Geeksoup
Geeksoup blog

Zombies y otros malware

Bueno ya hemos acabado los examenes y es hora de llenar esto de mierda, el otro dia leyendo por la red de redes me encontre una noticia curiosa dado a una actualizacion del avast, sobre algo llamado mariposa, me puse a buscar (y como si el destino me guiase  encuentro la informacion en unos de mis blogs favoritos Pixfans) y que me encuentro pos con una peli de infestados señores:

La última película del mundo virtual es de miedo y tiene todos los ingredientes para aterrorizarnos: zombies, infectados, tres malvados manipulando máquinas para lograr sus propósitos, un virus extendido a nivel mundial y, lo peor de todo, que es posible que una de las víctimas seas tú.

Cuando en Mayo de 2009 Defence Intelligence (empresa de seguridad canadiense) anunció la detección de una botnet masiva en internet llamada Mariposa, se puso en marcha todo un dispositivo para eliminar esta red que suponía una amenaza para servidores, empresas y usuarios particulares de internet: el MWG (Mariposa Working Group). Este proyecto estaba formado por la propia Defence Intelligence, el Georgia Institute of Technology, Panda Security y expertos en seguridad de diversos países. El objetivo era anular la influencia de la botnet e identificar a aquellos que se encontraban tras ella únicamente conocidos hasta ese momento por sus pseudónimos (Netkairo, Jonyloleante y Ostiator) y que conformaban el grupo Días De Pesadilla (DDP Team). Tras 8 meses de intenso trabajo, finalmente, durante una intervención, listaron el número aproximado de ordenadores infectados por el malware que conformaban la citada red y el asombro fue mayúsculo: Mariposa contaba con más de 12 millones de zombies a lo largo de todo el planeta ya fuesen usuarios particulares o empresas, lo que la convertía en una de las mayores botnets de la historia. Infectar un equipo era relativamente fácil dado que simplemente era necesaria la instalación de un programa malware en el ordenador a esclavizar y esto podía venir a través de redes P2P, dispositivos USB, enlaces MSN y, en definitiva, cualquier método a través del cuál se pudiese introducir información en el sistema. Una vez infectado, el usuario podía seguir trabajando con normalidad sin percatarse de nada mientras por detrás podían estar utilizándo su hardware y software para cualquier propósito de interés propio.

En resumen, Mariposa era una gigantesca bestia de más de 12 millones de ip’s controladas por un solo usuario que podía disponer de ellas a su antojo. Esta inmensa malla de esclavos era divida en varias subredes para poder controlarlos de manera más efectiva y poder efectuar las operaciones pertinentes con mayor sencillez. Estas podían ser spam (aparición de pop-ups, alteraciones en los resultados de los motores de búsqueda), robo de datos (números de tarjetas de crédito, passwords), ataques a servidores (DDos) así como cualquier otra actividad ilegal que fuese susceptible de ser realizada. Pero si algo demuestra el carácter exclusivamente lucrativo de todos sus movimientos, es el hecho de que los creadores de la red la alquilasen por fragmentos a otros delincuentes a cambio de una suma económica para que estos realizasen sus propias fechorías.

Pese a tener bien identificada la estructura de Mariposa y conocer todos sus movimientos, el rastreo de las personas operándola resultaba prácticamente imposible debido a que la conexión se realizaba desde una VPN y esto borraba cualquier rastro de la dirección IP que utilizaba. Esto fue así hasta el 23 de Diciembre de 2009, fecha en la que el MWG consiguió hacerse momentáneamente con el control de la botnet mediante un movimiento organizado a escala mundial contando, entre otros, con la ayuda del FBI y la Guardia Civil española. Ocurrido esto, Netkairo, líder del grupo DDP, intentó de cualquier manera posible volver a controlar la red pero, en un momento de nerviosismo y tensión, olvidó conectarse a través de una de las VPN. Este error anuló los obstáculos que le blindaban de cara a la localización por parte del MWG y entonces el rastro fue claro y definido. Ya contaban con su IP y sólo era cuestión de tiempo que fuese identificado a partir de los registros de su proveedor local de internet. Aun así, en venganza por haber intentando robarle el control de la red, se lanzó un ataque DDos desde gran parte de los ordenadores controlados por Netkairo hacia Defence Intelligence que bloqueó un importante proveedor de acceso a internet dejando sin servicio durante varias horas a muchos clientes, centros universitarios y administrativos canadienses.
Estructura de un ataque DDoS

