Borneths
Páginas: 7 (1746 palabras)
Publicado: 11 de octubre de 2011
Tema #9.
¿Qué es una Botnet?
Una “botnet” es una colección de computadoras, conectadas a Internet, que interactúan entre sí para
lograr la realización de cierta tarea de forma distribuida. Si bien ese conjunto de computadoras
puede ser usado para aplicaciones útiles y constructivas, el término botnet se aplica, típicamente, a
un sistema diseñado y utilizado para propósitos maliciosos. Dichosistema está compuesto por
equipos comprometidos que son introducidos en la “botnet” sin conocimiento de sus dueños.
Los equipos comprometidos se conocen como “zombies” o “drones” y al software malicioso que
corre en ellos se lo denomina “bot”.
Formación y Propagación de Botnets
Una botnet para formarse y poder crecer debe acumular drones. Para convertir una máquina de la
red en drone,debe ser atacada e infectada, para luego ser incorporada a la botnet. Cuantos más
drones disponga el dueño de la botnet (“herder”), más impacto podrá tener en Internet. En
consecuencia, conseguir drones es la tarea clave para cualquier herder.
Por este motivo, la mayor parte del software bot contiene alguna forma de propagación automática,
que se encarga de escanear rangos de direcciones IP paraencontrar vulnerabilidades en los equipos.
Una vez encontradas, los equipos vulnerables son atacados e infectados con el software bot e
incorporados a la botnet. Con cada nuevo equipo comprometido, la botnet crece, ganando más
poder para sumar más equipos. La mayor diferencia entre un bot y un gusano convencional es que,
en el primer caso, existe un sistema de control unificado.
Hoy en díalas PCs hogareñas conectadas a Internet por enlaces DSL son uno de los blancos más
atacados por las botnets. Generalmente, dichos equipos carecen de los parches de seguridad
necesarios, por lo que presentan vulnerabilidades que son explotadas por el software bot para
ingresar al equipo y tomar control del mismo.
Mecanismos de Control y Comando
Una colección de computadoras es inútil si noexiste algún mecanismo de control que permita gobernarlas. El Comando y Control, o C&C, constituye la interfaz entre la botnet y el herder. El herder maneja el C&C y a su vez, el C&C maneja los bots.Tradicionalmente, las botnets se controlaban utilizando Internet Relay Chat (IRC). Este entorno de trabajo les ha resultado favorable por su simplicidad, flexibilidad y facilidad de uso. IRC es unestándar de comunicaciones ampliamente difundido en Internet, que permite establecer comunicaciones de un equipo a muchos y también de uno a uno. El software bot está diseñado para conectar el equipo afectado a un servidor IRC y aceptar comandos emitidos desde un canal de control. Los herders tienen la opción de utilizar servicios y redes de chat existentes o implementar sus propios servidores de control,atacando un equipo e instalando un demonio IRC. El servicio IRC presenta varias ventajas, entre ellas la existencia de servidores gratuitos de IRCs, una instalación simple y el hecho de que una gran cantidad de atacantes posean experiencia en su manejo.Si bien los herders no se comunican en forma directa con los bots, se deben comunicar con el servidor C&C para ejecutar comandos. A pesar de queesto ofrece un nivel substancial de ArCERT [http://www.arcert.gov.ar] Página 2 de 10
“Botnets: Funcionamiento, usos y detección“ protección si el servidor C&C es operado de forma privada, los herders pueden utilizar redes TOR (The Onion Router) u otro mecanismo de anonimato, como un mecanismo adicional de seguridad en caso de que el C&C sea identificado e investigado.El IRC presenta la desventajade que el tráfico generado en la sala de chat suele transmitirse en texto en claro, lo cual simplifica la tarea de espiar el tráfico de la botnet utilizando un sniffer, como ser Wireshark. De todos modos, recientemente se han descubierto nuevas técnicas de cifrado que enmascaran los comandos de los herders.Además, un número significativo de botnets utilizan HTTP para implementar los C&C. Dado...
