- ¿Qué es una red zombi?
- Utilización de las redes-zombi
- Órdenes o instrucciones para los programas zombi (bots)
- Tipos de redes-zombi
- Evolución de las redes-zombi
- Redes-zombi P2P
- El negocio de las redes zombi
- Conclusión
En este artículo analizaremos las redes zombi (netbot), cómo se forman, quién se enriquece con ellas. A los lectores que ya entienden del tema, les contaremos sobre las últimas tendencias en el desarrollo de las redes zombi. Este artículo es el primero de una serie de publicaciones dedicadas al problema de las redes zombi.
Las redes zombi existen desde hace unos 10 años y casi desde entonces, los expertos nos vienen advirtiendo sobre sus peligros. Sin embargo, se sigue subestimando el problema de las redes zombi y muchos usuarios (mientras no se les corte el acceso a Internet, mientras no pierdan dinero en sus tarjetas de crédito o mientras no les roben su buzón de correo o cuenta IM) no llegan a comprender en qué consiste la verdadera amenaza de las redes zombi.
¿Qué es una red zombi?
Antes de nada definiremos lo que es una red zombi.
La red zombi es una red de ordenadores infectados por un programa nocivo tipo “puerta trasera” (backdoor) que permite a los criminales cibernéticos controlar a distancia los equipos infectados (cada uno por separado, parte de los ordenadores de la red o la red completa).
Los programas maliciosos “puerta trasera” creados para construir redes zombi, se llaman programas zombi o bots.
Las redes zombi cuentan con recursos informáticos poderosos,son un arma cibernética terrible y, claro está, son un medio efectivo usado por los delincuentes para ganar dinero de forma ilegal. Además, los equipos infectados que integran la red pueden controlarse desde cualquier lugar, ya sea ciudad, país e incluso desde otro continente ya que la estructura Internet permite hacerlo de forma anónima.
El control del ordenador infectado por el programa zombi puede ser directo o indirecto. En caso de control directo, el delincuente puede establecer contacto con el ordenador infectado y controlarlo usando las instrucciones que vienen integradas en el programa-zombi. En caso de control indirecto, el zombi se conecta por sí mismo con el centro de dirección o con otros equipos de la red, envía una petición y ejecuta la orden o instrucción recibida como respuesta.
De cualquier forma, el dueño del ordenador infectado ni siquiera sospecha que su ordenador está siendo usado por malhechores. Precisamente por esta razón los ordenadores infectados por el perjudicial programa-zombi y que están bajo el control secreto de cibercriminales, se llaman ordenadores zombis y la red de la que son parte se denomina red-zombi. Los ordenadores personales de usuarios particulares son los que más suelen convertirse en equipos zombi.
Utilización de las redes-zombi
Los malhechores pueden usar las redes zombi para resolver una amplia gama de problemas criminales, desde el envío de spam hasta el ataque a redes gubernamentales.
Envío de spam. Esta es una de las modalidades más simples y difundidas de explotación de las redes-zombi. Los expertos estiman que al presente más del 80% de las cartas spam se envían desde redes-zombi. No son precisamentelos dueños de la red-zombi los que envían el spam desde sus redes sino que se las alquilan a los spamers por una módica sumaNo .
Pero los spamers son los que saben el verdadero precio de las redes-zombi. Según nuestros datos, un spamer medio gana 50-100 mil dólares al año. Miles de redes-zombi permiten a los spamers realizar millones de envíos desde las máquinas infectadas en un período de tiempo corto. Aparte de la velocidad y escala de envíos las redes-zombi ofrecen a los spammers una ventaja más, que es la de resolver el problema de bloqueo de direcciones desde las que se envía spam. Estas direcciones caen en las listas de rechazados de los servidores de correo y por consiguiente, se las bloquea o marca de inmediato como spam. El envío de spam desde cientos de direcciones de usuarios de máquinas-zombi ayuda a los spamers a resolver este problema.
Otro “valor agregado” que ofrecen las redes-zombi es la posibilidad de recolectar en las máquinas infectadas direcciones de correo electrónico para venderlas a los spamers o para que los propios dueños de las redes-zombi envíen spam. De esta manera la creciente red-zombi permite recibir nuevas y nuevas direcciones.
El ciberchantaje. El segundo método más popular de ganar dinero usando las redes-zombi consiste en usar decenas, centenas y miles de ordenadores para realizar ataques DDoS (Distributed Denial of Service, ataque distribuido de negación de servicio). Durante este tipo de ataque, desde las máquinas infectadas por programas zombi se crea un torrente de peticiones falsas dirigidas al servidor atacado en la Red, como resultado hay una sobrecarga y los usuarios no pueden acceder al servidor. Para detener este ataque por lo general los malhechores piden un rescate.
Hoy en día muchas compañías trabajan solo a través de Internet y la imposibilidad de acceder a los servidores significa la paralización total del negocio, lo que lleva a pérdidas financieras. Lo más seguro es que en vez de acudir a la policía en busca de ayuda, estas compañías cumplan las exigencias de los chantajistas para poder recuperar lo antes posible la estabilidad de sus servidores.
Justo esa es la reacción que esperan los ciberdelincuentes y por eso los ataques aumentan más y más.
Los ataques DDoS también se pueden usar como forma de influencia política. En estos casos se atacan principalmente los servidores de organizaciones estatales o gubernamentales. El peligro que conlleva este tipo de ataques está en que pueden ser de carácter provocador, ya que el ciberataque a los servidores de un país se realiza desde los servidores de otro país y se dirige desde el servidor de un tercer país.
Acceso anónimo a la Red. Una de las formas de hacer dinero sucio con la ayuda de las redes-zombi está basada en dar en alquiler o vender una red ya lista para su uso. La creación de redes-zombi para su venta es una rama aparte del negocio cibernético criminal.
Fishing. Las direcciones de las páginas de recolección de datos (páginas phishing) pueden pasar fácilmente a las listas de rechazados. La red-zombi permite a los “pescadores” (phishers) cambiar rápidamente las direcciones de la página de recolección usando ordenadores infectados como servidores proxy, lo que permite ocultar la verdadera dirección del servidor de recolección (fisher server).
Robo de información confidencial. Este es quizás el tipo de delito que siempre atraerá a los criminales cibernéticos. Y mucho más ahora que con la ayuda de las redes-zombi “Anzuelos” se pueden obtener diversas contraseñas (para el acceso a: E-Mail, ICQ, recursos FTP, servidores web) y demás datos confidenciales de los usuarios.
El programa zombi que infecta al ordenador en la red-zombi puede bajar o descargar otro programa perjudicial, por ejemplo, un troyano que robe contraseñas. En este caso todos los ordenadores que forman parte de la red-zombi quedarán infectados por este programa troyano y los malhechores podrán obtener las contraseñas de todas las máquinas infectadas.
Las contraseñas robadas se revenden o se usan para realizar infecciones masivas de páginas web (por ejemplo las contraseñas para todas las cuentas FTP encontradas) con el fin de expandir posteriormente el programa zombi perjudicial y de esta manera ampliar la red-zombi.
Órdenes o instrucciones para los programas zombi (bots)
Las órdenes que cumplen los programas zombi son variadas, pero como regla están en la lista que damos a continuación. La denominación de estas órdenes puede ser diferente en las variedades de programas zombi que existen, pero el sentido de las órdenes sigue siendo el mismo.
Update: cargar y ejecutar el archivo en ejecución indicado o el módulo del servidor indicado. Esta orden es la básica, ya que es la que se cumple en primer lugar. Además, en caso de que el dueño de la red-zombi quiera instalar una versión nueva del programa zombi (bot), esta orden permite renovar el archivo zombi ejecutablesiguiendo la orden de su dueño. Esta misma orden permite infectar el ordenador con otros programas perjudiciales (virus, gusanos), así como también permite instalar otros programas zombi en el ordenador. Con la ayuda de esta orden se pueden instalar programas troyanos al mismo tiempo en todos los ordenadores, estos troyanos buscan todas las contraseñas que hayan sido introducidas alguna vez en el ordenador y guardadas en su memoria, y luego las envían al servidor en Internet.
Flood: empezar el proceso de creación de un flujo de peticiones falsas dirigidas a un servidor indicado de Internet con el fin de que el servidor deje de funcionar o de sobrecargar el canal de internet del segmento indicado de la Red global.
La creación de este tipo de flujos puede provocar serios desajustes en el servidor que imposibilitarán el acceso a los simples usuarios. Este tipo de ataquecon el empleo de redes-zombi se llama ataque DDoS. Los tipos de falsas peticiones dirigidas a la red son muchos así que nos los describiremos y nos limitaremos a tener una idea general de ellos.
Spam: cargar el modelo de mensaje-spam y empezar a enviar spam a las direcciones indicadas (cada zombi tiene su porción de direcciones).
Proxy: usar el ordenador indicado como servidor-proxy. A menudo esta función no es en una función separada, sino que está incluida en la función del programa zombi (bot). Esta es una de las funciones que permite usar cualquier ordenador de la red-zombi como servidor-proxy con el fin de ocultar la dirección verdadera del malhechor que dirige la red-zombi.
Existen también otras funciones, sin embargo no están dentro de las más populares y por eso están solo en algunos programas zombi. Estas órdenes suplementarias permiten obtener copias de las pantallas del usuario (captura de pantallas), vigilar las teclas que se pulsan en el teclado, pedir archivos con protocolo de red de comunicación del usuario (se usa para robar cuentas y datos confidenciales), reenviar el archivo indicado desde el ordenador del usuario, solicitar los números de serie del software, obtener información detallada sobre el sistema del usuario y su entorno, solicitar la lista de ordenadores que forman parte de la red-zombi, etc.
Tipos de redes-zombi
La clasificación de redes-zombi es bastante simple, está basada en la arquitectura de redes-zombi y protocolos usados en la dirección de programas zombi.
Clasificación de redes-zombi según su arquitectura
Hasta ahora se conocían apenas dos tipos de arquitectura de redes-zombi.
