lo están utilizando, para que el organismo aproveche estos
recursos y pueda procesar los datos producidos en sus radiotelescopios internacionales.
- BOINC, Programas de código abierto para computación voluntaria y computación en red 3, es un proyecto científico para
utilizar el potencial de ordenadores personales de todo el mundo para la investigación en múltiples campos (salud, clima, etc.).
La nota común en los diferentes ejemplos de infraestructuras distribuidas es el conocimiento por parte de los usuarios de su inclusión (la
de su equipo) en una red para realizar determinadas tareas con fines beneficiosos para la sociedad.
Por el contrario, en el caso de las redes de ordenadores zombis estas características se invierten y se observa cómo un controlador utiliza
una serie de equipos sin su consentimiento (ni conocimiento) con un propósito fraudulento. El ciberatacante instala un cliente en el
equipo del usuario (como en el caso de SETI), asegurándose el uso remoto del mismo para alojar programas maliciosos de fraude online
en la web, distribuir material pornográfico, o realizar ataques a empresas en base a sus contenidos en Internet, por ejemplo.
La ciberdelincuencia, por tanto, ha aprovechado el poder de la informática distribuida para provocar una evolución en sus prácticas,
aumentando la envergadura de sus redes y sus consecuencias.
2. F O R M A C IÓ N D E UN A B O T N ET Y F UN C IO N A M IE N T O
Aunque los métodos de creación y desarrollo del funcionamiento de una botnet son muy variados, se identifican una serie de etapas
comunes en la vida útil de este tipo de redes:
A. El creador de la botnet diseña la red que va a crear, definiendo los objetivos y los medios necesarios que va a emplear, incluido
el sistema de control de la red.
B. Además, necesitará un malware que se aloje en los equipos y permita el control del mismo, denominado bot, que
frecuentemente es un troyano. Este malware puede ser creado por él mismo (el creador de la red) o puede comprar este bot a
un creador de malware.
C. El siguiente paso consiste en distribuir el malware o bot por cualquier método: correo basura, páginas con vulnerabilidades,
ingeniería social, etc. El objetivo final es que las víctimas ejecuten el programa y se infecten. En la mayoría de las ocasiones el
propio troyano se propaga por sí mismo, y es capaz (como los gusanos tradicionales, pero diseñados específicamente para
formar parte de una red concreta una vez infectados) de llegar a otros sistemas desde un sistema infectado a su vez. Si tiene
éxito, el número de zombis puede llegar a crecer exponencialmente.
, D. Una vez que el atacante consigue una masa crítica suficiente de sistemas infectados, puede conseguir el propósito buscado al
programar el sistema. Algunas pueden ser:
a. Robar información de los equipos infectados.
b. Enviar correo basura o spam.
c. Realizar ataques combinados a una página web o ataques de denegación de servicio distribuido.
d. Construir servidores web para alojar material ilícito (pornográfico y/o pedofílico), realizar ataques de fraude online
(phishing), alojar software malicioso.
e. Distribuir o instalar nuevo malware.
f. Crear nuevas redes de equipos zombies.
g. Manipular juegos online.
h. Observar lo que la víctima hace si el programa ofrece la posibilidad de visionado de escritorio remoto.
E. El creador de la botnet puede explotarla de diversas formas:
a. Utilizar la red directamente en su beneficio
b. Alquilarla a terceros: el cliente recibe los servicios y el creador controla la red
c. Vender entornos de control, es decir, el creador vende el programa de control de zombis al cliente, para que este
último lo explote.
F. La botnet permanecerá activa mientras se produzca la actualización
del bot para dificultar su detección, añadir alguna funcionalidad o
alguna otra mejora. El declive de la misma puede provocarse con la
resolución de vulnerabilidades de sistemas operativos y aplicaciones
tras la publicación por parte de los fabricantes de las actualizaciones,
la mejora en el control de las redes, utilización de antivirus y antiespías,
etc.
3. M É TO D O S D E C O N T R O L D E LA S B O T N ET S
El método de control o protocolo de comunicación de la botnet es su núcleo y ofrece diferentes posibilidades al atacante, desde el
control de forma segmentada (canales de IRC) al control por medio de sistemas de nombre de dominio (DNS) o control a través de la
navegación web (HTTP), entre otros. La evolución de estos protocolos implica a su vez fórmulas más sofisticadas de protección del
malware para evitar que la red zombi sea descubierta. La dificultad de realizar esta detección plantea problemas no solo técnicos, sino
también judiciales, ya que estas redes suelen propagarse por varios países a la vez, afectando por tanto a varias legislaciones.
TIP O S D E P R O TO C O LO S D E C O N TR O L D E LA S B O TN ET S
PUERTOS FIJOS Y PUERTAS TRASERAS
Los bot tradicionales abrían una puerta trasera en un ordenador (un puerto lógico o socket) que permitía al atacante conectarse
directamente y controlar el sistema infectado. Aunque los programas ofrecían ventajas para gestionar a un gran número de sistemas
con la puerta trasera “disponible”, esto resultaba incómodo para el atacante, y no era una forma eficiente de controlar una botnet.
Además, la aparición del cortafuegos activo por defecto con el Service Pack 2 de Windows XP, limitó en gran medida la posibilidad de este
tipo de conexión.
IRC (CHAT)
La forma tradicional de control que se ha venido empleando ha sido a través de un típico chat (protocolo IRC o Internet Relay Chat). Los
sistemas zombi infectados pasan a formar parte de una sala privada, como las tradicionales salas de chat en las que los participantes
pueden enviarse mensajes cruzados. En esta sala, su operador principal (denominado Comando y Control o Command & Control, C&C)
en vez de “hablar” con los usuarios, les envía comandos. Estos comandos son interpretados como órdenes por los sistemas infectados
que visitan la sala. El bot o troyano alojado en la víctima se encarga de procesar ese comando y ejecutarlo. El comando puede ser
cualquier cosa para lo que esté diseñado, desde “infecta a otros sistemas” hasta “abre la bandeja de la unidad de CD/DVD”
Poco a poco el IRC ha perdido protagonismo, aunque todavía es usado. Posee la desventaja de que los comandos son enviados por la
red sin cifrar, lo que supone un riesgo para que el atacante sea atrapado. Además, la evolución de otros programas que permiten una
gestión de la botnet más cómoda ha desplazado a este método tradicional.
