Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es una botnet? Cuando los dispositivos infectados atacan

[16/04/2022] Una botnet es una colección de dispositivos conectados a Internet que un atacante ha comprometido para llevar a cabo ataques DDoS y otras tareas como un enjambre. La idea es que cada computadora se convierta en un robot, sin mente, en una red más grande de robots idénticos, lo que le da su significado a la palabra botnet.

"El malware infecta una computadora legítima y desprevenida, y comunica al operador de la botnet que la computadora infectada ahora está lista para seguir sus órdenes ciegamente, explica Nasser Fattah, presidente del North America Steering Committee Chair en Shared Assessments. "Todo esto sucede sin que el propietario de la computadora lo sepa. El objetivo es hacer crecer el tamaño de la botnet, que en conjunto puede automatizar y acelerar grandes ataques.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Entraremos en los detalles de qué tipos de ataques son posibles en un momento, pero primero, echemos un vistazo a cómo se crean las botnets y qué forma toman.

Arquitectura de una botnet

Una botnet es un ejemplo de un sistema informático distribuido que opera a través de Internet, un ejemplo bastante temprano del uso generalizado de esta idea en el mundo real. Las personas, o los equipos que ejecutan una red de bots, llamados controladores o pastores, necesitan reclutar computadoras en su ejército y luego coordinar su actividad para obtener ganancias. Hay una serie de componentes en la arquitectura que ayudan a que las botnets se formen y se perpetúen.

Malware de botnet. Los hackers toman el control de las computadoras de destino a través de malware. Hay muchos tipos de vectores mediante los cuales el malware puede ingresar a las máquinas; ellos van desde los ataques de phishing y de abrevadero (watering hole)hasta la explotación de las vulnerabilidades no parchadas. Este código malicioso permite al atacante obligar a la máquina comprometida a tomar medidas sin que su propietario se dé cuenta. "El malware, en sí mismo, a menudo no intenta robar nada ni causar ningún daño, explica Jim Fulton, vicepresidente de Forcepoint. "En cambio, trata de permanecer oculto para que el software de la botnet pueda seguir funcionando en silencio.

Drones botnet. Una vez que el atacante toma el control de un dispositivo, éste se denomina dron -es solo otro soldado en el ejército de la botnet, aunque tiene cierta autonomía y, en algunos casos, inteligencia artificial. "Un dron de botnet puede reclutar otras computadoras y dispositivos con cierta inteligencia, lo que hace que sea más difícil encontrarlo y detenerlo, afirma Andy Rogers, asesor principal de Schellman. "Encontrará hosts vulnerables y los invitará a la botnet sin que el usuario lo sepa.

Todo tipo de dispositivos conectados a Internet se pueden convertir en drones, desde las PC hasta los teléfonos móviles y los dispositivos IoT. De hecho, este último tipo de dispositivos, como las cámaras de seguridad con acceso a Internet o los módems de cable, pueden ser de particular interés para los atacantes, afirma Dave Marcus, director sénior de inteligencia de amenazas de LookingGlass Cyber. "Dispositivos como ese, la gente tiende a olvidar que están allí porque los enciendes una vez, y eso es todo, explica. "O, cuando se trata de dispositivos como routers y switchers, las personas no quieren actualizarlos por temor a hacerlo incorrectamente. En ambos casos, eso puede dejar dispositivos sin parchar y vulnerables.

Pero la clave, desde la perspectiva del controlador de botnet, es que hay muchos de los drones y se ven como las máquinas ordinarias que son, afirma Ido Safruti, cofundador y CTO de PerimeterX. "Al infectar los dispositivos de personas 'legítimas' con malware, el operador de una botnet obtiene recursos utilizando direcciones IP residenciales que parecen ser usuarios legítimos y obtiene recursos informáticos gratuitos que pueden realizar tareas.

Comando y control de botnets (C2). La pieza final del rompecabezas es el mecanismo mediante el cual se controlan estos bots. Las primeras botnets generalmente se controlaban desde un servidor central, pero eso hizo que fuera relativamente fácil acabar con toda la red, rastreando ese controlador central y cortándolo. Las botnets modernas operan en un modelo peer to peer, donde los comandos se transmiten de un dron a otro cuando reconocen sus distintas firmas de malware a través de Internet. La comunicación de los pastores de bots y entre bots puede usar varios tipos de protocolos. El chat de retransmisión de Internet (IRC), un protocolo de chat de la vieja escuela, todavía se usa comúnmente porque es relativamente liviano y se puede instalar fácilmente en bots sin usar tantos recursos como para que los usuarios noten un impacto en el rendimiento. Pero también se utilizan otros protocolos, como Telnet y HTTP ordinario, lo que dificulta la detección del tráfico. Algunas botnets utilizan medios de coordinación aún más creativos, con comandos publicados en sitios públicos como Twitter o GitHub.

Así como se distribuyen las redes de bots, también se distribuye el trabajo de crear los diferentes componentes en la arquitectura de una red de bots. "Los hackers son especialistas y la mayoría de los grupos trabajan como afiliados en una conjunción flexible con otros grupos de hackers, afirma Garret Grajek, director ejecutivo de YouAttest. "En el mundo del malware, puede haber un grupo que explota una nueva debilidad no publicada, otro grupo que luego crea la carga útil de la botnet y otro grupo controla el centro de comando y control.

¿Qué hace una botnet?

Los ataques distribuidos de denegación de servicio, o DDoS (por sus siglas en inglés), son quizás el tipo de ataque de botnet más conocido y popular. Estos ataques, en los que cientos o miles de máquinas comprometidas, intentan acceder a un servidor u otro recurso en línea con tráfico web que parece legítimo y lo dejan fuera de servicio en el proceso, realmente no pueden ocurrir sin una red de bots. También son relativamente fáciles de iniciar, ya que casi cualquier dispositivo que pueda infectarse, tendrá capacidades de Internet y al menos un navegador web rudimentario.

Pero hay muchas otras cosas que los atacantes pueden hacer con sus redes de bots, y el objetivo final puede determinar el tipo de dispositivos que los creadores de redes de bots intentarán infectar, explica Marcus de LookingGlass Cyber. "Si quiero usar mi botnet para la minería de bitcoins, puedo buscar direcciones IP en cierta parte del mundo porque esas máquinas son un poco más robustas -tienen una GPU y una CPU y la gente no necesariamente va a notar el impacto si está minando en segundo plano, afirma Marcus. "Así que todo se reduce a: ¿Voy a usar también esa máquina para recopilar credenciales? ¿Tal vez quiero usarla para enviar spam? ¿Para una campaña de phishing? ¿Un sitio de abrevadero?

Pero recuerde, si bien las víctimas de este tipo de ataques sentirán la ira del controlador de la botnet, el objetivo es que los propietarios de los bots nunca sepan que sus máquinas son todo menos inocentes. "Solo depende de cuánto cree el operador que puede salirse con la suya, afirma Marcus. "Con un poco de malware muy funcional, que hace muchas cosas diferentes, aumenta la posibilidad de que lo descubran en esa máquina, porque el propietario pensará: 'Hay algo mal con esta máquina, está funcionando lento'.

Ejemplos de botnets

Si bien los ataques DDoS pueden recibir la mayor parte de la atención hoy en día, el spam fue el propósito detrás de la primera red de bots. Khan C. Smith creó un ejército de bots para ayudar a potenciar su imperio de spam en el 2001, ganando millones de dólares en el proceso. Finalmente, el ISP EarthLink lo demandó con éxito por 25 millones de dólares.

Una de las redes de bots más importantes de los últimos años fue Mirai, que desconectó brevemente una gran parte de Internet en el 2016. Mirai fue escrito por un estudiante universitario de Nueva Jersey y surgió de una guerra entre hosts de servidores de Minecraft, pero el código sigue disponible hoy y todavía se utiliza en los ataques. Mirai apuntó específicamente a las cámaras de televisión de circuito cerrado conectadas a Internet para convertirlas en drones, lo que demuestra la importante superficie de ataque en la que se han convertido los dispositivos IoT.

Pero hay muchos otros ejemplos de cepas de botnet en la web, afirma Kevin Breen, director de investigación de amenazas cibernéticas de Immersive Labs. "Las botnets más grandes, como TrickBot, hacen un uso intensivo de malware como Emotet, que depende más de la ingeniería social para su instalación, explica Breen. "Por lo general, son más resistentes y se utilizan para implementar software malicioso adicional, como troyanos bancarios y ransomware. En los últimos años, hemos observado varias veces cómo las autoridades, con algo de éxito, han intentado interrumpir estas grandes botnets de crimen financiero. Sin embargo, las botnets siempre parecen recuperarse con el paso del tiempo.

Venta de botnets

Ya hemos mencionado los muchos actores especializados que participan en la "cadena de abastecimiento de las botnets, por así decirlo. De hecho, la mayoría de estos hackers no crean sus redes de bots para su uso personal, sino que las crean como cualquier otro desarrollador de software: para venderlas a las personas que desean usarlas. Estas ventas tienen lugar en varios niveles de secreto. Por ejemplo, puede buscar fácilmente en Google los servicios que se refieren a sí mismos eufemísticamente como stressers o booters. "Las soluciones SaaS de 'prueba de estrés' en el mercado ofrecen servicios que se pueden comprar, por ejemplo, a través de PayPal, para evaluar la capacidad de recuperación de la red o el sistema, afirma Fattah de Shared Assessments. "Algunos de estos servicios pueden ser pastores de bots que venden sus capacidades abiertamente, donde no hay verificación del pagador o el objetivo.

Breen, de Immersive Labs, señala que aquellos que buscan descargar software de botnets también pueden encontrarlo sin demasiada dificultad. "Una búsqueda rápida en Google de los términos correctos puede encontrar foros que venden los mismos servicios y también ofrecen código fuente y versiones filtradas de botnets, agrega. "Esto suele ser utilizado por los hackers interesados en hacer cosas como difundir criptomineros.

Pero los verdaderos profesionales operan en la dark web y pueden ser difíciles de encontrar. "Estos mercados suelen estar resguardados y solo se puede acceder a ellos mediante una invitación, afirma Josh Smith, analista de ciberamenazas de Nuspire. Pero una vez que está allí, añade, el proceso es notablemente amigable para el cliente. "Los vendedores tendrán puntajes de reputación similares a los que encontraría en muchos mercados digitales comunes.

"Muchos de estos servicios tienen una interfaz fácil de usar, en las que puede apuntar la botnet hacia una IP o URL y hacer clic en el botón 'atacar', afirma Rogers de Schellman. "Directamente desde su navegador, podría paralizar una página web o un servidor, y con la criptomoneda para la transacción puede permanecer bastante anónimo.

Y si prefiere un servicio de mayor contacto de su pastor de bots, bueno, también puede obtenerlo. "Los actores de amenazas más sofisticados, como las pandillas de ransomware, pueden trabajar directamente con los operadores de una gran red de bots, como TrickBot, Emotet o Qakbot, para enviar campañas de phishing selectivo a gran escala, afirma Laurie Iacono, directora general asociada de Cyber Risk en Kroll. "Una vez que las máquinas están infectadas, el malware inicial recopila información para ayudar a los distribuidores de ransomware a infiltrarse en la red y aumentar los privilegios antes de la implementación del ransomware.

¿Cuánto cuesta? "El valor del acceso a una botnet puede ser de solo 10 dólares por hora, afirma Anurag Gurtu, CPO de StrikeReady. Pero uno obtiene aquello por lo que pagó. "Si quiere tener un bot de cierto tipo, en cierta parte del mundo, se vuelve un poco más caro, afirma Marcus de LookingGlass Cyber. "Ciertas partes del mundo tienen máquinas de mejor calidad. Por lo tanto, debido a que se trata de cajas más robustas, alquilar una botnet que se basa en máquinas y direcciones IP en Estados Unidos cuesta mucho más que una botnet de la UE.

Cómo evitar o detener un ataque de botnet

El proceso para protegerse contra las botnets puede tomar dos formas diferentes: está evitando que sus propios dispositivos se conviertan en bots o luchando contra los ataques lanzados por las botnets. En cualquier caso, como este artículo ha dejado en claro, no hay mucho que pueda hacer para defenderse, aparte de contar con una buena postura de seguridad. Los hackers convierten los dispositivos en bots con malware entregado a través de correos electrónicos de phishing, así que asegúrese de que su personal sepa que no debe abrir correos electrónicos de phishing. Hackean dispositivos IoT inseguros, así que asegúrese de configurar las contraseñas de esos dispositivos en algo que no sea el predeterminado. Si los hackers logran instalar malware en sus computadoras, necesitará un antivirus actualizado para detectarlo. Si se encuentra en el extremo receptor de un ataque DDoS, puede filtrar el tráfico atacante o reforzar su capacidad con una red de entrega de contenido.

También hay algunas técnicas específicas de botnet que puede implementar para mantenerse a salvo. Por ejemplo, Breen, de Immersive Labs, sugiere que "busque tráfico sospechoso que salga de su red. El análisis de flujo estadístico suena complejo, pero puede revelar la presencia de tráfico de comando y control de una botnet.

Y algunas personas están llevando la lucha a los propios pastores de bots. "Usamos varias herramientas para detener las botnets en su núcleo, afirma Mark Dehus, director de inteligencia de amenazas en Lumen Black Lotus Labs. "Por ejemplo, una vez que se detecta una nueva muestra de malware, podemos aplicar ingeniería inversa a los métodos que utiliza para informar a un C2. Esto nos permite desarrollar un bot emulado que puede conectarse a los C2 sospechosos, validarlos y monitorear las instrucciones que están comunicando a los bots. La guerra contra los pastores de bots es larga, pero esperamos que podamos cambiar el rumbo.

Puede ver también:

Primer Contacto

Más »

Casos de éxito

Más »