De todos modos, a partir de aquí se supo la ubicación real desde la que se operaba y, por ende, su identidad. La detención por parte de las autoridades no se hizo esperar. El 3 de Febrero la Guardia Civil efectuó este movimiento y se incautó de material informático que llevó a la detención de los otros dos integrantes del grupo, Jonyloleante y Ostiator. Dos datos a resaltar, son que ninguno de los tres detenidos eran profesionales y siquiera habían diseñado la botnet, si no que la habían comprado en el mercado negro y que en España se contabilizan aproximadamente 200.000 ordenadores infectados. Este dato despierta muchas dudas. ¿He sido infectado por el malware? ¿Es mi ordenador parte de Mariposa? ¿Tendrán mis datos bancarios y/o personales? La respuesta a esto la ha dado Panda Security anunciando que ha suministrado muestras de los bots a todas las compañías de antivirus para que las añadan a su base de datos y, tras una nueva actualización, puedan ser capaces de identificarlas y borrarlas.

A continuación este chaval tan majo nos hará un resumen de todo y nos comentará algún detalle adicional. Por favor, un aplauso para Luis Corrons de Panda Security.

Lexicón

  • Malware: Es un programa de ordenador que se infiltra en el sistema sin que el usuario propietario lo sepa con el principal propósito de dañarlo. Si el malware sirve para acceder al control de dicho ordenador, éste toma el nombre de zombie.
  • Zombie: Se llama así a un ordenador que ha sido infectado por un programa de malware y es manejado por un usuario externo.
  • Bot: Es un software instalado en un zombie que sirve para ejecutar tareas rutinarias.
  • Botnet: Es una palabra compuesta por bot y net (“red” en inglés) y se utiliza para referirse a un montón de ordenadores zombies que ejecutan bots que están conectados entre sí formando una red privada.
  • VPN: Son las siglas para “red privada virtual”. Es una tecnología que permite que una red privada de origen local se extienda a través de internet y tenga la posibilidad de ser conectada desde equipos remotos y, físicamente, fuera de dicha red.
  • DDoS: De nuevo más siglas. En este caso significan “ataque distribuido de denegación de servicio”. Este ataque se realiza saturando un determinado servidor mediante el envío masivo de solicitudes que bloquean el ancho de banda disponible y así provocar la inaccesibilidad a este servicio.
  • Spam: Información propagada de manera viral y reiterada anunciando cualquier tipo de artículo o propósito mediante bombardeo masivo de mails, posts en foros o bots. Se suele distribuir mediante listas de correos electrónicos facilitados por páginas webs especializadas en recopilar estos sin conocimiento o consentimiento por parte del propietario.
  • IP: Número único de identificación en internet. Cada ordenador conectado a la red obtiene una IP que puede ser fija (siempre la misma) o dinámica (cambia con cada nuevo acceso). Las empresas que prestan servicios de conexión a internet tienen listada la IP asignada a cada usuario para que pueda ser identificado en caso de necesidad.
Anuncios

Una respuesta to “Zombies y otros malware”

  1. FELICITACIONES ESTÁ COMO PARA LIBRO O PELI LA HISTORIA LA VERDAD ME HACE RECORDAR A LA PELI DURO DE MATAR EN LA QUE LOGRAN DESBARATAR EL SISTEMA HACIENDO USO DE UNA TECNOLOGÍA SIMILAR A mARIPOSA


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: