¿Qué es una botnet y su computadora es parte de una?

Uno de mis términos favoritos de ciberseguridad es “botnet.” Evoca todo tipo de imágenes: robots interconectados, legiones de trabajadores en red que se dirigen simultáneamente hacia un solo objetivo. Curiosamente, la imagen que evoca la palabra es similar a lo que es una red de bots, en términos indirectos, al menos.

Las botnets representan una gran cantidad de poder de cómputo en todo el mundo. Y ese poder es regularmente (quizás incluso de manera constante) la fuente de malware, ransomware, spam y más. Pero, ¿cómo llegan a existir las botnets? ¿Quién los controla? ¿Y cómo podemos detenerlos??

Qué es una botnet?

La definición de la botnet SearchSecurity establece que “una botnet es una colección de dispositivos conectados a internet, que pueden incluir PC, servidores, dispositivos móviles e internet de dispositivos infectados y controlados por un tipo común de malware. Los usuarios a menudo desconocen que una botnet infecta su sistema..”

La oración final de la definición es clave. Los dispositivos dentro de una red de bots no suelen estar allí de buena gana. Los dispositivos infectados con ciertas variantes de malware están controlados por actores de amenazas remotos, también conocidos como cibercriminales. El malware oculta las actividades de botnets maliciosas en el dispositivo, lo que hace que el propietario no tenga conocimiento de su función en la red. Podría estar enviando paquetes de spam que amplían el tamaño de las tabletas por miles, sin una idea..

Como tal, a menudo nos referimos a dispositivos botnet infectados. ¿Tu PC es un zombi? ¿Y qué es una computadora zombie, de todos modos? [MakeUseOf explica] ¿Tu PC es un zombie? ¿Y qué es una computadora zombie, de todos modos? [MakeUseOf Explica] ¿Alguna vez te has preguntado de dónde viene todo el spam de Internet? Probablemente recibas cientos de correos basura no deseados filtrados todos los días. ¿Eso significa que hay cientos y miles de personas ahí fuera, sentadas ...? Lea más para “zombies.”

¿Qué hace una botnet??

Una botnet tiene varias funciones comunes dependiendo del deseo del operador de la botnet:

1. Correo no deseado: Enviando vastos volúmenes de spam en todo el mundo. Por ejemplo, el porcentaje promedio de spam en el tráfico global de correo electrónico entre enero y septiembre fue de 56.69 por ciento. Cuando la firma de investigación de seguridad FireEye detuvo temporalmente la transición de la notoria botnet Srizbi después de que el infame alojamiento McColo se desconectara, el spam global cayó en un gran número (y de hecho, cuando finalmente se desconectó, el spam global se redujo temporalmente en alrededor del 50%).
2. Malware: Entrega de malware y spyware a máquinas vulnerables. Los recursos de botnet son comprados y vendidos por malhechores para promover sus empresas criminales.
3. Datos: Captura de contraseñas y otra información privada. Esto se enlaza con lo anterior..
4. Haga clic en el fraude: Un dispositivo infectado visita sitios web para generar tráfico web falso e impresiones publicitarias.
5. Bitcoin: Los controladores Botnet dirigen los dispositivos infectados para extraer Bitcoin y otras criptomonedas para generar ganancias de manera silenciosa.
6. DDoS: Los operadores de botnet dirigen el poder de los dispositivos infectados a objetivos específicos, desconectándolos en ataques de denegación de servicio distribuidos.

Los operadores de redes de bots suelen convertir sus redes en varias de estas funciones para generar ganancias. Por ejemplo, los operadores de botnets que envían spam médico a ciudadanos de los EE. UU. También son dueños de las farmacias de imitación que entregan los productos. (Oh, sí, hay productos reales al final del correo electrónico. Spam Nation de Brian Krebs es un excelente aspecto de esto).

