Botnet, ¿qué es y cuál es su objetivo?

Una botnet es una colección de dispositivos conectados a Internet, que pueden incluir computadoras personales (PC), servidores, dispositivos móviles y dispositivos de Internet de las cosas (IoT) , que están infectados y controlados por un tipo común de malware. Estos son controlados de forma remota por actores de amenazas, a menudo ciberdelincuentes, y se utilizan para para lanzar ataques diseñados específicamente para colapsar la red de un objetivo, inyectar malware, recolectar credenciales o ejecutar tareas que requieren un uso intensivo de la CPU, estas operaciones maliciosas permanecen ocultas para el usuario.

Cada dispositivo individual dentro de la red de botnet se denomina bot.

¿Cómo funcionan las botnets?

El término botnet se deriva de las palabras robot y red. Un bot es un dispositivo infectado por un código malicioso, que luego pasa a formar parte de una red de máquinas infectadas controladas por un único atacante o grupo de ataque.

El malware de botnet generalmente busca dispositivos con puntos finales vulnerables en Internet, en lugar de dirigirse a individuos, empresas o industrias específicas.

El objetivo de crear una red de bots es infectar tantos dispositivos conectados como sea posible y utilizar la potencia informática y la funcionalidad a gran escala de esos dispositivos para tareas automatizadas que generalmente permanecen ocultas para los usuarios de los dispositivos.

La arquitectura de una botnet

Las infecciones de botnet generalmente se propagan a través de malware o spyware. El malware de botnet generalmente está diseñado para escanear automáticamente sistemas y dispositivos en busca de vulnerabilidades comunes que no han sido reparadas con la esperanza de infectar tantos dispositivos como sea posible.

Una vez que se infecta la cantidad deseada de dispositivos, los atacantes pueden controlar los bots utilizando dos enfoques diferentes:

Modelo cliente-servidor centralizado

La primera generación de redes de bots operaba en una arquitectura cliente-servidor, donde un servidor de comando y control (C&C) opera toda la red de bots. Debido a su simplicidad, la desventaja de usar un modelo centralizado sobre un modelo P2P es que es susceptible a un único punto de falla.

Los dos canales de comunicación de C&C más comunes son IRC y HTTP:

Red de bots IRC (Internet Relay Chat)

Las redes de bots de IRC se encuentran entre los primeros tipos de redes de bots y se controlan de forma remota con un canal y un servidor de IRC preconfigurados. Los bots se conectan al servidor IRC y esperan las órdenes del pastor de bots.

red de bots HTTP

Una red de bots HTTP es una red de bots basada en la web a través de la cual el pastor de bots utiliza el protocolo HTTP para enviar comandos. Los bots visitarán periódicamente el servidor para obtener actualizaciones y nuevos comandos. El uso del protocolo HTTP permite al pastor enmascarar sus actividades como tráfico web normal.

Modelo descentralizado de igual a igual

La nueva generación de botnets son peer-to-peer, donde los bots comparten comandos e información entre sí y no están en contacto directo con el servidor C&C.

Las redes de bots P2P son más difíciles de implementar que las redes de bots IRC o HTTP, pero también son más resistentes porque no dependen de un servidor centralizado. En cambio, cada bot funciona de forma independiente como cliente y servidor, actualizando y compartiendo información de manera coordinada entre los dispositivos de la red de bots.

¿Cómo funciona una red de bots?

Inicialmente, el pirata informático encuentra una vulnerabilidad en un sitio web, una aplicación o en el comportamiento del usuario para exponerlo al malware. Pueden explotar los problemas de seguridad en el software o los sitios web para poder entregar malware a través de correos electrónicos, descargas ocultas o descargas de caballos de Troya.

Posteriormente, los dispositivos de las víctimas se infectan con malware que puede tomar el control de sus dispositivos. La infección de malware inicial permite a los piratas informáticos crear dispositivos zombis utilizando técnicas como descargas web, kits de explotación, anuncios emergentes y archivos adjuntos de correo electrónico. Si se trata de una botnet centralizada, el cibercriminal dirigirá el dispositivo infectado a un servidor C&C. Si se trata de una botnet P2P, comienza la propagación entre pares y los dispositivos zombi buscan conectarse con otros dispositivos infectados.

Por último, cuando el cibercriminal ha infectado una cantidad suficiente de bots, puede movilizar sus ataques. Los dispositivos zombis luego descargarán la última actualización del canal C&C para recibir su pedido. Luego, el bot procede con sus órdenes y se involucra en actividades maliciosas. El pastor de bots puede continuar administrando y haciendo crecer su botnet de forma remota para llevar a cabo diversas actividades maliciosas. Las botnets no se dirigen a individuos específicos, ya que el objetivo del cibercriminal de bots es infectar tantos dispositivos como sea posible para que puedan llevar a cabo ataques maliciosos.

Tipos de ataques de botnets

Una vez que un adversario tiene el control de una botnet, las posibilidades maliciosas son amplias. Una red de bots se puede utilizar para realizar muchos tipos de ataques, entre ellos:

1. suplantación de identidad

Las botnets se pueden utilizar para distribuir malware a través de correos electrónicos de phishing. Debido a que las botnets están automatizadas y consisten en muchos bots, cerrar una campaña de phishing es como jugar un juego de Whack-A-Mole.

2. Ataque de denegación de servicio distribuido (DDoS)

Durante un ataque DDoS , la botnet envía una cantidad abrumadora de solicitudes a un servidor o aplicación objetivo, lo que hace que se bloquee. Los ataques DDoS de la capa de red utilizan inundaciones SYN , inundaciones UDP , amplificación de DNS y otras técnicas diseñadas para consumir el ancho de banda del objetivo y evitar que se atiendan solicitudes legítimas. Los ataques DDoS en la capa de aplicación utilizan inundaciones HTTP , ataques Slowloris o RUDY, ataques de día cero y otros ataques que tienen como objetivo las vulnerabilidades en un sistema operativo, aplicación o protocolo para bloquear una aplicación en particular.

3. Bots de spam

Los spambots recolectan correos electrónicos de sitios web, foros, libros de visitas, salas de chat y cualquier otro lugar donde los usuarios ingresen sus direcciones de correo electrónico. Una vez adquiridos, los correos electrónicos se utilizan para crear cuentas y enviar mensajes de spam. Se cree que más del 80 por ciento del spam proviene de botnets.

Prevención de botnets con controles de ciberseguridad

No existe una solución única para la detección y prevención de botnets, pero los usuarios y las empresas pueden comenzar incorporando los siguientes controles de seguridad:

  • fuertes métodos de autenticación de usuarios;
  • actualizaciones de firmware remotas y seguras, que solo permiten el firmware del fabricante original;
  • arranque seguro para garantizar que los dispositivos solo ejecuten código producido por partes confiables;
  • análisis de comportamiento avanzado para detectar comportamientos de tráfico IoT inusuales; y
  • métodos que utilizan la automatización, el aprendizaje automático y la inteligencia artificial (IA) para automatizar las medidas de protección en las redes de IoT antes de que las redes de bots puedan causar daños graves.