Ya que tenemos claro qué es una botnet, vamos a explicar algunas características adicionales que nos ayudarán a entender mejor cuál es el funcionamiento de estos códigos maliciosos. Si bien son varios los síntomas que puede presentar una computadora zombi, la principal característica que tienen las botnets es intentar pasar desapercibidas para el usuario, contrario a otras amenazas como el ransomware.
6 posibles acciones maliciosas de un botmaster
Una vez que la computadora o dispositivo móvil ha sido infectado, son varias las acciones que puede realizar el botmaster, dentro de las que vale resaltar las siguientes:
- Ataques DDoS
Un ataque de denegación de servicio, DoS por sus siglas en inglés, busca dejar inaccesible un servicio para sus usuarios, al lograr una sobrecarga de los recursos de cómputo o de la red a la cual estos se conectan. Cuando se habla de un ataques DDoS o de denegación de servicio distribuida los causantes de estas sobrecargas son múltiples equipos, en diferentes lugares y con un único objetivo, lo cual puede lograr un atacante que controle una botnet.
- Control remoto
Teniendo en cuenta que una botnet puede estar formada por miles de dispositivos, los ciberdelincuentes han encontrado la manera de sacar provecho económico de este tipo de situación al utilizar los recursos de los equipos infectados para operaciones de cómputo distribuido.
- Robo de credenciales
Los atacantes logran obtener datos como nombres de usuario, contraseñas y hasta datos bancarios o de tarjetas de crédito. ¿Cómo? A partir de la interceptación de formularios web, de información guardada de forma automática por ciertos servicios o aplicaciones, e incluso a través de aplicaciones de keylogging.
- Fraude en línea
Aprovechando la masividad de máquinas infectadas, un atacante puede beneficiarse de forma ilícita de servicios como AdSense, WordAds o BidVertiser que pagan por la cantidad de clic en anuncios publicados en Internet. De esta manera el atacante genera tráfico fraudulento desde los equipos zombis con el objetivo de obtener ganancia económica.
- Ejecución remota de aplicaciones
Una vez que un atacante logra tener acceso a un dispositivo, puede utilizar ese control para instalar o actualizar aplicaciones maliciosas dentro del sistema buscando acciones más específicas.
- Ciberespionaje
Si bien este término a muchos les puede generar ruido, es posible encontrar a la venta códigos maliciosos para que personas sin escrúpulos extraigan información de empresas y luego la pongan en venta a sus competidores o para generar fugas de información que afecten la reputación de una empresa.
Es claro que los atacantes no van solamente detrás de información sensible, la capacidad de cómputo creciente y las altas velocidades en los canales de comunicación son tomados por los atacantes como una oportunidad de conseguir dinero. Si bien las características de las amenazas pueden variar en capacidades o funcionalidades hay tres pasos que pueden identificarse en la forma en que los atacantes propagan y aprovechan estas amenazas.
Cómo opera el ciberdelincuente detrás de una botnet
Generalizar la forma de operación de los códigos maliciosos tal vez sea una tarea imposible. Sin embargo existen tres características particulares que se pueden asociar con la manera en que un atacante logra llegar hasta sus víctimas y dejar la amenaza funcional.
- Encontrar las posibles víctimas a través de redes P2P, correo electrónico, redes sociales y sitios de descarga de archivos para que el atacante logre compartir binarios infectados o enlaces que llevan a descargas maliciosas.
- Infectar los equipos objetivos a través de la ejecución de códigos maliciosos con características de troyanos o gusanos apoyados en técnicas de Ingeniería Social que resultan ser bastante efectivas, aprovechando la inexperiencia de algunos usuarios o la credulidad de muchos otros.
- Propagar la botnet a otros equipos que estén asociados con las víctimas, utilizando redes Peer To Peer o incluso a través de interacciones en redes sociales u otros tipos de servicios que se asocien con el equipo infectado.
Con esta forma de operar un atacante puede llegar a comprometer muchas máquinas en poco tiempo. Dependerá del tipo de código malicioso que utilice y el objetivo que persiga la selección de la estructura por la cual el atacante va a manejar los equipos infectados.
Las 3 estructuras comunes de las botnets
Uno de los problemas más complejos al momento de combatir una botnet radica en que un atacante tiene a su disposición una gran cantidad de computadoras infectadas y las puede manejar de formas variadas. Desde el uso del protocolo IRC hasta el desarrollo de técnicas más complejas con servidores de terceros o redes distribuidas, un atacante puede utilizar diferentes arquitecturas para controlar las acciones de los equipos víctimas.
Veamos las tres principales:
Centralizada
Es la topología menos compleja ya que toda la comunicación con los equipos infectados se realiza desde un servidor central al cual se conecta el botmaster. Si bien puede resultar una opción muy ágil para los atacantes, en la cual se suelen utilizar protocolos como IRC, HTTP o incluso HTTPS, al tener un único punto crítico podría ser dada de baja si este servidor se pone fuera de línea o si alguien detecta la conexión desde un nodo podría llegar hasta la información robada.
Por esta razón es que al momento de analizar estas amenazas se encuentran diferentes servidores, los cuales van siendo cambiados por los atacantes para de esta forma hacer más complejo darla de baja.
Descentralizada
Si existe una topología centralizada, existe su contraparte. Las no estructuradas proveen una complicación adicional al momento de tratar de darlas de baja, relacionada con el hecho de que un botmaster pueda enviar comandos a los equipos zombis desde diferentes máquinas que cumplen la función de servidores.
Con este tipo de arquitectura un atacante busca minimizar la posibilidad de que el tráfico malicioso sea detectado, enviando los comandos generalmente cifrados, y esperando que otros bots se conecten y reciban la información. De esta forma, al detectar un equipo infectado es más complejo determinar la distribución de toda la red.
Botnets punto a punto
Las topologías del tipo P2P aprovechan que todos los equipos zombis puedan actuar como clientes o como servidores. Al momento del análisis de este tipo de arquitecturas se encuentra el problema de la dispersión de las conexiones en múltiples equipos, resultando en botnets más complicadas de desarticular ya que no cuentan con una base única desde la que se controlen los equipos de la red. Sin embargo, grandes operativos como del que participó ESET recientemente logran interrumpir el funcionamiento de botnets incluso de la talla de Dorkbot.
Si entendemos la gran versatilidad de este tipo de códigos maliciosos nos podemos hacer una idea de por qué son tan utilizados por los atacantes y las diversidad de opciones que tienen para administrar el comportamiento de una botnet.
En la siguiente entrega de esta serie veremos los principales protocolos utilizados por los ciberdelincuentes, para entender a qué nos enfrentamos al momento de analizarlas y cómo a partir del análisis de red se puede modelar la detección de estos códigos maliciosos.
Mientras tanto, pueden repasar qué es y cómo funciona una botnet en el siguiente video: