Seguridad informática contra todo malware

Seguridad informática contra virus, phishing y spyware, protección del email, datos personales y navegación segura en internet.

En el interior de la botnet que enviaba el spam Ron Paul





Compártelo con tus amistades  

Durante el fin de semana de la última semana del mes de octubre, más concretamente el dia 27, se registró un bombardeo de emails de spam con un título que pedia el voto para la candidatura a presidente en Estados Unidos de Ron Paul. La propaganda via spam duró hasta el dia 30 de octubre y fue criticada desde diferentes blogs de temática política calificándolo como una burda estrategia propagandística.

Botnet hace referencia a un grupo de ordenadores infectados y controlados remotamente gracias a robots de software, o bots, que se ejecutan de manera autónoma. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC; las nuevas versiones de estas botnets se estan enfocando hacia entornos de control mediante HTTP con lo que el control de estas maquinas será muchos más simple. Teniendo a muchos ordenadores zombie a su servicio y fuera del control de sus usuarios legítimos, pueden usarse para enviar spam masivamente.

esquema botnets

En los sistemas Windows la forma más habitual de expansión de los “robots” suele ser en el uso de cracks u otro software relacionado con la piratería. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows o mediante libretas de direcciones email.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear.

En la página Secure Works, realizaron un estudio muy detallado rastreando el origen del spam y llegando a probar el tipo de software y troyano utilizados para hacer funcionar una botnet que enviaba el correo basura de forma masiva.

El primer paso para tratar de completar la tarea de rastrear un email de spam hasta una botnet, es encontrar un perfil o “fingerprint” común de los emails enviados por el bot. Aunque los nombres de los supuestos emisores de los correos, el asunto y el cuerpo del mensaje es variable, existen elementos estáticos en las cabeceras de los emails que permiten tener información valiosa.

email spam botnet Ron Paul

En los emails de spam Ron Paul, se identificaron las siguientes coincidencias claves:

* La cabecera de Recibido tiene siempre la estructura “desde [bot ip] por [nameserver del dominio emisor]”.
* La ID del mensaje empieza siempre con 000 y acaba por un texto aleatorio que combina letras sin significado.
* Las fechas de envio en las cabeceras aparecen en hora GMT, independientemente de la hora local de la zona donde se encuentre actuando el bot.
* X-Mailer es siempre Microsoft Outlook Express 6.00.3790.2663
* X-MimeOLE es siempre Microsoft MimeOLE V6.00.3790.2757

Los autores del estudio rastrearon muchas direcciones IP desde donde llegaba el correo basura, determinaron que las intenciones no eran en absoluto politicas pues el spam Ron Paul variaba y trataba de comercializar los tipicos productos del spam como imitaciones, warez o productos farmaceuticos sin receta.

En colaboración con diversos administradores de redes, pudieron trazar la ruta al servidor de control sobre los ordenadores zombie, siempre y cuando los administradores accedieron a dar datos de los servidores con bots en su red. Determinaron que el servidor que controlaba la botnet estaba situado en unas instalaciones de Estados Unidos y particularmente conocidas por los investigadores de seguridad informática y antimalware por tener este tipo de actividades con frecuencia.

Encontraron finalmente el malware que permitió la expansión de la botnet: Trojan.Srizbi. Según la descripción de Symantec se trata de un troyano de baja peligrosidad que utiliza un rootkit para ocultarse, ataca a computadoras con Windows desprotegidas.

Analizando las máquinas infectadas detectaron que el troyano pudo ser distribuido gracias al n404 web exploit kit, que podia encontrarse en el sitio de malware msiesettings.com, este kit de exploit que busca vulnerabilidades concretas tiene diferentes versiones y activa troyanos a su vez. Lamentablemente para los creadores de esta botnet, algunos ordenadores sin ningún tipo de protección ya tenian spambots de otro tipo infectando la computadora y compartiendo recursos pues se suman los recursos y el % de CPU entre ellos lo cual ralentizaba sobremanera los ordenadores zombie y seguramente los usuarios decidieron buscar ayuda técnica por el raro comportamiento.

Gracias a Spamhaus, los creadores del estudio pudieron acceder al servidor de control y examinar el software utilizado, programado en Python. El spamware o distribuidor principal se llamado Reactor Mailer, funcionando desde 2004. Tiene una interfaz y plantillas con formularios para realizar las tareas de envios masivos de correo publicitario.

mailer botnet Ron Paul

mailer botnet Ron Paul

Solamente la base de datos de emails de algunas de las tareas de envios asignados tiene un tamaño de 3.4 gigabytes y contiene 162,211,647 direcciones email. Afortunadamente, su software no tenia ningun tipo de feedback para saber lo que el usuario hacia con el email, muchas direcciones eran inválidas o desactualizadas y no podian saber si el internauta ignoraba el correo y lo eliminaba sin abrirlo. Por tanto segun el estudio no eran muy eficientes y se basaban en enviar el mayor número de correos posible.

El bot utilizaba un puerto especifico TCP para comunicarse con el servidor de control por lo que desde Secure Works pudieron localizar a través de la red hasta 16 servidores adicionales que tenian control sobre la distribucion del malware.

mailer botnet Ron Paul

mailer botnet Ron Paul

Estos fueron los servidores y su tipo de spam enviado:

xxx.xx.168.107 – Inactive
xxx.xx.168.134 – pill spam
xxx.xx.168.137 – Russian-language spam
xxx.xx.168.143 – Inactive
xxx.xx.168.144 – Inactive
xxx.xx.168.250 – Previously used, down now
xxx.xx.169.2 – Inactive
xxx.xx.169.22 – Replica watch spam
xxx.xx.169.25 – Russian-language spam
xxx.xx.169.107 – MLM work-from-home spam
xxx.xx.169.110 – OEM software spam
xxx.xx.169.135 – Work-from-home spam
xxx.xx.169.136 – pill spam
xxx.xx.169.147 – spam
xxx.xx.169.148 – pill spam
xxx.xx.169.153 – Replica watch spam
xxx.xx.169.154 – Replica watch spam

Aunque parezca increible, esta botnet llegó a enviar 200 millones de emails spam diarios durante su corto periodo de actividad.

publicidad




Temas: , , ,

Si consideras interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:

Compártelo con tus amistades  


Publicaciones relacionadas:

Enviar un comentario

Gracias por aportar tu punto de vista al respecto.