Criar una botnet en cautiverio

Para atrapar a un criminal, a veces hay que pensar como tal.





De modo que los investigadores que están tras la pista de los ciberdelincuentes que utilizan ejércitos de ordenadores infectados, conocidos como redes de bots, para enviar correos electrónicos no deseados o para atacar sitios web, están creando sus propias redes de bots. Afortunadamente, el nuevo enfoque se está probando utilizando un clúster informático de alta potencia que está aislado de Internet de forma segura.

Creamos lo que pensamos que sería lo más cercano a una botnet en la naturaleza, dice Pierre-Marc Bureau, investigador de la firma de seguridad informática CASO , parte del proyecto liderado por un equipo en Ecole Polytechnique de Montreal con colaboradores en la Universidad de Nancy, Francia, y la Universidad Carlton, Canadá. Hasta donde sabemos, este es el primer experimento realista de este tipo, dice.

Se instalaron más de 3000 copias de Windows XP en un grupo de 98 servidores en Ecole Polytechnique. Cada sistema de computadora virtual estaba envuelto en un software que lo conectaba con los demás como si fuera una computadora individual conectada a Internet o una red local. Todos los sistemas también estaban infectados con el gusano Waledac, un software ahora bien entendido y en gran parte superado que a principios de 2010 Microsoft estimó que controlaba cientos de miles de computadoras y enviaba 1.500 millones de mensajes de spam al día.



El equipo imitó la estructura de control necesaria para hacerse cargo de una botnet de Waledac, en la que un servidor central de comando y control envía órdenes a un puñado de bots que luego difunden esas instrucciones a otras máquinas.

En los últimos años, los investigadores han desarrollado técnicas para espiar comunicaciones de botnets en vivo e incluso para inyectar mensajes en estas comunicaciones. Sin embargo, la construcción de una botnet completa en un entorno experimental permite mucha más libertad, dice Bureau. Cuando experimentas en una botnet en vivo, puedes provocar una mala reacción de su propietario que dañe las máquinas infectadas, explica, y luego también estás potencialmente controlando las máquinas de usuarios inocentes, lo que tiene problemas éticos y legales.

Tener su propia botnet también les dio a los investigadores el lujo de poder observarlo por dentro y por fuera mientras operaba normalmente o fue atacado por alguien que intentaba deshabilitar la red, y también para ejecutar múltiples pruebas que arrojaron resultados estadísticamente significativos.



Bureau dice que fue un desafío convencer al propietario de un clúster con un valor de alrededor de $ 1 millón de que instalar malware en él era una buena idea.

Para poder ejecutar este experimento, tuvimos que tomar precauciones serias para asegurarnos de que nunca se filtrara, dice Bureau. Sin duda, muchas otras computadoras en la universidad anfitriona ejecutaban versiones de Windows muy parecidas a las que se usaron en el experimento. El clúster se desconectó físicamente de la red más amplia, y todo tuvo que cargarse en él mediante DVD en lugar de conectarse a otra computadora, incluso por poco tiempo.

Uno de los resultados de los experimentos fue una idea de los desafíos de administrar una botnet, dice Bureau. Los expertos habían notado que el cifrado utilizado para proteger los mensajes entre bots individuales y el servidor de comando y control era débil y asumieron que sus diseñadores eran malos codificadores. De hecho, probablemente fue una decisión de diseño intencional, dice Bureau. Encontramos nuestro servidor de comando y control rápidamente abrumado por la carga de la criptografía. Entendimos que habían tomado ciertas decisiones debido a las grandes demandas de una gran botnet.



El equipo también probó un ataque Sybil, que implica agregar bots falsos a la red para influir en su comportamiento. Los experimentos demostraron que este enfoque podría evitar que la botnet envíe spam por completo.

Madera de Thorsten , quien dirige la investigación sobre botnets y malware en la Universidad Ruhr de Bochum, Alemania, está de acuerdo en que una botnet cautiva es una herramienta de investigación útil. Es un entorno controlado donde puedes hacer cualquier cosa, dice.

Holz era parte de un equipo que inyectaba mensajes en la red de control del gusano Storm, un predecesor generalizado de Waledac, para estudiar su comportamiento. La interpretación de los resultados se complicó por el hecho de que los grupos de Georgia Tech y la Universidad de California en San Diego estaban haciendo lo mismo. Todos estábamos viendo aparecer mensajes que habían sido inyectados por otros grupos de investigación, dice Holz. Se convirtió en un campo de juego para las estrategias de inyección y eso complicó nuestros resultados.



Una botnet cautiva nunca será exactamente como una en libertad, dice Holz. El inconveniente es que no se puede emular todo, dice. Una botnet típica de Waledac contendría entre 50.000 y 100.000 ordenadores infectados, frente a los 3.000 del experimento. El comportamiento de una botnet real también estaría determinado por los patrones de tráfico en Internet de otras fuentes, algo que la simulación no captura.

Bureau dice que espera ver y hacer más experimentos de este tipo, por ejemplo, para revelar el funcionamiento de malware menos conocido. Ahora que hemos demostrado que es posible por primera vez, espero ver los recursos informáticos disponibles para hacer más.

esconder