Conflictos en red: botnets

Transcripción

1 Abstract... 2 Introducción... 2 Cómo comienza la historia... 3 Una definición de botnet... 3 Malware... 4 Para qué sirve una botnet... 4 Ataques de Denegación de Servicios Distribuída (DDoS)... 5 Inundación SYN (SYN Flood)... 5 Inundación ICMP o ICMP Flood... 6 Ataque Smurf... 6 Ataque Broadcast... 6 Teardrop... 7 Spamming... 7 Phishing... 8 Sniffing... 8 Keylogging... 9 Fraude de clicks... 9 Almacenamiento de material ilegal... 9 Técnicas de infección, sumando zombis a una botnet Ingeniería social Correo electrónico y mensajería instantánea Redes P2P Drive-by-Download Estructura de una botnet, estructura para delinquir Arquitectura C&C Centralizado IRC C&C HTTP C&C Arquitectura C&C descentralizado P2P C&C Botnets, una forma de economía alternativa Analizando los recursos humanos de la empresa Costos para el armado de una botnet Sacando números Twitter y las botnets Detección y prevención Somos parte de una botnet? Limpiando el ordenador Prevención Caso real: la botnet Mariposa Impactos causados Cibercrimen Conclusión Weblografía

2 Abstract Why is cybersecurity important? Computers are elemental issues in our daily lives. We do almost everything with their help and it is hard to imagine how could the world keep on moving without them. Communications between computers are threatened by criminals and their malware. They are there, looking for the right moment to brake into our systems. The new cyberthreat is called botnet. Criminals are able to take control and do with our computers anything they want. In this paper you would be able to understand what is going on behind them and be aware to prevent getting infected. Introducción El ser humano siempre ha buscado evolucionar y superarse en cada aspecto de su vida. Distintos momentos de la historia han marcado al ser humano y le dieron un rumbo a su evolución política, cultural, social y tecnológica. Mirando a la línea del tiempo y ubicándonos entre la segunda mitad del siglo XVIII y principios del siglo XIX, se vivía un proceso de cambio que dio un vuelco en la sociedad, con mayor impacto en las industrias: la Revolución Industrial. Esta etapa supuso cambios en los métodos de producción, mecanizando inicialmente la industria textil y posteriormente la metalúrgica, hasta llegar a lo quizás más representativo de la evolución, la máquina a vapor. Con el paso del tiempo y los requerimientos que la nueva industria presentaba, el empeño de automatizar la mayor cantidad de tareas se transformó en una de las grandes ambiciones de las personas. Así, el progreso empezaba a dar noticia y ya en el siglo siguiente aparecieron las primeras computadoras. Estos nuevos aparatos eran capaces de realizar cálculos por sí mismos, luego ya podían almacenar datos y al día de hoy, se convirtieron en un elemento indispensable en hogares, pequeñas, medianas y grandes empresas. Actualmente vivimos en la era de las comunicaciones. La necesidad de estar conectados y tener acceso a distintos puntos desde cualquier lugar, en cualquier momento, llevó a desarrollar diversos sistemas que se usan a diario por millones de personas. Así nacieron las redes de computadoras, y con ella, nuevos problemas. Una grave amenaza que circula en Internet son las redes de computadoras infectadas y sometidas a las órdenes de un cibercriminal, llamado botmaster. Nos estamos enfrentando a una nueva especie de revolución, donde el poder absoluto sobre los equipos es utilizado para automatizar diversos crímenes informáticos. Hay muchas botnets esparcidas por todo el mundo. No se conoce con certeza un número exacto y si bien se sabe que no todas están activas aún, el alcance si todas ellas se dispusieran a atacar simultáneamente es desconocido. Bienvenido a estas páginas, donde se propone conocer los detalles de las peligrosas redes, cómo funcionan, cómo se organizan, conocer quiénes 2

3 están detrás de ellas y qué podemos hacer como usuarios para evitar este dilema. Cómo comienza la historia Año Habían pasado catorce días del mes de febrero cuando se registró la caída simultánea de importantes sitios web. Yahoo!, ebay, Amazon, Dell, E*Trade y la CNN se encontraron paralizados por varias horas, víctimas de hasta por el momento, un desconocido. Mientras tanto, en Wall Street, los valores de las mencionadas empresas empezaban a caer y el por entonces presidente de Estados Unidos, Bill Clinton, celebró una cumbre especial de ciberseguridad en la Casa Blanca. El FBI y la RCMP (Royal Canadian Mounted Police) pusieron en marcha la investigación que conducirían al responsable. Seguramente se dieron con una sorpresa al descubrir que detrás de uno de los mayores ataques informáticos cometidos hasta el momento, no había un experto en la materia ni un Stanley Jobson 1, sino un adolescente canadiense de quince años de edad. Michael Calce, procedente de Montreal, y escondido bajo el alias de MafiaBoy en la nube, cayó en las redes de su carácter presumido. Fue señalado sospechoso por haberse auto-proclamado responsable de los hechos sucedidos en los canales de IRC. Su sospecha fue todavía más fuerte al autoadjudicarse el ataque a Dell, cuando aún éste no era de público conocimiento. Según las investigaciones realizadas, Calce necesitó menos de ochenta computadoras sometidas a su botnet para realizar el ataque de tipo DDoS (Distributed Denial of Service, por sus siglas en inglés). Con un poco de curiosidad y una herramienta que consiguió navegando en la web, Mstream, fue capaz de dirigir su botnet para que enviara grandes paquetes de datos a los servidores Web elegidos como víctimas. Más de un gigabit de datos por segundo lograron colapsar los servidores. Una madrugada de abril de ese mismo año, Calce, como cualquier adolescente que disfruta de un fin de semana, se encontraba en la casa de un amigo mirando una película. Alrededor de las tres de la mañana recibe una llamada desde su casa. La voz de su padre sólo pronunció las palabras: Están aquí, te están buscando para que Michael supiera a qué se refería. Y sucedió lo que no le ocurre a cualquier adolescente que disfruta un fin de semana. Fue arrestado y declarado culpable de cincuenta y seis cargos por el uso abusivo de información. El 12 de septiembre de 2001, fue sentenciado a permanecer ocho meses en un centro de detención de menores, un año de probation, uso restringido de Internet y el pago de una multa. Los reportes estimaron que los daños causados a la economía global fueron de casi ocho millones de dólares y se generó una ola de cuestionamientos acerca de qué tan seguro era el e-commerce, qué tan privados eran los datos que viajaban a través de la red y cuánta seguridad ofrecían las compañías en sus transacciones. Poner en tela de juicio esos factores no tuvo precio. Una definición de botnet 1 Hacker recién salido de prisión interpretado por Hugh Jackman en la película Swordfish (2001). 3

4 En lo desarrollado hasta este punto hemos mencionado las botnets sin entrar en detalles en lo que hay detrás de esta palabra y qué significa. Es momento de aclarar conceptos. Un robot es un aparato electromecánico capaz de actuar en forma automática para una función determinada 2. Si en lugar de ser un aparato físico, el robot es un software, se adopta el término bot. De esta manera, una botnet es una red de computadoras de la cual un botmaster o bot-herder tiene poder absoluto para que realice la función que él mismo le designe de manera remota. Cada PC que integra esta red es infectada previamente mediante correo electrónico, drive-by-download o software P2P. Las computadoras sometidas son conocidas como zombis por compartir características con este legendario ser. Escuchan las órdenes de su amo y actúan en consecuencia, no distinguen malas ni buenas acciones. Así como el monstruo de Frankenstein se vengó a muerte con familiares de su creador, una comunión de PCs zombis es capaz de cometer los más diversos crímenes informáticos: DDoS, spam, phishing, captación de información confidencial como contraseñas y PIN de cuentas bancarias, malversiting, rogue, etc. Las botnets son una de las grandes amenazas actuales en Internet. Están esparcidas por todo el mundo y no se conoce con certeza cuántas de ellas existen. Hay de todos los tamaños, desde una pequeña botnet de menos de una decena de máquinas hasta grandes organizaciones que afectan a cientos de miles y hasta millones computadoras. Malware Cómo se relaciona el malware con las botnets? Para que un ordenador se convierta en zombi, es necesario que en ella se ejecute un malware. El término hace referencia a un software maligno que se infiltra clandestinamente en el sistema, pudiéndose tratar de troyanos, gusanos, virus, rootkits, spyware o adware. Son diversas las finalidades que tiene el malware. Algunos buscan corromper los datos del disco del usuario, otros buscan añadir scripts maliciosos en páginas web, y los que le interesa a los botmasters: permiten obtener el control remoto de las PC infectadas. Para qué sirve una botnet Si bien en este contexto hablamos de los bots como perjudiciales para la informática, en un principio, fueron pensados para automatizar funciones de rutina en diversos sistemas y sitios web. En 1993, EggDrop fue concebido en el lenguaje de programación C y es el bot más popular de IRC. Su misión es la de administrar los canales IRC según la configuración dada por el creador del canal. Existen otros bots y sus funciones son diversas, por ejemplo, en Wikipedia se encargan de tareas de edición de artículos. Con el paso del tiempo, los bots comenzaron a utilizarse con otros fines lejos de ser provechosos como en sus principios. Se formaron redes de bots malignos y se aprovechó la gran cantidad de recursos que se tenía a 2 Diccionario enciclopédico usual. Primera edición, editorial Larousse. 4

5 disposición. La escalabilidad fue tentadora: más bots, más recursos disponibles. Por otro lado, el manejo no era una materia de complejidad. Desde pocos o un único punto era posible operar toda la red, a pesar de la dispersión de los bots alrededor del mundo. Esto favoreció al aumento de dificultad de localización de la red. Las botnets se dedican a realizar distintos fraudes y son armadas y alquiladas por personas que buscan lucrar con ello. Ataques de Denegación de Servicios Distribuída (DDoS) Supongamos una botnet formada por mil equipos con un ancho de banda promedio de 128 Kb/seg. cada uno. Por escalabilidad, el ancho de banda total de la botnet supera los 100 Mb/seg. Qué es lo que hace un ciberdelincuente con ello? La respuesta podría ser perfectamente proporcionada por Michael Calce: DDoS. Se trata de ataques que impiden el acceso de usuarios legítimos a los recursos o servicios ofrecidos por un sistema o una red de computadoras. Los blancos de los ataques de denegación de servicio pueden ser aplicaciones cliente o servidor. Éstas últimas son las más afectadas por ser de mayor impacto dado que la cantidad de usuarios afectados al mismo tiempo es superior. Los métodos para lograrlo pueden consistir en el exceso de consumo de recursos tales como espacio en disco, CPU, memoria y ancho de banda. Generalmente los DDoS generan un consumo no habitual del ancho de banda disponible, generando una sobrecarga de tráfico en el servidor víctima y lo inhabilita para atender peticiones provenientes de usuarios inocentes. Así, el acceso a un sitio web queda bloqueado. El excedente de tráfico se logra mediante inundación de paquetes SYN, ICMP o UDP. A continuación se detallan algunas de las técnicas usadas para DDoS. Inundación SYN (SYN Flood) El ataque se realiza mediante el protocolo TCP/IP. La petición que una computadora envía a otra va acompañada por flags especiales en la cabecera e indican si la petición es de apertura, cierre, reinicio de conexión, entre otros. El protocolo TCP establece una conexión en tres vías o pasos. Si el tercer paso no se completa satisfactoriamente, la conexión asume un estado semiabierto. 1º - Para el inicio de la comunicación, el cliente envía un flujo de paquetes TCP/SYN al servidor. 2º - Por cada paquete recibido, el servidor intenta establecer una conexión diferente con el cliente y contesta con paquetes TCP/SYN-ACK en espera de una respuesta. En este momento las conexiones se encuentran semiabiertas. 3º - El cliente responde con el paquete TCP/ACK. Por lo general, la dirección IP del cliente informada en el primer paso es falsa o inexistente. Por ende, el servidor queda en espera de una respuesta que nunca llega y el tercer paso de responder con el paquete TCP/ACK no se realiza. El estado de las conexiones es semiabierta, consumiendo recursos del servidor y limitando la cantidad de conexiones que pueden realizarse. La 5

