Hay que anotarles una victoria a los buenos. Aquí explicamos cómo tres investigadores de seguridad usaron un ataque en tres pasos para derrotar una botnet con 250.000 cabezas.
Durante sus dos años como investigador de la compañía de seguridad FireEye, Atif Mushtaq trabajó para evitar que el programa malicioso Mega-D infectara las redes de los clientes. En el proceso, aprendió cómo sus controladores lo utilizaban. El pasado mes de junio, Atif comenzó a publicar sus hallazgos en línea (find.pcworld.com/64162). En noviembre, dejó de jugar a la defensiva y pasó a la ofensiva. Y Mega-D, una poderosa y elástica botnet que tenía unas 250.000 PC bajo su control, se vino abajo.
[<img border="0" src="/pcwla2.nsf/0/92BF4DE7175864B3852576BF00024082/$File/65megafeb10.gif">]
Apuntando a los controladores
Mushtaq y dos colegas de FireEye enfilaron a la infraestructura de comando de Mega-D. La primera ola de ataque de una botnet utiliza los archivos adjuntos al correo electrónico, ofensivas basadas en la Web y otros métodos de distribución para infectar un gran número de PC con programas maliciosos de robot.
Los robots reciben sus órdenes de servidores de comandos y control (C&C), pero esos servidores son el talón de Aquiles de las botnet: si se logra aislarlos, las PC infectadas quedarán sin dirección. Sin embargo, los controladores de Mega-D utilizaron una extensa colección de servidores C&C y cada robot en su ejército tenía asignada una lista de destinos adicionales para probar, en caso de no poder alcanzar su servidor de comandos primario. Derrotar la red de Mega-D, por lo tanto, requeriría un ataque coordinado cuidadosamente.
El ataque sincronizado
El equipo de Mushtaq primero llamó a los proveedores de servicio de Internet que sin saberlo hacían el hosting de los servidores de Mega-D; su investigación (find.pcworld.com/64163) mostró que la mayoría de los servidores estaba basada en los Estados Unidos de América, con uno en Turquía y otro en Israel.
El equipo de FireEye recibió respuestas positivas excepto de los ISP en el extranjero. Los servidores C&C domésticos fueron abajo.
A continuación, Mushtaq y sus colegas contactaron con los archivistas de nombres de dominio que mantenían los registros de los nombres de dominio utilizados por Mega-D para sus servidores de control. Los archivistas trabajaron con FireEye para apuntar los nombres existentes en el dominio de Mega-D a la nada. Al cortar los nombres de dominio de la botnet, los investigadores garantizaron que los robots no pudieran alcanzar los servidores afiliados con Mega-D que los ISP en el extranjero no quisieron desactivar.
Por último, FireEye y los archivistas trabajaron para reclamar los nombres de dominios adicionales que los controladores de Mega-D relacionaron en la programación de los robots. Los controladores pretendían registrar y usar uno o más de los dominios adicionales si los existentes se desactivaban—así que FireEye los detectó y los apuntó a “sumideros” (servidores que había preparado para no hacer nada más que grabar las órdenes emitidas por los robots de Mega-D). Utilizando esos registros, FireEye estima que la botnet consistía en 250.000 computadoras infectadas con Mega-D (vea find.pcworld.com/64164).
Mega-D se desploma
MessageLabs, una subsidiaria de Symantec dedicada a la seguridad del correo electrónico, informa que Mega-D había “estado consistentemente entre los 10 peores robots de correo indeseado” durante el año anterior (find.pcworld.com/64165). La producción de la botnet fluctuaba de un día a otro, pero el 1º de noviembre Mega- D representó el 11,8 por ciento de todo el correo indeseado detectado por MessageLabs.
Tres días más tarde, las acciones de FireEye habían reducido la porción de Mega-D del correo indeseado de Internet a menos del 0,1 por ciento, según MessageLabs.
FireEye planea traspasar el esfuerzo de anti-Mega-D a ShadowServer.org, un grupo voluntario que investigará las direcciones IP de las máquinas infectadas y que se comunicará con los ISP y negocios afectados. Los administradores de redes de negocio o de ISP pueden inscribirse al servicio de notificación gratuita; vea find.pcworld.com/64166.