Command-and-Control: tu red podría estar bajo control de los cibercriminales

Command-and-Control: tu red podría estar bajo control de los cibercriminales

Lorena Fernández

El acto de conectarse a una red es cosa de todos los días. Lo hacemos en nuestro lugar de trabajo, universidad, colegio, hogar y prácticamente cualquier lugar. Sin embargo, estamos expuestos ante numerosos ataques como los Command-and-Control. Estos son especialmente peligrosos porque tienen una capacidad de expandirse muy rápidamente y a escalas muy altas, para realizar ataques devastadores como los DDoS. En este artículo, te contamos en qué consisten y cuáles son las medidas que uno debe tomar para prevenir y recuperarse de estos ataques.

Un servidor de tipo Command-and-Control es un dispositivo vulnerado y a su vez, bajo control de un cibercriminal. Este equipo, así como otros dispositivos «controlados» que forman parte de una red, pueden ser miembros de un centro de comando (command center) y también es posible que pertenezca a botnet. Y esta última es como un grupo constituido por estos dispositivos controlados con el fin de tener completo control de la red.

Cómo se lleva a cabo un ataque Command-and-Control

La imagen que vemos más arriba demuestra hasta qué punto es posible escalar los ataques de tipo Command-and-Control. Pueden ser tan grandes que puede constituirse de la siguiente manera:

  • Bot Master: sería el dispositivo central, que puede ser un ordenador o un servidor administrado por el atacante.
  • Servidores Command-and-Control: recordemos que estos servidores C&C son también dispositivos infectados -generalmente- por un troyano. Estos son como los hijos del Bot Master, y, a su vez, tienen la capacidad de infectar otros dispositivos.
  • Bots: son los dispositivos que fueron infectados o «reclutados» por los servidores C&C que posteriormente se convierte en bots (robots). Estos pueden pertenecer a una misma red o bien, los servidores C&C pueden hacerse de dispositivos pertenecientes a otras redes.

Básicamente, los ataques Command-and-Control tienen la capacidad de armar botnets enormes para ejecutar con facilidad ataques a gran escala. Las botnets gigantes son armas ideales para ataques DDoS o bien, para el envío masivo de spam o correo electrónico con contenido malicioso para infectar aún más dispositivos. Así, la botnet puede seguir creciendo. Los servidores Command-and-Control logran reclutar a los ordenadores y demás dispositivos principalmente de dos formas:

  • Correo Electrónico. Sin miedo al error, esta es la forma más eficaz de reclutar a bots. Más que nada porque el usuario es muy curioso y para saciar esas ganas de saber el contenido de un archivo adjunto, descargará el archivo y lo abrirá, incluso si dicho usuario no había esperado recibir tal archivo. Lo mismo ocurre con los enlaces, no importa, aquellos enlaces que claramente se ven como sospechosos, las víctimas acceden y caen. Lo sabemos, la curiosidad es la principal amenaza de seguridad.
  • Explotar Vulnerabilidades. Existen vulnerabilidades que, una vez que logran ser explotadas, pueden crear una especie de puerta trasera (backdoor) que permite el acceso y control total del dispositivo de la víctima. Tengamos presente que las vulnerabilidades aparecen, y si no tenemos un sistema operativo actualizado, complementos y extensiones de navegadores web inseguros, y cualquier otro programa de carácter inseguro. seremos vulnerables.

Tipos de arquitecturas de una botnet

Anteriormente hemos descrito un esquema de funcionamiento tradicional de una botnet centralizada. El modelo cliente-servidor es la base que constituye a este tipo de redes maliciosas. Generalmente, la comunicación entre los miembros de la botnet se da mediante el veterano IRC (Internet Relay Chat). Este servicio de mensajería instantánea funciona de la siguiente manera: un usuario instala un programa que sirve de interfaz IRC, la cual sirve para entrar en contacto con servidores de chat. Estos servidores permiten la comunicación entre usuarios. Las redes IRC se constituyen de manera muy sencilla y no requieren de mucho ancho de banda, lo que implica que sean muy útiles para la creación y expansión de las botnets. Gran parte de las botnets que se han creado para llevar a cabo los ataques DDoS más devastadores, han sido posible especialmente gracias al IRC.

Por otro lado, existe la arquitectura de botnet descentralizada. Su principal característica es que no existe un servidor o dispositivo responsable del botnet. Todos los miembros hacen posible su funcionamiento, por lo que se hace más difícil la posibilidad de destruirla. Las botnets de carácter centralizado tienen la fragilidad de que los Bot Masters, si dejan de funcionar, toda la red maliciosa en sí deja de funcionar. Cualquier organización especializada en la seguridad de la información y/o la ciberseguridad puede detectar y detener el funcionamiento de los servidores y canales, por lo que no resulta muy conveniente generalmente optar por un botnet centralizado.

¿Qué puedo hacer si mi equipo se ha convertido en un bot?

Estas medidas te pueden ayudar a tomar acción efectiva si es que tu dispositivo llegó a formar parte de una botnet. Recuerda que no solamente un ordenador es vulnerable, si no cualquier otro dispositivo que tiene la posibilidad de conectarse a una red, como los dispositivos IoT. Sin embargo, estos a su vez te pueden ayudar a prevenir futuros eventos:

  • El administrador de tareas ayuda bastante a la hora de detectar cuáles son los procesos que consumen la mayor parte de los recursos de tu ordenador. Así también, podrás localizar procesos desconocidos. Por eso, consúltalo con frecuencia si notas un comportamiento extraño de tu ordenador. Una vez localizados a esos procesos, puedes terminar con ellos inmediatamente y pasar un antimalware.
  • Opta por buenas soluciones antivirus/antimalware que te permitan realizar escaneos de alto nivel de detalle en búsqueda de malware y cualquier otro tipo de programa malicioso. A pesar de que estos no resulten ser las soluciones más completas, estas nos pueden ayudar a identificar gran parte del malware que estaría presente en nuestro ordenador.
  • Si has sido víctima de ataque de tipo rootkit, dos medidas eficaces para recuperarse consisten en la restauración de copias de seguridad realizadas previamente, o bien, reinstalar el sistema operativo desde un punto previo anterior al ataque. He aquí la importancia de generar las copias de seguridad tanto de nuestro archivo en general como puntos previos del sistema operativo.
  • Aplica las actualizaciones de software siempre que se encuentren disponibles. Lo mismo se aplica a las actualizaciones de seguridad, ya que estas cuentan con varias soluciones que ayudan a prevenir futuros ataques. Además, ayudan a optimizar el rendimiento del sistema operativo y el ordenador en general.

Medidas de seguridad en contra de los ataques Command-and-Control para redes empresariales

Las organizaciones son las que más se encuentran en riesgo de los ataques por parte de servidores C&C. Esto es así debido a que pueden existir cientos y miles de dispositivos que formen parte de una misma red o varias redes. Si una red empresarial fue víctima por parte de un ataque C&C, acostumbran a presentarse problemas de rendimiento, velocidad e incluso no disponibilidad de la propia red. Sin embargo, es posible aplicar una serie de medidas que asegurará una buena capa de protección:

  • Se debe realizar análisis de la red mediante herramientas como Network Meter y si es que existen puntos de acceso inalámbricos, contamos con algunas sugerencias prácticas aquí. Más que nada, estas herramientas se enfocan en el control de quienes se conectan y cuál es el ancho de banda que consume. Por tanto, puedes saber las MAC de sus interfaces de red y otros datos.
  • Para tener control y realizar detección de paquetes sospechosos que viajan por la red, puedes optar por herramientas como Wireshark y Scapy si es que los sistemas son basados en Linux.
  • Configurar escaneo y análisis automatizado de los antivirus/antimalware en todos los ordenadores para garantizar protección permanente a los usuarios.
  • Algunos procesos esenciales de hardening (aseguramiento) deberían ser aplicados. Algunos fundamentales son el borrado de programas sospechosos e implementación de firewall basado en la red o basado en los hosts de la red. Aunque es posible aplicar ambos.
  • Ordenadores actualizados permanentemente, tanto el sistema operativo como las aplicaciones que se utilizan en el día a día.

Esperamos que estas recomendaciones os ayuden a vigilar si vuestros ordenadores y dispositivos IoT forman parte de una botnet, y en caso afirmativo, poder salir de ella cuanto antes.