- Redes-zombi con un centro único. En las redes-zombi con esta arquitectura, todos los ordenadores zombi se conectan con un solo centro de dirección o C&C (Command&Control Centre, centro de dirección y control). El C&C espera la conexión de nuevos programas zombi, los registra en su base, cuida su estado y les da órdenes, que son elegidas por el dueño de la red-zombi de la lista de posibles instrucciones para programas zombi (bots). Todos los ordenadores zombi se ven unos a otros en el C&C y para dirigir la red zombi centralizada, el dueño de la red necesita el acceso al centro de control y dirección.
Fig. 1 Topología centralizada (C&C)
Las redes-zombi de control centralizado son el tipo de red-zombi más difundido. Estas redes-zombi son más fáciles de crear, controlar y reaccionan más rápido a las órdenes. Además luchar con las redes-zombi de control centralizado es también más fácil, para neutralizar esta red-zombi es suficiente cerrar el C&C.
- Redes-zombi descentralizadas o P2P-redes-zombi. (Del inglés “peer-to-peer”, que significa conexión del tipo “punto-punto”). En caso de una red-zombi descentralizada, los zombis no se conectan con el centro de control, sino con algunas máquinas infectadas de la red-zombi. Las órdenes se transmiten de un programa zombi a otro: cada zombi tiene una lista de direcciones de algunos “vecinos” y al recibir la orden de uno de ellos, transmite esta orden a los demás, difundiendo así la orden más allá. En este caso para dirigir toda la red-zombi basta que el malhechor tenga acceso por lo menos a un ordenador que es parte de la red-zombi.
Fig. 2 Topología descentralizada (P2P)
En la práctica la construcción de una red-zombi descentralizada no es muy cómoda, puesto que es necesario dar a cada ordenador infectado la lista de aquellos programas zombis (bots) con los que se relacionará en la red-zombi. Lo más sencillo es enviar el programa zombi (bot) a un servidor centralizado, donde recibirá la lista de los programas zombi– “vecinos” y después hacer que actúe a través de P2P. Esta topología mixta también corresponde al tipo P2P, a pesar de que en cierto momento se use C&C. Luchar con las redes-zombi descentralizadas es más complejo porque en la red-zombi activa no existe un centro de control.
Clasificación de redes-zombi según el uso de protocolos de red
Para transmitir al programa zombi la orden del dueño de la red-zombi, es necesario como mínimo instalar una conexión de red entre el ordenador-zombi y el ordenador que emite las órdenes. Todas las interacciones de red están basadas en los protocolos de red que determinan las reglas de comunicación de los ordenadores dentro de la red, por eso existe una clasificación de redes-zombi basada en el uso de protocolos de comunicación.
Según el tipo de protocolos de red las redes-zombi se dividen en las siguientes clases:
- Las de orientación IRC. Esta es una de las primeras redes-zombi, donde el control de zombis se realizaba usando IRC (Internet Relay Chat ,es decir, charla interactiva internet). Cada ordenador infectado se conectaba con el servidor IRC indicado en el cuerpo programa-zombi, entraba en un canal determinado y esperaba las órdenes de su dueño.
- Las de orientación IM. No es un tipo de red-zombi muy popular. Se diferencia de los de orientación IRC solamente en que para la transmisión de datos se usan canales IM (Instant Messaging) es decir, canales de servicio de mensajería instantáneacomo: AOL, MSN, ICQ y otros. La poca popularidad de estas redes-zombi se debe a las dificultades que aparecen al crear una cuenta separada de servicio IM para cada programa zombi (bot). El caso es que los programas zombi tienen que salir a Internet y estar constantemente en línea. En vista de que la mayoría de los servicios IM no permiten entrar en el sistema desde diferentes ordenadores usando una misma cuenta, cada programa zombi debe tener su propio número de servicio IM. Además los dueños de servicios de mensajería instantánea impiden de diferentes formas cualquier registro automático de cuentas. Como resultado los dueños de las redes-zombi de orientación IM están muy limitados en cuanto a número de cuentas registradas se refiere, y por consiguiente en el número de zombis que estén presentes en la red. Claro que los zombis pueden usar una misma cuenta, estar online una vez cada cierto tiempo, enviar los datos al número del dueño y durante un corto tiempo esperar la respuesta, pero todo esto es bastante problemático. Este tipo de red tiene una reacción muy lenta a las instrucciones.
- Las de orientación Web. Esta es una rama relativamente nueva de redes-zombi controladas a través de WWW. El zombi se conecta con determinado servidor web, recibe de éste las instrucciones y envía los datos como respuesta. Este tipo de redes-zombi son populares porque son relativamente fáciles de elaborar, ya que existe una gran cantidad de servidores web en Internet y porque son simples de controlar a través del una interfaz web.
- Otros. Además de los mencionados existen otros tipos de redes-zombi, que se comunican en base a su propio protocolo, basándose solamente en la estructura de datos o stack TCP/IP: usan solo protocolos generales TCP, ICMP, UDP.
Evolución de las redes-zombi
La historia de las redes-zombi empezó en los años 1998-1999 cuando aparecieron los primeros programas que actuaban como Backdoor, así tenemos al conocido NetBus y BackOrifice 2000, a los puede llamar “pruebaas de concepto”, es decir, programas en los que se usaban soluciones tecnológicas nuevas. NetBus y BackOrifice 2000 fueron los primeros en tener una serie de funciones para el control a distancia del ordenador infectado, lo que permitía a los malhechores trabajar con los archivos en un ordenador a distancia y poner en funcionamiento nuevos programas, realizar capturas de pantalla, abrir y cerrar el dispositivo CD, etc.
Desde un principio los programas backdoor creados como troyanos funcionaban sin permiso ni conocimiento del usuario; para realizar el control el malhechor tenía que conectarse con cada máquina infectada. Los primeros backdoors funcionaban en redes locales basados en los protocolos TCP/IP, que en sí eran una demostración de las opciones de uso de Windows API para el control a distancia del ordenador.
A principios del 2000 los programas clientes de control a distancia de ordenadores ya podían controlar al mismo tiempo varias máquinas. Sin embargo, a diferencia de los modernos backdoors, los programas NetBus y BackOrifice2000 hacían el papel de de servidor de red: abrían un puerto determinado y esperaban pacientemente que el dueño del ordenador se conectara (ahora los programas de conducta Backdoor que se usan para la construcción de las redes-zombi establecen la conexión por sí mismos).
Después, a alguno de los malhechores se le ocurrió hacer que las máquinas infectadas por los backdoors se conectaran por sí mismas y entonces se las podía ver siempre en línea (la única condición era que estuvieran encendidas y funcionando). Lo más seguro es que haya sido idea de algún hacker, ya que los programas zombi (bots) de la última generación usaban el canal de conexión que tradicionalmente usan los hackers – IRC (Internet Relay Chat).
Al parecer la elaboración de nuevos programas zombi se bastante porque que en un comienzo en el sistema IRC funcionaban programas zombi con códigos que no estaban destinados al control a distancia sino a otra función (estos programas respondían a las peticiones del usuario, por ejemplo, daban información sobre el tiempo meteorológico o la hora en que apreció por última vez un determinado usuario en el chat).
Los nuevos programas zombi, después de infectar los ordenadores empezaron a conectarse a los servidores IRC, y comunicarse por canales IRC en calidad de visitantes para luego esperar mensajes del dueño de la red-zombi.
El dueño podía aparecer en línea en cualquier momento, ver la lista de zombis, y enviar sus instrucciones a todas las maquinas infectadas o enviar un mensaje privado a una máquina. Este fue el primer mecanismo de la red-zombi con control centralizado, que más tarde se denominó C&C (Command & Control Centre).
La elaboración de estos programas zombi no fue difícil, si se toma en cuenta la simplicidad de la sintaxis del protocolo IRC. Para usar el servidor IRC no es necesario tener un programa especializado para clientes, es suficiente tener un cliente universal de red, uno como la aplicación Netcat o Telnet.
La noticia de la aparición de las redes-zombi IRC se publicó casi inmediato y en cuanto empezaron a publicar artículos en las revistas de hackers, aparecieron “los secuestradores” de redes-zombi que por lo visto poseían los mismos conocimientos que los dueños de dichas redes, pero que estaban en busca de una presa fácil. Ellos buscaban canales IRC donde hubiera muchos visitantes, entraban, analizaban y “secuestraban” la red-zombi, interceptaban el control sobre la red, redirigían a los zombis a otros canales IRC protegidos por contraseñas y como resultado obtenían el control único y total sobre la red ajena de máquinas infectadas.
La siguiente etapa en el desarrollo de las redes-zombi fue el traslado de los centros de control a la red global de internet. Al principio los hackers elaboraron los medios de control a distancia mediante el servidor, basándose en scripts como Perl y PHP y rara vez ASP, JSP y otros. Luego alguien creó una conexión entre un ordenador de una red local con un servidor en Internet, lo que permitía realizar el control mediante el ordenador desde cualquier lugar. El esquema de control a distancia mediante un ordenador dentro de una red local evitando los medios de protección proxy y NAT, fue publicado en Internet y se hizo muy popular en ciertos círculos. El control a distancia se crea sobre la base de la instalación de la conexión HTTP con el servidor de control usando ajustes o configuraciones locales del ordenador. Si el usuario instalaba entre los ajustes de sistema la dirección, puerto, login y contraseña para el servidor proxy, se activaba automáticamente el mecanismo de autorización de la biblioteca de funciones para el soporte de protocolo HTTP (Wininet.dll). Desde el punto de vista de un programador esta era una solución simple y posible.
Los programas semi-legales de medios de control remoto dirigidos a evadir la protección de máquinas dentro de redes locales y obtener el acceso a distancia, dieron el impuso necesario para la creación de las redes-zombi orientadas a la web. Un poco después fue creado un sencillo script de control de una red no muy grande de ordenadores y los malhechores encontraron la manera de usar esas redes para satisfacer sus intereses mercantiles.
Las redes-zombi orientadas a la web resultaron ser una solución sumamente cómoda que ahora sigue siendo popular. Una gran cantidad de ordenadores puede controlarse desde cualquier aparato que tenga salida a Internet, incluso desde un teléfono móvil que tenga WAP/GPRS, y la interfaz de la web la puede operar un escolar. El posterior desarrollo de Internet y el mejoramiento de la tecnología web también estimularon el uso de las redes-zombi web.
Hubo varios intentos de crear redes-zombi dirigidas a través de canales de mensajería instantánea, pero las redes-zombi IM no se difundieron mucho, en parte porque se requiere el registro de cuentas IM, y teniendo en cuenta que los sistemas de protección de cuenta cambian constantemente, registrar gran cantidad de cuentas automáticamente resulta bastante complicado.
Pero la evolución de las redes-zombi no termina aquí; después de haber seleccionado diferentes opciones de uso de protocolos, los elaboradores de redes-zombi pasaron a tratar la arquitectura de la red. Resulta ser que las redes-zombi que tienen una arquitectura clásica (muchos zombis y un centro de control) son sumamente vulnerables puesto que dependen de un nudo crítico – el centro de control, que si se apaga llevará a que se pierda la red. A veces resulta efectiva la solución de infectar los ordenadores a través de diferentes programas zombi que están orientados a diferentes centros de control, pero estas redes-zombi son más difíciles de mantener ya que es necesario vigilar al mismo tiempo dos, tres centros de control.
Los expertos coinciden en que las redes-zombi del tipoP2P que no tienen un centro de control, son bastante efectivas y peligrosas. El dueño de la red no tiene más que dar la orden a una de las máquinas y luego los zombis la transmitirán por sí mismos. En principio cada ordenador dentro de la red-zombi puede conectarse con cualquier otro ordenador que sea parte de esta red. Hace mucho que se vienen realizando experimentos para la creación de este tipo de redes-zombi, pero recién en 2007 apareció una red-zombi enorme basada en la arquitectura P2P y precisamente son las redes-zombi P2P las que ocupan la atención de los investigadores de seguridad informática.
Redes-zombi P2P
Red-zombi “tormenta” (Storm)
En el año 2007 esta red-zombi P2P llamó la atención de los investigadores de seguridad informática. La red fue creada sobre la base del programa malicioso Storm Worm. Los autores del gusano “Storm” difundieron su creación con tal intensidad que por lo visto tuvieron que crear toda una fábrica para la realización de nuevas versiones de este programa malicioso. Desde enero de 2007 nosotros recibíamos cada día de 3 a 5 diferentes variantes de Storm Worm (según la clasificación del Laboratorio Kaspersky- Email-Worm.Win32.Zhelatin ).
Algunos expertos consideran que en realidad Storm Worm es un programa malicioso destinado a la creación de una red-zombi de nueva generación. No cabe duda de que son profesionales los que crearon y difunden el programa zombi (bot) y que la arquitectura y protección de la red-zombi fueron bien planeadas, lo que se demuestra en las siguientes características de la red-zombi “tormenta” (Storm):
- El código del zombi muta, lo que nos recuerda a los virus polimorfos. La diferencia de Storm Worm está en que el código que muta no funciona dentro del mismo programa (como en los polimorfos) sino que funciona en un ordenador especial de Internet. Este mecanismo ha recibido el nombre de “polimorfismo de servidor” (server-side polymorphism).
- La mutación ocurre bastante a menudo (se detectaron casos de mutación de una vez por hora) y lo que es muy importante, la mutación se realiza en el servidor lo que hace que la renovación de la base de antivirus no sea efectiva para muchos usuarios.
- La red-zombi “tormenta” protege sus recursos de los investigadores demasiado curiosos. Muchas compañías de antivirus periódicamente bajan o descargan de los servidores nuevos ejemplares del gusano a partir de los cuales se realiza la propagación del programa malicioso. Cuando se descubren muchas consultas que provienen de una misma dirección, los zombis reciben la orden de comenzar un ataque DDoS contra esa dirección.
- El programa malicioso zombi (bot) trata de funcionar de manera desapercibida en el sistema. Es evidente que los usuarios y administradores descubren fácilmente aquellos programas que atacan constantemente, por eso desde el punto de vista de los programas maliciosos es más seguro dosificar la actividad lo que a su vez exige el uso de un menor número de recursos del ordenador.
- En lugar de comunicarse con el servidor central, el gusano Storm se comunica solamente con algunos ordenadores “vecinos” de la red infectada, lo que hace prácticamente imposible la detección de todas las máquinas zombi en las redes P2P. De esta misma manera pueden estar organizados los grupos de inteligencia: cada uno de los que entra en este grupo solamente conoce a algunos miembros del grupo, y el fracaso de un agente de inteligencia no significa que todo el grupo ha sido descubierto.
- Los autores de los gusanos cambian constantemente las formas de su difusión. Al principio el programa malicioso se difundía como archivo adjunto en los mensajes Spam (en particular como archivos PDF), luego en los mensajes spam se enviaban enlaces hacia archivos infectados, en los blogs hubo intentos de enviar automáticamente mensajes, que contenían enlaces hacia páginas web infectadas. En la realización de todas estas formas de difusión de programas maliciosos se usaron métodos sutiles de ingeniería social.
La red-zombi Storm (tormenta) ha causado bastantes problemas, aparte del envío masivo de spam, sospechan que participó en diversos ataques DDoS de gran escala por todo el mundo y según declaraciones de algunos investigadores, incluso el ciberataque a Estonia en 2007 contó con la participación de la red-zombi “storm” . La capacidad potencial de esta red, produce sensaciones desagradables entre los proveedores de host-internet. Esta tensión es aún mayor porque se desconocen las verdaderas dimensiones de la red-zombi “storm”. En las redes-zombi que se basan total o parcialmente en el sistema de control C&C, se puede ver la red completa (en el sistema C&C se ve cada uno de los ordenadores-zombi), pero en la red-zombi “storm” nadie ha visto la lista de ordenadores infectados que forman parte de esta red. Según diferentes evaluaciones, la dimensión de la red-zombi Storm Worm podría ser de 50 mil a 10 millones de máquinas-zombi.
Para finales de 2007 la red-zombi parecía haber desaparecido, aunque como antes nosotros continuamos recibiendo nuevas versiones del programa zombi. Algunos expertos creen que la red zombi fue vendida por partes, otros consideran que la red-zombi no era muy rentable, que el dinero invertido en su elaboración y mantenimiento no se recuperó con las ganancias recibidas.
Mayday
Otra red-zombi que nos parece interesante ya que tecnológicamente se diferencia de sus predecesores es Mayday. Este nombre del programa zombi (según la clasificación del “Laboratorio Kaspersky – Backdoor.Win32.Mayday ” ) y la red creada sobre la base del mismo programa se debe a que el nombre del dominio al que se dirigía uno de los ejemplares del programa malicioso contenía la palabra “mayday”.
Mayday es una más de las redes-zombi, construida según la arquitectura P2P, después de su lanzamiento el programa zombi se conecta con el servidor indicado en el cuerpo del programa, se registra en su base de datos y recibe la lista de todos zombi (bots) de la red infectada (en el caso de Storm Worm se obtenía solo una parte de la lista). Luego el programa zombi establece conexión del tipo ordenador-ordenador con los otros zombis que forman parte de la red-zombi.
Nosotros registramos 6 servidores distintos por todo el mundo (Gran Bretaña, EE.UU., los Países Bajos, Alemania) con los que se conectaban los zombis (bots) cuando se encontraban en período de construcción de la red-zombi. Para principios de marzo solo quedaba en funcionamiento un servidor, en el que estaban registrados unos 3 mil zombis (les recordamos que según estimaciones las dimensiones de la red-zombi “tormenta” llegaban a decenas de miles de máquinas infectadas). Aparte de las dimensiones de la red, Mayday está por debajo de su “hermano mayor” Storm en varios puntos, como ser: en la red-zombi Mayday se usa un protocolo de comunicación primitivo no cifrado, el código del programa malicioso no es sometido a una especial elaboración para que sea complicado analizarlo con los programas antivirus , y lo más importante es que la periodicidad con que se emiten nuevas versiones de programas zombi no es la misma que vemos en el caso de las nuevas versiones de Storm Worm. Ya a finales de noviembre de 207 Kaspersky Lab había detectado por primera vez el programa Backdoor.Win32.Mayday, y en los últimos 4 meses nuestra colección ha aumentado en unas 20 versiones diferentes del programa.
En cuanto a las novedades tecnológicas, es necesario denotar que en la realización en la red-zombi hay dos enfoques que no son estándar.
En primer lugar, en la red Mayday la comunicación del tipo ordenador-ordenador (P2P) desde un principio se basaba en la transmisión de mensajes ICMP con 32 bytes de carga útil.
La mayoría de los usuarios del protocolo ICMP (del inglés: Internet Control Message Protocol- protocolo de control de mensajes de internet) conocido por sus utilidades (utilities) aplicadas PING, que usa el ICMP para revisar la posibilidad de acceso host de la red. Sin embargo, las funciones esenciales del protocolo son mucho más amplias. Esto es lo que se ha dicho sobre ICM en Wikipedia: “El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet Control Message Protocol) es el subprotocolo de control y notificación de errores del <Protocolo de Internet
(IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado”
En la figura 3 se presenta la interfaz del programa-sniffer (programa de captura) de los paquetes de red, que registró la transmisión de paquetes ICMP del programa zombi Mayday. Ninguno de los programas zombis que conocíamos antes usaba el ICMP para la transmisión de datos.
Fig. 3. Paquetes ICMP, enviados por el programa zombi Mayday
Con ayuda de ICMP se realiza la revisión del acceso de los programas zombi a la red infectada y también su identificación. Como el programa zombi está orientado a trabajar en Windows XP SP2, después del inicio o puesta en marcha cambia las reglas del firewall de Windows, de tal manera que se permite recibir paquetes ICMP.
La segunda particularidad de la red-zombi Mayday es su centro de control.
