• Tweet

La tecnología peer to peer parece haber resurgido a través de un gusano que empezó a propagarse el fin de semana pasado.

El gusano, Nugache clasificado tambien como bot, intenta infectar sistemas a traves de email, la red de mensajería instantanea de America on line, y el uso de recursos compartidos en búsqueda de una red de computadoras vulnerables. Una vez que compromete una computadora, el programa utiliza una lista de 22 diversas direcciones del Internet para establecer conexiones a las computadoras de otras víctimas en una red peer to peer. El programa parece cifrar los datos que envía a otros servidores, posiblemente para hacer más dificil para los sistemas de detección de intrusos (IDSs) detectar el programa, según un análisis posteado a una lista de seguridad por el administrador de red Brian Eckman

"El "bot" no utiliza DNS (Domain Name System) para encontrar alguna red de comando y control tampoco utiliza ninguna secuencia legible para los humanos en su comunicación" Eckman, analista de seguridad en la universidad de Minnesota, escribió en su análisis. "Por lo tanto, muchas medidas de IDS no ayudarán a detectar hosts infectados en la red".

"Las técnicas representan las ultimas mejoras de los bots, las herramientas que eligen la mayoría de los criminales en línea apuntan convertir a las computadoras comprometidas en dinero".

Típicamente, los programas permiten que el amo del bot controle una red grande de sistemas infectados o botnet enviando los comandos a través de un sistema del Internet Relay Chat (IRC). Esta ultima variante de bot muestra que, amenazados por la capacidad de los investigadores de atacar a las redes de comando y control basadas en Internet Relay Chat - los amos de bots están buscando comunicaciones basadas en tráfico peer to peer, cifrado y otras tecnologías para ocultar sus huellas.

Las botnets que toman sus comandos a través de los canales del peer-to-peer harán que defenderse de ellos sea mucho más difícil, dijo a Joe Stewart, investigador de seguridad senior de la firma de proteccion de red Lurhq .

"Si la botnet está hecha correctamente, hace casi imposible eliminarla en su totalidad," dijo Stewart. " La carencia actual del anonimato ha preocupado obviamente muchos atacantes que poseen botnets, porque las últimas herramientas se están centrando en maneras de mantener comunicaciones privadas", dijo Vincent Weafer, Director del equipo de respuesta de Symantec, fabricante del software de seguridad

"El IRC está desapareciendo," dijo Weafer. "Hay un movimiento grande hacia los canales alternativos, por lo menos los canales cifrados, para evitar que los demás sepan de la comunicación ."

Mientras que el análisis de Nugache sigue siendo preliminar, la investigación demuestra que infecta sistemas enviando archivos ejecutables adjuntos a los mensajes del email,convenciendo a las víctimas que descarguen el programa haciendo click en una liga enviada a través del cliente de mensajería instantanea de AOL, y explotando dos vulnerabilidades en systemas corriendo Microsoft Windows sin Actualizar. Actualmente, el programa no parece haberse esparcido mucho , dijo Weafer.

Usar comunicaciones peer to peer para crear una red ad hoc para controlar las computadoras comprometidas no es nuevo, pero la funcionalidad dentro del BOT ha mejorado constantemente.

El gusano de Slapper, que comenzó a infectar ciertas variantes de Linux en septiembre de 2002, utilizó un protocolo peer to peer para ordenar a otras computadoras infectadas que realicen uno de tres tipos de ataques del negación de servicio. Un año después de Slapper, otro bot ,Sinit, usaba comunicaciones peer to peer para crear una red de la PC comprometidas conectadas que se podían actualizar con software adicional usando su propio protocolo. En 2004, los investigadores de seguridad advirtieron que Phatbot - una variante del prolífico Agobot - utiliza un sistema de peer to peer creado por America Online como parte de un proyecto de codigo abierto para enviar comandos a otro sistemas comprometidos.

Si las técnicas de Nugache para comunicarse sobre redes peer to peer se convertirán en parte de otros conjuntos de herramientas de amos de bots depende en gran parte de si el escritor del software malicioso que creó el programa comparte su código, dijo Mikko Hyppönen, jefe de investigación para la firma del anti-virus F-Secure. Por lo menos otras dos familias de bot se han visto ampliamente desarrolladas porque el código fuente está disponible.

Un defecto en Nugache podría hacerlo fácil de derrotar , según Stewart . La lista inicial de servidores parece estar cifrada fuertemente en el gusano, sugiriendo el bloqueo de esas 22 direcciones de Internet podría parar el crecimiento de la botnet .

Fuente: The Register  EVI/JGL