6 capacidad del servidor de responder solicitudes de usuarios legítimos se reduce y se experimenta un aumento en el tiempo de respuesta. La mayoría de los servidores tienen un tiempo límite muy corto para las conexiones semiabiertas. Vencido el plazo, se descarta un pedido de conexión para dar lugar a las demás. Sin embargo, si la cantidad de paquetes SYN y el la inundación SYN se mantiene activa, el servidor víctima puede sufrir una caída o un reinicio del sistema. Una variación de este flood es que el paquete TCP/SYN tenga como dirección IP origen la misma que la del servidor víctima. De esta manera se induce a que el servidor se responda a sí mismo y falle. Inundación ICMP o ICMP Flood Esta técnica genera sobrecarga en la red y en el servidor comprometido. Se envían grandes paquetes ICMP Echo Request (ping) a la víctima, quien debe responder con paquetes ICMP Echo Replay (pong). Se busca disminuir al mínimo el ancho de banda. Ataque Smurf Es una variación del ICMP Flood. Combina el envío de paquetes ICMP Echo Request a una dirección de broadcast e IP spoofing. Se envían paquetes ICMP Echo Request con la dirección IP de la víctima como dirección origen y la dirección de broadcast como destino. Ésta última hace que el mensaje se transmite a todos los nodos que conforman la red. Como resultado, todas las máquinas responden a la víctima provocando su saturación y el congestionamiento del tráfico. Ataque Broadcast 6

7 Se coloca la dirección de broadcast como dirección IP origen y destino del paquete ICMP Echo Request. Cada nodo perteneciente a la red recibe el mensaje y responde a todas las demás. Las respuestas se propagan por toda la red provocando degradación del servicio y un importante consumo del ancho de banda disponible. Teardrop Cada paquete que circula por la red tiene un tamaño máximo en bytes establecido por el MTU (Maximum Transfer Unit). Para IP, el máximo MTU posible es de bytes, lo que equivale a 64 KB. No obstante, en la práctica, el valor por defecto es de 576 bytes. Es frecuente la necesidad de enviar datos que, por su tamaño, requerirán fragmentar el paquete IP. Para que esto sea posible, el protocolo IP define campos en la cabecera que permitirán el armado del paquete original en el destino. En el campo Flags existen tres banderas. La primera es reservada y vale cero. La segunda, Don t Fragment o DF, indica si se permite o no la fragmentación con un cero o un uno respectivamente. Por último, More fragments, si vale cero es porque estamos en presencia del último fragmento del datagrama o, bien puede valer uno si todavía van a recibirse más fragmentos. A continuación de las flags, se encuentra el campo Fragment Offset, que indica la posición del fragmento dentro del datagrama IP original. Dada esta breve introducción nos enfocamos en lo que nos interesa. El ataque Teardrop busca confundir al sistema en la reconstrucción del datagrama modificando los valores en sus campos. Se produce overlapping (el datagrama se sobrescribe) y buffer-overrun (desbordamiento de búffer), esto es el intento de acceder direcciones de memoria adyacentes y que no corresponden al proceso ejecutado. Como consecuencia y dependiendo del sistema operativo, el servicio afectado se pierde o bien se produce un colapso que lleva al reinicio del sistema. Spamming Quienes tenemos una cuenta de correo electrónico no necesitamos una introducción al tema spamming. A diario somos víctimas de este fraude que nos demanda el trabajo de borrar mails de Ro1ex o de un desconocido que coloca Querido amigo o Dear friend en el asunto, invitándonos a realizar compras mayoristas en China. Simplemente podemos definirlo como una actividad de la cual todos somos víctimas y, al mismo tiempo, una gran cantidad de nosotros podríamos ser responsables. Según un análisis del tráfico de correo electrónico realizado por Kaspersky Lab, en el primer trimestre del 2010, el 85,2% de los correos electrónicos se trataba de spam. Si se observa el gráfico, durante la primera mitad del mes de marzo puede notarse una significativa disminución del spam. Se supone que esto se debió a la desaparición de la famosa botnet Waledac y 277 sitios involucrados con ella. 7

8 Mediante una botnet y sus bots, es posible enviar gran cantidad de correo no deseado. Los bots en los cuales se haya activado el Proxy SOCKS, ya están en condiciones de enviar los s. Al servidor Proxy SOCKS se conectan los ordenadores que necesitan comunicarse con servidores exteriores y que están cubiertos por un firewall. Phishing Es una puerta a la estafa y hace uso de la ingeniería social para el robo de información privada y confidencial de los usuarios de los sistemas infectados. La información más cotizada en el mercado de la delincuencia son los datos bancarios, que incluyen números de cuenta, números de tarjetas de crédito y PIN. Al navegar por la web en una computadora infectada, los internautas son redirigidos a páginas falsas idénticas a las originales y capaces de enviar los datos ingresados al botmaster. El phishing también está presente en los correos electrónicos. El usuario recibe un aviso de una empresa, que puede ser una entidad bancaria de la cual es parte. El mensaje contiene un enlace que lo redireccionará a una falsa web. En su reporte del primer trimestre del 2010, Kaspersky Lab informó que el porcentaje medio de phishing presente en el spam ascendía al 0,57%. Se vio además, que los esfuerzos de los phishers están inclinados hacia los sitios de pago online. El primer puesto se lo lleva PayPal con 52,2% de los ataques phishing dirigidos hacia él, seguido por ebay con un 13,3%. En cuarto lugar, se encuentra la popular red social Facebook con el 5,7%. Sniffing El sniffing puede ser utilizado por los administradores de red para comprobar su seguridad y el tráfico presente en ella. Es también usado por hackers que buscan olfatear (de allí proviene el término en inglés sniff) los paquetes circulantes para el robo de información. Por defecto la placa de red de una computadora, está configurada para aceptar los paquetes que sólo están dirigidas a ella y pasar por alto aquellos que están destinados hacia otro nodo de la red. 8

9 Para poder analizar el tráfico de paquetes, es necesario configurar la placa de manera que recoja todos los paquetes, estén o no dirigidos a ella. Para este fin se activa el modo promiscuo de la tarjeta de red. Los administradores de red pueden saber cuáles tarjetas de red se encuentran en dicho modo usando el programa ifconfig. Los atacantes deben entrar al sistema, instalar el sniffer y reemplazar el programa ifconfig para que no informe el modo promiscuo de las tarjetas de red. Una vez instalado en la PC víctima, el sniffer podrá tomar los paquetes que forman el tráfico de la red y capturar las contraseñas de los usuarios. Algunos sniffers pueden enviar estos datos a una cuenta de correo electrónico o habilitar un puerto para que el hacker se conecte a él y baje los datos captados. Keylogging Para evitar el robo de información mediante sniffing, los canales de comunicación son cifrados bajo SSL (Secure Sockets Layer), S/MIME (Secure/Multipurpose Internet Mail Extensions) o SSH (Secure Shell) por ejemplo. Ante esta situación, se hace uso los keyloggers. Estos programas registran cada tecla pulsada en la PC víctima y se almacena en un archivo conocido como log file. La mayoría de los keyloggers ofrecen la posibilidad de enviar el log file vía . Es un proceso que corre en segundo plano, es decir, el usuario no tiene conocimiento que todo lo que escribe será leído por un hacker al otro lado del mundo o a la vuelta de la esquina. Un bot-herder que obtiene los log files de todos sus bots, tiene en sus manos el poder para tener acceso a una importante cantidad de cuentas de todo tipo. Sin duda la más importante serán las cuentas bancarias. Fraude de clicks Google AdSense es un servicio que las compañías adquieren para publicitarse en distintos sitios web y pagan a Google por cada click efectuado sobre el anuncio. Los dueños de sitios web pueden incorporar publicidades acordes al contenido de la página insertando un código JavaScript proporcionado por Google AdSense. Los webmasters también reciben un determinado monto de dinero por cada click que se haga sobre un anuncio. Con una botnet a disposición, pueden generarse tantos clicks por día como zombis tenga la red. Pay-Per-Click es otro sistema publicitario que paga al visitante por cada click y del cual los administradores de botnets abusan para tomar ventajas monetarias. Almacenamiento de material ilegal Los zombis pueden explorar sus propios sistemas en busca de software y claves de productos instaladas. Los botmasters pueden distribuir estos programas adquiridos ilegalmente, generar copias y usar sus bots como medio 9