Para el funcionamiento de los centros de control de las redes-zombi orientadas a la web, se usa el mecanismo conocido como CGI (Common Gateway Interface, es decir, interfaz de entrada común). Desde un principio en la tecnología web se había previsto la posibilidad de usar ficheros en calidad de CGI, más tarde aparecieron los diversos scripts. El anexo CGI genera en tiempo real el contenido de la página web que solicita el usuario, asegurando así la ejecución del programa y la obtención de una conclusión sobre los resultados de su trabajo en lugar de la obtención de datos estáticos del servidor. El script GCI funciona según un esquema parecido, pero para la obtención de sus resultados requiere un interpretador de script. Por lo general los malhechores usan scripts en la elaboración de sus redes-zombi orientadas a la web.
Con la colaboración de las autoridades pudimos obtener una copia del programa que funciona en el centro de control de la red-zombi Mayday. El software del servidor Mayday consiste de 1,2 megabits (sin módulos) de un archivo ELF ejecutable (Linux- un análogo de los archivos ejecutables EXE archivos de Microsoft Windows) y que no requiere script en el sistema. A primera vista parece que no existiera nada raro en la elaboración de Mayday CGI- vemos un archivo adjunto en lugar de de GCI script. Sin embargo este hecho provoca una serie de preguntas.
La elaboración del anexo CGI es casi el doble de complicada que CGI script, ya que requiere de esfuerzos específicos para realizar un código estable y seguro. Al presente el 99% de los programas para la web se basa en scripts, las construcciones monolíticas realizadas por el programa CGI se crean solo en caso de que se tenga la necesidad de optimizar todo hasta los últimos detalles. Como regla este es un modo de trabajo que utilizan las grandes corporaciones al realizar sus proyectos que tienen que funcionar bajo grandes presiones. La realización de programas CGI monolíticos se usa por ejemplo en sistemas web, como por ejemplo e-Bay, Paypal, Yahoo y otros.
¿Para qué se creó el archivo ejecutable sin módulos en la red-zombi Mayday?
Una de las posibles razones podría ser el deseo que tenían los elaboradores de imposibilitar “a terceros” el trabajo de redacción, reajuste y reventa del centro de control. En cualquier caso, el análisis de la estructura del software del servidor Mayday nos hace suponer que esta complicada elaboración (el código está cuidadosamente pulido, se creó un sistema de clases universal) requiere de un equipo de elaboradores muy bien organizado. Además para la creación del software de la red-zombi Mayday, los maliciosos seguramente tuvieron que trabajar en dos diferentes proyectos- la elaboración del programa para Windows y para Linux.
En la primavera del 2008 Kaspersky Lab no encontró ningún tipo nuevo de red-zombi Mayday. Es posible que los autores del programa malicioso hayan tomado un descanso y la red-zombi Mayday se manifieste en un futuro no muy lejano.
El negocio de las redes zombi
La respuesta al por qué las redes-zombi continúan desarrollándose y son un problema cada vez más vigente, está en el estado del mercado negro creado alrededor de las redes-zombi. Hoy en día los ciber-delincuentes que usan redes-zombi, no necesitan de conocimientos especializados ni de grandes sumas de dinero. La industria ilegal de redes-zombi ofrece a todos los que deseen la adquisición de una red-zombi por un precio módico y con todo lo necesario: software, redes ya preparadas y servicios de hosting anónimo. Si echamos un vistazo a las páginas “negras” de Internet veremos cómo funciona la industria de redes-zombi que presta sus servicios a los dueños de las redes-zombi.
Lo primero que se necesita para la construcción de una red-zombi es un programa zombi, que permita realizar diversas acciones a distancia en un ordenador de tal manera que el usuario no lo sepa. El software para la creación de la red-zombi se puede comprar fácilmente en la Red, buscando los anuncios respectivos y comunicándose con aquellas personas que los publicaron.
Fig. 4. Anuncio de venta de red-zombi y panel de control (traducción del ruso)
Los precios varían desde 5$ hasta 1000$ dependiendo de cuan difundido esté el zombi, si es detectado por los antivirus, qué órdenes puede recibir, etc.
Para la construcción de una red-zombi orientada a la web es necesario tener un área hosting, donde se pueda establecer el centro de control. Cualquier persona que así lo desee puede comprar un área de este tipo junto con los servicios de mantenimiento y la posibilidad de trabajar de forma anónima con el servidor (el hoster como regla garantiza la imposibilidad de acceso a los archivos del diario por parte de cualquier otra persona incluyendo los organismos competentes). En los foros de Internet anuncios parecidos a los que presentamos abajo existen por cantidad.
Fig. 5. Oferta de servicios hosting para la construcción de redes-zombi
Cuando ya se ha construido el área C&C son necesarias máquinas infectadas por el programa zombi. Los que así lo deseen pueden comprar una red ya preparada con un programa zombi “ajeno” ya instalado. Por cuanto los casos de robo de redes-zombi entre los mismos malhechores son frecuentes, los compradores prefieren reemplazar el programa zombi “ajeno” por su propio programa malicioso tanto en las máquinas como en el centro de control, teniendo así la garantía de poseer el control sobre la red-zombi. Para realizar esta sustitución se envía una orden al programa zombi de la red comprada para bajar e introducir el nuevo programa zombi (con una nueva dirección C&C) que luego se eliminará automáticamente. De esta manera se sustituye el programa zombi “ajeno” y la red-zombi comienza a funcionar con un nuevo centro de control. Desde el punto de vista de su seguridad y anonimato, esta forma de “reinicio” de los programas zombi no está demás, puesto que el “antiguo” C&C y el “antiguo” programa zombi ya podían haber sido registrados por los especialistas de seguridad informática.
Lamentablemente, construir una red-zombi propia tampoco cuesta mucho trabajo: para este fin existen medios especiales. Entre los más populares están los paquetes de programas, más conocidos con Mpack, Icepack y WebAttacker. Estos programas permiten infectar los sistemas de los visitantes de la página web maliciosa, haciendo uso de la vulnerabilidad del software de los browsers o de los plug in que conducen hacia estas páginas. Estos paquetes de programas se llaman sistemas-web de infección masiva o simplemente ExploitPack. Luego de que entra en funcionamiento el ExploitPack, el browser tranquilamente carga de la Red al ordenador del usuario el archivo ejecutable. Este archivo es precisamente el programa zombi, que conecta el nuevo ordenador-zombi a la red-zombi y entrega el control al malhechor.
Por desgracia, estos medios son de tan fácil acceso que hasta los adolescentes los encuentran con facilidad e intentan ganar dinero revendiéndolos.
Fg. 6. Joven de 16 año vende Mpack
Es curioso que ExploitPack fuese elaborado por hackers rusos, sin embargo posteriormente encontró usuarios en otros países. Estos programas maliciosos fueron localizados (lo que demuestra su éxito en el “mercado negro”) y ahora se usan activamente, por ejemplo en la China.
Fig. 7. Versión original rusa IcePack
Fig. 8. Versión china local Icepack
La popularidad y éxito de cualquier sistema en el mercado criminal está en directa proporción con lo fácil que sea usarlo. Esto lo entienden los elaboradores de tales sistemas y para aumentar la popularidad y demanda de sus creaciones es que elaboran mecanismos simples de instalación y configuración del sistema ya sea un sistema para C&C o simplemente un ExploitPack.
Así, la instalación de un centro de control suele consistir en copiar los archivos al servidor web y luego acceder con la ayuda de un browser al script install.php. Algo que facilita bastante la tarea es poseer la interfaz web del instalador: los cibercriminales no tienen más que rellenar correctamente los espacios de la plantilla web para que el centro de control se configure correctamente y comience a funcionar.
Fig. 9. Instalador web C&C
En el mundo de los cibercriminales es bien sabido que tarde o temprano los antivirus comenzarán a detectar el programa-zombi. Como consecuencia los maliciosos perderán las máquinas infectadas en las que hay instalado un antivirus, y la velocidad de infección de nuevas máquinas se reducirá notablemente. Existen algunos métodos con cuya ayuda los dueños de redes-zombi tratan de conservar su red. El más efectivo es la protección contra la detección con la ayuda de un código ejecutable especialmente elaborado, el mercado cibercriminal ofrece una gran elección en servicios de cifrado, empacado y ofuscación.
Fig. 10. Oferta de servicios de elaboración de programas para ocultar el código de antivirus
De esta manera, todo lo necesario para la existencia y desarrollo exitoso de redes-zombi está en Internet y por ahora no se puede detener el desarrollo de la industria de redes-zombi.
Conclusión
Al presente, las redes-zombi son una de las fuentes principales de ganancias ilegales en Internet y un arma terrible en manos de malhechores. Es inútil esperar que los cibercriminales se nieguen a usar un instrumento tan efectivo y los expertos en seguridad ven el futuro con cierta alarma ya que se espera un posterior desarrollo de la tecnología de redes-zombi.
El peligro de las redes-zombi se agrava debido a que su uso es una tarea cada vez más sencilla, que en un futuro cercano podrán realizarla incluso los niños de escuela. La posibilidad de obtener acceso al control de la red de las máquinas infectadas no se basa en los conocimientos especializados del malhechor sino en el tamaño de su billetera. Y los precios en los estructurados y desarrollados mercados de redes-zombi son realmente aceptables.
No solamente los cibercriminales sino también los gobiernos pueden estar interesados en la construcción de redes-zombi internacionales, para usarlas como instrumentos de presión política y para hacer ataques a redes de otros gobiernos. Además las posibilidad de dirigir anónimamente las máquinas infectadas independientemente de su situación geográfica puede permitir a aquellos interesados en desencadenar un conflicto, provocar guerras, para lo que sería suficiente organizar un ataque cibernético al servidor de un país desde el servidor de otro país.
Las redes que tienen los recursos de decenas, cientos y hasta miles o millones de máquinas infectadas poseen un potencial muy peligroso, que por suerte por ahora no se usa en su totalidad. Entre tanto todo este terrible ciber-poder se basa en las máquinas infectadas de simples usuarios, precisamente son ellos los que tienen la gran mayoría de ordenadores-zombi y los malhechores hacen uso de ellos.
Si usted se pone a pensar en diez de sus amigos y conocidos que tienen ordenadores, lo más seguro es que uno de ellos sea dueño de una máquina-zombi que es parte de alguna red-zombi y aún más ¿puede ser que sea su ordenador el infectado?
El lucrativo negocio de las redes zombi