Botnet

Ir a: navegación, búsqueda de

A botnet es una colección de Internet-conectado programas comunicarse con otros programas similares con el fin de realizar las tareas. Esto puede ser tan mundano como llevar un control de un Internet Relay Chat/es Canal (IRC), o podría utilizarse para enviar correo electrónico spam o participar en ataques de denegación de servicio distribuidos. La palabra botnet es una combinación de las palabras robot y red. El término se utiliza generalmente con una connotación negativa o maliciosa.

Contenido

  • 1 Tipos de botnets
    • 1.1 Botnets legal
    • 1.2 Botnets ilegal
  • 2 Reclutamiento
  • 3 Organización
  • 4 Formación
  • 5 Tipos de ataques
  • 6 Contramedidas
  • 7 Lista histórica de botnets
  • 8 Trivia
  • 9 Véase también
  • 10 Referencias
  • 11 Enlaces externos

Tipos de botnets

Botnets legal

El término botnet es ampliamente utilizado cuando varios IRC bots se han ligado y posiblemente pueden establecer modos de canal en otros robots y usuarios manteniendo canales IRC gratis de usuarios no deseados. Este es el término originalmente de donde, desde los primeras botnets ilegales eran similares a botnets legal. Es un bot común usado para configurar redes de bots en el IRC eggdrop.

Botnets ilegal

Botnets comprometer a veces equipos cuyas defensas han sido quebrantadas y de control de seguridad concedida a un tercero. Cada dispositivo tan comprometida, conocido como un "Bot", se crea cuando una computadora está penetrada por el software de un malware (software malicioso) distribución. El controlador de una botnet es capaz de dirigir las actividades de estos ordenadores comprometidos a través de los canales de comunicación formados por basado en estándares protocolos de red como IRC y Hypertext Transfer Protocol (HTTP).[1]

Reclutamiento

Computadoras pueden ser cooptados en una botnet cuando ejecutan software malintencionado. Esto puede lograrse mediante atrayendo a los usuarios a hacer un Drive-by download, explotando vulnerabilidades del explorador Web, o engañando al usuario en funcionamiento un Caballo de Troya programa, el cual puede provenir de un archivo adjunto de correo electrónico. Este malware típicamente instalará módulos que permiten al equipo a ser ordenado y controlado por el operador de la botnet. Muchos usuarios de computadoras no son conscientes de que su equipo está infectado con los bots.[2] Dependiendo de cómo está escrito, un troyano entonces se puede borrar o puede permanecer presente para actualizar y mantener los módulos.[citación necesitada]

La primera botnet primero fue reconocida y expuesta por Earthlink durante un pleito con notorio spammer Khan C. Smith[3] en el año 2001 con el propósito de spam a granel representaron casi el 25% de todo el spam en el momento.

Organización

Mientras botnets son a menudo nombrados después el malware que los creó, múltiples botnets normalmente usan el mismo malware, pero son operados por diferentes entidades.[4]

Originador de una botnet (conocido como un "Pastor de Bot"o" bot ") puede controlar el grupo remotamente, generalmente a través IRCy a menudo con fines delictivos. Este servidor es conocido como el servidor de comando y control (C & C). Aunque rara, más experimentados operadores botnet programar protocolos de mando desde el principio. Estos protocolos incluyen un programa de servidor, un programa de cliente para la operación y el programa que incorpora al cliente en el equipo infectado. Estos comunican a través de una red, utilizando una única esquema de encriptación para el sigilo y la protección contra la detección de intrusión en la botnet.[citación necesitada]

Un bot típicamente ejecuta oculto y utiliza un canal encubierta (por ejemplo el RFC 1459 (IRC) estándar, Twitter, o IM) para comunicarse con su C & C servidor. Generalmente, el autor ha comprometido múltiples sistemas utilizando diversas herramientas (explota, desbordamientos de búfer, así como otros; Véase también RPC). Nuevos bots automáticamente puede analizar su entorno y se propagan a través las vulnerabilidades y contraseñas débiles. Generalmente, las vulnerabilidades más un bot puede escanear y propagar a través, el más valioso que se convierte a una comunidad de controlador de botnet. El proceso de robar los recursos informáticos como consecuencia de un sistema se unen a un "botnet" se refiere a veces como "tiraré."

Los servidores botnet son típicamente redundantes, vinculados para que mayor redundancia para reducir la amenaza de un derribo. Botnet reales comunidades suelen constan de uno o varios controladores que raramente han desarrollado altamente jerarquías de mando; dependen de relaciones individuales de peer-to-peer.[5]

Botnet arquitectura evolucionado con el tiempo, y no todos botnets exhiben el mismo topología para mando y control. Topología avanzada es más resistente a la parada, enumeración o descubrimiento. Sin embargo, algunas topologías de limitan la comercialización de la botnet a terceros.[6] Topologías típicas botnet son estrellas, multiservidor, jerárquico y al azar.

Para frustrar la detección, algunos botnets están escalando en tamaño. A partir de 2006, el tamaño promedio de una red se estimó en 20.000 computadoras.[7]

Formación

Este ejemplo muestra cómo se crea y se utiliza para enviar una botnet e-mail-spam.

¿Cómo funciona una botnet
  1. Un operador de la botnet envía virus o gusanos, infectando computadoras de los usuarios ordinarios, cuya capacidad de carga es una aplicación maliciosa — el Bot.
  2. El Bot en los registros del PC infectados en un particular C & C servidor.
  3. Un spammer compra los servicios de la botnet del operador.
  4. El spammer proporciona los mensajes de spam al operador, quien instruye las máquinas comprometidas mediante el panel de control en el servidor web, causando que se envíen los mensajes spam.

Botnets puede ser explotado para diversos propósitos, incluyendo ataques de denegación de servicio, creación o uso indebido del Relés de correo SMTP spam (véase Spambot), Haga clic en fraude, minería bitcoins, Spamdexingy el robo de números de serie de la aplicación, login IDy la información financiera como números de tarjetas de crédito.

La comunidad de botnet controlador cuenta con una lucha constante y continua sobre quién tiene los mayoría de los robots, el mayor ancho de banda global y las máquinas infectadas más "alta calidad", como Universidad, corporativa y ni siquiera gobierno máquinas.[8]

Tipos de ataques

  • En ataques de denegación de servicio distribuidos, múltiples sistemas de enviar solicitudes de tantos como sea posible para un único ordenador con Internet o un servicio, sobrecarga y evitando que recibirá las solicitudes legítimas. Un ejemplo es un ataque a un número de teléfono de la víctima. La víctima es bombardeada con llamadas telefónicas de los bots, intentar conectarse a Internet.
  • Adware publica un anuncio ofreciendo activamente y sin permiso del usuario o de conciencia, por ejemplo mediante la sustitución de banners en páginas web con los de otro anunciante.
  • Spyware es un software que envía información a sus creadores sobre las actividades del usuario – típicamente contraseñas, números de tarjetas de crédito y otra información que puede ser vendido en el mercado negro. Máquinas comprometidas que se encuentran dentro de una red corporativa pueden ser vale más que el pastor bot, ya que a menudo pueden tener acceso a información empresarial confidencial. Varios ataques dirigidos contra las grandes corporaciones destinadas a robar información confidencial, como la botnet Aurora.[9]
  • Correo basura son mensajes de correo electrónico disfrazan de mensajes de personas, pero son publicidad, molesto o maliciosos.
  • Haga clic en fraude se produce cuando el ordenador del usuario visita sitios web sin conocimiento del usuario para crear tráfico web falsos para obtener beneficios personales o comerciales.
  • Flujo rápido se usa una técnica DNS por botnets para ocultar "phishing" y malware sitios de entrega detrás de una red siempre cambiante de los ejércitos comprometidos actuando como intermediarios.
  • Fuerza bruta remoto máquinas servicios tales como FTP, SMTP y SSH.
  • Gusanos. La botnet se centra en reclutar a otros hosts.
  • Scareware es un software que se comercializa creando temor en los usuarios. Una vez instalado, puede instalar malware y reclutar el anfitrión en una botnet. Por ejemplo los usuarios pueden ser inducidos a comprar un antivirus rogue para recuperar el acceso a su computadora.[10]
  • Explotando sistemas por observar los usuarios jugando juegos online como el poker y ver las cartas de los jugadores.[11]

Contramedidas

La dispersión geográfica de botnets significa que cada recluta debe ser individualmente identificados/acorralados/reparar y limita los beneficios de filtrado. Algunos botnets utilizar de forma gratuita DNS servicios tales como DynDns.org, No-IP.com y Afraid.org para apuntar una subdominio hacia un servidor IRC que alberga los bots. Mientras que estos servicios DNS gratuitos no se hacer sede de ataques, proporcionan puntos de referencia (a menudo codificados en el ejecutable de botnet). Eliminación de dichos servicios puede paralizar toda una botnet. Algunos botnets implementar versiones personalizadas de protocolos conocidos. Las diferencias de implementación pueden utilizarse para la detección de botnets. Por ejemplo, Mega-D presenta una forma ligeramente modificada SMTP implementación del protocolo para la prueba capacidad del spam. Derribar el Mega-Des SMTP servidor desactiva toda la piscina de los bots que dependen de la misma SMTP servidor.[12]

La estructura de servidores botnet mencionada anteriormente tiene problemas y vulnerabilidades inherentes. Por ejemplo, encontrar un servidor con un canal de botnet a menudo puede revelar los otros servidores, así como sus robots. Una estructura de servidores botnet que carece de redundancia es menos vulnerable a la desconexión temporal de ese servidor. Sin embargo, recientes Servidor IRC el software incluye funciones para enmascarar otros servidores conectados y bots, eliminar ese enfoque.[citación necesitada]

Empresas de seguridad tales como Laboratorios de seguridad aferente, Symantec, Trend Micro, FireEye, Datos de Umbra, Cyren, y Damballa han anunciado ofrendas a contador botnets. Norton AntiBot estaba dirigida a los consumidores, pero la mayoría las empresas objetivo o ISPs. Las técnicas basadas en host utilizan heurística para identificar comportamiento bot que ha soslayado convencional el software antivirus. Los enfoques basados en la red tienden a usar las técnicas descritas anteriormente; cierre abajo C & C servidores, nullrouting entradas DNS o servidores IRC a cerrar completamente. BotHunter es un software, desarrollado con el apoyo de la Oficina de investigación del ejército estadounidense, que detecta la actividad dentro de una red botnet por analizar tráfico de red y compararla con los patrones característicos de procesos maliciosos.

Algunas nuevas botnets son casi en su totalidad P2P. Mando y control está incrustado en la botnet en lugar de depender de servidores externos, evitando cualquier punto único de falla y evadir muchos contramedidas.[13] Los comandantes pueden identificarse sólo a través de claves seguras, y todos los datos excepto el binario se pueden encriptarse. Por ejemplo, un programa de spyware puede cifrar todas las contraseñas de presuntas con una clave pública que está codificado en él, o distribuido con el software de bot. Solamente con la clave privada (conocido sólo por los operadores de la botnet) pueden leer los datos capturados por el bot.

Algunos botnets son capaces de detectar y reaccionar a los intentos de investigarlos[citación necesitada], puede reaccionar con un Ataque DDoS en la dirección IP del investigador.

