Entiendase por Botnet, es un término que hace referencia a
un conjunto de robots informáticos
o bots, que se ejecutan de
manera autónoma y automática. El artífice de la botnet puede controlar todos
los ordenadores/servidores infectados de forma remota y normalmente lo hace a
través del IRC. Las nuevas versiones de estas botnets se están enfocando hacia
entornos de control mediante HTTP, con lo que el control de estas máquinas será
mucho más simple.
El término
bot es el diminutivo de robot. Los delincuentes distribuyen malware (software
malintencionado) que puede convertir su equipo en un bot, también denominado un
zombie. Cuando esto sucede, su equipo puede realizar tareas automatizadas a
través de Internet sin su conocimiento. Los delincuentes suelen usar bots para
infectar una gran cantidad de equipos. Estos equipos forman una red, también
conocida como botnet.
Las botnet
se pueden usar para enviar mensajes de correo electrónico no deseados, propagar
virus, atacar equipos y servidores y cometer otros tipos de delitos y fraudes. Si
su equipo forma parte de una botnet, puede volverse más lento, y usted puede
estar ayudando a los delincuentes sin darse cuenta.
Formación de una Botnet
En los
sistemas Windows la forma más habitual de expansión de los "robots"
suele ser en el uso de cracks y archivos distribuidos descargados con algún
tipo de cliente P2P. Este tipo software suele contener malware el cual, una vez
el programa se ejecuta, puede escanear su red de área local, disco duro, puede
intentar propagarse usando vulnerabilidades conocidas de windows, etc.
En otros entornos como UNIX, GNU/Linux o BSD la forma
más clásica de ataque a servidores para construir y expandir una Botnet es por telnet
o SSH por medio del sistema prueba-error: probando usuarios comunes y
contraseñas al azar contra todas las IPs que se pueda de forma sistemática o
bien mediante ataques a bugs muy conocidos, que los administradores pueden
haber dejado sin enmendar.
Simples,
baratas y silenciosas
Pensemos por un momento el coste en tiempo que ha de invertir un
delincuente en fabricar su botnet. Primero necesita infectar una gran masa de
usuarios, luego va a precisar de un troyano y un agente que permanezca
residente en los equipos de las víctimas y por supuesto una infraestructura
para coordinar todos los nodos de la involuntaria red. A todo esto hay que
sumarle el factor tiempo.
Una botnet requiere de un mantenimiento, actualizaciones periódicas
y sostener su población, siempre en caída, por culpa de los amigos informáticos
y administradores precavidos. Por supuesto, luego está la competencia y la poca
facilidad que tiene el mercado para anunciar sus servicios en canales
establecidos ("Se alquila botnet a buen precio, rebajas a grupos. Razón
aquí."). Eso es una verdadera inversión en I+D, ingeniería social,
arquitectura distribuida y marketing, no está al alcance de cualquiera.
Complejo ¿verdad?
El verano pasado, Jeremiah Grossman y Matt Johansen de White Hat
Security, dieron una charla en la Black Hat USA sobre lo fácil y relativamente
barato que podría resultar un ataque de denegación de servicio distribuido
inyectando Javascript o HTML especialmente "horneado", de manera
legal, a través de las redes de publicidad en linea (léase, AdSense y otros).
Esto es así, pagas, metes tu código en la red publicitaria y te sientas a ver
como cae la víctima.
El código Javascript incluiría un bucle para generar visitas
continuas mientras esté cargada la página. Una vez el visitante cierra el
navegador o pestaña deja de "atacar". Es una técnica sigilosa, ya que
no deja huella puesto que no hay infección. Ellos advirtieron del peligro, un
vector interesante, silencioso y bastante barato.
Hace unos días, en el blog de Incapsula, escribían una crónica
sobre un peculiar ataque DDoS que afectó a uno de sus clientes. Esto no es
ninguna novedad, este tipo de ataques se sufre a diario, algunas veces como
parte de una estrategia, como método de chantaje o simplemente como protesta.
Lo novedoso procedía de como se había generado un tráfico de 20 millones de
peticiones desde 22.000 navegadores, cifras de Incapsula.
El origen: No revelan el domino, pero Incapsula habla de un sitio
dentro del top 50 de Alexa cuyo modelo de negocio se basa en el contenido de
vídeo. Estar en el top 50 de Alexa asegura tráfico, mucho tráfico, tanto que
podría generar una condición de denegación de servicio si un tercero recibe
referencias directas desde este sitio, algo parecido al efecto Slashdot.
Los atacantes encontraron una vulnerabilidad de Cross-site
scripting
(XSS) almacenado en dicho sitio. Esto les permitía dos cosas:
Inyectar código Javascript y que este código permaneciera en el servidor, sin
necesidad de distribuirlo en un enlace o formulario, esperando que alguien
visitase la página donde carga dicho script. En dicho caso, les permitía
inyectar código en una etiqueta "img" asociada al perfil del usuario.
Cada vez que alguien visitaba un vídeo colgado por este perfil (de
los atacantes, obviamente) cargaba un script dentro de un iframe invisible que
comenzaba a generar visitas hacia el sitio que querían tirar. Tal y como dicen
los de Incapsula, visitar un perfil y salir dura unos segundos, pero ¿Cuantas
visitas podrían generarse cuando se está viendo un vídeo de varios minutos?.
Como vemos no hace falta una gran inversión intelectual, de tiempo
y dinero para crear una herramienta útil para atacar. Los atacantes unieron de
una manera simplista pero muy efectiva varios conceptos sencillos: una
vulnerabilidad que permitía ejecutar código arbitrario en el cliente, un sitio
con un gran tráfico y algo de ingeniería social ¿Un vídeo turbio quizás?
Fuentes:
http://unaaldia.hispasec.com/2014/04/botnets-simples-baratas-y-silenciosas.html#comments
