Detección de Botnets DIY: Técnicas y desafíos

Detección de Botnets DIY: Técnicas y desafíos

Las botnets han existido durante más de dos décadas, y con el auge del Internet de las Cosas (IoT), se han extendido aún más a dispositivos que nadie imaginaba: enrutadores, dispositivos móviles e incluso tostadoras.

Algunas redes de bots son legiones de soldados de bots que esperan una orden para atacar un servidor objetivo, generalmente para abrumar al servidor con un ataque distribuido de denegación de servicio (DDoS). Otras botnets se dirigen a dispositivos específicos robando contraseñas o extrayendo criptomonedas. La minería de criptomonedas, en particular, ha sido una amenaza cada vez mayor para las organizaciones recientemente, con redes de bots como Coinhive y CryptoLoot que permiten a los ciberdelincuentes ganar hasta 100 millones de dólares al año a expensas de la potencia informática de las víctimas. Smominru, una de las redes de bots de minería de criptomonedas más grandes, ha infectado más de medio millón de máquinas utilizando el infame exploit EternalBlue filtrado de la NSA.

Para prevenir las infecciones por botnets, las organizaciones deben ser capaces de detectarlas. Pero la detección de botnets no es fácil. Exploremos algunas de las principales técnicas y desafíos en la detección de botnets.

Métodos para la detección de redes de bots
Entonces, ¿qué es una red de bots? En pocas palabras, se trata de un grupo de bots (equipos y dispositivos comprometidos) que ejecutan comandos dados por el propietario de la red de bots. Por lo general, el propietario de la red de bots dedicará un servidor de comando y control (C2), un servidor comprometido para comunicarse con los bots, generalmente a través de comandos de Chat de retransmisión de Internet. El propietario de la red de bots utiliza el servidor C2 para ordenar a las redes de bots que ejecuten ataques, ya sean ataques DDoS, robo de datos, robo de identidad u otro tipo de ataque. Por lo tanto, la pistola humeante que apunta a una red de bots es su servidor C2.

Desafortunadamente, encontrar el C2 no suele ser una tarea sencilla. Muchos comandos de botnet surgen de múltiples servidores o toman formas ocultas, enmascarando los comandos maliciosos como actividad inofensiva, como el tráfico de red Tor, el tráfico de redes sociales, el tráfico entre servicios de igual a igual o los algoritmos de generación de dominios. Para complicar aún más las cosas, los comandos a menudo son muy sutiles, lo que dificulta la detección de anomalías.

Un método para intentar detectar C2s es descomponer y analizar el código de malware. Las organizaciones pueden intentar desensamblar el código compilado, a partir del cual a veces pueden identificar la fuente raíz de los comandos de la red de bots. Sin embargo, dado que los creadores y administradores de redes de bots utilizan cada vez más el cifrado integrado, esta técnica es cada vez menos eficaz.

Generalmente, la detección de C2 requiere visibilidad de la comunicación entre un servidor C2 y sus bots, pero solo las soluciones de seguridad que protegen específicamente los servidores C2 tendrán este tipo de visibilidad. Un enfoque más común para detectar redes de bots es rastrear y analizar los ataques en sí, en qué soluciones de seguridad estándar proporcionan visibilidad, y determinar qué ataques se originaron a partir de redes de bots.

Al examinar los intentos de explotación, hay algunas indicaciones posibles de una red de bots. Por ejemplo, si las mismas direcciones IP atacan los mismos sitios, al mismo tiempo, utilizando las mismas cargas útiles y patrones de ataque, es muy probable que formen parte de una botnet. Esto es especialmente cierto si hay muchas direcciones IP y sitios involucrados. Un ejemplo destacado es un intento de ataques DDoS por parte de una red de bots en un servicio web.

Falsos positivos
La probabilidad de falsos positivos hace que la detección de botnets sea particularmente difícil. Algunas cargas útiles se utilizan ampliamente, lo que aumenta la probabilidad de que un patrón aleatorio desencadene un falso positivo. Además, los atacantes pueden cambiar sus direcciones IP utilizando una red privada virtual o un proxy, lo que hace que parezca que hay muchos atacantes o bots involucrados cuando realmente solo hay uno.

Las herramientas de hacking y los escáneres de vulnerabilidades también se comportan de manera similar a las redes de bots para devolver a menudo falsos positivos. Esto se debe a que las herramientas de hacking generan las mismas cargas útiles y patrones de ataque, y muchos hackers las utilizan, independientemente del color de su sombrero. Y, si diferentes jugadores realizan una prueba de penetración en los mismos sitios al mismo tiempo, puede parecer un ataque de botnet.

Las organizaciones a menudo pueden identificar falsos positivos buscando en Google la carga útil y haciendo referencia a cualquier información documentada a su alrededor. Otra técnica consiste simplemente en recoger cualquier información fácilmente disponible dentro de la solicitud en bruto en la solución de seguridad. Por ejemplo, si un escáner de vulnerabilidades es el culpable, la mayoría de las soluciones de seguridad lo revelarán identificándolo, especialmente si es uno de los escáneres de vulnerabilidades más comunes.

Los falsos positivos son un desafío inevitable en la detección de botnets dada la enorme cantidad de incidentes potenciales; investigaciones recientes muestran que el 27% de los profesionales de TI reciben más de 1 millón de alertas de seguridad cada día, mientras que el 55% recibe más de 10,000. Pero con las técnicas y la diligencia adecuadas, las organizaciones pueden distinguir el tráfico inofensivo del tráfico malicioso impulsado por redes de bots.

Contenido relacionado:

• 7 Hacks No Informáticos Que Nunca Deberían Ocurrir
• La Nueva Red de Bots Muestra la Evolución de la Cultura Tecnológica y Criminal
• Paul Vixie Sobre la Seguridad de DNS & Eliminación de Botnets (video)
• La Guía Anti-Botnet Tiene como Objetivo Abordar las Amenazas Automatizadas