Botnets
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Botnets as PDF for free.
More details
- Words: 2,010
- Pages: 11
BOTNETS_ El fenómeno de las redes de ordenadores zombies
INDICE
QUÉ ES UNA BOTNET
2
CREACIÓN DE UNA BOTNET
2
USO DE LAS BOTNETS
2
5
5
- ENVÍO DE SPAM - BOTNETS COMO MIRRORS - ATAQUES DOS Y DDOS
BAJO EL ATAQUE DE UNA BOTNET
EVITAR FORMAR PARTE DE UNA BOTNET
¿PERTENECE MI EQUIPO A UNA RED ZOMBIE?
6
DESARTICULANDO UNA BOTNET
6
FUENTES
7
CRÉDITO
7
Seguridad informática
QUÉ ES UNA BOTNET
Una botnet o red de bots es una colección de software autónomo, o bots, que, sin conocimiento ni autorización del propietario de un sistema informático, se ejecuta en servidores y ordenadores personales con el fin de usar éstos para llevar a cabo actividades ilícitas, como la realización de ataques DoS (Denegación de Servicio) y el envío de correo masivo no solicitado, o spam. El creador y/o administrador de la botnet puede controlar todos los equipos infectados remotamente y vender sus servicios, por ejemplo, a spammers, que son los responsables del envío del spam. Los ordenadores infectados con este tipo de malware o software malicioso pasan a estar bajo el control del artífice de la botnet, que los usará para ejecutar las actividades antes mencionadas, entre otras. Estos ordenadores son llamados zombies en analogía a los muertos vivientes de los ritos vudús, representados como seres que realizan obedientemente todas y cada una de las órdenes que ejecuta la persona que los ha devuelto a la vida. Grupos de personas más o menos organizados pueden tener bajo su control miles de ordenadores zombies.
CREACIÓN DE UNA BOTNET
Para la creación de los bots se suelen usar lenguajes de programación orientados a objetos. Una vez creado el software malicioso, éste se distribuye por una red directamente a la espera de equipos para infectar de manera directa (ejecución de scripts malignos, descarga de archivos sospechosos de páginas webs, intrusión directa por parte del cracker, etc.) o se puede esconder dentro de un software pretendidamente no malicioso (aplicaciones, cracks, etc.). Tras la ejecución del código malicioso, el bot puede escanear el equipo infectado y buscar maneras de propagarse utilizando vulnerabilidades de los sistemas operativos, o bien en el caso de los servidores la infección y propagación se produce mediante ataques de fuerza bruta (prueba-error) y/o mediante exploits que se aprovechan de bugs (vulnerabilidades) de estos sistemas.
USOS DE LAS BOTNETS
Las redes de ordenadores zombies son usadas tanto para el envío de spam, para la descarga de contenidos de gran tamaño aprovechando el ancho de banda de las computadoras infectadas y para la realización de ataques de denegación de servicio o DoS.
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
Envío de spam El spam o correo basura son mensajes normalmente de carácter publicitario que se envían en grandes cantidades a múltiples receptores a través de diferentes sistemas de comunicación sin que éstos los hayan solicitado previamente. El problema radica principalmente en que el envío de estos contenidos de forma indiscriminada consume un gran ancho de banda en la red, ralentizando otros servicios legítimos, y producen molestias a los usuarios del correo electrónico, foros, blogs, mensajería instantánea, etc. que tienen que soportar recibir mensajes con productos que no le interesan sin la posibilidad de poder evitarlo, ya que al contrario que con el caso de otros boletines publicitarios, no hay posibilidad de darse de baja en el servicio y dejar de recibir mensajes basura. No existe una solución definitiva al problema del spam; sólo hay que seguir varias normas de uso de la red para que así se vea reducida la cantidad de spam recibido, como por ejemplo evitar escribir direcciones de correo completas en foros, blogs, etc. para que no sean leídas por los bots o enviar correos a varios destinatarios escribiendo sus direcciones en el campo CCO (Copia de Carbón Oculta) a la hora de continuar una ʻcadena de e-mailsʼ. Volviendo al tema de cómo una botnet puede ser usada para enviar spam, el administrador/creador de la red de ordenadores zombies puede ʻalquilarʼ la botnet a spammers para que éstos realicen la distribución del correo basura o ser el propio artífice de la botnet un spammer. Para que esta operación llegue a buen puerto, se siguen una serie de pasos:
1. El operador de una botnet distribuye todo tipo de malware entre los usuarios. 2. Los ordenadores infectados se conectan a través de un medio de comunicación en red. 3. En el caso de que el creador de la botnet no se dedique a enviar correo basura, se alquila el uso de la red de zombies a un spammer. 4. El spammer manda instrucciones precisas a los ordenadores infectados para que comiencen a enviar spam a los diferentes servidores de correo. IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
Es interesante ver como cada ordenador perteneciente a la botnet sigue al anterior con poco tiempo de diferencia en el envío de spam, mostrando una coordinación y organización que denotan la presencia de ciertos órganos de control sobre ellos. Se piensa que sólo seis redes de ordenadores zombies son responsables del 85% de todo el correo basura que circula por el mundo. Botnets como mirrors Otro uso de las botnets es como mirrors o alojadores de contenido, no pocas veces éste ilegal. Normalmente, los contenidos de Internet se alojan en servidores, que los suministran a los clientes tras las peticiones oportunas. Las descargas consumen ancho de banda del servidor que el propietario del espacio web tiene contratado. Ésto puede ser un problema a la hora de poner a disposición de los usuarios archivos de gran tamaño, ya que el ancho de banda consumido se dispararía y el webmaster no podría hacer frente al pago de ampliar el ancho de banda a consumir. Por ello, los administradores de las botnets usan los ordenadores zombies para almacenar los contenidos de gran tamaño y de esa manera el ancho de banda de sus sitios web no se ve mermado. Ataques DoS y DDoS Un ataque de denegación de servicio, o DoS (Denial of Service) por sus siglas en inglés, es un ataque realizado contra un sistema de computadoras o red que produce que un servicio pase a no estar disponible para los usuarios legítimos, al producir el agotamiento del ancho de banda del sistema informático víctima y otros problemas de índole computacional, por lo que la conectividad a la red del atacado se pierde. Este tipo de ataque se puede realizar de muchas maneras, aunque siempre usando el protocolo TCP/ IP para saturar de información los puertos de comunicación. En el caso de los servidores, un cracker puede desconectar de la red un servidor determinado enviándole muchas peticiones en un pequeño espacio de tiempo hasta que éste es incapaz de seguir atendiendo las peticiones por agotamiento de sus recursos. En otras ocasiones los propios administradores de un servidor realizan ataques DoS contra su propio equipo para así ver la capacidad máxima de soporte de tráfico del sistema. El ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) es cuando un ataque DoS se realiza por una multiplicidad de equipos de diferentes partes del mundo pertenecientes a una botnet contra una red o servidor víctima. Es interesante el hecho de que, a diferencia del ataque DoS, miles de ordenadores de todo el mundo pueden atacar a un único servidor durante días en oleadas sin que el administrador del sistema atacado pueda hacer más que desconectar el servidor de la red hasta que el ataque termine y se restablezca la normalidad. Por ejemplo, si un ataque DoS se lleva a cabo mediante un sólo equipo, el administrador del servidor no tiene más que bloquear al mismo para que el ataque cese, pero en el caso de un DDoS es imposible para la víctima bloquear a todos y cada uno de los equipos ya que sus peticiones provienen de múltiples lugares. Esta técnica se ha demostrado como una forma barata y sencilla de causar IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
perjuicios a sitios web de empresas, colectividades y páginas personales por diferentes causas, como puede ser el hecho de chantajear a los administradores de los servidores víctima para que paguen y así mantener sus servicios operativos o como ataque contra la libertad de expresión, visto en el caso de la web ʻGenbetaʼ a principios del 2008. Como se ha comentado con anterioridad, el servidor se desconecta de la red por la incapacidad de los routers para procesar toda la información y por el alto consumo de ancho de banda que se produce en el ataque, ya que los administradores del servidor no pueden afrontar el coste económico tan elevado que conllevaría ampliar el ancho de banda a usar para mantener el sitio online. Entre las diferentes maneras de las que puede ejecutarse un ataque DoS se encuentra el envío de paquetes de información falsificados o el envío de múltiples paquetes ʻecho requestʼ o ping de gran tamaño generando respuestas por parte del servidor hasta sobrecargarlo.
BAJO EL ATAQUE DE UNA BOTNET
En el caso de ser víctima de un ataque DDoS por parte de una botnet, poco se puede hacer. Simplemente se pueden escanear los paquetes entrantes para adaptar el firewall y así poder reducir de alguna forma el tráfico tan alto que se genera en el ataque.
EVITAR FORMAR PARTE DE UNA BOTNET
Para evitar formar parte de una botnet se han de seguir prácticamente los mismos pasos que para evitar la infección de un equipo por parte de un gusano, virus u otra clase de malware. En equipos Windows se hace imprescindible el uso de un antivirus actualizado y un firewall que monitorice los puertos de conexión del equipo, la no descarga y ejecución de contenidos de dudosa procedencia y mantener el sistema operativo actualizado. En sistemas basados en UNIX basta con mantener el equipo al día con las últimas
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
actualizaciones y mantener un nivel de seguridad aceptable, con el uso de contraseñas fuertes y el cierre de puertos innecesarios.
¿PERTENECE MI EQUIPO A UNA RED ZOMBIE?
Examinando el tráfico de la red puede determinarse si se forma parte de una botnet. Un síntoma fácil de identificar es que la conexión a Internet vaya muy lenta y que se encuentren problemas a la hora de conectarse a determinadas páginas, a que algunas pueden mostrar avisos de infección del equipo por parte de un gusano o bot. Si se tiene la seguridad de pertenecer a una botnet, lo primero que ha que hacer es desconectar el ordenador de la red. También es importante estar atento a los procesos que se ejecutan en segundo plano. Los sistemas operativos mantienen en funcionamiento varios procesos necesarios para el correcto funcionamiento del ordenador que pueden ser monitorizados fácilmente. Si en la lista de procesos se encuentra alguno sospechoso se debe detener la ejecución del mismo y escanear el equipo con un antivirus o programa de limpieza de malware para encontrar el software malicioso y eliminarlo.
DESARTICULANDO UNA BOTNET
En la gran mayoría de las ocasiones, las botnets usan los servidores y canales del IRC para comunicarse y realizar sus actividades. Si se encuentra el canal de IRC usado por una botnet, éste puede cerrarse sin más y así se desarticularía la botnet completa. El problema aparece cuando las botnets poseen una lista de servidores alternativos a los que conectarse en caso de que el servidor y el canal que usaban con anterioridad fueran cerrados, o cuando el spammer o administrador de la botnet posee un servidor propio.
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
FUENTES Wikipedia en español e inglés (http://www.wikipedia.org) Security Focus (http://www.securityfocus.com) Noticias Dot (http://www.noticiasdot.com) OnGuard Online (http://onguardonline.gov) “Seguridad digital y hackers” de Juan Diego Gutiérrez Gallardo
CRÉDITO Francisco Javier Dávila Delgado es alumno de Ingeniería Técnica en Informática de Sistemas en la Escuela Superior de Ingeniería de Cádiz en el curso 2007/2008. Este mismo año cursa la asignatura “Instalación y Mantenimiento de Equipos Informáticos”, IMEI por sus siglas, para la que se ha realizado este trabajo.
IMEI 07/08
Francisco Javier Dávila Delgado
INDICE
QUÉ ES UNA BOTNET
2
CREACIÓN DE UNA BOTNET
2
USO DE LAS BOTNETS
2
5
5
- ENVÍO DE SPAM - BOTNETS COMO MIRRORS - ATAQUES DOS Y DDOS
BAJO EL ATAQUE DE UNA BOTNET
EVITAR FORMAR PARTE DE UNA BOTNET
¿PERTENECE MI EQUIPO A UNA RED ZOMBIE?
6
DESARTICULANDO UNA BOTNET
6
FUENTES
7
CRÉDITO
7
Seguridad informática
QUÉ ES UNA BOTNET
Una botnet o red de bots es una colección de software autónomo, o bots, que, sin conocimiento ni autorización del propietario de un sistema informático, se ejecuta en servidores y ordenadores personales con el fin de usar éstos para llevar a cabo actividades ilícitas, como la realización de ataques DoS (Denegación de Servicio) y el envío de correo masivo no solicitado, o spam. El creador y/o administrador de la botnet puede controlar todos los equipos infectados remotamente y vender sus servicios, por ejemplo, a spammers, que son los responsables del envío del spam. Los ordenadores infectados con este tipo de malware o software malicioso pasan a estar bajo el control del artífice de la botnet, que los usará para ejecutar las actividades antes mencionadas, entre otras. Estos ordenadores son llamados zombies en analogía a los muertos vivientes de los ritos vudús, representados como seres que realizan obedientemente todas y cada una de las órdenes que ejecuta la persona que los ha devuelto a la vida. Grupos de personas más o menos organizados pueden tener bajo su control miles de ordenadores zombies.
CREACIÓN DE UNA BOTNET
Para la creación de los bots se suelen usar lenguajes de programación orientados a objetos. Una vez creado el software malicioso, éste se distribuye por una red directamente a la espera de equipos para infectar de manera directa (ejecución de scripts malignos, descarga de archivos sospechosos de páginas webs, intrusión directa por parte del cracker, etc.) o se puede esconder dentro de un software pretendidamente no malicioso (aplicaciones, cracks, etc.). Tras la ejecución del código malicioso, el bot puede escanear el equipo infectado y buscar maneras de propagarse utilizando vulnerabilidades de los sistemas operativos, o bien en el caso de los servidores la infección y propagación se produce mediante ataques de fuerza bruta (prueba-error) y/o mediante exploits que se aprovechan de bugs (vulnerabilidades) de estos sistemas.
USOS DE LAS BOTNETS
Las redes de ordenadores zombies son usadas tanto para el envío de spam, para la descarga de contenidos de gran tamaño aprovechando el ancho de banda de las computadoras infectadas y para la realización de ataques de denegación de servicio o DoS.
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
Envío de spam El spam o correo basura son mensajes normalmente de carácter publicitario que se envían en grandes cantidades a múltiples receptores a través de diferentes sistemas de comunicación sin que éstos los hayan solicitado previamente. El problema radica principalmente en que el envío de estos contenidos de forma indiscriminada consume un gran ancho de banda en la red, ralentizando otros servicios legítimos, y producen molestias a los usuarios del correo electrónico, foros, blogs, mensajería instantánea, etc. que tienen que soportar recibir mensajes con productos que no le interesan sin la posibilidad de poder evitarlo, ya que al contrario que con el caso de otros boletines publicitarios, no hay posibilidad de darse de baja en el servicio y dejar de recibir mensajes basura. No existe una solución definitiva al problema del spam; sólo hay que seguir varias normas de uso de la red para que así se vea reducida la cantidad de spam recibido, como por ejemplo evitar escribir direcciones de correo completas en foros, blogs, etc. para que no sean leídas por los bots o enviar correos a varios destinatarios escribiendo sus direcciones en el campo CCO (Copia de Carbón Oculta) a la hora de continuar una ʻcadena de e-mailsʼ. Volviendo al tema de cómo una botnet puede ser usada para enviar spam, el administrador/creador de la red de ordenadores zombies puede ʻalquilarʼ la botnet a spammers para que éstos realicen la distribución del correo basura o ser el propio artífice de la botnet un spammer. Para que esta operación llegue a buen puerto, se siguen una serie de pasos:
1. El operador de una botnet distribuye todo tipo de malware entre los usuarios. 2. Los ordenadores infectados se conectan a través de un medio de comunicación en red. 3. En el caso de que el creador de la botnet no se dedique a enviar correo basura, se alquila el uso de la red de zombies a un spammer. 4. El spammer manda instrucciones precisas a los ordenadores infectados para que comiencen a enviar spam a los diferentes servidores de correo. IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
Es interesante ver como cada ordenador perteneciente a la botnet sigue al anterior con poco tiempo de diferencia en el envío de spam, mostrando una coordinación y organización que denotan la presencia de ciertos órganos de control sobre ellos. Se piensa que sólo seis redes de ordenadores zombies son responsables del 85% de todo el correo basura que circula por el mundo. Botnets como mirrors Otro uso de las botnets es como mirrors o alojadores de contenido, no pocas veces éste ilegal. Normalmente, los contenidos de Internet se alojan en servidores, que los suministran a los clientes tras las peticiones oportunas. Las descargas consumen ancho de banda del servidor que el propietario del espacio web tiene contratado. Ésto puede ser un problema a la hora de poner a disposición de los usuarios archivos de gran tamaño, ya que el ancho de banda consumido se dispararía y el webmaster no podría hacer frente al pago de ampliar el ancho de banda a consumir. Por ello, los administradores de las botnets usan los ordenadores zombies para almacenar los contenidos de gran tamaño y de esa manera el ancho de banda de sus sitios web no se ve mermado. Ataques DoS y DDoS Un ataque de denegación de servicio, o DoS (Denial of Service) por sus siglas en inglés, es un ataque realizado contra un sistema de computadoras o red que produce que un servicio pase a no estar disponible para los usuarios legítimos, al producir el agotamiento del ancho de banda del sistema informático víctima y otros problemas de índole computacional, por lo que la conectividad a la red del atacado se pierde. Este tipo de ataque se puede realizar de muchas maneras, aunque siempre usando el protocolo TCP/ IP para saturar de información los puertos de comunicación. En el caso de los servidores, un cracker puede desconectar de la red un servidor determinado enviándole muchas peticiones en un pequeño espacio de tiempo hasta que éste es incapaz de seguir atendiendo las peticiones por agotamiento de sus recursos. En otras ocasiones los propios administradores de un servidor realizan ataques DoS contra su propio equipo para así ver la capacidad máxima de soporte de tráfico del sistema. El ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) es cuando un ataque DoS se realiza por una multiplicidad de equipos de diferentes partes del mundo pertenecientes a una botnet contra una red o servidor víctima. Es interesante el hecho de que, a diferencia del ataque DoS, miles de ordenadores de todo el mundo pueden atacar a un único servidor durante días en oleadas sin que el administrador del sistema atacado pueda hacer más que desconectar el servidor de la red hasta que el ataque termine y se restablezca la normalidad. Por ejemplo, si un ataque DoS se lleva a cabo mediante un sólo equipo, el administrador del servidor no tiene más que bloquear al mismo para que el ataque cese, pero en el caso de un DDoS es imposible para la víctima bloquear a todos y cada uno de los equipos ya que sus peticiones provienen de múltiples lugares. Esta técnica se ha demostrado como una forma barata y sencilla de causar IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
perjuicios a sitios web de empresas, colectividades y páginas personales por diferentes causas, como puede ser el hecho de chantajear a los administradores de los servidores víctima para que paguen y así mantener sus servicios operativos o como ataque contra la libertad de expresión, visto en el caso de la web ʻGenbetaʼ a principios del 2008. Como se ha comentado con anterioridad, el servidor se desconecta de la red por la incapacidad de los routers para procesar toda la información y por el alto consumo de ancho de banda que se produce en el ataque, ya que los administradores del servidor no pueden afrontar el coste económico tan elevado que conllevaría ampliar el ancho de banda a usar para mantener el sitio online. Entre las diferentes maneras de las que puede ejecutarse un ataque DoS se encuentra el envío de paquetes de información falsificados o el envío de múltiples paquetes ʻecho requestʼ o ping de gran tamaño generando respuestas por parte del servidor hasta sobrecargarlo.
