elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Las botnets controladas por web doblan su número cada 18 meses
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Las botnets controladas por web doblan su número cada 18 meses  (Leído 1,986 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Las botnets controladas por web doblan su número cada 18 meses
« en: 17 Noviembre 2010, 13:33 pm »

Team Cymru ha informado de que, aunque todavía en uso, las botnets orquestadas por IRC (que resultaba el método "tradicional") suponen solo una décima parte de las botnets controladas por web mientras que estas doblan su número cada 18 meses. Zeus y SpyEye han tenido mucho que ver en esto últimamente.

Team Cymru es una empresa dedicada a monitorizar actividades fraudulentas en Internet. Ha publicado un informe en el que dice que las botnets controladas por HTTP superan ampliamente las controladas por el tradicional protocolo de chat IRC.

Hace años, el método tradicional para gestionar una botnet era que el sistema infectado se uniese a una sala de chat controlada por un atacante. Este les enviaba comandos en forma de conversaciones, públicas o privadas en la sala y los zombis obedecían sus órdenes. El atacante aparecía como operador del canal.

Poco a poco, el tráfico IRC fue siendo controlado y vigilado por las soluciones de seguridad, de forma que los atacantes se veían obligados a cifrar el tráfico o moverlo a puertos diferentes al estándar (6667 es el usado por defecto).

Desde la explosión de la web 2.0 (y del malware 2.0), las botnets han descubierto en el HTTP un método mucho más eficaz de controlar a sus zombis. HTTP es un protocolo que no suele ser filtrado "hacia afuera" en un sistema, puesto que impediría la navegación estándar. Poco a poco Internet migra hacia el navegador como contenedor de toda la experiencia en la Red y esto no es diferente para los atacantes. Para ellos también resulta mucho más cómodo controlar una botnet desde el navegador. El malware ha ido migrando hacia este sistema, que permite cifrado sencillo (SSL) y pasar más desapercibido para las soluciones de seguridad. Los números ofrecidos por Cymru lo confirman.

Kits de fabricación de malware con tanto éxito como Zeus (y más recientemente SpyEye), no han hecho más que estandarizar la web como el sistema de control preferido de los atacantes.

La razón de que todavía existan redes zombi basadas en IRC, según Cymru, es que todavía deben estar proporcionando algún tipo de beneficio al atacante, pero que no se desarrollan "nuevas" en este sentido. Sin embargo, se observa que el número de C&C (Command and control) de redes zombi basadas en HTTP se dobla cada 18 meses.

En mayo de 2007 publicábamos en una-al-día que según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se estaba observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se estaban utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".

Tres años y medio después, realmente podemos observar que la tendencia ha ido hacia kits de malware basados en web, más que el malware basado en P2P.

Más Información:

El botnet tradicional ha muerto... ¡viva el botnet P2P!
http://www.hispasec.com/unaaldia/3135

Episode 77: Dead Botnets
http://www.youtube.com/watch?v=vYTM9s15yk4

Sergio de los Santos
 ssantos@hispasec.com


FUENTE :http://www.hispasec.com/unaaldia/4404


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Las botnets controladas por web doblan su número cada 18 meses
« Respuesta #1 en: 17 Noviembre 2010, 13:47 pm »

Pero es que esta claro, un bot que utilice el protocolo IRC puede tener problemas con filtrado de puertos en determinadas redes, mientras que el http es muy probable que no este filtrado.

Además, a día de hoy con la cantidad de hosting gratuitos que hay en la red basta más que un rato para poner a punto un C & C, sin tener en cuenta esos hibridos que han aparecido por ahí, como ser bots controlados vía twitter, facebook o tuenti :P

Saludos


« Última modificación: 17 Noviembre 2010, 14:25 pm por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
EvilGoblin


Desconectado Desconectado

Mensajes: 2.323


YO NO LA VOTE!


Ver Perfil
Re: Las botnets controladas por web doblan su número cada 18 meses
« Respuesta #2 en: 17 Noviembre 2010, 14:36 pm »

es mas facil de controlar y no ser detectado, una bot por HTTP, con comandos simples "cifrados" (puros numeros que representan acciones).

Aparte con xml y AJAX puedes tener detalles al instante y muy bien formados de que tiene o no tu botnet :P
En línea

Experimental Serial Lain [Linux User]
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los últimos iPhone 6 Plus ya no se doblan
Noticias
wolfbcn 0 936 Último mensaje 31 Octubre 2014, 22:38 pm
por wolfbcn
Software para eliminar archivos cada 2 meses
Foro Libre
Shell Root 3 2,563 Último mensaje 14 Enero 2016, 13:27 pm
por Shell Root
Los ataques DDoS, cada vez más peligrosos combinando tres botnets
Noticias
wolfbcn 0 1,507 Último mensaje 4 Septiembre 2016, 02:50 am
por wolfbcn
Obtener el numero de pixeles de cada color
PHP
CarlosDayan 1 2,421 Último mensaje 31 Mayo 2017, 12:54 pm
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines