BOTNETS Una botnet es un conjunto de hosts, conectados a internet, que interactúan con el fin de cumplir una tarea distribuida. Aunque un conjunto de computadores puede ser usado para aplicaciones útiles y constructivas, el término botnet típicamente se refiere a un sistema utilizado para fines ilícitos. Estos sistemas están compuestos por hosts comprometidos que son controladas sin el conocimiento ni consentimiento de sus propietarios. Los hosts comprometidos comúnmente son conocidos como drones o zombies, y el software malicioso que se ejecuta se conoce como bot. Este reporte es una lista de pcs, drones y host zombies que han sido detectados mediante el monitoreo de Controles y Comandos IRC, capturando conexiones IP a botnets HTTP. Muchas de las direcciones IP de este reporte tienen un tipo de infección que serán aprovechadas únicamente con fines de la botnet. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Field Description
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Fecha y hora de reporte de Shadowserver en UTC+0
ip Dirección IP del host involucrado
port Puerto desde donde se obtiene la respuesta SSL
asn ASN donde se encuentra el host involucrado
geo País donde se encuentra el host involucrado
region Provincia donde se encuentra el host involucrado
city Ciudad donde se encuentra el host involucrado
hostname DNS reverso del host involucrado
type Protocolo de capa transporte (udp / tcp)
Infection Nombre de la infección si es conocida
url URL de conexión (si aplica)
agent Agente de conexión HTTP (si aplica)
cc El host de Comando y Control (C&C) que controla esta dirección IP
cc_port Puerto en el servidor al que la dirección IP se conecta.
cc_asn ASN del host de C&C
cc_geo País del host de C&C
cc_dns DNS reverso del host de C&C
count Número de conexiones desde esta IP drone o zombie
proxy Indica si la conexión usa un sistema proxy conocido
application Nombre de la aplicación o protocolo de capa 7
p0f_genre Familia de sistema operativo
p0f_detail Versión de sistema operativo
machine_name Nombre de host de la pc comprometida
id Bot ID
Para que una botnet se forme y crezca, debe acumular drones y cada drone puede ser explotado individualmente, infectado, y asimilado dentro de una botnet. Mientras más drones tenga a su disposición el administrador de una botnet (“herder”), mayor impacto podrá causar en internet. Por lo tanto, la recopilación de drones es una tarea fundamental para cualquier “herder”. Por esta razón, la mayoría de software bot contiene spreaders que automatizan el escaneo de direcciones IP en busca de vulnerabilidades. Una vez encontrados, las máquinas vulnerables son atacas e infectadas con el software bot, y este proceso inicia nuevamente. Con cada drone nuevo, la botnet gana más poder para expandirse infectando a otras máquinas vulnerables. La única diferencia entre un software bot y un gusano convencional es la existencia de un único sistema de Comando y Control (C&C). USOS DE UNA BOTNET La propia naturaleza de una botnet da a los criminales mucho poder en internet. Con el control de tantos drones, los hearders pueden involucrarse en actividades muy perjudiciales a usuarios de internet, cómo: Click Fraud Las botnets pueden ser usadas en Click Fraud, donde el software bot puede ser usado para visitar páginas web y automáticamente dar “click” en anuncios publicitarios. Los herders han estado usando este mecanismo para robar grandes sumas de dinero a empresas de publicidad en internet, que pagan una recomepensa por cada página visitada. Debido a que los “clicks” provienen de diferentes máquinas alrededor del mundo, aparenta ser tráfico legítimo para un investigador sin experiencia. DDoS Las botnets pueden ser usadas para causar mucho daño a otros equipos en internet saturando completamente su ancho de banda u otros recursos. Tales ataques de DDoS (Denegación de Servicio Distribuido) pueden impedir el acceso a una página web en particular por largos períodos de tiempo. Esto supone una enorme carga para las operaciones financieras de muchas empresas que no pueden llegar a sus clientes. También ocurren ataques de extorsión, cuando los atacantes demandan un pago a las organizaciones para poner fin al ataque DDoS y permitir el tráfico normal nuevamente. Los ataques de DDoS son posibles debido a que una botnet otorga recursos de red inimaginables a los criminales. Con la capacidad de establecer muchas conexiones desde miles de máquinas diferentes, su mitigación se hace difícil. Keylogging El keylogging es probablemente la mayor amenaza de una botnet a la privacidad individual. Muchos bots escuchan la actividad del teclado y la reportan lo que la víctima ha escrito de vuelta al atacante (herder). Algunos bots incluyen software que informa al atacante cuando se ha visitado una página que requiere del ingreso de un password. Esto da al Herder la capacidad de obtener acceso a información personal y cuentas bancarias que pertenecen a miles de personas. Warez Las botnets pueden ser usadas para robar, almacenar o propagar warez. Warez constituye cualquier software obtenido ilegalmente y/o software pirata. Los bots pueden buscar por software o licencias instaladas en la máquina víctima, y el Herder puede fácilmente transferirlo para su duplicación o distribución ilegal. Por otra parte, los drones se utilizan para almacenar copias de warez encontrados en otras fuentes. Como un todo, una botnet tiene una gran capacidad de almacenamiento. Spam Las botnets a menudo se utilizan como mecanismo para propagar spam. Los drones pueden enviar spam o sitios de phishing, además a través de cuentas de mensajería instantánea se pueden enviar enlaces de malware a todos los contactos en la libreta de direcciones de la víctima. Mediante la difusión de spam a través de una botnet, un Herder puede mitigar la amenaza de ser capturado, ya que está usando miles de computadores individuales que hacen el trabajo sucio. Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Information/Botnets https://www.shadowserver.org/wiki/pmwiki.php/Information/BotnetDetection https://www.shadowserver.org/wiki/pmwiki.php/Services/Botnet-Drone-Hadoop Links de descarga:
Botnets - Descripción
MD5: 471f8521ae1fcfda69d73f9c1a48400a
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT