Durante los últimos años las botnets han experimentado una notorio cambio, pasaron de pequeñas redes formadas por una decena de equipos y administradas desde un centro a convertirse en complejos sistemas distribuidos de administración descentralizada que constan de millones de equipos.

Para los que no están familiarizados con el término una botnet o red zombi es una red de equipos infectados por un programa malicioso que permite a los creadores manejar estos equipos a distancia sin que el propietario se dé cuenta. Las botnets se han convertido en una fuente de ingresos estable para muchos grupos de delincuentes informáticos, en gran parte por los mínimos recursos que se necesitan para administrar estas redes.

Para crear una nueva botnet, hay que infectar los equipos de los usuarios con un software malicioso, llamado “bot”. Los bot son programas que permiten reunir los equipos infectados en “botnets”, es decir, manejarlos a todos en forma de red. Hasta alguien sin conocimiento puede hacerlo, dado que si el delincuente que quiere empezar su “negocio” no tiene habilidades de programador, puede buscar anuncios de venta de bots en los foros.

Para infectar con un programa bot los equipos de los usuarios o victimas, se usan envíos masivos de spam, se publican mensajes en los foros y en las redes sociales, se organizan descargas “drive-by” o se le agregan a la misma botnet funciones de autopropagación, tales como virus y gusanos, como esos mensajes extraños que llegan por mail o MSN.

Cuando se usa spam, foros y redes sociales, en los mensajes se aplican diferentes métodos de ingeniería social para inducir a la potencial víctima a instalar el bot. Por ejemplo, se le ofrece ver un vídeo interesante, pero se le dice que necesita un codec especial. Después de descargar y ejecutar el fichero del “codec” el usuario, por supuesto, no puede ver ningún vídeo y lo más probable es que no note ningún cambio, pero su equipo ya estará infectado

El segundo método más popular es el de las descargas “drive-by”, que son imperceptibles para el usuario. Es decir, que el usuario se infecta por el simple hecho de visitar una página web infectada, gracias a diferentes vulnerabilidades del software, aunque sobre todo de los navegadores.

Para aprovecharse de dichas vulnerabilidades se utilizan programas especiales llamados exploits, los cuales, aparte de descargar en secreto programas nocivos, los ejecutan de una forma completamente inadvertida para el usuario. Si el ataque tiene éxito, el usuario ni siquiera sospechará que a su equipo le pasa algo raro. Esta manera de propagar virus y bots es la más peligrosa y efectiva, dado que si la página web es muy popular, puede contagiar decenas de miles de usuarios.

Además el bot puede contener funciones de autopropagación, por ejemplo, el bot puede propagarse infectando todos los ficheros ejecutables o al encontrar y aprovechar las vulnerabilidades de los equipos conectados a la red local.

El creador de la botnet puede controlar los equipos de los usuarios mediante un panel de control central que se conecta a los bots usando un canal IRC, una conexión web tradicional o un protocolo con sockets propios.

Pronto te contaremos sobre los objetivos de estas botnets y como hacen para lograrlos. Si te interesa el progreso y evolución de este fenómeno, puedes seguirlo en ShadowServer.

Be Sociable, Share!

• 

Noticias relacionadas:

1. La BBC demuestra la potencia de una botnet de 22.000 PCs
2. Primer botnet creado con Macs
3. China impulsa una red nacional de estaciones de recarga de vehículos eléctricos
4. Australia montará una red de estaciones de carga para vehículos eléctricos
5. Le Mascotte: red social de mascotas