Botnet mariposa

lunes, 15 de marzo de 2010

Aunque mi objetivo con este blog no es mostrar enlazar noticias de seguridad informática, de vez en cuando se dedicará alguna entrada a noticias de actualidad relacionadas con la seguridad informática.





 

Hace unos días se desmanteló la botnet más grande conocida de la historia, gracias al trabajo conjunto de Defence Intelligence, FBI, Panda Security y la Guardia Civil.

Pero, me estoy precipitando, más vale que empiece la historia por el principio.
¿Qué es y cómo funciona una
botnet?
Bot
es una abreviación de robot, suelen llamarse bots a los programas automatizados que realizan una determinada función con cierta autonomía, por ejemplo GoogleBot es un software encargado de recorrer internet indexando las webs encontradas y añadiéndolas a la base de datos de Google. También son bots el tipo de malware (software construido con fines malintencionados) del que se va a hablar, en el sentido de ser programas que responden ante ciertos eventos externos de una manera automatizada.

Este tipo de programas actúan del siguiente modo:
Una vez que está corriendo en el
sístema de la víctima, el programa se conecta a unas máquinas controladas por el atacante a la espera de instrucciones, cumple las órdenes y también siempre que pueda intentará copiarse en otros ordenadores, todo ello sin conocimiento del usuario.

Un ordenador infectado con este
malware pasa a ser un "zombie" o un bot a la espera de órdenes que cumplir, de este ordenador infectado se copia a otros ordenadores utilizando diversas técnicas de infección, a través de discos extraibles, aprovechando vulnerabilidades en los servicios de red, enviando mensajes a los contactos a través del messenger en los que se invita a visitar ciertas páginas webs, etc.. y se va expandiendo, hasta que al final tenemos un número n de ordenadores en internet ejecutando las órdenes recibidas a través de un canal determinado.
Al conjunto de los ordenadores infectados se le denomina botnet y al dueño de ella, es decir, el que da las órdenes a la botnet, se le denomina botmaster.


Los usos de las
botnets son variados y dependen de la intención del atacante, se suelen utilizar para:
Ataques de denegación de servicio:
Si el botmaster da la orden de enviar peticiones de conexión a una máquina objetivo, tendremos a todas las máquinas infectadas
con sus respectivos anchos de banda saturando a la máquina objetivo, que no será capaz de atender todas las peticiones ni de distinguir peticiones de usuarios legítimos de la de los bots, con lo cual provocamos la denegación del servicio atacado.
Spamming:
puede utilizarse a los
bots para que distribuyan oleadas de correo basura, mucha gente se entera de que está infectada cuando le llegan mensajes de su proveedor advirtiendo que su ordenador está enviando spam.
Captura de datos
confidenciales:
Un
bot puede revelar información interesante analizando el tráfico de datos enviado y recibido por la máquina infectada, o capturar las teclas pulsadas y enviarlo todo luego al atacante, obteniendo éste los datos bancarios, información de cuentas paypal...
También suelen ser utilizados para almacenar software pirata en el disco del ordenador afectado y para otros usos diversos, dependen de la imaginación del atacante.


Existen
, refiriéndome al programa que infecta a la máquina y no a la máquina infectada, muchos tipos de bots, incluso los hay prefabricados que pueden ser descargardos libremente desde internet.
Cada malware de este tipo tiene sus propias características, contempla diversas órdenes, diversos tipos de infecciones y en definitiva todo esto depende del programador que diseña el bot.
Suelen ser muy configurables para el usuario final, el programa ofrece un interfaz gráfico para configurarlo, lo que los hace muy sencillos de utilizar para cualquier tipo de persona sin conocimientos de programación.
Suelen basarse en un cliente de IRC (protocolo diseñado para la comunicación de chat basada en una arquitectura cliente-servidor), IRC es fácil de usar, es simple y flexible, y pueden usarse servidores públicos para enviar comandos a los ordenadores afectados.
Aunque la última moda en botnets es realizar la comunicación entre botmaster y la botnet a través de las redes p2p.

Un bot muy popular es Agobot, publicado bajo licencia GPL, y que suele utilizarse para analizar el código fuente de este tipo de "bichos" y para mostrar ejemplos prácticos de como funciona una botnet.

Volviendo a la noticia, se ha detenido a tres botmaster que controlaban una red zombie de 13 millones de ordenadores, son tres españoles que compraron el malware (no lo diseñaron ellos) en el mercado negro, el malware viene con un centro de configuración a través de un interfaz gráfico que permite configurar diversos parámetros.
La red fue descubierta en 2009 por
Defence Intelligence y desde que se descubrió que los botmaster operaban desde España se unió Panda security a la investigación, que al parecer ha desempeñado un papel fundamental.
Los
botmaster vendían los servicios de la botnet a las mafias y alquilaban una parte de ella.

Es la mayor
botnet hasta la fecha, llamada botnet mariposa, más de la mitad de las empresas del Fortune 1000 están afectadas, además de numerosas entidades financieras, bancos, y ordenadores personales en todo el mundo, en España se calcula que unos 200.000, se han recopilado los datos personales y bancarios de aproximadamente un millón de usuarios, la historia completa, muy interesante y que recomiendo leer se puede encontrar aquí.
http://pandalabs.pandasecurity.com/es/red-de-bots-mariposa/

Las botnets son una de las mayores amenazas de la red, están muy extendidas y son las responsables de gran parte del spam generado en Internet y del robo de datos privados.
Por lo menos se debe tener el antivirus actualizado, alguien puede pensar que el ordenador es suyo y en realidad es también de una mafia rusa.

3 comentarios:

Anónimo dijo...

HOla

Que te parece si hacemso un tuto sobre hacer una bonet para el forito ?¿

Mikeollie dijo...

Hola anónimo, ¿A qué te refieres exactamente?

Anónimo dijo...

Hola pues a hacer un tutorial de como crear una botnet con algun ejemplo practico por ejemplo podriamos usar maquinas virtuales para demostrar el funcionamiento que os parece ?¿

Publicar un comentario