Las botnets son uno de los mayores problemas de seguridad en Internet. Generan spamm, producen ataques DDoS, roban datos bancarios, distribuyen virus y troyanos... por tanto y dado que la presión para eliminarlas ha crecido exponencialmente, los cibercriminales que las operan cada vez tienen que ingeniárselas de manera más compleja. A los últimos desarrollos de C&C a través de redes p2p tenemos que añadir otro diseño basado en la red Tor descubierto por casualidad y analizado por investigadores de Rapid7.
La botnet en cuestión, Skynet, es usada como otras tantas por su operador para lanzar ataques DDoS, robar credenciales bancarias de los usuarios infectados y generar ganancias creando Bitcoins. La diferencia es que el botmaster mantiene el control sobre los servidores C&C a través de Tor.
El protocolo servicio oculto de Tor, está diseñado para ocultar la IP de los dos puntos de la conexión (servidor y cliente) para dificultar la identidad o localización de los mismos, encriptando y enrutando el tráfico a través de los nodos Tor Relays. De esta manera el botmaster puede ocultar la dirección IP de sus C&C dificultando su localización y desactivación.
Los servidores Tor suelen ser servidores web, aunque también pueden ser servidores IRC o SSH. Hace años por ejemplo, recuerdo que una de las maneras de mantener una botnet, mucho más rudimentaria que la que estamos tratando, era hacer que los nodos de la botnet se loguearan en un canal IRC en un servidor privado desde donde el botmaster podía lanzar comandos y controlar de manera sencilla cuantos nodos estaban operativos.. en este caso localizar el C&C era relativamente sencillo, el uso de Tor dificulta enormemente este proceso, aunque según Marco Preuss de Kaspersky Lab ha afirmado que basándose en como Tor sea usado por la botnet, se podría bloquear este tráfico e inutilizar los C&C.
Skynet podría contar actualmente con unas 15000 sistemas zombies, una tamaño relativamente pequeño comparado con otras botnets que pueden llegar a millones de máquinas infectadas, lo cual se podría explicar por la baja velocidad de la red Tor lo cual podría ralentizar en exceso el envío de instrucciones a un mayor número de máquinas.
Pero no hemos de olvidar que todas estas botnets no se forman sino a partir de ordenadores infectados. En este caso, la infección llega a la víctima a través de descargas ilegales más concretamente a través de Usenet. Una red muy antigua y que sigue siendo muy usada para descargar todo tipo de warez. El botmaster de Skynet, se encarga de renovar su botnet incluyendo una versión del troyano bancario Zeus encubierto en cada descarga popular que pueda surgir.
Por lo que si queréis que vuestra máquina sea infectada, os roben cualquier tipo de dato personal/bancario...nada más fácil que descargar warez, sin ningún control y como comentan los propios investigadores de Rapid7, si quieres mantener tu botnet operativa..."stay low". No dejéis de leer el informe de Rapid7.
