Seguridad inform谩tica contra todo malware

Seguridad inform谩tica contra virus, phishing y spyware, protecci贸n del correo electr贸nico y navegaci贸n segura en internet.

En el interior de la botnet que enviaba el spam Ron Paul



 

Durante el fin de semana de la 煤ltima semana del mes de octubre, m谩s concretamente el dia 27, se registr贸 un bombardeo de emails de spam con un t铆tulo que pedia el voto para la candidatura a presidente en Estados Unidos de Ron Paul. La propaganda via spam dur贸 hasta el dia 30 de octubre y fue criticada desde diferentes blogs de tem谩tica pol铆tica calific谩ndolo como una burda estrategia propagand铆stica.

Botnet hace referencia a un grupo de ordenadores infectados y controlados remotamente gracias a robots de software, o bots, que se ejecutan de manera aut贸noma. El art铆fice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a trav茅s del IRC; las nuevas versiones de estas botnets se estan enfocando hacia entornos de control mediante HTTP con lo que el control de estas maquinas ser谩 muchos m谩s simple. Teniendo a muchos ordenadores zombie a su servicio y fuera del control de sus usuarios leg铆timos, pueden usarse para enviar spam masivamente.

esquema botnets

En los sistemas Windows la forma m谩s habitual de expansi贸n de los “robots” suele ser en el uso de cracks u otro software relacionado con la pirater铆a. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de 谩rea local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows o mediante libretas de direcciones email.

En otros entornos como UNIX, GNU/Linux o BSD la forma m谩s cl谩sica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contrase帽as al azar contra todas las IPs que se pueda de forma sistem谩tica o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear.

En la p谩gina Secure Works, realizaron un estudio muy detallado rastreando el origen del spam y llegando a probar el tipo de software y troyano utilizados para hacer funcionar una botnet que enviaba el correo basura de forma masiva.

El primer paso para tratar de completar la tarea de rastrear un email de spam hasta una botnet, es encontrar un perfil o “fingerprint” com煤n de los emails enviados por el bot. Aunque los nombres de los supuestos emisores de los correos, el asunto y el cuerpo del mensaje es variable, existen elementos est谩ticos en las cabeceras de los emails que permiten tener informaci贸n valiosa.

email spam botnet Ron Paul

En los emails de spam Ron Paul, se identificaron las siguientes coincidencias claves:

* La cabecera de Recibido tiene siempre la estructura “desde [bot ip] por [nameserver del dominio emisor]”.
* La ID del mensaje empieza siempre con 000 y acaba por un texto aleatorio que combina letras sin significado.
* Las fechas de envio en las cabeceras aparecen en hora GMT, independientemente de la hora local de la zona donde se encuentre actuando el bot.
* X-Mailer es siempre Microsoft Outlook Express 6.00.3790.2663
* X-MimeOLE es siempre Microsoft MimeOLE V6.00.3790.2757

Los autores del estudio rastrearon muchas direcciones IP desde donde llegaba el correo basura, determinaron que las intenciones no eran en absoluto politicas pues el spam Ron Paul variaba y trataba de comercializar los tipicos productos del spam como imitaciones, warez o productos farmaceuticos sin receta.

En colaboraci贸n con diversos administradores de redes, pudieron trazar la ruta al servidor de control sobre los ordenadores zombie, siempre y cuando los administradores accedieron a dar datos de los servidores con bots en su red. Determinaron que el servidor que controlaba la botnet estaba situado en unas instalaciones de Estados Unidos y particularmente conocidas por los investigadores de seguridad inform谩tica y antimalware por tener este tipo de actividades con frecuencia.

Encontraron finalmente el malware que permiti贸 la expansi贸n de la botnet: Trojan.Srizbi. Seg煤n la descripci贸n de Symantec se trata de un troyano de baja peligrosidad que utiliza un rootkit para ocultarse, ataca a computadoras con Windows desprotegidas.

Analizando las m谩quinas infectadas detectaron que el troyano pudo ser distribuido gracias al n404 web exploit kit, que podia encontrarse en el sitio de malware msiesettings.com, este kit de exploit que busca vulnerabilidades concretas tiene diferentes versiones y activa troyanos a su vez. Lamentablemente para los creadores de esta botnet, algunos ordenadores sin ning煤n tipo de protecci贸n ya tenian spambots de otro tipo infectando la computadora y compartiendo recursos pues se suman los recursos y el % de CPU entre ellos lo cual ralentizaba sobremanera los ordenadores zombie y seguramente los usuarios decidieron buscar ayuda t茅cnica por el raro comportamiento.

Gracias a Spamhaus, los creadores del estudio pudieron acceder al servidor de control y examinar el software utilizado, programado en Python. El spamware o distribuidor principal se llamado Reactor Mailer, funcionando desde 2004. Tiene una interfaz y plantillas con formularios para realizar las tareas de envios masivos de correo publicitario.

mailer botnet Ron Paul

mailer botnet Ron Paul

Solamente la base de datos de emails de algunas de las tareas de envios asignados tiene un tama帽o de 3.4 gigabytes y contiene 162,211,647 direcciones email. Afortunadamente, su software no tenia ningun tipo de feedback para saber lo que el usuario hacia con el email, muchas direcciones eran inv谩lidas o desactualizadas y no podian saber si el internauta ignoraba el correo y lo eliminaba sin abrirlo. Por tanto segun el estudio no eran muy eficientes y se basaban en enviar el mayor n煤mero de correos posible.

El bot utilizaba un puerto especifico TCP para comunicarse con el servidor de control por lo que desde Secure Works pudieron localizar a trav茅s de la red hasta 16 servidores adicionales que tenian control sobre la distribucion del malware.

mailer botnet Ron Paul

mailer botnet Ron Paul

Estos fueron los servidores y su tipo de spam enviado:

xxx.xx.168.107 – Inactive
xxx.xx.168.134 – pill spam
xxx.xx.168.137 – Russian-language spam
xxx.xx.168.143 – Inactive
xxx.xx.168.144 – Inactive
xxx.xx.168.250 – Previously used, down now
xxx.xx.169.2 – Inactive
xxx.xx.169.22 – Replica watch spam
xxx.xx.169.25 – Russian-language spam
xxx.xx.169.107 – MLM work-from-home spam
xxx.xx.169.110 – OEM software spam
xxx.xx.169.135 – Work-from-home spam
xxx.xx.169.136 – pill spam
xxx.xx.169.147 – spam
xxx.xx.169.148 – pill spam
xxx.xx.169.153 – Replica watch spam
xxx.xx.169.154 – Replica watch spam

Aunque parezca increible, esta botnet lleg贸 a enviar 200 millones de emails spam diarios durante su corto periodo de actividad.

publicidad




Temas: , , ,

Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:



Publicaciones relacionadas:


Enviar un comentario

Gracias por aportar tu punto de vista al respecto.