Una variante de Zeus opta por una estructura P2P para su servidor C&C

Una variante de la red zombi Zeus ha adoptado una nueva estructura de control descentralizada, basada en redes peer-to-peer (p2p) para evitar que las autoridades y empresas de seguridad aprovechen su talón de Aquiles para desactivarla.

“Esto significa que cada uno de los ordenadores que conforman la red zombi puede funcionar como un servidor C&C, pero a la vez ninguno lo es. Ahora los bots pueden descargar órdenes, archivos de configuración y ejecutables de otros bots – cada ordenador comprometido puede entregar datos a otros bots”, escribió Andrea Lelli en el blog de Symantec.

Para realizar este cambio, los creadores de esta variante de Zeus incorporaron el servidor web ngix en el troyano. Esto hace que cada zombi pueda intercambiar datos mediante un protocolo HTTP.

Las autoridades y empresas de seguridad informática están tratando constantemente de bloquear el funcionamiento de las redes zombi. Para ello, los expertos en seguridad toman el control del servidor de comando y control (C&C) para que deje de enviar órdenes de ataque a los ordenadores comprometidos. Así es como, por ejemplo, se desactivaron las redes zombi Hlux/Kelihos y Coreflood.

Como no existe un servidor C&C único, bajo esta estructura la red zombi seguiría funcionando aún si las autoridades toman el control de uno de los servidores C&C. En otras palabras, la red zombi deja de tener un solo punto vulnerable.

Los expertos de Symantec, que alertaron sobre la amenaza, todavía no saben cómo hacen los bots para enviar la información que roban a los atacantes sin usar un servidor de C&C central. “Seguimos realizando análisis, así que estamos trabajando para descubrir esta parte del misterio y así poder tener una idea más completa de la situación”, dijo Lelli.

Fuentes:

Symantec: New ZeuS Botnet No Longer Needs Central Command Servers PC World

Zeusbot goes P2P to avoid blocking efforts
ITWire

Zeusbot/Spyeye variant uses peer-to-peer network model Infosecurity Magazine