En 2012 la firma de seguridad G-Data descubrió la existencia de una red Botnet que se controlaba desde un IRC corriendo como un nodo TOR. A nivel operativo, la botnet funciona del mismo modo, no se ve afectada “negativamente” por esta configuración, pero el hecho de que el C&C estuviera dentro de la red TOR añadía, lógicamente, cierta dificultad a su desmantelamiento.

Sinkholing o Black Hole DNS: Suplantación

Hoy en día las botnets que se controlan desde servidores convencionales (sean “bulletproof” o no) se echan abajo al suplantar el centro de Comando y Control (C&C). La técnica se llama Sinkholing DNS y permite introducir un peer infectado intecionadamente en la botnet para luego, mediante la mapulación o suplantación de las DNS, conducir todo el tráfico hacia él, en lugar de hacia el Botmaster.

Evidentemente este método no se puede mantener indefinidamente, pero sí, por ejemplo, hacer minería de datos como hizo Kaspersky Labs en su investigación de Hlux/Kelihos para conocer más sobre el adversario:

Hlux/Kelihos Minerñia de datos Kaspersky Lab

 

En este caso se pudo obtener mucha información sobre las geolocalizaciones de las máquinas infectadas con el malware.

Después, una vez que las empresas de seguridad conocen la existencia del malware, lo añaden a sus bases de datos y Microsoft añade a su herramienta de eliminación de software malintencionado la firma del malware, sin embargo, para acabar realmente con las infecciones, debe pasar tiempo. El usuario infectado tendría que formatear el equipo, detectarlo y eliminarlo, actualizar el sistema, etc. Lo importante es que el control ya no lo tienen los cibercriminales.

Skynet: Botnet TOR

He explicado lo anterior para que comprendas que en una botnet TOR el Sinkholing o Blackhole DNS no se puede aplicar y por eso Skynet es especial.

Ser detectada por 7 de 42 antivirus en Virustotal.Com es un ratio de deteccción muy bajo, sobretodo para un server que ocupa 15 MB (mucho para malware común). Se propaga a través de las antiguas Usenet, hoy muy frecuentadas por las descargas.

Decía al principio que se dificulta la detección del servidor de control al estar en TOR. En TOR, no se sabe qué ruta seguirá el tráfico, de dónde se conecta el atacante ni cómo fluye el tráfico maligno. Se desconoce la estructura. La botnet Skynet es muy completa: Puede hacer minería de Bitcoins en los equipos infectados, proveer de “bots” para acciones DDOS o campañas de Spamming. Lo lleva todo incorporado:

  1. Un cliente TOR para Windows.
  2. Una aplicación para minería de Bitcoins. Esta parte del malware se gestiona con el software OpenSource “Mining Proxy“.
  3. Una variante del famoso malware ZEUS para conseguir credenciales e información bancaria.miningproxy

Cuando se conecta por IRC utiliza este esquema para identificarse: [NED-XP-687126]USERNAME. Pero quedémonos con lo importante de esta botnet: Es capaz de ser operada sólo desde TOR y ya hay unas 15.000 máquinas infectadas. La disolución de Skynet será difícil desde un punto de vista puramente técnico.

Comportamiento del malware

Una vez ejecutado el malware se copia en una carpeta aleatoria dentro de AppData y a veces se oculta como Internet Explorer o svchost.exe. Después comienza a sobreescribir múltiples procesos y aplicaciones legítimas con su código.

También es muy sigiloso para no ser detectado. En palabras de su autor (traducción propia):

El “miner” comienza en cuanto el usuario del PC deja 2 minutos de usarlo y se detiene instantáneamente en cuanto se empieza a usar de nuevo, por eso no bajarán tus FPS en el “COD3” ni descubrirás lag al ver tus vídeos.

estructura-skynet-botnet

BONUS

Skynet es famosa también porque fué presentada en Reddit.Com por el usuario throwaway236236, que podría estar detenido, y ahora es famosa la dirección web. Los primeros en investigar esta botnet de pequeña escala, Rapid7, descubrieron que se trataba de la descrita en Reddit.Com ese año en “Ask Me Anything” (AMA).

Pero como dijo @The Grugq:

Mantén tu boca cerrada, hablar de tu negocio en Reddit, no es precisamente una buena idea.

Fuentes:

  1. http://www.viruslist.com/sp/weblog?weblogid=208188501
  2. https://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html
  3. http://resources.infosecinstitute.com/dns-sinkhole/
  4. https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit
  5. https://threatpost.com/tor-powered-botnet-linked-malware-coder-s-ama-reddit-121112/77302
  6. http://www.techworld.com/news/security/tor-network-used-command-skynet-botnet-3415592/

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Mira además

La revolución del Partido Pirata en Islandia

El Partido Pirata de Islandia, fundado el 24 de noviembre de 2012 por Birgitta Jónsdóttir …