MAPA CONCEPTUAL

INVESTIGACIN Botnet es conjunto de robots informticos, que se ejecutan de manera autnoma y automtica; tambin se le conoce como una coleccin de programas de Internet conectados para comunicarse con otros programas similares con el fin de realizar tareas. Un concepto ms formal nos menciona que BotNets, o redes de bots, es un grupo de computadoras "zombies" que estn bajo el control remoto de un cyber-delincuente, conocido como "pastor", que los utiliza para obtener ingresos de forma fraudulenta. Creadas con el fin de enviar transmisiones (incluyendo el spam o los virus) a otras computadoras a travs de Internet. De acuerdo con un informe de Kaspersky Labs con sede en Rusia, botnets - no es spam, virus o gusanos. Lo ms frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrnico, para la descarga de archivos que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service). Normalmente los creadores de estas Botnets venden sus servicios a los Spammers. Funcionamiento

Pgina 1 de 4

Los "Bots" son pequeos programas que se introducen en la computadora, con la intencin de tomar el control remoto del equipo del usuario sin su conocimiento ni consentimiento. Se quedan esperando hasta que les llegan instrucciones de su creador y se ponen en funcionamiento.

Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinmicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC (Internet Relay Chat). Las redes Botnet pueden tener su Centro de Comando y Control de forma centralizada o descentralizada. En primera, el C&C se encuentra ubicado en un solo servidor con el ancho de banda suficiente para comunicarse con los bots. La mayor debilidad de este tipo de modelo es que si dicho Centro de Comando y Control es encontrado y eliminado se perder el mando de la red. Dentro de esta categora se encuentran las Botnet que basan su comunicacin por IRC y HTTP. Las redes que hacen uso de IRC, utilizan este canal para envi de todas las instrucciones de los ataques que la mquina zombi debe realizar. En la mayora de los casos, para evitar que la red Bonet sea infiltrada o sea eliminada, cada equipo infectado debe proveer tres tipos de contraseas para el acceso, las cuales al ser correctas van a permitir que el bot se pueda conectar al servidor IRC, luego al canal de chat en el cual est la red y por ltimo, pueda recibir las instrucciones. Las Botnet que basan su comunicacin en el uso del protocolo HTTP, tienen como ventaja que su deteccin es ms difcil que la de IRC, puesto que se puede confundir con el trfico normal de Internet, evadiendo en la mayora de los casos el firewall. Y la segunda forma de control, la descentralizada, es la que se apoya en las comunicaciones P2P. Es mucho ms difcil de detectar y destruir, ya que no dependen de un solo servidor, puesto que cualquier equipo conectado a esta, puede ser tanto un C&C como un cliente. En los sistemas Windows la forma ms habitual de expansin de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear la red de rea local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc. En otros entornos como UNIX, GNU/Linux o BSD la forma ms clsica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y Pgina 2 de 4

contraseas al azar contra todas las IPs que se pueda de forma sistemtica o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.

Tipos
o

Rxbot, Rbot, RvBot: Objetivo: copiarse a s mismo en los documentos compartidos. Intenta obtener los nombres de los usuarios y las claves del equipo. Se aprovecha de las vulnerabilidades de Windows para acceder a otras mquinas. AgoBot o Gaobot: Administracin por medio de comandos de IRC, permite realizar peticiones HTTP, el uso de sniffer, keylogger, rootkits y cliente smtp para el uso de spam. ZeuS, Zbot, Zbot, Wsnpoem, Ntos o Prg: Se pueden presentar de modo distinto en las mquinas zombie, ocasionando su difcil deteccin por medio de las firmas. Sober: Su funcionamiento se basa en envi de spam. Manda una copia de s mismo en el mensaje de los correos electrnicos para su propagacin. Spybot: Usan el IRC como medio de comunicacin, existen aproximadamente 1000 tipos de variantes de este virus. Korgo, Sasser, SasserC: Usa el IRC como medio de comunicacin. Se propaga explotando la vulnerabilidad en lsass.exe de Windows. SdBot: Busca propagarse atacando direcciones IP aleatorias. Si logra acceder a una maquina descarga el virus a travs de FTP. Phatbot: Se apoya en la comunicacin p2p, se usa ms que todo para envo de spam y la realizacin de DDOS. En el equipo infectado desactiva el antivirus y el firewall.

o o o o o o o

Redes Botnet o Mariposa: Extraer datos personales y de las tarjetas de crdito. o Rustock: Fue utilizada para realizar spam. o Zeus: Usa un troyano llamado Zeus, y se caracteriza por el robo de informacin, como nombres de usuario, contraseas, nmeros de cuenta y nmeros de tarjetas de crdito. o Koobface: Emplea las redes sociales como Facebook o MySpace para distribuirse, haciendo que el usuario presione sobre un enlace que lo enva un supuesto amigo para ver un vdeo y que para mostrarlo pida una actualizacin, engaando a la vctima y descargando as el bot en la mquina. o TidServ: Para envi de Spam, su forma de propagacin es envindose como archivo adjunto dentro de los correos. Usa herramientas rootkit para ocultarse en el sistema. o Trojan.Fakeavalert: Empleada para distribuir antivirus falsos. o TR/Dldr.Agent.JKH: Es usada para realizar fraude en los sistemas de pago por clic. o Monkif: Empleada para secuestrar navegadores mediante la descarga de un BHO malicioso. o Hamweq: La distribucin de este gusano se realiza principalmente mediante dispositivos USB. o Swizzor: Permite descargar otra clase de virus. Gammima: Se usa principalmente para robar cuentas en juegos online. COMENTARIO PERSONAL El tema de la creacin y uso actual de una botnet es muy interesante, ya que estamos propensos a formar parte de esta, como se mostr en la investigacin su objetivo es enviar archivos como spam o virus a otras computadoras a travs de Internet, y estas son controladas por otra persona, por eso se dice que es una red zombie, esta intervencin que se tiene puede ser muy daina ya que se pueden infiltrar en nuestros archivos Pgina 3 de 4

de sistema, daarlo pero tambin si usan el correo electrnico podremos ser vctimas del famoso spam y con nuestra cuenta enviar correos basura y como consecuencia se nos desactivara la cuenta. Crear una botnet puede ser relativamente sencillo, pues al investigar encontr algunos programitas que poda realizarlo, e inclusive blogs que incluan las instrucciones de cmo crear una botnet, con este tipo de informacin y con la experiencia que puede llegar a tener un persona maliciosa seria sencillo crear una botnet y poder infiltrarse en alguna organizacin, ya que hay un tipo de botnet (Phatbot) que desactiva el firewall, por lo que considero esencial conocer el funcionamiento de una botnet, ya que as podremos disminuir la posibilidad de formar parte de una, y los riegos seria menores. Adems de que creamos conciencia del que todo lo que descarguemos tanto personalmente como para una empresa puede llegar a ser daino si no se tiene la precaucin, por lo que como futuros profesionistas podemos crear una forma para disminuir el riesgo de estar en una botnet.

o BIBLIOGRAFA

Flu-Project. (s.f.). Obtenido de http://www.flu-project.com/redes-botnet-parte-i.html PANDA Security. (s.f.). Obtenido de http://cybercrime.pandasecurity.com/mariposa/how_works.php?lang=es Search Security. (s.f.). Obtenido de http://searchsecurity.techtarget.com/definition/botnet Wikipedia. (s.f.). Obtenido de http://es.wikipedia.org/wiki/Botnet Wikipedia. (s.f.). Obtenido de http://en.wikipedia.org/wiki/Botnet

Pgina 4 de 4