DNS Botnet Cyberwar

Botnet : es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos.
Definición extraída de la Wikipedia (http://en.wikipedia.org/wiki/Botnet)

De esta sencilla definición podemos extraer el funcionamiento básico de una botnet y comenzamos con una visión más amplia del problema.



Sus comienzos aproximadamente sobre 1990 no fueron por motivos económicos, más bien fueron una forma de control sobre servidores hackeados y que permitían de una forma sencilla usarlos para ataques distribuidos, pasarelas para nuevos ataques, etc. Fue entonces cuando las mafias cibernéticas encontraron en ellas un nuevo modelo de negocio, que continua siendo el medio más frecuente empleado para realizar actos fraudulentos en internet.

Para ello desarrollaron una metodología basada en la infección de Malware para poder disponer de los recursos de los equipos que infectaban. Como medio de control mas frecuente en sus orígenes era crear un canal de comunicación mediante servidores de IRC (Internet Relay Chat) libres. Más tarde comenzarían a usar otros canales de comunicación basados en HTTP (Hypertext Transfer Protocol) como por ejemplo Twitter (Para más información puede leer el siguiente enlace :http://asert.arbornetworks.com/2009/...mmand-channel/).

Una vez se consigue infectar con Malware y estos comienzan a acceder al canal de control, quedan en estado de zombie a la espera de nuevas órdenes por parte del Bot Master, que frecuentemente suele ser una persona que ha pagado por disponer de acceso a dicha Botnet para realizar ataques distribuidos DDoS (distributed denial-of-service attack), envío de SPAM (correo basura) o distribuir aún más malware con otro tipo de fines como Phishing (estafas).

Como solución ciertas empresas ofrecen un nuevo servicio de seguridad que intenta prevenir al usuario mediante el uso de uno de los protocolos más antiguos de internet, el protocolo de DNS (servidor de nombres, RFC 1034/1035 de 1987).


El cliente solicita una resolución de nombre para domain.com en un servidor de DNS público y este devuelve el resultado al cliente 64.85.73.119. Para añadir una capa de seguridad estas empresas ponen a disposición del cliente un servidor de DNS público que funciona de la misma forma que en el protocolo estándar, solo que se encargara de


comparar con una Blacklist si el dominio que intentamos resolver badsite.com se encuentra en su base de datos de dominios con Malware y procederá a falsear la resolución del nombre hacía una IP diferente, en este caso 127.0.0.1. Este tipo de modificación se conoce como DNS Hijacking. De esta forma nos aseguraríamos de que el cliente no es capaz de llegar hasta el destino.
  • Cache de DNS y menor latencia: La experiencia de navegación será más rápida ya que el mismo servidor dispondrá de la mayoría de nombres frecuentes solicitados por otros usuarios cacheados. La mayoría de estos disponen de un cluster Geolocalizado, mejorando los tiempos de respuesta en cada petición.
  • Control parental de contenidos: La Blacklist puede contener sitios con contenido pornográfico, violento, etc.
  • Filtro Anti-SPAM: es posible conocer sin necesidad de un filtro de correo externo si el origen es una fuente de SPAM activa. Este ha sido el medio más frecuente de uso para los RBL (Real-time Blackhole List), DNSBL (DNS Blacklists), DRBL (Distributed Realtime Block List), DNSWL (DNS Whitelist), RHSBL (Right Hand Side Blacklist) o URIBL (Uniform Resource Identifier Blacklist). Frecuentemente usados por SPAMHAUS (http://www.spamhaus.org) , SpamCop (http://www.spamcop.net).
  • Filtro Adsense: Continuando con el filtro antiSPAM, esto podemos llevarlo a otros protocolos como HTTP donde filtrar contenido de publicidad es áun más sencillo que disponer de un Proxy HTTP con una Blacklist.
  • Disponer de una dirección DNS fácil de recordar.
  • Corrección ortográfica y autocompletado: si la resolución del dominio falla intenta determinar si existen errores ortográficos, devolviendo los datos del dominio bien redactado.
Recordemos que él propósito de internet es crear una red descentralizada e independiente, o al menos así debería ser. Pero qué pasa cuando los mayores proveedores de servicios a nivel mundial ofrecen servicios de DNS público con todas las características anteriores, pudiendo tomar como ejemplo OpenDNS.

Las últimas estadísticas de uso publicadas en su propio Blog (http://blog.opendns.com) nos muestran varios datos a tener en cuenta.




Como podemos ver en el gráfico, resolvieron 20 billones de peticiones DNS en 24h, doblando el número anunciado de 10 billones en Abril del mismo año. Más de 25,000 escuelas de Estados Unidos usan OpenDNS, y muchas empresas están migrando hacia sus servicios.

Información extraída de:
http://foro.hackhispano.com/showthread.php?t=36225

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

Cambiar el idioma de Windows XP de inglés al español sin formatear