Cómo explotará la próxima generación de botnets las redes anónimas y cómo vencerlas

Los botnets son programas informáticos que se comunican entre sí a través de Internet. Algunos son totalmente benignos, como los que controlan los chats de Internet. Pero muchas botnets son completamente maliciosas, programas que envían spam o participan en ataques de denegación de servicio, etc. Estas redes están controladas por delincuentes individuales que las utilizan con fines nefastos, como generar ingresos ilícitos o atacar otros sitios web.





El trabajo de encontrar y detener esta actividad criminal se ha convertido en un esfuerzo global. La primera generación de botnets fue relativamente fácil de detener. Dado que estaban controlados por una sola computadora en algún lugar de la Web, el truco consistía en encontrar esa computadora y apagarla.

Eso fue sencillo cuando los propios programas contenían la información necesaria para comunicarse con el servidor de comando y control.

Pero en los últimos años, este juego del gato y el ratón se ha vuelto mucho más sofisticado. Las botnets ahora toman medidas rutinarias para ocultar la ubicación del servidor de comando y control. Un enfoque, conocido como flujo rápido, es crear un flujo constante de direcciones IP y asignar cientos o miles de ellas simultáneamente a un nombre de dominio. Cualquiera que desee encontrar el servidor de comando y control tendría que buscar cada dirección IP antes de que cambie.



Más recientemente, las redes de bots han comenzado a explotar la red Tor, que está diseñada para permitir que las personas se comuniquen a través de Internet de forma anónima. Esto, combinado con la llegada de monedas electrónicas imposibles de rastrear como Bitcoin, ha llevado al aumento del chantaje y el ransomware que no se pueden rastrear incluso después de que se haya realizado un pago.

Hoy, Amirali Sanatinia y Guevara Noubir de la Universidad Northeastern en Boston dicen que es probable que la próxima generación de botnets sea aún más sofisticada. Describen cómo creen que evolucionarán estas botnets, pero también sugieren una forma sencilla de neutralizarlas.

Sanatinia y Noubir dicen que el anonimato que ofrecen las redes tipo Tor será irresistible para los maestros de botnets, por lo que la mayor parte de la innovación ocurrirá en esta área. Para explotar este anonimato, estos botnets tendrán que explotar una técnica llamada enrutamiento de cebolla que encapsula los mensajes dentro de varias capas de cifrado, como las capas de una cebolla.



Cada servidor por el que pasa el mensaje descifra una capa de la cebolla que revela su próximo destino. Cuando se revela la capa final, el mensaje ha llegado a su destino. El anonimato proviene del hecho de que ningún servidor a lo largo de la ruta sabe nada sobre el mensaje excepto su próximo destino.

Sanatinia y Noubir claramente creen que este nivel de anonimato será difícil de resistir para los maestros de botnets. En consecuencia, bautizan a la próxima generación de botnets que explotarán estos OnionBots y dedican un tiempo a explicar exactamente cómo tendrán que funcionar para aprovechar al máximo el enrutamiento cebolla.

Eso suena sospechosamente como un gran paso hacia el desastre: el documento es un antecedente útil para cualquiera que desee configurar un OnionBot. Sin embargo, Sanatinia y Noubir también han encontrado una forma de neutralizar este tipo de OnionBots.



La idea básica es inyectar programas en la red que se conecten preferentemente a OnionBots. Luego se reproducen y rodean efectivamente a cada OnionBot para que ya no esté conectado a ninguna otra parte de la red. Cuando eso sucede, el OnionBot se aísla y se neutraliza.

Eso no quiere decir que sea posible protegerse completamente contra un ataque de OnionBots. Pero Sanatinia y Noubir esperan comenzar a trabajar para abordar esta próxima generación de bots incluso antes de que comience. Todavía hay muchos desafíos que la comunidad de seguridad debe abordar de manera preventiva, esperamos que este trabajo genere nuevas ideas para diseñar de manera proactiva mitigaciones contra las nuevas generaciones de redes de bots basadas en criptografía, dicen.

Puede ser una estrategia arriesgada hacer esto tan públicamente. Por otro lado, un enfoque público puede aprovechar el grupo más amplio de talentos de seguridad. Sugerencias sobre cómo mejorar esta estrategia en la sección de comentarios a continuación.



Ref: arxiv.org/abs/1501.03378 : OnionBots: subversión de la infraestructura de privacidad para ataques cibernéticos

esconder