Spam Nation: la historia interna de la ciberdelincuencia organizada: de la epidemia mundial a la puerta de entrada Spam Nation: la historia interna de la ciberdelincuencia organizada, de la epidemia mundial a la puerta de entrada Compre Ahora En Amazon $ 6.00

Las principales botnets han cambiado ligeramente de dirección en los últimos años. Mientras que el spam médico y otros tipos similares de spam fueron extremadamente rentables durante mucho tiempo, las medidas de represión del gobierno en varios países erosionaron las ganancias. Como tal, la cantidad de correos electrónicos que llevan un archivo adjunto malicioso aumentó a uno en cada 359 correos electrónicos, según el Informe de inteligencia de julio de 2017 de Symantec.

¿Qué aspecto tiene una botnet??

Sabemos que una botnet es una red de computadoras infectadas. Sin embargo, los componentes principales y la arquitectura real de la botnet son interesantes de considerar..

Arquitectura

Hay dos arquitecturas principales de botnet:

• Modelo cliente-servidor: Una red de bots cliente-servidor generalmente usa un cliente de chat (anteriormente IRC, pero las botnets modernas han hecho uso de Telegram y otros servicios de mensajería encriptada), dominio o sitio web para comunicarse con la red. El operador envía un mensaje al servidor, transmitiéndolo a los clientes, que ejecutan el comando. Aunque la infraestructura de la red de bots varía de básica a muy compleja, un esfuerzo concentrado puede deshabilitar una red de bots cliente-servidor..
• De igual a igual: Una botnet de igual a igual (P2P) intenta detener los programas de seguridad y los investigadores que identifican servidores C2 específicos mediante la creación de una red descentralizada. Una red P2P es más avanzada. 10 Términos de redes que probablemente nunca supo, y lo que significan 10 Términos de redes que probablemente nunca supo, y qué significan aquí. Exploraremos 10 términos comunes de redes, qué significan y dónde es probable que se encuentren. ellos. Lea más, de alguna manera, que un modelo cliente-servidor. Además, su arquitectura difiere de la forma en que más se imaginan. En lugar de que una sola red de dispositivos infectados interconectados se comuniquen a través de direcciones IP, los operadores prefieren utilizar dispositivos zombie conectados a nodos, a su vez, conectados entre sí y con el servidor de comunicaciones principal. La idea es que simplemente hay demasiados nodos interconectados pero separados para derribar simultáneamente.

Comando y control

Los protocolos de Comando y Control (a veces escritos C&C o C2) vienen en varias formas:

• Telnet: Las redes de bots de Telnet son relativamente simples, ya que utilizan una secuencia de comandos para escanear los rangos de IP para los inicios de sesión predeterminados de telnet y del servidor SSH para agregar dispositivos vulnerables para agregar bots.
• IRC: Las redes IRC ofrecen un método de comunicación de ancho de banda extremadamente bajo para el protocolo C2. La capacidad de cambiar rápidamente los canales otorga cierta seguridad adicional a los operadores de redes de bots, pero también significa que los clientes infectados se eliminan fácilmente de la red de bots si no reciben información actualizada del canal. El tráfico IRC es relativamente fácil de examinar y aislar, lo que significa que muchos operadores se han alejado de este método.
• Dominios: Algunas redes de bots grandes usan dominios en lugar de un cliente de mensajería para el control. Los dispositivos infectados acceden a un dominio específico que sirve una lista de comandos de control, permitiendo fácilmente cambios y actualizaciones sobre la marcha. El inconveniente es el gran requerimiento de ancho de banda para las redes de bots grandes, así como la relativa facilidad con que se cierran los dominios de control sospechosos. Algunos operadores utilizan el denominado alojamiento a prueba de balas para operar fuera de la jurisdicción de países con estricto derecho penal de Internet.
• P2P: Un protocolo P2P generalmente implementa la firma digital utilizando un cifrado asimétrico (una clave pública y una privada). Si bien el operador tiene la clave privada, es extremadamente difícil (esencialmente imposible) que alguien más emita diferentes comandos a la red de bots. De manera similar, la falta de un único servidor C2 definido hace que atacar y destruir una red de bots P2P sea más difícil que sus contrapartes.
• Otros: A lo largo de los años, hemos visto a operadores de redes de bots usar algunos canales interesantes de Comando y Control. Los que vienen a la mente al instante son los canales de redes sociales, como la botnet Twitoor de Android, controlada a través de Twitter, o el Mac.Backdoor.iWorm que explotó la lista de servidores de Minecraft subreddit para recuperar las direcciones IP de su red. Instagram tampoco es seguro En 2017, Turla, un grupo de ciberespionaje con vínculos cercanos a la inteligencia rusa, estaba utilizando comentarios en las fotos de Instagram de Britney Spears para almacenar la ubicación de un servidor C2 de distribución de malware..

Zombies

La pieza final del rompecabezas de la botnet son los dispositivos infectados (es decir, los zombies).

Los operadores de redes de bots buscan e infectan dispositivos vulnerables para expandir su poder operativo. Enumeramos los principales usos de botnet arriba. Todas estas funciones requieren potencia de cálculo. Además, los operadores de redes de bots no siempre son amigables entre sí, sino que hacen que el poder de sus máquinas infectadas sea el uno del otro..

La gran mayoría de las veces, los propietarios de dispositivos zombies desconocen su función en la red de bots. A veces, sin embargo, el malware de botnet actúa como un conducto para otras variantes de malware..

Este video de ESET brinda una buena explicación de cómo se expanden las botnets:

Tipos de dispositivos

Los dispositivos en red se están conectando a una velocidad sorprendente. Y las botnets no solo están en la búsqueda de una PC o Mac. Como leerá más en la siguiente sección, los dispositivos de Internet de las Cosas son tan susceptibles (si no más) de las variantes de malware de la red de bots. Especialmente si son buscados debido a su atroz seguridad..

Si les dije a mis padres que les devolvieran su nuevo televisor inteligente, que se pusieron a la venta porque IOT es extremadamente inseguro, esto me hace una buena hija o una mala hija.?
Le pregunté si puede escuchar los comandos de voz, dijeron que sí; Hice un sonido crepitante. Dijeron que hablamos mañana.

- Tanya Janca (@shehackspurple) 28 de diciembre de 2017

Los teléfonos inteligentes y las tabletas tampoco son seguros. Android ha visto varias botnets en los últimos años. Android es un objetivo fácil ¿Cómo llega el malware a su teléfono inteligente? ¿Cómo llega el malware a tu teléfono inteligente? ¿Por qué los proveedores de malware desean infectar su teléfono inteligente con una aplicación infectada, y en primer lugar, cómo se introduce el malware en una aplicación móvil? Más información: es de código abierto, tiene varias versiones de sistema operativo y numerosas vulnerabilidades a la vez. No te regocijes tan rápido, usuarios de iOS. Ha habido un par de variantes de malware dirigidas a los dispositivos móviles de Apple, aunque generalmente se limitan a iPhones con jailbreak con vulnerabilidades de seguridad..

Otro objetivo principal del dispositivo botnet es un enrutador vulnerable. 10 maneras en que su enrutador no es tan seguro como piensa 10 maneras en que su enrutador no es tan seguro como cree. Aquí hay 10 formas en que su enrutador puede ser explotado por piratas informáticos y secuestradores inalámbricos. . Lee mas . Los enrutadores que ejecutan firmware antiguo e inseguro son objetivos fáciles de botnets, y muchos propietarios no se darán cuenta de que su portal de Internet está infectado. De manera similar, una cantidad asombrosa de usuarios de Internet no puede cambiar la configuración predeterminada en sus enrutadores. 3 Contraseñas predeterminadas que debe cambiar y por qué 3 Contraseñas predeterminadas que debe cambiar y Por qué las contraseñas son inconvenientes, pero necesarias. Muchas personas tienden a evitar las contraseñas siempre que sea posible y están felices de usar la configuración predeterminada o la misma contraseña para todas sus cuentas. Este comportamiento puede hacer que sus datos y ... Leer más después de la instalación. Al igual que los dispositivos IoT, esto permite que el malware se propague a una velocidad asombrosa, con poca resistencia encontrada en la infección de miles de dispositivos.

Derribando una botnet

Eliminar una botnet no es una tarea fácil, por varias razones. A veces, la arquitectura de la botnet permite a un operador reconstruir rápidamente. En otras ocasiones, la red de bots es simplemente demasiado grande para derribarla de un solo golpe. La mayoría de las eliminaciones de botnets requieren coordinación entre investigadores de seguridad, agencias gubernamentales y otros hackers, a veces confiando en sugerencias o en puertas traseras inesperadas..

Un problema importante que enfrentan los investigadores de seguridad es la relativa facilidad con la que los operadores de copia inician las operaciones utilizando el mismo malware.

GameOver Zeus

Voy a utilizar la botnet GameOver Zeus (GOZ) como un ejemplo de eliminación. GOZ fue una de las botnets recientes más grandes, se cree que tiene más de un millón de dispositivos infectados en su punto máximo. El uso principal de la botnet fue el robo monetario (distribución del ransomware CryptoLocker Una historia de ransomware: dónde comenzó y adónde va Una historia de ransomware: dónde comenzó y adónde va Ransomware data de mediados de la década de 2000 y como muchas amenazas de seguridad informática, se originó en Rusia y Europa oriental antes de evolucionar para convertirse en una amenaza cada vez más potente. Pero, ¿qué nos depara el futuro para el ransomware? Leer más) y el correo no deseado y, al utilizar un sofisticado algoritmo de generación de dominios de igual a igual, parece imparable.

Un algoritmo de generación de dominios permite que la botnet genere previamente listas largas de dominios para usar como un “puntos de encuentro” para el malware botnet. Los múltiples puntos de encuentro hacen que sea casi imposible detener la propagación, ya que solo los operadores conocen la lista de dominios.

En 2014, un equipo de investigadores de seguridad, trabajando en conjunto con el FBI y otras agencias internacionales, finalmente forzó a GameOver Zeus a desconectarse, en la Operación Tovar. No fue facil Después de notar las secuencias de registro de dominio, el equipo registró unos 150,000 dominios en los seis meses previos al inicio de la operación. Esto fue para bloquear cualquier registro de dominio futuro de los operadores de botnet..

A continuación, varios ISP dieron el control de la operación de los nodos proxy de GOZ, utilizados por los operadores de la botnet para comunicarse entre los servidores de comando y control y la botnet real. Elliot Peterson, el investigador principal del FBI en la Operación Tovar, dijo: “Pudimos convencer a los robots de que era bueno hablar con ellos, pero todos los compañeros, proxies y supernodos controlados por los malos eran malos para hablar y deberían ser ignorados..”

El propietario de Botnet, Evgeniy Bogachev (alias en línea Slavik) se dio cuenta de que el derribo estaba en marcha después de una hora, e intentó defenderse durante otras cuatro o cinco horas antes. “concediendo” derrota.

Como consecuencia, los investigadores pudieron descifrar el famoso cifrado de ransomware CryptoLocker, creando herramientas gratuitas de descifrado para las víctimas. CryptoLocker está muerto: ¡Aquí es cómo puede recuperar sus archivos! CryptoLocker está muerto: aquí es cómo puede recuperar sus archivos. Lee mas .

Las botnets de IoT son diferentes

Las medidas para combatir a GameOver Zeus fueron extensas pero necesarias. Ilustra que el poder de una red de bots ingeniosamente diseñada exige un enfoque global para la mitigación, que requiere “Tácticas legales y técnicas innovadoras con herramientas tradicionales de aplicación de la ley.” tanto como “relaciones de trabajo sólidas con expertos de la industria privada y contrapartes de la ley en más de 10 países alrededor del mundo.”

Pero no todas las botnets son iguales. Cuando una botnet llega a su fin, otro operador está aprendiendo de la destrucción..

En 2016, la botnet más grande y más mala fue Mirai. Antes de su derribo parcial, la botnet Mirai basada en el Internet de las cosas golpeó a varios objetivos prominentes. Por qué su moneda criptográfica no es tan segura como piensa por qué su moneda criptográfica no es tan segura como cree que Bitcoin continúa alcanzando nuevos máximos. El recién llegado a la criptomoneda Ethereum amenaza con explotar en su propia burbuja. El interés en blockchain, la minería y la criptomoneda está en su punto más alto. Entonces, ¿por qué los entusiastas de la criptomoneda están bajo amenaza? Leer más con asombrosos ataques DDoS. Uno de estos ataques golpeó el blog del investigador de seguridad Brian Krebs con 620Gbps, lo que eventualmente forzó la protección DDoS de Krebs para dejarlo como cliente. Otro ataque en los días siguientes golpeó al proveedor francés de alojamiento en la nube OVH con 1.2Tbps en el ataque más grande jamás visto. La imagen de abajo ilustra cuántos países ha alcanzado Mirai..

Aunque Mirai ni siquiera estaba cerca de ser la red de bots más grande jamás vista, produjo los ataques más grandes. Mirai hizo un uso devastador de las franjas de dispositivos de IoT ridículamente inseguros. ¿Está su hogar inteligente en riesgo por las vulnerabilidades de Internet de las cosas? ¿Está su hogar inteligente en riesgo de vulnerabilidades de Internet de las cosas? ¿Es seguro el Internet de las cosas? Esperaría que sí, pero un estudio reciente ha destacado que las preocupaciones de seguridad planteadas hace varios años aún no se han abordado. Tu casa inteligente podría estar en riesgo. Lea más, usando una lista de 62 contraseñas predeterminadas inseguras para acumular dispositivos (admin / admin fue la parte superior de la lista, vea la figura).

El investigador de seguridad Marcus Hutchins (también conocido como MalwareTech) explica que parte de la razón del enorme poder de Mirai es que la mayoría de los dispositivos de IoT permanecen allí, sin hacer nada hasta que se los solicita. Eso significa que casi siempre están en línea y casi siempre tienen recursos de red para compartir. Un operador de botn tradicional analizaría sus períodos de máxima potencia y ataques de tiempo en consecuencia. IoT botnets, no tanto.

Por lo tanto, a medida que se conectan más dispositivos IoT mal configurados, aumenta la posibilidad de explotación..

Mantenerse a salvo

Hemos aprendido sobre lo que hace una botnet, cómo crecen y más. ¿Pero cómo dejas que tu dispositivo se convierta en parte de uno? Bueno, la primera respuesta es simple: actualice su sistema Cómo corregir Windows 10: Preguntas frecuentes para principiantes Cómo corregir Windows 10: Preguntas frecuentes para principiantes ¿Necesita ayuda con Windows 10? Respondemos las preguntas más frecuentes sobre el uso y la configuración de Windows 10. Leer más. Las actualizaciones periódicas remendan agujeros vulnerables en su sistema operativo, a su vez, cortando las vías para la explotación.

El segundo es descargar y actualizar un programa antivirus, y también un programa antimalware. Existen numerosas suites antivirus gratuitas que ofrecen una excelente protección de bajo impacto. Invierta en un programa antimalware, como Malwarebytes La guía completa de eliminación de malware La guía completa de eliminación de malware El malware está en todas partes hoy en día, y erradicar el malware de su sistema es un proceso largo que requiere orientación. Si crees que tu computadora está infectada, esta es la guía que necesitas. Lee mas . Una suscripción a Malwarebytes Premium le costará $ 24.95 para el año, brindándole protección contra malware en tiempo real. Bien vale la pena la inversión, en mi opinión.

Finalmente, tome un poco de seguridad adicional del navegador. Los kits de exploits Drive-by son una molestia, pero se pueden evitar fácilmente cuando se usa una extensión de bloqueo de script como uBlock Origin.

¿Era su computadora parte de una botnet? ¿Cómo te diste cuenta? ¿Descubrió qué infección estaba usando su dispositivo? Háganos saber sus experiencias a continuación!

Explorar más sobre: ​​Botnet, Seguridad informática.