Investigadores de Sandia National Laboratories están analizando el comportamiento de botnets ejecutando simultáneamente kernels Linux 1 millón — una escala similar a una botnet — como máquinas virtuales en un alto rendimiento 4.480-nodo racimo de la computadora para emular una red muy grande, permitiéndoles ver cómo botnets trabajar y experimentar con formas de detenerlos.[14]

Lista histórica de botnets

Fecha de creación Fecha desmantelado Nombre No estimado. de bots Capacidad de spam (bn/día) Alias
1999 !a 999,999,999 100000 !a
2011 o anterior 2015-02 Ramnit 3.000.000[15]
2009 (mayo) 2010-Oct (parcial) BredoLab 30.000.000[16] 3.6 Oficla
2008 (aprox) 2009-dic Mariposa 12.000.000[17]
2008 (noviembre) Conficker 10,500,000 +[18] 10 DownUp, DownAndUp, DownAdUp, Kido
2011 o anterior 2015-02 Ramnit 3.000.000[15]
2010 (aprox) TDL4 4.500.000[19] TDSS, Alureon
Zeus 3.600.000 (Estados Unidos solamente)[20] ZBot, PRG, Wsnpoem, Gorhax, Kneber
2007 (alrededor) Cutwail 1.500.000[21] 74 Pandex, mutante (relacionados con: Wigon, Pushdo)
2008 (aprox) Sality 1.000.000[22] Sector, Kuku
2009 (aprox) 2012-07-19 Grum 560.000[23] 39.9 Tedroo
Mega-D 509.000[24] 10 Ozdok
Kraken 495.000[25] 9 Kracken
2007 (marzo) 2008 (noviembre) Srizbi 450.000[26] 60 Cbeplay, intercambiador
Lethic 260.000[27] 2 Ninguno
2004 (temprano) Bagle 230.000[27] 5.7 Beagle, Browse, Lodeight
Marina Botnet 6.215.000[27] 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180.000[28] Sinowal, Anserin
Tormenta 160.000[29] 3 Nuwara, Peacomm, Zhelatin
2006 (alrededor) 2011 (marzo) Rustock 150.000[30] 30 RKRustok, Costrat
Donbot 125.000[31] 0.8 Buzus, Bachsoy
2012 (aprox) Camaleón 120.000 [32] Ninguno
2008 (noviembre) 2010 (marzo) Waledac 80.000[33] 1.5 Importaria, Waledpak
Maazben 50.000[27] 0.5 Ninguno
Onewordsub 40.000[34] 1.8
Guego 30.000[27] 0.24 Tofsee, Mondera
20.000[34] 5 Loosky, Locksky
Wopla 20.000[34] 0.6 Pokier, Slogger, críptico
2008 (aprox) Asprox 15.000[35] Danmec, Hydraflux
0 Spamthru 12.000[34] 0.35 Spam-DComServ, Covesmer, Xmiler
2010 (enero) LowSec 11.000 +[27] 0.5 LowSecurity, FreeMoney, Ring0.Tools
2007 (septiembre) dBot 10.000 + (Europa) dentaoBot, d-net, SDBOT
Xarvester 10.000[27] 0.15 Rlsloup, Pixoliz
2009 (agosto) Festi 2.25 Spamnost
2008 (aprox) Gumblar
2007 AKBot 1.300.000[36]
2010 (Varios: 2011, 2012) Kelihos 300.000 + 4 Hlux
2013 2013 Boatnet 500 + equipos de servidor 0.01 YOLOBotnet
2013 2013 Zer0n3t 200 + equipos de servidor 4 FiberOptck, OptckFiber, Fib3rl0g1c
2014 Semalt 300.000 + Soundfrost
  • Los investigadores de la Universidad de California, Santa Barbara tomaron el control de una botnet que era seis veces menor de lo esperado. En algunos países, es común que los usuarios cambiar su dirección IP varias veces en un día. Estimar el tamaño de la botnet por el número de direcciones IP es usada frecuentemente por los investigadores, llevando posiblemente a evaluaciones inexactas.[37]

Trivia

A bordo de la tecnología de 4chan, la botnet término a menudo se utiliza para indicar software privativo, bloatwaree incluso servicios en línea con las prácticas de privacidad dudosa.

Véase también

  • Técnicas anti-spam (correo electrónico)
  • Mando y control (malware)
  • Gusano informático
  • DoSnet
  • Cosecha de dirección de correo electrónico
  • Correo basura
  • Lista, envenenamiento
  • Spambot
  • Spamtraps
  • Cronología de notables virus y gusanos
  • Ordenador Zombie
  • 4chan

Referencias

  1. ^ Ramneek, Puri (2003-08-08). "Los bots &; Botnets: una visión general " (PDF). SANS Institute. 12 de noviembre 2013.
  2. ^ Teresa Dixon Murray. "Los bancos no pueden impedir los ataques cibernéticos como golpear PNC, clave, U.S. Bank esta semana". Cleveland.com. 2 de septiembre 2014.
  3. ^ Credeur, Mary. "Atlanta Business Chronicle, escritor de personal". Bean. 22 de julio 2002.
  4. ^ Relaciones muchos-a-muchos Botnet, Damballa, 08 de junio de 2009.
  5. ^ "¿Qué es un troyano Botnet?". Informes DSL. 7 de abril 2011.
  6. ^ Botnet comunicación topologías, Damballa, 10 de junio de 2009.
  7. ^ "Los hackers fortalecer Botnets maliciosos por la reducción de los" (PDF). Computadora; Noticias breves (IEEE Computer Society). Abril de 2006. 12 de noviembre 2013. El tamaño de las redes bot alcanzó su punto máximo a mediados de 2004, con muchos con más de 100.000 equipos infectados, según Mark Sunner, chief technology officer de MessageLabs.The tamaño promedio botnet es ahora unos 20.000 computadoras, dijo.
  8. ^ "Caballo de Troya y Virus FAQ". DSLReports. 7 de abril 2011.
  9. ^ "Operación Aurora — la estructura de mando". Damballa.com. 30 de julio 2010.[link muerto]
  10. ^ Larkin, Erik (2009-02-10). "Infección falsas advertencias pueden ser problemas reales". PCWorld. 10 de noviembre 2011.
  11. ^ 08 de julio de 2010 (2010-07-08). "Hackers Poker Coreano detenidos". Poker.gamingsupermarket.com. 10 de noviembre 2011.
  12. ^ C.Y. Cho, Shin Babic, r. D. y D. canción. Inferencia y análisis de modelos formales de protocolos de Control y comando Botnet, 2010 ACM Conferencia sobre computadoras y seguridad en las comunicaciones.
  13. ^ Wang Ping et al (2010). "Botnets peer-to-peer". En sello de marca & Stavroulakis, Peter. Manual de información y seguridad de las comunicaciones. Springer. ISBN9783642041174.
  14. ^ "Los investigadores arrancar núcleos de Linux millones para ayudar a la investigación de Botnet". Seguridad & Network Security News. 2009-08-12. 23 de abril 2011.
  15. ^ a b https://Phys.org/news/2015-02-EU-Police-Malicious-Network.html
  16. ^ "Infosecurity (UK) - BredoLab derribado botnet vinculado con Spamit.com". . canada.com. 10 de noviembre 2011.
  17. ^ "Como el FBI, la policía busted masivo botnet". theregister.co.uk. 3 de marzo 2010.
  18. ^ "Calcular el tamaño del brote Downadup — F-Secure Weblog: noticias del laboratorio". F-secure.com. 2009-01-16. 24 de abril 2010.
  19. ^ "Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)". kasperskytienda.com.es. 2011-07-03. 11 de julio 2011.
  20. ^ "10 más buscado botnets". 22 / 07 / 2009 record.. 10 de noviembre 2011.
  21. ^ "Pushdo Botnet — ataques DDOS nueva en los principales sitios web — Harry Waldron — seguridad". Msmvps.com 2010-02-02. 30 de julio 2010.
  22. ^ "Sality: historia de una red Viral Peer-to-Peer". Symantec. 2011-08-03. 12 de enero 2012.
  23. ^ "Investigación: pequeño DIY botnets prevalente en las redes empresariales". ZDNet. 30 de julio 2010.
  24. ^ Warner, Gary (2010-12-02). "Oleg Nikolaenko, Mega-D Botmaster a juicio". Cibercrimen y haciendo tiempo. 6 de diciembre 2010.
  25. ^ "Nueva Botnet masiva dos veces el tamaño de la tormenta — / perímetro de seguridad". DarkReading. 30 de julio 2010.
  26. ^ "La tecnología | Spam en alza tras breve respiro". Noticias de BBC. 2008-11-26. 24 de abril 2010.
  27. ^ a b c d e f g "Symantec.cloud | Correo electrónico de seguridad, seguridad Web, Endpoint Protection, archivar, continuidad, Instant Messaging Security". MessageLabs.com. 2014-01-30.[link muerto]
  28. ^ Chuck Miller (2009-05-05). "Los investigadores secuestran control de Torpig botnet". SC Magazine U.S.. 10 de noviembre 2011.
  29. ^ "Red storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior". 21 / 10 / 2007 Tech.Blorge.Com.. 30 de julio 2010.
  30. ^ Chuck Miller (2008-07-25). "Otra vez la botnet Rustock spam". SC Magazine U.S.. 30 de julio 2010.
  31. ^ "Spam Botnets para ver en 2009 | SecureWorks Dell". SecureWorks.com. 16 de enero 2012.
  32. ^ "Descubierto: Botnet cuesta pantalla anunciantes más de 6 millones de dólares por mes". 19 / 03 / 2013 Spider.Io.. 21 de marzo 2013.
  33. ^ "Botnet Waledac 'diezmado' por MS takedown". El registro. 2010-03-16. 23 de abril 2011.
  34. ^ a b c d Gregg Keizer (2008-04-09). "Botnets top control 1M secuestrada computadoras". Computerworld. 23 de abril 2011.
  35. ^ "Botnet sics soldados zombie en sitios web de rengo". El registro. 2008-05-14. 23 de abril 2011.
  36. ^ "Nueva Zelanda adolescente acusado de controlar botnet de 1,3 millones de ordenadores". La seguridad de H. 2007-11-30. 12 de noviembre 2011.
  37. ^ Espiner, Tom (2011-03-08). "Botnet tamaño puede ser exagerado, dice Enisa | Las amenazas de seguridad | ZDNet UK". ZDNet.com. 10 de noviembre 2011.

Enlaces externos

  • Wired.com how-to: Construir su propia botnet con software de código abierto
  • El proyecto Honeynet & Research Alliance, "Conoce a tu enemigo: Botnets de seguimiento".
  • La Fundación Shadowserver -Un grupo de vigilancia de seguridad voluntarios todos que reúne, pistas e informes sobre malware, actividad botnet y fraude electrónico.
  • NANOG Resumen: Botnets Presentación de-John Kristoff NANOG32 redes de bots.
  • Botnets móviles -Una evaluación económica y tecnológica de botnets móviles.
  • Lowkeysoft - análisis intrusivo de una botnet proxy basado en web (incluyendo imágenes de administración).
  • ¿EWeek.com - es la Botnet batalla ya perdida?.
  • Ataque de los robots en Atado con alambre
  • Lectura oscuro - Batalla de Botnets sobre césped.
  • ATLAS mundial Botnets Resumen Informe -Base de datos en tiempo real de los servidores de comando y control botnets maliciosos.
  • Comunicado de prensa laxa del FBI DOJ[link muerto] - FBI 16 de abril de 2008
  • Milcord Botnet defensa[link muerto] DHS-proyecto patrocinado por R & D que utiliza la máquina de aprendizaje adaptativo detectar botnet comportamiento a nivel de red
  • Una Botnet con otro nombre -Columna SecurityFocus por Gunter Ollmann de botnet de nombres.
  • Botnet busto - Mastermind SpyEye Malware se declara culpable, FBI

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=botnet&oldid=654579948"