Actualmente, ninguno de nosotros está inmune al impacto bontets en organizaciones conectadas a internet
Existe una amplia validación de que monitorear los estándares de comunicación entre servidores de comando y control y sus víctimas potenciales es fundamental. Creemos que adoptar un abordaje proactivo al rastrear el comportamiento de botnets puede generar una inteligencia en amenazas que es verdaderamente accionable. Las botnets que son usadas para ataques de DDoS están creciendo, así como los demás tipos.
Este informe examina lascausas potenciales del aumento de esos tipos de ataque, el perfil de las víctimas por sector y geografía, puertas y protocolos comúnmente enfocados y varias otras características de las botnets.
Analizamos más detalladamente las botnets que son usadas específicamente para implementar malware (tales como los recién descubiertos SSHPsychos y PoSeidon) para obtener insights sobre los modelos de amenazas complejos y opciones de protección. Esos casos de uso sirven para aumentar la concientización de lo que las organizaciones deben esperar de sus proveedores de servicios de red, y destacan la necesidad de mayores niveles de asociación y colaboración en toda la comunidad de seguridad para proteger la Internet de manera más eficaz.
Esperamos que usted considere esta encuesta como un recurso valioso en sus esfuerzos para proteger su organización y el mundo conectado.
Chris Richter Vicepresidente Senior de Servicios de Seguridad Administrados Level 3 Communications
La inteligencia en amenazas sólo es útil si usted puede actuar rápidamente para proteger redes, sistemas
y datos. Las organizaciones actuales enfrentan un alto volumen de eventos de seguridad generados por el
ecosistema de sus soluciones de seguridad no colaborativas. No es una cuestión de recibir inteligencia sobre los ataques, sino sí: ¿Qué datos se deben usar para identificar indicadores de amenazas de seguridad críticas?
¿Cómo un proveedor de servicios de red global, Level 3 posee una visión amplia del tráfico mundial de
Internet y una visión amplia de los riesgos?. Nuestro equipo de Operaciones de Seguridad 24/7™, un grupo de profesionales de seguridad entrenados, monitorea cerca de 45 mil millones de sesiones de NetFlow por día para proteger nuestra red. Con un amplio espectro de comunicaciones bidireccionales vía Internet, el equipo ve cómo computadoras de las víctimas en todo el mundo se conectan con malhechores. Diariamente, nuestro equipo de seguridad monitorea cerca de 1.3 mil millones de eventos de seguridad y mitiga aproximadamente 22 ataques distribuidos de negación de servicio (DDoS). El equipo identifica, y remueve, en promedio una red de servidores de comando y control (C2) por día. El objetivo es compartir insights sobre el escenario de amenazas globales bajo la perspectiva de Level 3, y ofrecer las mejores prácticas para proteger efectivamente los activos de información.
En nuestro estudio, prestamos especial atención a las tendencias en el comportamiento de las botnet, ataques de DDoS y malware. Agentes maliciosos utilizan esas herramientas para adquirir el control de los activos de la empresa y transformarlos en terminales comprometidos. Ellos utilizan esas máquinas infectadas para distribuir malware, interrumpir negocios, establecer penetración de sistemas y robar propiedad intelectual de las empresas (exfiltración).
De las cerca de 1.000 redes C2 que monitoreamos durante el primer trimestre de 2015, constatamos que más de 600 están siendo usadas para comunicaciones maliciosas focalizando los ambientes corporativos. Si nada fuere hecho, esas redes C2 tienen el potencial de afectar los negocios y destruir activos de información críticos.
Obtuvimos datos sobre amenazas a partir de muestras de flujos de comunicación en toda nuestra red
diariamente. Correlacionamos esos datos con el banco de datos de reputación de Level 3, que genera
clasificaciones de riesgo con base en un esquema de puntuación de amenazas. Ese esquema de puntuación
de amenazas es derivado de los sistemas de Servicios de Seguridad Administrados de Level 3SM, estudio
algorítmico en el NetFlow y feeds de datos de reputación de terceros.
