REDES ZOMBI (BOTNETS) 2DA. PARTE

Características:

El potencial de estas redes recae en su infraestructura distribuida, y es que numerosas computadoras controladas por un mismo atacante, ofrecen ventajas a la hora de cometer actividades ilegitimas respecto a los medios más tradicionales, como son:

Anonimato: La actividad se produce desde muchos ordenadores a la vez. Localizar estos ordenadores puede ser muy complicado, tanto a nivel técnico, como a nivel judicial, ya que pueden utilizar ordenadores de varios países, y la legislación no es igual en todos ellos. Por lo tanto, llegar a descubrir al atacante resulta muy complicado.

Coste: La inversión solo se realiza en el desarrollo del software malicioso, en ordenadores y comunicaciones. Es muy bajo para la efectividad del mismo, ya que se utilizan ordenadores y líneas de comunicación que pagan los propietarios de los ordenadores infectados y la capacidad de proceso y de comunicaciones es enorme.

Las primeras redes zombi partían de los IRC (un tipo de protocolo de mensajería instantánea), y se controlaban mediante comandos sencillos desde el servidor del IRC, ya que era muy sencillo de utilizar. No obstante, hoy se utilizan otros protocolos en los cuales es más complicado hacer el seguimiento o restringir su uso, como son HTTPDNSICMP. Protocolos que son difíciles de restringir o de filtrar. También hay software malicioso que trabajan en los programas de mensajería instantánea o a través de la Web.

“Las primeras redes zombi se crearon a partir del IRC

En la actualidad se están empezando a utilizar redes distribuidas (tipo p2p) en el que no existe un servidor central, y cada máquina infectada está en contacto con varias, de tal modo que si cae alguna, la red zombi sigue operativa.

La importancia de una red zombi va en función de la capacidad que tiene para realizar sus funciones y en general, se mide por:

Número de equipos: Es el objetivo principal de la red zombi, cuantos más equipos infectados posea, mayor capacidad de cálculo y ancho de banda tendrá.

Anonimato: Cuanto más inadvertida pase mejor, ya que si no se aprecia en el sistema nada raro, no se buscan posibles infecciones, con lo que el software malicioso que permite la manipulación del ordenador permanece más tiempo en este.

Actualización: Este característica indica que el que controla (o quienes controlan) la red zombi tienen capacidad de reaccionar cada vez que la red pierde eficacia, introduciendo mejoras para dificultar su detección.

Explotación.

Los usos que se le pueden dar a una red zombi, son muy variados y comprenden una amplia variedad de actividades ilegítimas, las más comunes son:

Ataques de denegación de servicio distribuidos (DDoS): Su misión es bloquear un servidor enviando muchas peticiones en muy poco tiempo (desde cada uno de los ordenadores infectados de la red zombi), de forma que logran saturarlo ralentizándolo y, en el peor de los casos, provocando su caída.

Fraudes: Se utiliza la red para generar dinero mediante la manipulación en negocios legítimos.

  • Manipulación de encuestas: Ya que cada equipo comprometido tiene una dirección IP diferente, es muy difícil la detección del engaño.
  • Juegos en línea: Se paga para que los equipos infectados actúen como jugadores y mejorar a jugadores o beneficiar indirectamente a otros jugadores.
  • Pago por clic: Los equipos de la red zombi hacen clic en anuncios de páginas concretas para que aumenten los ingresos del propietario de la página.

Spam: En este caso se utiliza la red zombi para enviar muchísimos correos electrónicos no solicitados que suele contener algún tipo de fraude o publicidad.

Descarga de ficheros: Se utilizan como servidores replica (mirror) para descargar grandes archivos, que consumen mucho ancho de banda y que generalmente son ilícitos o ilegales (warez).

Computación distribuida: Al igual que este modelo se utiliza para proyectos con el consentimiento del usuario (SETI, Globus…), aquí se utiliza la potencia de miles de maquinas para procesos con una finalidad ilícita, como por ejemplo forzar contraseñas.

Anonimato: Se utiliza la red zombi como servidores proxy en cascada para dificultar la traza de una comunicación pasando por diferentes equipos que estén en localizaciones muy distintas con el fin de poder realizar conexiones a distintos ordenadores remotos y que su localización sea muy complicada.

Otras actividades complementarias. Las redes zombi pueden tener otra serie de funcionalidades, como son actividades de descarga de otro malware, siembra de otras redes zombi…, actividades que aunque no sean la actividad básica no hay que descartarlas.

Métodos de Explotación

Estas redes, que reportan un beneficio a las personas que las controlan, actualmente se aprovechan económicamente de tres modos:

  1. Explotación propia. El aprovechamiento económico, viene por la explotación directa de la misma por parte del propietario.
  2. Alquiler a terceros. El beneficio se obtiene de vender los servicios de la red a clientes siendo el propietario quién la controla.
  3. Venta de Entornos de control: Se trata de la última tendencia en este tipo de servicios, los promotores de la red, venden a cualquier usuario el programa de control de los zombis.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: