1

Las botnets eluden la detección vía servicios P2P

botnetVarias de la amenazas de malware de Internet más peligrosas están utilizando sistemas de comando y control P2P para eludir la detección y bloqueo que ha afectado a muchas botnets convencionales, según la empresa de seguridad Damballa.

Se denomina táctica P2P y lleva dando vueltas varios años, pero esta firma de seguridad ha apreciado una cifra cinco veces superior en el número de ejemplares de malware que utilizan este procedimiento (the number of malware) en el último año, especialmente amenazas muy peligrosas, como ZeroAcces, Zeus v3 y TDL4/TDSS.

Sin embargo, este sistema de ataque no carece de inconvenientes que, sobre todo, tienen que ver con la mayor complejidad requerida para crear malware utilizando un canal Command and Control (C&C) P2P y las demoras que supone dar instrucciones a través de bots.

Pero, a cambio, la recompensa es que resulta más complicado interrumpir un programa C&C basado en P2P, ya que utiliza una jerarquía fija de servidores que pueden ser bloqueados y rotos, precisamente el mismo principio que hace al concepto tan popular entre los usuarios que comparten archivos.

Lo malo es que el grado de resistencia para acabar con botnets tradicionales es cada vez mayor, según denuncian los expertos en seguridad. “Los autores de los ataques se han dado cuenta de que la masiva adopción de P2P, unida a la carencia de una infraestructura de control centralizado, facilita su asalto”, asegura John Jerrim, director de análisis en Damballa.

“P2P limita la agilidad de los atacantes porque la distribución de comandos para infectar no es inmediata, pero estamos viendo que cada vez más piratas aceptan esta carencia para lograr acceso a sistemas que tienen otros mecanismos de defensa”, indica Jerrim.

Otra ventaja de P2P es que podía ser empleada por los operadores de redes bot como un canal de respaldo para “resucitar” malware que permanece inactivo para evitar su interceptación, reconoce el experto.

“Mientras que muchas empresas intentan reducir la actividad P2P, mediante el uso de firewalls tradicionales, el aumento de los usuarios móviles está disparando el número de ataques a redes P2P que aprovechan tanto las filtraciones de datos como el tiempo en que los equipos no están activos para tomar su control”, resume Jerrim