Esos datos de comunicaciones de amenazas en toda la Internet complementan otras fuentes de información, talescomo honeypots, que ayudan a los profesionales de seguridad a proteger sus datos, sistemas y redes mundialmente.
Con esos datos sobre amenazas, tomamos acciones en nuestro backbone, en las redes de nuestros clientes y en Internet, si necesario, para mitigar y prevenir diversos tipos de ataque. En este informe,vamos a discutir nuestros hallazgos y acciones con base en nuestro trabajo con esa inteligencia y análisis.
-El peligro más extraño: la importancia de monitorear las comunicaciones bidireccionales con botnets de comando y control.
Las comunicaciones de C2s son una indicación directa del potencial de riesgo o compromiso. Entre los métodos utilizados para generar nuestra inteligencia sobre amenazas están monitorear y analizar los estándares de comunicación bidireccional de C2s. Con clientes en más de 60 países abarcando seis
continentes, Level 3 tiene una visión excepcional del mundo conectado y de los agentes maliciosos que intentan comprometer el flujo de informaciones de negocio críticas. Bajo nuestro punto de vista de la Internet global, el equipo tiene visibilidad sobre el ámbito del control de esos agentes maliciosos y del
número de víctimas afectadas — o riesgos potenciales. Vemos el alcance y daño de las fuentes de amenazas y, al mismo tiempo, determinamos los impactos para los servidores o hosts individuales. En el primer trimestre, comunicaciones de C2s significativas provenientes de puntos en países como Ucrania, Rusia y Holanda enfocaron víctimas potenciales en los Estados Unidos. Nuestras técnicas de análisis nos permiten ver el movimiento de esos agentes y tomar medidas contra aquellos que representan una amenaza
para nuestra red. Las botnets no quedan paradas. En el caso de uso del SSHPsychos, vamos a discutir cómo usamos datos de comunicaciones para monitorear esas amenazas sofisticadas en toda la Internet.
Finalizando el presente informe, definimos una “víctima” como cualquier terminal que se comunica con el C2. La víctima puede ser el blanco con la intención de extraer datos de ella. La víctima también puede ser usada como una botnet, ayudando en las actividades del C2 para alcanzar otras víctimas. Muchas botnets
están frecuentemente hospedadas en dominios legítimos para evitar la detección por investigadores y resistir el filtrado de blackhole. Dominios legítimos altamente traficados son, obviamente, mecanismos de distribución útiles para malware y phishing.
-Nociones básicas sobre Botnets
Los botnets son grupos de programas conectados a Internet que quedan en varios dispositivos y que se comunican entre sí para realizar tareas. Esos dispositivos pueden ser servidores Web, computadoras personales o de trabajo,dispositivos móviles o cable módems. Las funciones de las botnets incluyenidentificar nuevos blancos, exfiltrar datos, distribuir software malicioso (malware,tales como virus, worms y keyloggers),robar informaciones personales opropiedad intelectual, o atacar otros blancos (por ejemplo, ataques de DDoS).
La mayoría de las máquinas que formanparte de la botnet también son máquinasinfectadas. Ellas son infectados por mediode una serie de métodos, incluyendoe-mails de phishing, visitas a páginascomprometidas o instalación de softwares comprometidos.Los servidores de comando y control (C2s) son los cerebros de las operaciones. Los C2s emiten instrucciones para que las máquinas infectadas ejecuten una tarea,como un ataque. Las formaciones comunes para botnets son:
-Servidor único:Un C2 gerencia todas las máquinas infectadas. Esa configuración simple proporciona
comunicación confiable, de baja latencia. Una vez descubierta, es fácil derribarla.
-Varios servidores:Diversos C2s son combinados para obtener redundancia.
-Jerarquía:Diversos C2s en una configuración dividida posibilitan múltiples tareas y ayudan a ofuscar la escala de la botnet de los investigadores.
-Peer to Peer:Las comunicaciones bot abot son más difíciles de rastreary derribar.
-Alerta de Tendencias: Migración a la nube
De la misma forma que empresas comerciales y otras organizaciones legítimas, los cibercriminales están percibiendo los beneficios de desarrollar instancias en máquinas virtuales. Los proveedores de nube, en algunos casos, exigen una validación de datos limitada para configurar una cuenta. Una cuenta simple en PayPal® o una tarjeta de crédito robada (pero aún válida) puede ser utilizada como medio de pago para esos servicios. Establecer máquinas virtuales (VMs) falsas en proveedores de servicios de nube del tipo infraestructura como servicio (IaaS) es, por tanto, un modelo atractivo para esos “clientes”. Por tanto, creemos que la proporción de malhechores que infectaron servidores legítimos versus aquellos que crearon bots en máquinas virtuales falsas está cambiando en favor de la implementación de máquinas virtuales (VMs). La flexibilidad para implementar y derribar instancias de VM, así como ampliar fácilmente una implementación, torna la computación en nube del tipo IaaS una solución perfecta para el comercio en negro.
-El escenario de ataques de C2S: Principales agentes maliciosos.
Geografías con infraestructuras de comunicaciones robustas continúan siendo un suelo fértil para los C2s. Esos lugares también están globalmente cerca de blancos ricos del sector industrial y público paracibercriminales y agentes deshonestos del estado-nación. Es importante observar: el instigador final del ataque puede no estar localizado en las mismas áreas geográficas de alto tráfico.
Los principales agresores abarcan el mundo entero. En el primer trimestre, en promedio, los Estados Unidos lideraron todas las naciones en la generación de tráfico de C2. Los Estados Unidos poseen una riqueza de infraestructura propicia para la realización de ataques. Su proximidad con blancos valiosos domésticamente e internacionalmente lo torna un lugar altamente deseable para que los criminales establezcan un punto de control bien conectado y estable.
-Los diez paises que generan mayor tráfico de C2 a nivel mundial
Desde una perspectiva global, Holanda ocupó una posición más alta en relación con otros países
de Europa continental. Esta posición en los “Top 10” se debe a un gran C2 y port scanner pesado
que alega haber hecho diversas víctimas en la región nórdica. Holanda ofrece una infraestructura
robusta, tornándola ideal para centralizar botnets para la región.
Aunque las naciones en todo el mundo estén representadas en la lista de los 10 principales infractores
globales, las regiones que generan los mayores niveles de tráfico de C2 son Europa y los Estados
Unidos. Un promedio de 20 por ciento de los C2s que monitoreamos estaban basados en América del
Norte, con un número prácticamente igual operando en Ucrania y Rusia juntas. Europa Occidental1 y
el Reino Unido contribuyeron con más de 12 por ciento del tráfico de C2. América Latina fue la fuente
de solo 2 por ciento del tráfico total de C2.
Comunicaciones no comunes para esos países deben ser alertas automáticos para las organizaciones
de TI y de seguridad. Un análisis sobre si los servidores deberían estar comunicándose, autenticando
o transfiriendo datos con terminales en determinados países de alto riesgo puede ser un predictor de
amenazas potenciales a su ambiente o un indicador de un compromiso potencial.
-Victimización Generalizada
Quiénes son los blancos de estos C2S y dónde ellos están localizados? En el primer trimestre de 2015, Noruega recibió el mayor tráfico de víctimas en todo el mundo. Esto puede parecer sorprendente, tanto desde una perspectiva global como regional. El volumen de C2 en Noruega fue un reflejo de un C2 hospedado en un ambiente de hospedaje Web específico, lo que causó un aumento acentuado en el tráfico de C2 identificado. Identificamos un exceso de comunicaciones de botnets nórdicos con C2s — 22 por ciento del promedio global del tráfico de víctimas. En comparación, las víctimas británicas representaron 2 por ciento y el Sur de Europa2 representó 11 por ciento del promedio global. El alto volumen de tráfico de ataque en Holanda está relacionado con el tráfico de víctimas en Noruega y Suecia. La proximidad con el blanco desempeña un papel importante en la eficacia de esas campañas.
*La composición macrogeográfica es definida de acuerdo con la División de Estadísticas de las Naciones Unidas de 2013.
-Paises en Europa del este, sudeste Asiático y de Asia occidental que se comunican con C2
Los países del Este y Sudeste de Asia fueron los destinatarios de 7 por ciento del tráfico de víctimas mundial, mientras Asia Occidental, Central y el Sudeste Asiático representaron 18 por ciento de ese tráfico.
-El mercado de Botnets y tendencias de diversificación de amenzas.
Las botnets de alquiler son un gran negocio. En los Estados Unidos, el acceso a 1.000 servidores exclusivos cuesta USD 190 por mes3. El precio aumentó en relación a 2013, cuando el valor para el mismo servicio era de USD 20. Los compradores en Europa no enfrentaron los mismos aumentos acentuados, pero los precios continúan saludables. Mil botnets del Reino Unido cuestan cerca de USD 120 por mes4. La fuerte demanda por la botnet como un servicio indica que los malhechores la ven como un método eficaz de ataque. Esto también indica que una tendencia de comprar en vez de construir está surgiendo para el agresor menos sofisticado. Los Laboratorios de Estudios de Amenazas de Level 3 constataron que 22 por ciento de los servidores de C2 realizan más de una función. Más probablemente, muchas de esas botnets son de naturaleza comercial, y forman parte de un negocio diversificado. Por ejemplo, ellas pueden tener diversos fines de lucro, tales como distribución de malware, ataques de DDoS y servicios de phishing.
La buena noticia para la comunidad de seguridad es que plataformas comerciales multiuso son más frecuentemente construidas y en una estructura plana. Aunque esa configuración pueda ser altamente eficiente para el propietario de la botnet, ella facilita la identificación de esas operaciones por los investigadores, así como su cierre por los operadores de red. Sin embargo, sería ingenuo dejar de prever que esas operaciones de botnets no reinvertirían sus lucros en arquitecturas más robustas para resistir a las descubiertas. La operación de botnets es un negocio de lucro una configuración simple. Los costos operacionales para crear, mantener y mover una botnet, una vez desmovilizada, son bajos. Las botnets bloqueadas pueden volver a quedar on-line, muchas veces en algunas horas después de su cierre. Monitorear la finalidad de la amenaza de una C2 es fundamental, pues esos datos pueden servir como un predictor del riesgo. Es importante conseguir determinar si los servidores están comunicándose con botnets que son operados para funcionar con fines específicos, para que uno pueda reaccionar para interrumpir la amenaza. La mitigación puede ser tan simple como bloquear los e-mails de esos terminales infectados para evitar el phishing, o puede significar algo mucho más complejo para evitar la infección.
-Reducción del riesgo por medio del control de botnets
Entender las características de los agentes de las amenazas ayuda a las organizaciones y la comunidad de seguridad a manejar los riesgos actuales, y establecer contramedidas. ¿Cómo estas tácticas están dándose en la guerra contra los C2s? Una de las metodologías que Level 3 utiliza para determinar el nivel de eficacia de las mitigaciones es monitorear la edad media de un C2. El objetivo es reducir el período de tiempo en el cual los C2s sobreviven en Internet, aumentando los costos y cargos de la explotación de una botnet. Nuestra investigación muestra que la edad media de un C2 para el primer trimestre de 2015 fue de 38 días, valor que se mantuvo constante en relación al trimestre anterior. La expiración de un C2 puede ser causada por cuenta propia, remoción por una primera parte o remoción por un tercero. Una remoción por la primera parte se refiere a la situación en la cual el propietario del host que actúa como un C2 descubre la infección y remueve el malware. En algunos casos, el propietario del servidor puede inadvertidamente quebrar la persistencia del malware actualizando el software o aplicando patches. Y en una remoción por terceros, un prestador de servicios impide la conectividad entre el C2 y la botnet al bloquear el DNS o direcciones de IP.Edad media deun C2:38 dias.
Dell SecureWorks, Underground Hacker Markets, dezembro de 2014