Las botnets controladas por web doblan su número cada 18 meses


Team Cymru ha informado de que, aunque todavía en uso, las botnets orquestadas por IRC (que resultaba el método "tradicional") suponen solo una décima parte de las botnets controladas por web mientras que estas doblan su número cada 18 meses. Zeus y SpyEye han tenido mucho que ver en esto últimamente.





Team Cymru es una empresa dedicada a monitorizar actividades fraudulentas en Internet. Ha publicado un informe en el que dice que las botnets controladas por HTTP superan ampliamente las controladas por el tradicional protocolo de chat IRC.

Hace años, el método tradicional para gestionar una botnet era que el sistema infectado se uniese a una sala de chat controlada por un atacante. Este les enviaba comandos en forma de conversaciones, públicas o privadas en la sala y los zombis obedecían sus órdenes. El atacante aparecía como operador del canal.

Poco a poco, el tráfico IRC fue siendo controlado y vigilado por las soluciones de seguridad, de forma que los atacantes se veían obligados a cifrar el tráfico o moverlo a puertos diferentes al estándar (6667 es el usado por defecto).

Desde la explosión de la web 2.0 (y del malware 2.0), las botnets han descubierto en el HTTP un método mucho más eficaz de controlar a sus zombis. HTTP es un protocolo que no suele ser filtrado "hacia afuera" en un sistema, puesto que impediría la navegación estándar. Poco a poco Internet migra hacia el navegador como contenedor de toda la experiencia en la Red y esto no es diferente para los atacantes. Para ellos también resulta mucho más cómodo controlar una botnet desde el navegador. El malware ha ido migrando hacia este sistema, que permite cifrado sencillo (SSL) y pasar más desapercibido para las soluciones de seguridad. Los números ofrecidos por Cymru lo confirman.

Kits de fabricación de malware con tanto éxito como Zeus (y más recientemente SpyEye), no han hecho más que estandarizar la web como el sistema de control preferido de los atacantes.

La razón de que todavía existan redes zombi basadas en IRC, según Cymru, es que todavía deben estar proporcionando algún tipo de beneficio al atacante, pero que no se desarrollan "nuevas" en este sentido. Sin embargo, se observa que el número de C&C (Command and control) de redes zombi basadas en HTTP se dobla cada 18 meses.

En mayo de 2007 publicábamos en una-al-día que según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se estaba observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se estaban utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".

Tres años y medio después, realmente podemos observar que la tendencia ha ido hacia kits de malware basados en web, más que el malware basado en P2P.

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

VBS/Chick.E es un gusano preparado para propagarse a través del correo electrónico y el IRC.
Los mensajes que envía pretenden hacer creer a los usuarios afectados que el fichero adjunto contiene información sobre Bill Gates. ...
Grupo de parches de enero para diversos productos Oracle
Oracle ha publicado un conjunto de cincuenta parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. ...
Medidas para mejorar la ciberseguridad
Las pequeñas empresas deberían formar a sus empleados sobre amenazas y desarrollo de planes de recuperación ante desastres, mejorando así su ciberseguridad....
Acusan a hacker británico de penetrar en computadoras militares de EE.UU.
Un pirata cibernético británico consiguió obtener información sensible pero no clasificada de computadoras de varias instalaciones militares estadounidenses antes de ser descubierto antes de ser arrestado, afirmaron los federales....
Kernel de MS- Windows Vista vulnerable
La compañía austriaca de seguridad Phion reveló una vulnerabilidad en el núcleo de Vista que puede producir un desbordamiento de buffer colgando el sistema, o que puede ser explotado para inyectar código malicioso y comprometer la seguridad del ...
Uno más -- Parche crítico para Internet Explorer
Disponible parche para corregir seis nuevas vulnerabilidades del navegador de Microsoft. La actualización, considerada como crítica, afecta a las versiones Internet Explorer 5.01, 5.5 y 6.0....
Unidos los Grandes a favor de la Seguridad y Privacidad
Los grandes de Internet se unen a favor de la postura de Apple por lo solicitado por el FBI (Federal Bureau of Investigation)....
Seguridad en Software libre: Asunto de Estado
Un nuevo proyecto en los Estados Unidos considera que la seguridad de Linux y el software libre en general es importante para el país por lo que han destinado más de un millón de dólares para descubrir y reportar posibles fallas de seguridad...
Phishing 2.0, nuevas formas de ataque por medio de DNS
Investigadores del Instituto de Tecnología de Georgia, en conjunto con Google, están estudiando una nueva forma de ataque virtualmente indetectable y que permite controlar lo que alguien hace en Internet....
Google crakea claves en formato MD5
El autor de un blog dedicado a la seguridad informática ha descubierto una faceta desconocida del buscador de Google: el descifrado de contraseñas MD5, una característica peligrosa para aquellos que confíen en este sistema....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • botnets
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • controladas
  • debian
  • doblan
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • meses
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra