Resurge la tecnología P2P para crear redes de BOTS

n su código, incluye una lista de 22 sitios de Internet, a los cuáles pueden conectarse todos los equipos infectados, con la intención de crear una verdadera red del tipo P2P (peer-to-peer, par a par, o computadora a computadora).

Los datos que el troyano envía a otros servidores están cifrados. Según Brian Eckman, analista de seguridad de la Universidad de Minnesota, el BOT no utiliza DNS (Domain Name System) para encontrar alguna red de comando y control, y tampoco muestra una secuencia de datos legible en sus comunicaciones. "Esto hace que muchas de las medidas de detección de intrusos sean inútiles".

Estas técnicas representan las últimas mejoras de los BOTS, las herramientas preferidas por la mayoría de los delincuentes modernos, que usan la red para sus crímenes -spam, phishing, etc.-, ayudados por miles de máquinas cuyos dueños ignoran estar infectados.

Hasta ahora, los BOTS eran controlados vía IRC (Internet Relay Chat), en donde nacieron como parte de esa red. Gusanos y troyanos como IRCBot.RV (Nugache), demuestran que los delincuentes informáticos están explorando otras tecnologías, como el tráfico P2P y el cifrado, para ocultar sus acciones.

Según Joe Stewart, investigador de seguridad de la firma Lurhq, las redes de BOTS o BOTNETS basadas en canales peer-to-peer, harán que sea más difícil defenderse de esta clase de delitos.

"Si la botnet está hecha correctamente, puede ser casi imposible eliminarla en su totalidad," afirma Stewart.

Vincent Weafer, director del equipo de respuesta de Symantec, cree que la tendencia de los cibercriminales es crear herramientas centradas en mantener sus comunicaciones privadas. "El IRC está desapareciendo", dice Weafer. "Hay un movimiento grande hacia los canales alternativos, por lo menos los canales cifrados, para evitar que los demás sepan de estas comunicaciones."

Para Mikko Hyppönen, jefe de investigación de F-Secure, si el autor del Nugache comparte su código con otros, podrían surgir muchos malwares utilizando sus técnicas. "Familias como las del Agobot o Gaobot, tienen cientos de variantes, debido a que su código fuente está disponible en Internet".

De todos modos esta versión del gusano no se ha propagado demasiado, aunque demuestra un intento de algo que seguramente en el futuro será más elaborado. De hecho, la utilización de redes P2P para controlar computadoras comprometidas no es nuevo.

En 2002, el gusano Linux.Slapper.Worm, explotaba vulnerabilidades específicas en los protocolos OpenSSL usados por servidores como Apache, para utilizar por primera vez tecnología de redes P2P, lo que permitía que los servidores infectados siguieran conectados entre si mediante protocolos propios. De allí en adelante, el Sinit (2003), o el Phatbot (2004) una variante del Agobot (Gaobot), utilizaron este tipo de redes y mejoraron sus técnicas para actuar como BOTS.

IRCBot.RV puede enviar mensajes con su propio código en un archivo infectado, o a través de la mensajería instantánea (AOL IM) convenciendo al usuario a hacer clic en un enlace que lo descarga. También se aprovecha de equipos sin actualizar, o con versiones obsoletas del sistema operativo, para propagarse por recursos compartidos en redes.

El hecho de que los 22 servidores utilizados estén indicados en su código, hace que esta variante no tenga muchas oportunidades de convertirse en amenaza, pero indica el resurgimiento de esta técnica para crear redes de máquinas zombis controladas por criminales informáticos, que en el futuro podría ser mucho más elaborada.


Fuente:

Bot software looks to improve peerage
www.theregister.co.uk/2006/05/04/nugache_p2p_botnet/