BAJO EL ATAQUE DE UNA BOTNET
En el caso de ser víctima de un ataque DDoS por parte de una botnet, poco se puede hacer. Simplemente se pueden escanear los paquetes entrantes para adaptar el firewall y así poder reducir de alguna forma el tráfico tan alto que se genera en el ataque.
EVITAR FORMAR PARTE DE UNA BOTNET
Para evitar formar parte de una botnet se han de seguir prácticamente los mismos pasos que para evitar la infección de un equipo por parte de un gusano, virus u otra clase de malware. En equipos Windows se hace imprescindible el uso de un antivirus actualizado y un firewall que monitorice los puertos de conexión del equipo, la no descarga y ejecución de contenidos de dudosa procedencia y mantener el sistema operativo actualizado. En sistemas basados en UNIX basta con mantener el equipo al día con las últimas
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
actualizaciones y mantener un nivel de seguridad aceptable, con el uso de contraseñas fuertes y el cierre de puertos innecesarios.
¿PERTENECE MI EQUIPO A UNA RED ZOMBIE?
Examinando el tráfico de la red puede determinarse si se forma parte de una botnet. Un síntoma fácil de identificar es que la conexión a Internet vaya muy lenta y que se encuentren problemas a la hora de conectarse a determinadas páginas, a que algunas pueden mostrar avisos de infección del equipo por parte de un gusano o bot. Si se tiene la seguridad de pertenecer a una botnet, lo primero que ha que hacer es desconectar el ordenador de la red. También es importante estar atento a los procesos que se ejecutan en segundo plano. Los sistemas operativos mantienen en funcionamiento varios procesos necesarios para el correcto funcionamiento del ordenador que pueden ser monitorizados fácilmente. Si en la lista de procesos se encuentra alguno sospechoso se debe detener la ejecución del mismo y escanear el equipo con un antivirus o programa de limpieza de malware para encontrar el software malicioso y eliminarlo.
DESARTICULANDO UNA BOTNET
En la gran mayoría de las ocasiones, las botnets usan los servidores y canales del IRC para comunicarse y realizar sus actividades. Si se encuentra el canal de IRC usado por una botnet, éste puede cerrarse sin más y así se desarticularía la botnet completa. El problema aparece cuando las botnets poseen una lista de servidores alternativos a los que conectarse en caso de que el servidor y el canal que usaban con anterioridad fueran cerrados, o cuando el spammer o administrador de la botnet posee un servidor propio.
IMEI 07/08
Francisco Javier Dávila Delgado
Seguridad informática
FUENTES Wikipedia en español e inglés (http://www.wikipedia.org) Security Focus (http://www.securityfocus.com) Noticias Dot (http://www.noticiasdot.com) OnGuard Online (http://onguardonline.gov) “Seguridad digital y hackers” de Juan Diego Gutiérrez Gallardo
CRÉDITO Francisco Javier Dávila Delgado es alumno de Ingeniería Técnica en Informática de Sistemas en la Escuela Superior de Ingeniería de Cádiz en el curso 2007/2008. Este mismo año cursa la asignatura “Instalación y Mantenimiento de Equipos Informáticos”, IMEI por sus siglas, para la que se ha realizado este trabajo.
IMEI 07/08
Francisco Javier Dávila Delgado
Related Documents
Botnets
November 2019 1
Botnets Case Study
May 2020 0