Академический Документы
Профессиональный Документы
Культура Документы
Caractersticas de Botnet
Al igual que las generaciones anteriores de virus y gusanos, un bot es una aplicacin de
propagacin automtica que infecta a los hosts vulnerables mediante actividades de
explotacin para ampliar su alcance. Los mtodos de infeccin de bots son similares a
otras clases de malware que reclutan sistemas vulnerables mediante la explotacin de
las vulnerabilidades de software, insercin troyana, as como tcnicas de ingeniera
social lo que lleva a descargar cdigo bot malicioso bot.
Sin embargo, entre las otras clases de malware, la definicin caracterstica de los
botnets es el uso de los canales de comando y control (C & C) a travs de los cuales se
pueden actualizar y ser dirigidos. La arquitectura C & C de mltiples niveles de botnets
proporciona anonimato para el dueo del bot. Los canales C & C pueden operar una
gama de topologas lgicas de red y utilizar diferentes protocolos de comunicacin.
Segn su arquitectura de mando y control, las botnets se pueden clasificar como
basadas en IRC, basadas en HTTP, basadas en DNS o peer-to-peer (P2P) botnets [8]. Las
botnets P2P usan el protocolo P2P reciente para evitar un solo punto de falla. Adems,
las botnets P2P son ms difciles de localizar, apagar, secuestrar [9, 10]. Sin embargo,
segn el anlisis en [2] la mayora de las botnets prevalentes se basan en Internet
Relay Chat (IRC) protocolo [11] con un comando centralizado y control mecanismo. El
protocolo IRC fue diseado originalmente para salas de chat social para permitir varias
formas de comunicacin y la difusin de datos entre un gran nmero de huspedes
finales. La gran prevalencia de las botnets basadas en IRC se debe a la flexibilidad y
escalabilidad de este protocolo. Adems, hay son varias las implementaciones de
cdigo abierto que permiten dueos de los bots extenderlos de acuerdo a sus
demandas [2, 12].
B. Ciclo de vida de Botnet
Una botnet tpica se puede crear y mantener en cinco fases: infeccin inicial, inyeccin
secundaria, conexin, comando malicioso y control, actualizacin y mantenimiento.
Este ciclo de vida se representa en la Fig. 1.
Durante la fase inicial de infeccin, el atacante explora la subred destino para conocer
sus vulnerabilidades, e infecta a la vctima mediante diferentes mtodos de
explotacin. Despus de la infeccin inicial, en la fase de inyeccin secundaria, los
huspedes infectados ejecutan un script conocido como shell-code. El cdigo shell
recupera la imagen del bot binario actual desde la ubicacin especfica mediante FTP,
HTTP o P2P. El bot binario se instala en la mquina de destino. Una vez instalado el
programa bot, la computadora se convierte en un "Zombie" y ejecuta el cdigo
malicioso. La aplicacin del bot se inicia automticamente cada vez que el zombie se
reinicia [2, 8, 13]. En la fase de conexin, el programa bot establece un comando y
control (C & C), y conecta el canal de zombie al servidor de comando y control (C & C).
Sobre el establecimiento del canal C & C, el zombi se convierte en una atacante del
ejrcito botnet. Despus de la fase de conexin, el actual comando del bot y las
actividades de control se iniciarn. El maestro bot utiliza el canal C & C para difundir
comandos a su ejrcito bot. Los programas Bot reciben y ejecutan comandos enviados
por maestro bot. El canal de C & C permite al maestro bot controlar de forma remota
la accin de un gran nmero de bots para diversas actividades ilcitas [8, 13].
ltima fase es mantener los robots vivos y actualizados. En esta fase, los robots estn
ordenados para descargar un binario actualizado.