Expertos de seguridad visualizan redes de bots con un ojo hacia la defensa

No todas las botnets están organizadas de la misma manera. Esa es la conclusión de un informe de Damballa que busca categorizar las estructuras dominantes. Intenta explicar por qué ciertos tipos de bloqueo y filtrado funcionarán contra algunos botnets, y no para otros.

"El estandarte de amenazas 'híbridas' a menudo se busca", dice Gunter Ollmann, vicepresidente de investigación de Damballa, una empresa compañía de seguridad especializada en mitigación de botnets "Pero esa etiqueta no significa nada para los equipos encargados de defender la empresa. Al explicar las topologías (y sus fortalezas y debilidades) estos equipos pueden visualizar mejor la amenaza."

La estructura de Star es la más básica y ofrece a los bots individuales una comunicación directa con el servidor de Comando y Control (CnC). Se puede visualizar en un patrón tipo estrella. Sin embargo, al proporcionar comunicaciones directas con un servidor CnC, la botnet crea un único punto de falla. Saque el servidor CnC y la botnet expira. Ollmann dice que el kit de botnet Zeus DIY, de fábrica, es un patrón de estrella, pero que los botmasters a menudo lo actualizan, convirtiéndolo en multiservidor.

"En la mayoría de los casos, botnets particulares pueden clasificarse como miembros de una sola topología CnC. -pero a menudo es el maestro de botnet el que eligen ".

Multi- Servidor es la extensión lógica de la estructura Star que usa varios servidores CnC para dar instrucciones a los bots individuales. Este diseño, dice Ollmann, ofrece resistencia en caso de que un servidor CnC caiga. También requiere una planificación sofisticada para poder ejecutar. Srizbi es un ejemplo clásico de una botnet de topología CnC multiservidor.

La estructura botnet jerárquica está muy centralizada y a menudo se asocia con redes de bots múltiples (por ejemplo, botnets cuyos agentes bot tienen capacidades de propagación de gusanos) y utilizan super CnC peer-to-peer basado en nodos. Eso significa que ningún bot es consciente de la ubicación de ningún otro robot, lo que a menudo dificulta que los investigadores de seguridad evalúen el tamaño total de la botnet. Esta estructura, dice Damballa, es la más adecuada para arrendar o vender partes de la botnet a otros. Lo malo es que las instrucciones tardan más en llegar a sus objetivos, por lo que algunos tipos de ataques son imposibles de coordinar.

Aleatorio es el reverso de la estructura jerárquica. Esta botnet está descentralizada y usa múltiples rutas de comunicación. La desventaja es que cada bot puede enumerar a otros en el vecindario y, a menudo, la comunicación se retrasa entre grupos de bots, lo que hace que algunos ataques sean imposibles de coordinar. Storm encajaría en el modelo Random de Damballa, al igual que las botnets basadas en el malware Conficker

El informe, Topologías de comunicación de Botnet: entendiendo las complejidades de Botnet Command-and-Control, también clasificó diferentes métodos de flujo rápido, el método por el cual un CnC el servidor cambia sus dominios sobre la marcha. Damballa descubrió que Domain Flux, un proceso que cambia y asigna múltiples nombres de dominio totalmente calificados a una sola dirección IP o infraestructura CnC, es el más resistente al descubrimiento y la mitigación.

Robert Vamosi es un analista de riesgo, fraude y seguridad para Javelin Strategy & Research y un escritor de seguridad informática independiente que cubre hackers criminales y amenazas de malware.