Si evaluamos la sofisticación de un malware conforme a su despliegue de funciones y modo de ejecución, el más elaborado de todos resultaría ser una botnet pues su estrategia de propagación y ataque son propias de un comando militar.
Podríamos definir una botnet como red de bots, los bots o robots son programas informáticos que realizan diversas funciones y por lo general actúan mediante frecuencias de repetición. Por tanto para simplificar esta explicación podríamos definir una botnet como un conjunto de programas que realizan una determinada acción de forma autónoma y repetitiva.
Infección de una botnet
La botnet no se compone de un solo punto de infección sino de varios (para formar una red) por tanto, para crear una botnet poderosa se precisa infectar el mayor número de equipos posibles y para ello es necesario introducir los bots que la componen.
Estos bots normalmente se introducen en programas modificados principalmente para afectar a sistemas bajo el uso de Windows y distribuyéndose en thelnet para sistemas Gnu-Linux.
Expansión de una botnet
Dependiendo del destinatario y objeto del ataque se requerirán una mayor o menor cantidad de de ordenadores zombis para alcanzar el objetivo, los objetivos de las botnets pueden ser muy variados desde enviar spam a direcciones de correo electrónico o realizar ataques de dos (Distributed Denial Of Service).Por tanto como acabamos de ver, fácilmente puedes acabar siendo parte de una botnet y que tu máquina sea usada remotamente para realizar ataques sin que tu lo sepas. Cuando en una noticia se informa que se ha incautado una red zombi significa que se ha descubierto que determinados ordenadores personales están siendo administrados remotamente para realizar acciones no autorizadas por sus dueños. En la mayoría de los casos estos no llegan a saber nunca que formaron parte de ella.
Como librarte de una botnet
Las botnets no atacan ordenadores personales, simplemente los usan para formar parte de ella, para saber si tu PC está siendo usado por una botnet, debes controlar las conexiones entrantes y salientes más los PID, en caso de estar infectado se debe localizar el bot para conseguir desvincularse de la administración remota.
Como he dicho antes, las botnets se utilizan mucho para ataques de dos contra sitios Web, en caso de que nuestros sitio sea atacado, debemos localizar al administrador de la red zombi que debe estar atacando simultáneamente con el resto de equipos y por su dispersión geográfica puede resultar verdaderamente difícil ya que normalmente se usan servicio de redireccionmiento de conexiones tipo NO-IP. La única media factible es filtrar conexiones, analizar los paquetes y adaptar el firewall.
Un caso práctico
Hace relativamente poco tiempo tuvimos noticia de un ataque mediante una botnet a una conocida Web española de seguridad informática el hacker .El atacante (un usuario del sitio Web) creó una red zombi de unos 75.000 ordenadores que consiguió infectar al parecer mediante un video en you tube y que tenia como objetivo inutilizar la pagina mediante denegación de servicio (ataque dos).
Afortunadamente el administrador del sitio lo puso en conocimiento de la guardia civil y se pudo localizar al responsable consiguiendo normalizar la situación.
Articulo escrito por S3L3N1TY para Hacker's Land
Gracias amigo es muy interesante esto de botnets
ResponderEliminar