Sobre las botnets que dicen indestructibles. ¿De verdad que lo son?

Hacker creando una bonetEn estos últimos meses, desde el verano, venimos oyendo y hemos leído en los medios todo tipo información sobre una botnet indestructible que supuestamente ha dejado a todos los expertos del mundo "con la boca abierta" (frase que han empleado en muchos artículos). En este caso concreto, ¿qué significa eso de indestructible?, porque puede llegar a confundir y asustar al usuario: ¿significa que no podré eliminarlo nunca de mi sistema? ¿Significa que nadie podrá eliminar nunca la botnet? Vamos a intentar aclarar por qué se ha llegado a esta conclusión, y veremos si es cierta o no. Pero ¿qué es una bonet?

Según Wikipedia, una botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple.

En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.

El uso habitual de las botnets y por tanto más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la descarga de ficheros que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service). Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.

Ejemplo de usando una Botnet para enviar Spam:
1.El operador de la botnet manda virus/gusanos/etc a los usuarios.
2.Los PC entran en el IRC o se usa otro medio de comunicación.
3.El Spammer le compra acceso al operador de la Botnet.
4.El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados...
5... causando que éstos envíen Spam al los servidores de correo.

Kaspersky hizo sonar la alarma. TDL4 era la evolución de TDL (nacida en 2007). Esta nueva versión contaba con 4.5 millones de sistemas infectados, y dispone de recursos muy avanzados para permanecer en el
sistema infectado. Cabe destacar que se trata de una botnet destinada a crear fraudes por "click" en publicidad. Sus principales características que destacaba el artículo son:

Nueva con ... ¡4.5 millones de víctimas!

Parece que ya se sabía que la versión 4 estaba activa desde mediados de 2010. ¿4.5 millones de zombis es mucho? Desde el artículo de abuse.ch, llamado How big is big? Se especula sobre la dimensión de ciertas
botnets. La verdad es que TDL es de las más grandes, llegando a captar 90.000 direcciones IPs únicas infectadas en 24 horas. Realmente, hoy en día lo complicado no es infectar sistemas o conseguir un gran número de víctimas, sino capitalizar esa legión y sacar buen partido de ella.

Conficker, un gusano de finales de 2009 del que realmente no se sabía muy bien qué objetivo perseguía, consiguió 15 millones de sistemas infectados. La botnet Mariposa, destapada por Panda a mediados de 2010
(y operada desde España), consiguió 13 millones. Pero cuales son las caracteristicas principales.

Comunicación cifrada entre servidor de control de la botnet y el cliente infectado

Con este método, el troyano consigue eludir los IDS y otros métodos para bloquear el tráfico de red que genera el malware. Estas características ya las usaba Zbot desde 2007. El atacante, a la hora de configurar la botnet, elige una contraseña con la que se cifra el tráfico de red. Es como establecer conexiones SSL entre víctima y sistema de control del atacante. Realmente, no es novedad.

Explotar al máximo el beneficio: Vender la versión previa

Los creadores vendieron a finales del año pasado el código fuente de la versión 3 de la botnet TDL a otros atacantes. ¿Por qué? Porque la versión 4 ya la tenían desarrollada, y era lo suficientemente diferente
a su versión previa para no tener que preocuparse. Esto ya ocurrió también con Zeus. Se puso a la venta al mejor postor a principios de año el código fuente de la versión 2, y se abandonó el proyecto. Esto
ocurría justo cuando se rumoreaba que los creadores de Zeus se unían a los de Spyeye.

Infectar a nivel de MBR

Esta es una de las características por las que se le ha apodado como "indestructible". Este dato es bastante inexacto. Master Boot Record es el primer sector del disco duro. Ahí es donde acude el ordenador
a conocer la tabla de particiones y saber con qué sistema operativo arrancar. El MBR está compuesto por la Master Partition Table y el Master Boot Code. La primera contiene la descripción de las hasta cuatro
particiones primarias que puede contener un disco y cuál está activa. El segundo (440 bytes) es el código al que acude la BIOS cuando ya sabe en qué disco físico buscar el sistema operativo. Este código localizará la
partición de arranque en su tabla de particiones, y si la encuentra, su sector se cargará en la conocida dirección de memoria 0000:7C00 para lanzar por fin el "kernel loader" (en el caso de Windows, el NTLDR).
Modificando estos valores, el malware toma el control, y el sistema operativo arrancará bajo las condiciones que imponga el malware. O sea, le ataca desde el nivel más bajo y efectivo.

Malware a nivel de MBR se conoce desde hace tiempo. Si nos centramos en botnets, la familia Sinowal de 2007, ya usaba infección por MBR para sobrevivir al formateo del ordenador.

¿Son indestructible por esto?, no lo creo. Lo hace mucho más complicado, es cierto, pero no tanto. Sin ir más lejos, Kasperksy ofrece herramientas gratuitas para limpiar este malware totalmente. O cualquier herramienta que permita crear particiones podría eliminar la referencia en el MBR.

Eliminar competencia

Esto es bastante antiguo. Ya en 2004, Netsky, Bagle y MyDoom protagonizaron una divertida guerra mediática, cuando cada uno intentaba eliminar al anterior en los equipos infectados. A otro nivel mucho más
serio, cuando apareció SpyEye, ofrecía una opción para eliminar Zbot de los sistemas infectados. TDL contiene instrucciones para eliminar malware concreto como Gbot, Clishmic, Optima, etc. No porque supongan competencia, sino para pasar inadvertida. Elimina malware menos sofisticado a la hora de esconderse que podría levantar sospechas y llevar a la víctima a que se preocupara de "limpiar a fondo" su sistema o abandonarlo por completo.

Conexión P2P

Una conexión P2P para comunicarse permite que no haya un único punto de fallo. Al no estar centralizada la comunicación, es más complicado "echar abajo" la botnet, puesto que todos los nodos funcionan como
puntos de comunicación. Se conocen botnets que usan P2P desde hace más de tres años. Sin embargo, usaban protocolos P2P propios. La novedad de TDL es que usa la red P2P pública KAD, que no es tan fácil cerrar ni controlar. Esto sí es interesante. Los atacantes ponen en la red pública de intercambio un fichero cifrado llamado ktzerules, donde se almacenan los comandos. El funcionamiento es parecido a una red P2P normal: el troyano descarga una lista de nodos, se conecta, y distribuye el archivo con los comandos. Los clientes que lo reciben, los descifran y ejecutan.

Esto sí es una novedad interesante, y otra de las razones por lo que se la ha llamado "indestructible". Efectivamente, complica muchísimo el poder "echar abajo" la red. Pero existirían algunas formas que harían
que dejase de funcionar, al menos temporalmente.

El problema de este tipo de "botnet descentralizada" no es nuevo. Ya se da con los dominios dinámicos, otro método que viene complicando el asunto de la perdurabilidad de las botnets desde hace tiempo. Durante
muchos años, el malware no ha confiado en un solo punto de control para recibir órdenes, puesto que es consciente de que, si cae, perdería el control. Por tanto, se utiliza un sistema que, si bien no lo hace
indestructible, complica mucho echar abajo una red. El malware se dedica a calcular nombres de domino casi aleatorios (resultado de un algoritmo que solo el programador conoce) cada día, y se conecta a todos ellos
buscando órdenes. Los atacantes registran solo unos pocos dominios cada vez (puesto que cuesta dinero) y a menos que se haga ingeniería inversa del algoritmo, no se pueden predecir. La única protección sería conocer el algoritmo, comprar todos los dominios antes que los atacantes y bloquearlos. Estamos ante una forma sofisticada de resistencia con la que convivimos desde hace tiempo.

Otra forma simple de hacer que una red de botnets sea compleja de destruir es simplemente registrando los servidores en ISP rusos llamados "bulletproof", o sea, a prueba de bombas. Están comprados por las mafias
y cooperan con ellas para mantener el servidor operativo todo el tiempo que sea posible al margen de la ley.

Otras características:

TDL parece funcionar solo fuera de Rusia (país de origen). También, sus creadores fueron los primeros en crear un driver para los sistemas de 64 bits en 2010, y así poder infectar máquinas de esta arquitectura a nivel de rootkit.

Conclusión: ¿Indestructible?

Este ha sido el adjetivo más utilizado para describirla. Pero nada es tan tajante hoy en día. Se podría atacar desde varios frentes que serían muy eficaces en combinación. Para empezar, se tendría que haber dejado
claro desde qué punto se supone que es indestructible. Desde el punto de vista del usuario (erradicarlo de su sistema) es relativamente sencillo eliminarlo. Desde el punto de vista global de la botnet, habría que
estudiar cómo desactivar su infraestructura, pero no es un problema nuevo. Desde cualquier punto de vista, y en todo caso, se puede combatir en varios frentes: desde afinar las firmas de los antivirus (si Windows
lo introduce eficazmente en su MSRT podría darle un buen varapalo), hasta intervenir la red KAD para bloquear el nombre que actualmente utiliza ("ktzerules"), pasando por mejorar los sistemas antivirus para
evitar que se escriba en la MBR o facilitar su restauración... etc.

En definitiva, por supuesto que TDL ha elevado el nivel de complejidad, pero no es ningún descubrimiento que haya aparecido de la nada.

Introduce novedades interesantes, pero hay que entender que es una evolución lógica que aglutina "lo mejor de cada casa" en cuestión de malware. Analizado fríamente, ofrece pocos problemas nuevos a los que no
se hayan enfrentado antes los analistas, solo que todos juntos a la vez (que no es poco). En resumen, ante este tipo de noticias, hay que plantearse seriamente qué es relevante y qué es ruido innecesario.

Fuente: Hispasac Sistemas

FRomero,
webmaster Smandaluz.Com

Comentarios

Enviar un comentario nuevo

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.
  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Use [# ...] to insert automatically numbered footnotes. Textile variant.
  • Puede insertar vídeos usando la marca [video:URL]

Más información sobre opciones de formato

CAPTCHA
Esta pregunta se hace para comprobar que es usted una persona real e impedir el envío automatizado de mensajes basura. SI se diferencían mayúsculas de mínúsculas por tanto la respuesta SI tiene que coincidir exactamente con la solución.
CAPTCHA de imagen
Escriba los carácteres que muestra la imagen. Ignore los espacios. SI se distinguen mayúsculas de minúsculas.