¿Qué es una Botnet?
Una “botnet” es una colección de computadoras, conectadas a Internet, que interactúan entre sí para
lograr la realización de cierta tarea de forma distribuida. Si bien ese conjunto de computadoras
puede ser usado para aplicaciones útiles y constructivas, el término botnet se aplica, típicamente, a
un sistema diseñado y utilizado para propósitos maliciosos. Dichosistema está compuesto por
equipos comprometidos que son introducidos en la “botnet” sin conocimiento de sus dueños.
Los equipos comprometidos se conocen como “zombies” o “drones” y al software malicioso que
corre en ellos se lo denomina “bot”.
Formación y Propagación de Botnets
Una botnet para formarse y poder crecer debe acumular drones. Para convertir una máquina de la
red en drone,debe ser atacada e infectada, para luego ser incorporada a la botnet. Cuantos más
drones disponga el dueño de la botnet (“herder”), más impacto podrá tener en Internet. En
consecuencia, conseguir drones es la tarea clave para cualquier herder.
Por este motivo, la mayor parte del software bot contiene alguna forma de propagación automática,
que se encarga de escanear rangos de direcciones IP paraencontrar vulnerabilidades en los equipos.
Una vez encontradas, los equipos vulnerables son atacados e infectados con el software bot e
incorporados a la botnet. Con cada nuevo equipo comprometido, la botnet crece, ganando más
poder para sumar más equipos. La mayor diferencia entre un bot y un gusano convencional es que,
en el primer caso, existe un sistema de control unificado.
Hoy en díalas PCs hogareñas conectadas a Internet por enlaces DSL son uno de los blancos más
atacados por las botnets. Generalmente, dichos equipos carecen de los parches de seguridad
necesarios, por lo que presentan vulnerabilidades que son explotadas por el software bot para
ingresar al equipo y tomar control del mismo.
Mecanismos de Control y Comando
Una colección de computadoras es inútil si noexiste algún mecanismo de control que permita gobernarlas. El Comando y Control, o C&C, constituye la interfaz entre la botnet y el herder. El herder maneja el C&C y a su vez, el C&C maneja los bots.Tradicionalmente, las botnets se controlaban utilizando Internet Relay Chat (IRC). Este entorno de trabajo les ha resultado favorable por su simplicidad, flexibilidad y facilidad de uso. IRC es unestándar de comunicaciones ampliamente difundido en Internet, que permite establecer comunicaciones de un equipo a muchos y también de uno a uno. El software bot está diseñado para conectar el equipo afectado a un servidor IRC y aceptar comandos emitidos desde un canal de control. Los herders tienen la opción de utilizar servicios y redes de chat existentes o implementar sus propios servidores de control,atacando un equipo e instalando un demonio IRC. El servicio IRC presenta varias ventajas, entre ellas la existencia de servidores gratuitos de IRCs, una instalación simple y el hecho de que una gran cantidad de atacantes posean experiencia en su manejo.Si bien los herders no se comunican en forma directa con los bots, se deben comunicar con el servidor C&C para ejecutar comandos. A pesar de queesto ofrece un nivel substancial de ArCERT [http://www.arcert.gov.ar] Página 2 de 10
“Botnets: Funcionamiento, usos y detección“ protección si el servidor C&C es operado de forma privada, los herders pueden utilizar redes TOR (The Onion Router) u otro mecanismo de anonimato, como un mecanismo adicional de seguridad en caso de que el C&C sea identificado e investigado.El IRC presenta la desventajade que el tráfico generado en la sala de chat suele transmitirse en texto en claro, lo cual simplifica la tarea de espiar el tráfico de la botnet utilizando un sniffer, como ser Wireshark. De todos modos, recientemente se han descubierto nuevas técnicas de cifrado que enmascaran los comandos de los herders.Además, un número significativo de botnets utilizan HTTP para implementar los C&C. Dado...
Leer documento completo
Regístrate para leer el documento completo.