Sobre las botnets indestructibles. ¿De verdad que lo son?

En estos días hemos leído en los medios todo tipo información sobre una
botnet indestructible que supuestamente ha dejado a todos los expertos
del mundo “con la boca abierta” (frase que han empleado en muchos
artículos). En este caso concreto, qué significa eso de indestructible,
porque puede llegar a confundir y asustar al usuario: ¿significa que no
podré eliminarlo nunca de mi sistema? ¿Significa que nadie podrá
eliminar nunca la botnet? Vamos a intentar aclarar por qué se ha llegado
a esta conclusión, y si es cierta o no.

Eliminar competencia.

Esto es bastante antiguo. Ya en 2004, Netsky, Bagle y MyDoom
protagonizaron una divertida guerra mediática, cuando cada uno intentaba
eliminar al anterior en los equipos infectados. A otro nivel mucho más
serio, cuando apareció SpyEye, ofrecía una opción para eliminar Zbot de
los sistemas infectados. TDL contiene instrucciones para eliminar
malware concreto como Gbot, Clishmic, Optima, etc. No porque supongan
competencia, sino para pasar inadvertida. Elimina malware menos
sofisticado a la hora de esconderse que podría levantar sospechas y
llevar a la víctima a que se preocupara de “limpiar a fondo” su sistema
o abandonarlo por completo.

Conexión P2P

Una conexión P2P para comunicarse permite que no haya un único punto de
fallo. Al no estar centralizada la comunicación, es más complicado
“echar abajo” la botnet, puesto que todos los nodos funcionan como
puntos de comunicación. Se conocen botnets que usan P2P desde hace más
de tres años. Sin embargo, usaban protocolos P2P propios. La novedad de
TDL es que usa la red P2P pública KAD, que no es tan fácil cerrar ni
controlar. Esto sí es interesante. Los atacantes ponen en la red pública
de intercambio un fichero cifrado llamado ktzerules, donde se almacenan
los comandos. El funcionamiento es parecido a una red P2P normal: el
troyano descarga una lista de nodos, se conecta, y distribuye el archivo
con los comandos. Los clientes que lo reciben, los descifran y ejecutan.

Esto sí es una novedad interesante, y otra de las razones por lo que se
la ha llamado “indestructible”. Efectivamente, complica muchísimo el
poder “echar abajo” la red. Pero existirían algunas formas que harían
que dejase de funcionar, al menos temporalmente.

El problema de este tipo de “botnet descentralizada” no es nuevo. Ya se
da con los dominios dinámicos, otro método que viene complicando el
asunto de la perdurabilidad de las botnets desde hace tiempo. Durante
muchos años, el malware no ha confiado en un solo punto de control para
recibir órdenes, puesto que es consciente de que, si cae, perdería el
control. Por tanto, se utiliza un sistema que, si bien no lo hace
indestructible, complica mucho echar abajo una red. El malware se dedica
a calcular nombres de domino casi aleatorios (resultado de un algoritmo
que solo el programador conoce) cada día, y se conecta a todos ellos
buscando órdenes. Los atacantes registran solo unos pocos dominios cada
vez (puesto que cuesta dinero) y a menos que se haga ingeniería inversa
del algoritmo, no se pueden predecir. La única protección sería conocer
el algoritmo, comprar todos los dominios antes que los atacantes y
bloquearlos. Estamos ante una forma sofisticada de resistencia con la
que convivimos desde hace tiempo.

Otra forma simple de hacer que una red de botnets sea compleja de
destruir es simplemente registrando los servidores en ISP rusos llamados
“bulletproof”, o sea, a prueba de bombas. Están comprados por las mafias
y cooperan con ellas para mantener el servidor operativo todo el tiempo
que sea posible al margen de la ley.

Otras características

TDL parece funcionar solo fuera de Rusia (país de origen). También, sus
creadores fueron los primeros en crear un driver para los sistemas de 64
bits en 2010, y así poder infectar máquinas de esta arquitectura a nivel
de rootkit.

Conclusión: ¿Indestructible?

Este ha sido el adjetivo más utilizado para describirla. Pero nada es
tan tajante hoy en día. Se podría atacar desde varios frentes que serían
muy eficaces en combinación. Para empezar, se tendría que haber dejado
claro desde qué punto se supone que es indestructible. Desde el punto de
vista del usuario (erradicarlo de su sistema) es relativamente sencillo
eliminarlo. Desde el punto de vista global de la botnet, habría que
estudiar cómo desactivar su infraestructura, pero no es un problema
nuevo. Desde cualquier punto de vista, y en todo caso, se puede combatir
en varios frentes: desde afinar las firmas de los antivirus (si Windows
lo introduce eficazmente en su MSRT podría darle un buen varapalo),
hasta intervenir la red KAD para bloquear el nombre que actualmente
utiliza (“ktzerules”), pasando por mejorar los sistemas antivirus para
evitar que se escriba en la MBR o facilitar su restauración… etc.

En definitiva, por supuesto que TDL ha elevado el nivel de complejidad,
pero no es ningún descubrimiento que haya aparecido de la nada.
Introduce novedades interesantes, pero hay que entender que es una
evolución lógica que aglutina “lo mejor de cada casa” en cuestión de
malware. Analizado fríamente, ofrece pocos problemas nuevos a los que no
se hayan enfrentado antes los analistas, solo que todos juntos a la vez
(que no es poco). En resumen, ante este tipo de noticias, hay que
plantearse seriamente qué es relevante y qué es ruido innecesario.

 Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies