Una botnet es una serie de dispositivos conectados a Internet , cada uno de los cuales ejecuta uno o más bots . Las botnets se pueden utilizar para realizar ataques de denegación de servicio distribuido (DDoS) , robar datos, [1] enviar spam y permitir que el atacante acceda al dispositivo y su conexión. El propietario puede controlar la botnet mediante el software de comando y control (C&C). [2] La palabra "botnet" es una combinación de las palabras " robot " y " red ". El término generalmente se usa con una connotación negativa o maliciosa.
Descripción general
Una botnet es una colección lógica de dispositivos conectados a Internet , como computadoras, teléfonos inteligentes o dispositivos de Internet de las cosas (IoT) cuya seguridad ha sido violada y el control cedido a un tercero. Cada dispositivo comprometido, conocido como "bot", se crea cuando un dispositivo es penetrado por software de una distribución de malware (software malintencionado). El controlador de una botnet puede dirigir las actividades de estas computadoras comprometidas a través de canales de comunicación formados por protocolos de red basados en estándares , como IRC y Hypertext Transfer Protocol (HTTP). [3] [4]
Los ciberdelincuentes alquilan cada vez más las redes de bots como productos básicos para diversos fines. [5]
Arquitectura
La arquitectura de la botnet ha evolucionado con el tiempo en un esfuerzo por evadir la detección y la interrupción. Tradicionalmente, los programas bot se construyen como clientes que se comunican a través de servidores existentes. Esto permite al pastor de bots (el controlador de la botnet) realizar todo el control desde una ubicación remota, lo que ofusca el tráfico. [6] Muchas botnets recientes ahora dependen de las redes peer-to-peer existentes para comunicarse. Estos programas bot P2P realizan las mismas acciones que el modelo cliente-servidor, pero no requieren un servidor central para comunicarse.
Modelo cliente-servidor
Las primeras redes de bots en Internet utilizaron un modelo cliente-servidor para realizar sus tareas. [7] Normalmente, estas redes de bots operan a través de redes, dominios o sitios web de Internet Relay Chat . Los clientes infectados acceden a una ubicación predeterminada y esperan los comandos entrantes del servidor. El pastor de bots envía comandos al servidor, que los transmite a los clientes. Los clientes ejecutan los comandos e informan de sus resultados al administrador de bots.
En el caso de las redes de bots de IRC, los clientes infectados se conectan a un servidor de IRC infectado y se unen a un canal previamente designado para C&C por el administrador de bots. El pastor de bots envía comandos al canal a través del servidor IRC. Cada cliente recupera los comandos y los ejecuta. Los clientes envían mensajes al canal de IRC con los resultados de sus acciones. [6]
De igual a igual
En respuesta a los esfuerzos por detectar y decapitar las botnets de IRC, los pastores de bots han comenzado a implementar malware en redes peer-to-peer . Estos bots pueden usar firmas digitales para que solo alguien con acceso a la clave privada pueda controlar la botnet. [8] Ver, por ejemplo, Gameover ZeuS y la botnet ZeroAccess .
Las botnets más nuevas operan completamente a través de redes P2P. En lugar de comunicarse con un servidor centralizado, los bots P2P funcionan como un servidor de distribución de comandos y un cliente que recibe comandos. [9] Esto evita tener un solo punto de falla, lo cual es un problema para las botnets centralizadas.
Para encontrar otras máquinas infectadas, el bot sondea discretamente direcciones IP aleatorias hasta que se pone en contacto con otra máquina infectada. El bot contactado responde con información como su versión de software y una lista de bots conocidos. Si la versión de uno de los bots es más baja que la del otro, iniciarán una transferencia de archivos para actualizar. [8] De esta manera, cada bot aumenta su lista de máquinas infectadas y se actualiza comunicándose periódicamente con todos los bots conocidos.
Componentes principales
El creador de una botnet (conocido como " pastor de bots " o "maestro de bots") controla la botnet de forma remota. Esto se conoce como comando y control (C&C). El programa para la operación debe comunicarse a través de un canal encubierto con el cliente en la máquina de la víctima (computadora zombie).
Protocolos de control
IRC es un medio históricamente favorecido de C&C debido a su protocolo de comunicación . Un pastor de bots crea un canal IRC para que se unan los clientes infectados. Los mensajes enviados al canal se transmiten a todos los miembros del canal. El pastor de bots puede establecer el tema del canal para controlar la botnet. Por ejemplo, el mensaje :[email protected] TOPIC #channel DDoS www.victim.com
del pastor de bots alerta a todos los clientes infectados que pertenecen al #canal para comenzar un ataque DDoS en el sitio web www.victim.com. Un ejemplo de respuesta :[email protected] PRIVMSG #channel I am DDoSing www.victim.com
de un cliente de bot alerta al pastor de bots que ha comenzado el ataque. [8]
Algunas redes de bots implementan versiones personalizadas de protocolos conocidos. Las diferencias de implementación se pueden utilizar para la detección de botnets. Por ejemplo, Mega-D presenta una implementación de Protocolo simple de transferencia de correo (SMTP) ligeramente modificada para probar la capacidad de correo no deseado. La desactivación del servidor SMTP de Mega-D desactiva todo el grupo de bots que dependen del mismo servidor SMTP. [10]
Computadora zombi
En informática , una computadora zombi es una computadora conectada a Internet que ha sido comprometida por un pirata informático , un virus informático o un caballo de Troya y puede usarse para realizar tareas maliciosas bajo dirección remota. Las botnets de las computadoras zombies se utilizan a menudo para difundir correo no deseado y lanzar ataques de denegación de servicio (DDoS). La mayoría de los propietarios de computadoras zombies no saben que su sistema se está utilizando de esta manera. Debido a que el propietario tiende a no darse cuenta, estas computadoras se comparan metafóricamente con zombis . Un ataque DDoS coordinado por varias máquinas de botnets también se asemeja a un ataque de hordas zombies. [11]
El proceso de robo de recursos informáticos como resultado de la unión de un sistema a una "red de bots" se denomina a veces "scrumping". [12]
Comando y control
Los protocolos Botnet Command and control (C&C) se han implementado de varias formas, desde enfoques tradicionales de IRC hasta versiones más sofisticadas.
Telnet
Las botnets Telnet utilizan un protocolo de botnet C&C simple en el que los bots se conectan al servidor de comando principal para alojar la botnet. Los bots se agregan a la botnet mediante un script de escaneo , que se ejecuta en un servidor externo y escanea los rangos de IP para los inicios de sesión predeterminados del servidor SSH y telnet . Una vez que se encuentra un inicio de sesión, el servidor de escaneo puede infectarlo a través de SSH con malware, que hace ping al servidor de control.
IRC
Las redes IRC utilizan métodos de comunicación simples y de bajo ancho de banda, lo que las hace muy utilizadas para alojar botnets. Suelen ser de construcción relativamente simple y se han utilizado con un éxito moderado para coordinar los ataques DDoS y las campañas de spam, al tiempo que pueden cambiar continuamente de canal para evitar ser eliminados. Sin embargo, en algunos casos, el simple bloqueo de determinadas palabras clave ha demostrado ser eficaz para detener las redes de bots basadas en IRC. El estándar RFC 1459 ( IRC ) es popular entre las redes de bots. El primer script de controlador de botnet popular conocido, "MaXiTE Bot", utilizaba el protocolo IRC XDCC para comandos de control privados.
Un problema con el uso de IRC es que cada cliente de bot debe conocer el servidor, el puerto y el canal de IRC para ser de alguna utilidad para la botnet. Las organizaciones anti-malware pueden detectar y cerrar estos servidores y canales, deteniendo efectivamente el ataque de la botnet. Si esto sucede, los clientes aún están infectados, pero generalmente permanecen inactivos ya que no tienen forma de recibir instrucciones. [8] Para mitigar este problema, una botnet puede constar de varios servidores o canales. Si uno de los servidores o canales se desactiva, la botnet simplemente cambia a otro. Todavía es posible detectar e interrumpir canales o servidores de botnet adicionales al rastrear el tráfico de IRC. Un adversario de botnet puede incluso potencialmente adquirir conocimiento del esquema de control e imitar al pastor de bots emitiendo comandos correctamente. [13]
P2P
Dado que la mayoría de las redes de bots que utilizan dominios y redes de IRC se pueden eliminar con el tiempo, los piratas informáticos se han trasladado a las redes de bots P2P con C&C para hacer que la red de bots sea más resistente y resistente a la terminación.
Algunos también han utilizado el cifrado como una forma de proteger o bloquear la botnet de otros, la mayoría de las veces cuando utilizan cifrado es criptografía de clave pública y ha presentado desafíos tanto para implementarlo como para romperlo.
Dominios
Muchas grandes redes de bots tienden a utilizar dominios en lugar de IRC en su construcción (consulte la botnet Rustock y la botnet Srizbi ). Por lo general, se alojan con servicios de alojamiento a prueba de balas . Este es uno de los primeros tipos de C&C. Una computadora zombie accede a una página web o dominio (s) especialmente diseñado que sirve la lista de comandos de control. Las ventajas de utilizar páginas web o dominios como C&C es que una gran botnet puede controlarse y mantenerse eficazmente con un código muy simple que se puede actualizar fácilmente.
Las desventajas de utilizar este método son que utiliza una cantidad considerable de ancho de banda a gran escala y las agencias gubernamentales pueden apoderarse rápidamente de los dominios con poco esfuerzo. Si los dominios que controlan las redes de bots no se confiscan, también son objetivos fáciles de comprometer con ataques de denegación de servicio .
El DNS de flujo rápido se puede utilizar para dificultar el seguimiento de los servidores de control, que pueden cambiar de un día a otro. Los servidores de control también pueden saltar de un dominio DNS a otro, con algoritmos de generación de dominio que se utilizan para crear nuevos nombres DNS para los servidores controladores.
Algunas redes de bots utilizan servicios de alojamiento de DNS gratuitos como DynDns.org , No-IP.com y Afraid.org para apuntar un subdominio hacia un servidor de IRC que alberga los bots. Si bien estos servicios DNS gratuitos no albergan ataques por sí mismos, proporcionan puntos de referencia (a menudo codificados en el ejecutable de la botnet). La eliminación de estos servicios puede paralizar toda una botnet.
Otros
Volviendo a llamar a grandes sitios de redes sociales [14] como GitHub , [15] Twitter , [16] [17] Reddit , [18] Instagram , [19] el protocolo de mensajería instantánea de código abierto XMPP [20] y los servicios ocultos de Tor [ 21] son formas populares de evitar el filtrado de salida para comunicarse con un servidor C&C. [22]
Construcción
Tradicional
Este ejemplo ilustra cómo se crea una red de bots y cómo se utiliza con fines maliciosos.
- Un pirata informático compra o crea un troyano y / o un kit de explotación y lo utiliza para comenzar a infectar las computadoras de los usuarios, cuya carga útil es una aplicación maliciosa: el bot .
- El bot le indica a la PC infectada que se conecte a un servidor de comando y control (C&C) en particular. (Esto le permite al botmaster mantener registros de cuántos bots están activos y en línea).
- El botmaster puede usar los bots para recopilar pulsaciones de teclas o usar la captura de formularios para robar credenciales en línea y puede alquilar la botnet como DDoS y / o spam como servicio o vender las credenciales en línea para obtener ganancias.
- Dependiendo de la calidad y capacidad de los bots, el valor aumenta o disminuye.
Los bots más nuevos pueden escanear automáticamente su entorno y propagarse utilizando vulnerabilidades y contraseñas débiles. En general, cuantas más vulnerabilidades puede escanear y propagar un bot, más valioso se vuelve para una comunidad de controladores de botnets. [23]
Las computadoras pueden convertirse en una botnet cuando ejecutan software malintencionado. Esto se puede lograr atrayendo a los usuarios para que realicen una descarga automática, explotando las vulnerabilidades del navegador web o engañando al usuario para que ejecute un programa caballo de Troya , que puede provenir de un archivo adjunto de correo electrónico. Este malware normalmente instalará módulos que permiten que el operador de la botnet controle y comande la computadora. Después de descargar el software, llamará a casa (enviará un paquete de reconexión ) a la computadora host. Cuando se realiza la reconexión, dependiendo de cómo esté escrito, un troyano puede borrarse a sí mismo o permanecer presente para actualizar y mantener los módulos.
Otros
En algunos casos, una botnet puede ser creada temporalmente por hacktivistas voluntarios , como con las implementaciones del Cañón de Iones de Órbita Baja tal como lo usaron los miembros de 4chan durante el Proyecto Chanology en 2010. [24]
El Gran Cañón de China de China permite la modificación del tráfico legítimo de navegación web en las redes troncales de Internet hacia China para crear una gran botnet efímera para atacar grandes objetivos como GitHub en 2015. [25]
Características comunes
- La mayoría de las botnets presentan actualmente ataques de denegación de servicio distribuidos en los que varios sistemas envían tantas solicitudes como sea posible a una sola computadora o servicio de Internet, sobrecargándola y evitando que atienda solicitudes legítimas. Un ejemplo es un ataque al servidor de una víctima. El servidor de la víctima es bombardeado con solicitudes de los bots, que intentan conectarse al servidor y, por lo tanto, lo sobrecargan.
- El software espía es un software que envía información a sus creadores sobre las actividades de un usuario, generalmente contraseñas, números de tarjetas de crédito y otra información que se puede vender en el mercado negro. Las máquinas comprometidas que se encuentran dentro de una red corporativa pueden valer más para el administrador de bots, ya que a menudo pueden obtener acceso a información corporativa confidencial. Varios ataques dirigidos a grandes corporaciones tenían como objetivo robar información confidencial, como la botnet Aurora. [26]
- Los correos electrónicos no deseados son mensajes de correo electrónico disfrazados de mensajes de personas, pero que son publicitarios, molestos o maliciosos.
- El fraude de clics ocurre cuando la computadora del usuario visita sitios web sin que el usuario sea consciente de crear tráfico web falso para beneficio personal o comercial. [27]
- El fraude publicitario es a menudo una consecuencia de la actividad de un bot malicioso, según CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet. [28] Los propósitos comerciales de los bots incluyen a personas influyentes que los usan para aumentar su supuesta popularidad, y editores en línea que usan bots para aumentar el número de clics que recibe un anuncio, lo que permite que los sitios obtengan más comisiones de los anunciantes.
- La minería de Bitcoin se utilizó en algunas de las botnets más recientes que incluyen la minería de bitcoins como una característica para generar ganancias para el operador de la botnet. [29] [30]
- La funcionalidad de auto-propagación, para buscar instrucciones de comando y control (CNC) preconfiguradas, contiene dispositivos o red específicos, para apuntar a más infecciones, también se detecta en varias redes de bots. Algunas de las redes de bots están utilizando esta función para automatizar sus infecciones.
Mercado
La comunidad de controladores de botnets presenta una lucha constante y continua sobre quién tiene la mayor cantidad de bots, el ancho de banda general más alto y las máquinas infectadas de mayor "alta calidad", como equipos universitarios, corporativos e incluso gubernamentales. [31]
Si bien las botnets a menudo reciben el nombre del malware que las creó, varias botnets suelen usar el mismo malware pero son operadas por diferentes entidades. [32]
Suplantación de identidad
Las botnets se pueden utilizar para muchas estafas electrónicas. Estas botnets se pueden utilizar para distribuir malware, como virus, para tomar el control de la computadora / software de un usuario habitual [33]. Al tomar el control de la computadora personal de alguien, tienen acceso ilimitado a su información personal, incluidas las contraseñas y la información de inicio de sesión de las cuentas. A esto se le llama phishing . El phishing es la adquisición de información de acceso a las cuentas de la "víctima" con un enlace en el que la "víctima" hace clic y que se envía a través de un correo electrónico o mensaje de texto. [34] Una encuesta de Verizon encontró que alrededor de dos tercios de los casos de "espionaje" electrónico provienen de phishing. [35]
Contramedidas
La dispersión geográfica de las redes de bots significa que cada recluta debe ser identificado / acorralado / reparado individualmente y limita los beneficios del filtrado .
Los expertos en seguridad informática han logrado destruir o subvertir las redes de comando y control de malware, entre otros medios, apoderando servidores o cortándolos de Internet, negando el acceso a dominios que debían ser utilizados por malware para contactar su infraestructura de C&C. y, en algunos casos, irrumpir en la propia red de C&C. [36] [37] [38] En respuesta a esto, los operadores de C&C han recurrido al uso de técnicas como superponer sus redes de C&C en otra infraestructura benigna existente como IRC o Tor , usando sistemas de redes peer-to-peer que no son dependientes en cualquier servidor fijo, y el uso de cifrado de clave pública para derrotar los intentos de entrar en la red o suplantarla. [39]
Norton AntiBot estaba dirigido a los consumidores, pero la mayoría se dirigía a empresas y / o ISP. Las técnicas basadas en host utilizan heurísticas para identificar el comportamiento del bot que ha pasado por alto el software antivirus convencional . Los enfoques basados en redes tienden a utilizar las técnicas descritas anteriormente; apagar los servidores C&C, enrutar entradas DNS nulas o apagar completamente los servidores IRC. BotHunter es un software, desarrollado con el apoyo de la Oficina de Investigación del Ejército de EE. UU. , Que detecta la actividad de las botnets dentro de una red analizando el tráfico de la red y comparándolo con los patrones característicos de los procesos maliciosos.
Los investigadores de Sandia National Laboratories están analizando el comportamiento de las botnets ejecutando simultáneamente un millón de kernels de Linux, una escala similar a una botnet, como máquinas virtuales en un clúster de computadoras de alto rendimiento de 4480 nodos para emular una red muy grande, lo que les permite ver cómo Las botnets funcionan y experimentan formas de detenerlas. [40]
La detección de ataques de bots automatizados es cada día más difícil a medida que los atacantes lanzan generaciones de bots más nuevas y sofisticadas. Por ejemplo, un ataque automatizado puede desplegar un gran ejército de bots y aplicar métodos de fuerza bruta con listas de nombres de usuario y contraseñas altamente precisas para piratear cuentas. La idea es abrumar a los sitios con decenas de miles de solicitudes de diferentes direcciones IP en todo el mundo, pero cada bot solo envía una solicitud cada 10 minutos aproximadamente, lo que puede resultar en más de 5 millones de intentos por día. [41] En estos casos, muchas herramientas intentan aprovechar la detección volumétrica, pero los ataques de bot automatizados ahora tienen formas de eludir los desencadenantes de la detección volumétrica.
Una de las técnicas para detectar estos ataques de bots es lo que se conoce como "sistemas basados en firmas" en los que el software intentará detectar patrones en el paquete de solicitud. Pero los ataques evolucionan constantemente, por lo que es posible que esta no sea una opción viable cuando los patrones no se pueden distinguir de miles de solicitudes. También existe el enfoque conductual para frustrar a los bots, que en última instancia trata de distinguir a los bots de los humanos. Al identificar el comportamiento no humano y reconocer el comportamiento conocido del bot, este proceso se puede aplicar a nivel de usuario, navegador y red.
El método más capaz de usar software para combatir un virus ha sido utilizar software honeypot para convencer al malware de que un sistema es vulnerable. Luego, los archivos maliciosos se analizan utilizando software forense.
El 15 de julio de 2014, el Subcomité sobre Delincuencia y Terrorismo del Comité de la Judicatura, Senado de los Estados Unidos, celebró una audiencia sobre las amenazas que plantean las botnets y los esfuerzos públicos y privados para interrumpirlas y desmantelarlas. [42]
Lista histórica de botnets
La primera botnet fue reconocida y expuesta por primera vez por EarthLink durante una demanda con el notorio spammer Khan C. Smith [43] en 2001. La botnet fue construida con el propósito de spam masivo y representaba casi el 25% de todo el spam en ese momento. [44]
Alrededor de 2006, para frustrar la detección, algunas botnets estaban reduciendo su tamaño. [45]
Fecha de creacion | Fecha desmantelado | Nombre | No estimado de bots | Capacidad de spam (bn / día) | Alias |
---|---|---|---|---|---|
2003 | MáXiTE | 500-1000 servidores | 0 | MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ | |
2004 (principios) | Bagle | 230.000 [46] | 5.7 | Beagle, Mitglieder, Lodeight | |
Marina Botnet | 6.215.000 [46] | 92 | Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken | ||
Torpig | 180.000 [47] | Sinowal, Anserin | |||
Tormenta | 160.000 [48] | 3 | Nuwar, Peacomm, Zhelatin | ||
2006 (alrededor) | 2011 (marzo) | Rustock | 150.000 [49] | 30 | RKRustok, Costrat |
Donbot | 125 000 [50] | 0,8 | Buzus, Bachsoy | ||
2007 (alrededor) | Cutwail | 1.500.000 [51] | 74 | Pandex, Mutant (relacionado con: Wigon, Pushdo) | |
2007 | Akbot | 1.300.000 [52] | |||
2007 (marzo) | 2008 (noviembre) | Srizbi | 450.000 [53] | 60 | Cbeplay, Intercambiador |
Lethic | 260.000 [46] | 2 | ninguno | ||
Xarvester | 10,000 [46] | 0,15 | Rlsloup, Pixoliz | ||
2008 (alrededor) | Sality | 1.000.000 [54] | Sector, Kuku | ||
2008 (alrededor) | 2009-dic | Mariposa | 12.000.000 [55] | ||
2008 (noviembre) | Conficker | 10,500,000+ [56] | 10 | DownUp, DownAndUp, DownAdUp, Kido | |
2008 (noviembre) | 2010 (marzo) | Waledac | 80.000 [57] | 1,5 | Waled, Waledpak |
Maazben | 50.000 [46] | 0,5 | Ninguno | ||
Onewordsub | 40.000 [58] | 1.8 | |||
Gheg | 30.000 [46] | 0,24 | Tofsee, Mondera | ||
Nucrypt | 20.000 [58] | 5 | Loosky, Locksky | ||
Wopla | 20.000 [58] | 0,6 | Pokier, Slogger, Críptico | ||
2008 (alrededor) | Asprox | 15.000 [59] | Danmec, Hydraflux | ||
Spamthru | 12.000 [58] | 0,35 | Spam-DComServ, Covesmer, Xmiler | ||
2008 (alrededor) | Gumblar | ||||
2009 (mayo) | Noviembre de 2010 (incompleto) | BredoLab | 30.000.000 [60] | 3.6 | Oficla |
2009 (alrededor) | 2012-07-19 | Grum | 560.000 [61] | 39,9 | Tedroo |
Mega-D | 509.000 [62] | 10 | Ozdok | ||
Kraken | 495.000 [63] | 9 | Kracken | ||
2009 (agosto) | Festi | 250 000 [64] | 2,25 | Spamnost | |
2010 (marzo) | Vulcanbot | ||||
2010 (enero) | LowSec | Más de 11.000 [46] | 0,5 | LowSecurity, FreeMoney, Ring0.Tools | |
2010 (alrededor) | TDL4 | 4.500.000 [65] | TDSS, Alureon | ||
Zeus | 3.600.000 (solo en EE. UU.) [66] | Zbot, PRG, Wsnpoem, Gorhax, Kneber | |||
2010 | (Varios: 2011, 2012) | Kelihos | 300.000+ | 4 | Hlux |
2011 o antes | 2015-02 | Ramnit | 3.000.000 [67] | ||
2012 (alrededor) | Camaleón | 120.000 [68] | Ninguno | ||
2016 (agosto) | Mirai | 380 000 | Ninguno | ||
2014 | Necurs | 6.000.000 |
- Investigadores de la Universidad de California en Santa Bárbara tomaron el control de una botnet que era seis veces más pequeña de lo esperado. En algunos países, es común que los usuarios cambien su dirección IP varias veces en un día. Los investigadores suelen utilizar la estimación del tamaño de la botnet por el número de direcciones IP, lo que posiblemente lleve a evaluaciones inexactas. [69]
Ver también
- Gusano informático
- Spambot
- Cronología de virus y gusanos informáticos
- Amenaza Persistente Avanzada
Referencias
- ^ "Thingbots: el futuro de las botnets en la Internet de las cosas" . Inteligencia de seguridad . 20 de febrero de 2016 . Consultado el 28 de julio de 2017 .
- ^ "botnet" . Consultado el 9 de junio de 2016 .
- ^ Ramneek, Puri (8 de agosto de 2003). "Bots &; Botnet: una visión general" . Instituto SANS . Consultado el 12 de noviembre de 2013 .
- ^ Putman, CGJ; Abhishta; Nieuwenhuis, LJM (marzo de 2018). "Modelo de negocio de una botnet". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-Based Processing (PDP) : 441–445. arXiv : 1804.10848 . Código bibliográfico : 2018arXiv180410848P . doi : 10.1109 / PDP2018.2018.00077 . ISBN 978-1-5386-4975-6. S2CID 13756969 .
- ^ Danchev, Dancho (11 de octubre de 2013). "Los ciberdelincuentes novatos ofrecen acceso comercial a cinco mini botnets" . Consultado el 28 de junio de 2015 .
- ^ a b Schiller, Craig A .; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington: Syngress. págs. 29–75. doi : 10.1016 / B978-159749135-8 / 50004-4 . ISBN 9781597491358.
- ^ "Botnets: definición, tipos, cómo funcionan | CrowdStrike" . crowdstrike.com . Consultado el 18 de abril de 2021 .
- ^ a b c d Heron, Simon (1 de abril de 2007). "Técnicas de mando y control de botnets". Seguridad de la red . 2007 (4): 13–16. doi : 10.1016 / S1353-4858 (07) 70045-4 .
- ^ Wang, Ping y col. (2010). "Botnets de igual a igual" . En Stamp, Mark; Stavroulakis, Peter (eds.). Manual de Seguridad de la Información y las Comunicaciones . Saltador. ISBN 9783642041174.Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ CY Cho, D. Babic, R. Shin y D. Song. Inferencia y análisis de modelos formales de protocolos de comando y control de botnets , 2010 Conferencia ACM sobre seguridad informática y de comunicaciones.
- ^ Teresa Dixon Murray (28 de septiembre de 2012). "Los bancos no pueden evitar ciberataques como los que afectaron a PNC, Key, US Bank esta semana" . Cleveland.com . Consultado el 2 de septiembre de 2014 .
- ^ Arntz, Pieter (30 de marzo de 2016). "Los hechos sobre las redes de bots" . Consultado el 27 de mayo de 2017 .
- ^ Schiller, Craig A .; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington: Syngress. págs. 77–95. doi : 10.1016 / B978-159749135-8 / 50005-6 . ISBN 978-159749135-8.
- ^ Zeltser, Lenny. "Cuando los bots utilizan las redes sociales para el mando y control" .
- ^ Osborne, Charlie. "Hammertoss: los piratas informáticos rusos apuntan a la nube, Twitter, GitHub en la propagación de malware" . ZDNet . Consultado el 7 de octubre de 2017 .
- ^ Singel, Ryan (13 de agosto de 2009). "Los piratas informáticos utilizan Twitter para controlar la botnet" . Consultado el 27 de mayo de 2017 .
- ^ "Descubierta la primera botnet de Android controlada por Twitter" . 24 de agosto de 2016 . Consultado el 27 de mayo de 2017 .
- ^ Gallagher, Sean (3 de octubre de 2014). "La botnet de Reddit infectó a miles de Mac en todo el mundo" . Consultado el 27 de mayo de 2017 .
- ^ Cimpanu, Catalin (6 de junio de 2017). "Los hackers estatales rusos utilizan publicaciones de Instagram de Britney Spears para controlar el malware" . Consultado el 8 de junio de 2017 .
- ^ Dorais-Joncas, Alexis (30 de enero de 2013). "Caminando por Win32 / Jabberbot.A mensajería instantánea C&C" . Consultado el 27 de mayo de 2017 .
- ^ Constantin, Lucian (25 de julio de 2013). "Los ciberdelincuentes están utilizando la red Tor para controlar sus botnets" . Consultado el 27 de mayo de 2017 .
- ^ "Guía del filtro de tráfico de la botnet de Cisco ASA" . Consultado el 27 de mayo de 2017 .
- ^ Ataque de los bots en Wired
- ^ Norton, Quinn (1 de enero de 2012). "Anónimo 101 parte Deux: triunfo moral sobre Lulz" . Wired.com . Consultado el 22 de noviembre de 2013 .
- ^ Peterson, Andrea (10 de abril de 2015). "China despliega una nueva arma para la censura en línea en forma de 'Gran Cañón ' " . The Washington Post . Consultado el 10 de abril de 2015 .
- ^ "Operación Aurora - La estructura de mando" . Damballa.com. Archivado desde el original el 11 de junio de 2010 . Consultado el 30 de julio de 2010 .
- ^ Edwards, Jim (27 de noviembre de 2013). "Esto es lo que parece cuando una botnet de fraude de clics controla secretamente su navegador web" . Consultado el 27 de mayo de 2017 .
- ^ https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-congress/socialmediabotsreport.pdf
- ^ Nichols, Shaun (24 de junio de 2014). "¿Tienes una botnet? ¿Estás pensando en usarla para minar Bitcoin? No te molestes" . Consultado el 27 de mayo de 2017 .
- ^ "Minería Bitcoin" . BitcoinMining.com. Archivado desde el original el 30 de abril de 2016 . Consultado el 30 de abril de 2016 .
- ^ "Preguntas frecuentes sobre troyanos y virus" . DSLReports . Consultado el 7 de abril de 2011 .
- ↑ Many-to-Many Botnet Relationships Archivado el 4 de marzo de 2016 en Wayback Machine , Damballa , 8 de junio de 2009.
- ^ "Usos de las botnets | El proyecto Honeynet" . www.honeynet.org . Consultado el 24 de marzo de 2019 .
- ^ "¿Qué es el phishing? - Definición de WhatIs.com" . SearchSecurity . Consultado el 24 de marzo de 2019 .
- ^ Aguilar, Mario. "El número de personas que caen en los correos electrónicos de phishing es asombroso" . Gizmodo . Consultado el 24 de marzo de 2019 .
- ^ "Detección y Desmantelamiento de Infraestructura de Comando y Control de Botnet utilizando Perfiles de Comportamiento e Informantes de Bot" . vhosts.eecs.umich.edu .
- ^ "DIVULGACIÓN: Detección de servidores de comando y control de botnets mediante análisis de NetFlow a gran escala" (PDF) . Conferencia anual de aplicaciones de seguridad informática . ACM. Diciembre 2012.
- ^ BotSniffer: detección de canales de control y comando de botnets en el tráfico de red . Actas del 15º Simposio Anual de Seguridad de Redes y Sistemas Distribuidos. 2008. CiteSeerX 10.1.1.110.8092 .
- ^ "IRCHelp.org - Privacidad en IRC" . www.irchelp.org . Consultado el 21 de noviembre de 2020 .
- ^ "Los investigadores arrancan millones de núcleos de Linux para ayudar a la investigación de botnets" . Noticias de seguridad informática y de redes. 12 de agosto de 2009 . Consultado el 23 de abril de 2011 .
- ^ "Los ataques de botnet de fuerza bruta ahora eluden la detección volumétrica" . OSCURO Lectura de la Semana de la Información . 19 de diciembre de 2016 . Consultado el 14 de noviembre de 2017 .
- ^ Estados Unidos. Congreso. Senado. Comité del Poder Judicial. Subcomité de Delincuencia y Terrorismo (2018). Derribar las redes de bots: Esfuerzos públicos y privados para interrumpir y desmantelar las redes delictivas cibernéticas: Audiencia ante el Subcomité de Delitos y Terrorismo del Comité de la Judicatura, Senado de los Estados Unidos, Ciento XIII Congreso, Segunda Sesión, 15 de julio de 2014 . Washington, DC: Oficina de Publicaciones del Gobierno de EE. UU . Consultado el 18 de noviembre de 2018 .
- ^ Credeur, María. "Crónica de negocios de Atlanta, redactor" . bizjournals.com . Consultado el 22 de julio de 2002 .
- ^ Mary Jane Credeur (22 de julio de 2002). "EarthLink gana una demanda de $ 25 millones contra correo electrónico no deseado" . Consultado el 10 de diciembre de 2018 .
- ^ Paulson, LD (abril de 2006). "Los piratas informáticos fortalecen las botnets maliciosas reduciéndolas" (PDF) . Ordenador; Noticias breves . Sociedad de Informática IEEE. 39 (4): 17-19. doi : 10.1109 / MC.2006.136 . S2CID 10312905 .
El tamaño de las redes de bots alcanzó su punto máximo a mediados de 2004, y muchas de ellas utilizaron más de 100.000 máquinas infectadas, según Mark Sunner, director de tecnología de MessageLabs. El tamaño medio de las redes de bots ahora es de unas 20.000 computadoras, dijo.
- ^ a b c d e f g "Symantec.cloud | Seguridad de correo electrónico, seguridad web, protección de endpoints, archivado, continuidad, seguridad de mensajería instantánea" . Messagelabs.com . Consultado el 30 de enero de 2014 .[ enlace muerto ]
- ^ Chuck Miller (5 de mayo de 2009). "Los investigadores secuestran el control de la botnet Torpig" . Revista SC EE. UU. Archivado desde el original el 24 de diciembre de 2007 . Consultado el 7 de noviembre de 2011 .
- ^ "La red de Storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior" . Tech.Blorge.Com. 21 de octubre de 2007. Archivado desde el original el 24 de diciembre de 2007 . Consultado el 30 de julio de 2010 .
- ^ Chuck Miller (25 de julio de 2008). "La botnet Rustock vuelve a generar spam" . Revista SC EE . UU . Consultado el 30 de julio de 2010 .
- ^ Stewart, Joe. "Redes de bots de spam a tener en cuenta en 2009" . Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
- ^ "Pushdo Botnet - Nuevos ataques DDOS en los principales sitios web - Harry Waldron - Seguridad de TI" . Msmvps.com. 2 de febrero de 2010. Archivado desde el original el 16 de agosto de 2010 . Consultado el 30 de julio de 2010 .
- ^ "Adolescente de Nueva Zelanda acusado de controlar botnet de 1,3 millones de ordenadores" . La seguridad H. 30 de noviembre de 2007 . Consultado el 12 de noviembre de 2011 .
- ^ "Tecnología | Spam en aumento después de un breve respiro" . BBC News . 26 de noviembre de 2008 . Consultado el 24 de abril de 2010 .
- ^ "Salidad: historia de una red viral de igual a igual" (PDF) . Symantec. 3 de agosto de 2011 . Consultado el 12 de enero de 2012 .
- ^ "Cómo el FBI, la policía rompió una botnet masiva" . theregister.co.uk . Consultado el 3 de marzo de 2010 .
- ^ "Cálculo del tamaño del brote de Downadup - Weblog F-Secure: noticias del laboratorio" . F-secure.com. 16 de enero de 2009 . Consultado el 24 de abril de 2010 .
- ^ "Botnet Waledac 'diezmado' por eliminación de MS" . El registro. 16 de marzo de 2010 . Consultado el 23 de abril de 2011 .
- ^ a b c d Gregg Keizer (9 de abril de 2008). "Top botnets controlan 1M de computadoras secuestradas" . Computerworld . Consultado el 23 de abril de 2011 .
- ^ "Soldados zombies botnet sics en sitios web gimpy" . El registro. 14 de mayo de 2008 . Consultado el 23 de abril de 2011 .
- ^ "Infosecurity (Reino Unido) - BredoLab derribó botnet vinculado con Spamit.com" . .canada.com. Archivado desde el original el 11 de mayo de 2011 . Consultado el 10 de noviembre de 2011 .
- ^ "Investigación: pequeñas botnets de bricolaje que prevalecen en las redes empresariales" . ZDNet . Consultado el 30 de julio de 2010 .
- ^ Warner, Gary (2 de diciembre de 2010). "Oleg Nikolaenko, Mega-D Botmaster para resistir el juicio" . CyberCrime y Doing Time . Consultado el 6 de diciembre de 2010 .
- ^ "Nueva botnet masiva que duplica el tamaño de la tormenta - Seguridad / perímetro" . DarkReading . Consultado el 30 de julio de 2010 .
- ^ Kirk, Jeremy (16 de agosto de 2012). "Spamhaus declara muerta a Grum Botnet, pero Festi surge" . PC World .
- ^ "Cómo detectar y borrar el rootkit TDL4 (TDSS / Alureon)" . kasperskytienda.es. 3 de julio de 2011 . Consultado el 11 de julio de 2011 .
- ^ "Las 10 botnets más buscadas de Estados Unidos" . Networkworld.com. 22 de julio de 2009 . Consultado el 10 de noviembre de 2011 .
- ^ "Operación policial de la UE derriba una red informática maliciosa" . phys.org .
- ^ "Descubierto: Botnet que cuesta anunciantes de display que superan los seis millones de dólares al mes" . Spider.io. 19 de marzo de 2013 . Consultado el 21 de marzo de 2013 .
- ^ Espiner, Tom (8 de marzo de 2011). "El tamaño de la botnet puede ser exagerado, dice Enisa | Security Threats | ZDNet UK" . Zdnet.com . Consultado el 10 de noviembre de 2011 .
enlaces externos
- Honeynet Project & Research Alliance - "Conoce a tu enemigo: seguimiento de redes de bots"
- The Shadowserver Foundation : un grupo de vigilancia de seguridad totalmente voluntario que recopila, rastrea e informa sobre malware, actividad de botnet y fraude electrónico.
- EWeek.com - "¿Ya se perdió la batalla de botnets?"
- Busto de botnet: "SpyEye Malware Mastermind se declara culpable" , FBI