10 de almacenamiento. Aprovechan el anonimato que les confiere guardar archivos en equipos ajenos distribuídos a nivel mundial. No sólo suelen almacenarse software pirata y cracks, sino que los ciberdelincuentes apuestan a más y usan sus redes para alojar, además de pornografía, material pedofílico. Hasta dónde van a trascenderse los límites? Técnicas de infección, sumando zombis a una botnet El poder e impacto de una botnet estará dado por la cantidad de computadoras que tenga en su poder, y ello mejorará su cotización en el mercado donde opera. Es por ello que cada día los creadores de estas redes buscan nuevos medios que les garantice un rápido crecimiento de sus botnets. Para que una PC se convierta en zombi y cumpla las órdenes de su amo, es necesario que la víctima ejecute un programa malicioso al cual lo llamaremos bot. Para lograr el cometido existen diversas técnicas de propagación, que en mayor o menor medida siguen siendo eficaces por diversos motivos, llámese/dígase/tales como: no veo ninguna imagen cuando abro foto.exe o ayudaré a la niña Amy, que tiene siete años desde 1999, haciendo un click aquí. Las técnicas van desde la ingeniería social hasta métodos que requieren cierta habilidad con líneas de código. Estos códigos maliciosos se valen, no sólo de foto.exe o de Amy, si no de bugs o desactualizaciones del sistema operativo, navegadores o antivirus para infiltrarse cual polizón en barco. También circulan exploits para aplicaciones como QuickTime, Microsoft Windows Messenger, Yahoo! Messenger, productos Adobe, el paquete Microsoft Office, entre otros. Cada uno de los métodos abarca un amplio campo que merece un trabajo de investigación aparte. Por lo tanto, a continuación se explicará en forma breve y concisa los aspectos más relevantes de los métodos habituales. Ingeniería social Se apela a la ingenuidad de la víctima y se manipula su instinto de clickear todo lo que parpadee. Puede tratarse de ventanas tipo pop-up que contengan una invitación a jugar online o a realizar un sencillo test de inteligencia que, extrañamente, sólo el 2% de los que intentaron ha logrado resolverlo. Hay que tener especial atención con estas ventanas emergentes. Suelen tener un botón con leyendas al estilo No, gracias, Tal vez después o simplemente Cerrar. Presionar alguno de ellos podría ser la aceptación al perverso y poco divertido juego del malware, iniciando una ejecución no deseada de un troyano. Es recomendable cerrarlas directamente de la cruz de la barra de título. En otras ocasiones podemos encontrarnos con páginas webs donde se nos ofrece ver un video muy interesante y al presionar play, nos informan que es necesario un códec que nuestro sistema no posee, ofreciéndonos realizar una descarga. Luego de descargar y ejecutar el archivo para iniciar la instalación no habrá cambios en el sistema, seguiremos sin ver el video pero ahora nuestro sistema acaba de convertirse en zombi. Correo electrónico y mensajería instantánea 10

11 La propagación de troyanos y malware mediante y mensajería instantánea hacen fuerte uso de la ingeniería social para lograr resultados positivos. Cada ingenuo click en donde no se debe es suficiente para haber sometido un equipo. Estudios realizados por la empresa estadounidense Radicati Group, revelaron que en el año 2005 la cantidad de mensajes electrónicos diarios que portaban algún tipo de malware ascendían a 900 millones. Como si fuera poco, la tendencia indicaba un continuo crecimiento de la cifra, estimándose para el año 2009 alrededor de 4200 millones de correos dañinos por día. La propagación de troyanos bot es frecuente en la mensajería instantánea. Se evidencia en mensajes que insisten en que el receptor acepte un archivo adjunto con supuestas fotos de las últimas vacaciones o el nuevo corte de pelo de un amigo. Estos tipos de mensajes son enviados por algún contacto de nuestra propia lista que tiene su PC vulnerada. En el 2007, ESET anunció la detección del troyano de MSN Win32/SdBot y que tuvo gran circulación en Argentina, Uruguay, Chile y España. Una vez que logra infectar el ordenador, lo transforma en un zombi que pasa a formar parte de una botnet y al mismo tiempo, utiliza la conexión de esa PC al MSN para seguir propagándose a todos los contactos que tenga. Es recomendable prestar atención al recibir mensajes de este tipo, y encender el factor sospecha cuando la frase esté en portugués o inglés, se mencionen vacaciones que no existieron o el contacto que lo remitió sufra de calvicie crónica. Redes P2P En una red P2P (peer-to-peer) las computadoras se comunican de igual a igual. No hay diferencia entre clientes y servidores, sino que los nodos asumen ambos papeles simultáneamente. Se utilizan para intercambiar archivos, generalmente programas, películas y música. El peligro son los archivos infectados que circulan por estas redes ya que cada usuario que los posea, está actuando como servidor de programas maliciosos. El troyano GetCodec fue novedad en el 2008 e infectaba los archivos multimedia de extensión.mp2,.mp3,.wma,.wmv y.asf de las redes P2P. Actuaba gracias a una funcionalidad de Windows Media Player iniciando una descarga de malware, cuando en realidad el usuario creía que se trataba de un codec necesario para reproducir el archivo. Drive-by-Download Conocida como infección vía web. Los usuarios son infectados al visitar una página web, que previamente fue violada por un hacker. Generalmente insertan una etiqueta iframe en el código HTML, que adopta la siguiente forma: <iframe src= width=0 height=0></iframe> Con este fragmento ya insertado y al entrar al sitio vulnerado, una segunda página es abierta dentro del mismo documento web y que por tener los atributos width y height en cero, es visible como un punto de 0x0 píxeles que fácilmente puede pasar por alto las sospechas del visitante. 11

12 La URL especificada en el atributo src es donde precisamente se encuentra el script malicioso, que se descarga a la PC del internauta, se ejecuta y realiza una petición a otro servidor llamado Hop Point. En este servidor se encuentran los exploits que, como consecuencia de la petición, son enviados hacia el lugar desde el cual fueron solicitados. Los exploits verifican que sea posible burlar algún punto de la seguridad del sistema del visitante. Si lo es, se ejecutará otro script que levanta la descarga de malware desde el Hop Point u otro servidor de malware. Estructura de una botnet, estructura para delinquir La estructura y el método de comunicación en estas redes son un punto crucial para el éxito. Camuflar el tráfico criminal entre paquetes legítimos de datos es un desafío para los hackers y un dolor de cabeza para las empresas especializadas en seguridad informática. Los ciber-criminales siempre han buscado mejorar ante cada fracaso y eso a llevado al desarrollo de distintas arquitecturas. Arquitectura C&C Centralizado Un aspecto fundamental en este tema es cómo se logra la comunicación entre el amo y sus zombis, pues sin ella, la botnet queda sin efecto. Comando y Control, conocido como C&C, es el mecanismo por el cual el bot-herder se comunica enviando órdenes a la botnet. Ha sufrido una evolución hacia el aprovechamiento de redes y servidores existentes junto con sus protocolos, dado el gran tamaño que fueron adoptando las botnets. El motivo es que los recursos computacionales del equipo del botmaster no podrían soportar simultáneamente las conexiones con cada zombi. Actualmente existen las siguientes tecnologías C&C usadas para la comunicación. IRC C&C Para solucionar el recurso computacional finito del bot-herder, se utiliza un servidor IRC y el servicio de chat que el mismo ofrece. Quien soportará ahora todas las conexiones será el servidor IRC. Allí, el criminal crea un canal bajo contraseña en el cual sólo él y sus bots tienen acceso. Las computadoras comprometidas se conectan a dicho canal mediante el protocolo Internet Relay Chat, donde quedan a la espera de los comandos que escriba el botmaster. Estos comandos pueden ser mensajes del tipo TOPIC, que se envían a todos los zombis conectados al canal, o IRC PRIVMSG, destinado a un zombi en particular. Una vez recibido un mensaje, los bots comienzan su tarea y responden al mismo canal informando el estado del proceso. Una vez que finalizan envían el resultado. Diversas son las ventajas que se vieron en el uso de canales IRC para el manejo de las botnets: Bajo costo: los servidores IRC están disponibles de manera gratuitita y son fácilmente configurables. Escaso uso de recursos: las conexiones son mantenidas en el servidor IRC. 12