Las redes de ordenadores interceptados y controlados por un servidor central, mejor conocidas como botnets, son como navajas multiusos para los criminales de internet. Los hackers pueden utilizar estos sistemas para enviar spam, alojar código malicioso, camuflar sus seguimientos por internet, o para inundar la web de una empresa y cortar el acceso a ella desde la web.

Cada vez que aparece una nueva botnet, los investigadores se apresuran en invertir la ingeniería del software que instala en la máquina de la víctima, y en decodificar la forma en que cada bot se comunica con el servidor que los controla. Puesto que estas comunicaciones a menudo están encriptadas, estos análisis pueden tardar semanas o meses. Un grupo de investigadores de la Universidad de California en Berkeley y de la Universidad Carnegie Mellon acaba de crear una forma para invertir automáticamente las comunicaciones entre los ordenadores interceptados y los servidores que los controlan.

En un estudio que se presentará esta semana en la Conferencia sobre Seguridad Informática y de las Comunicaciones de la Asociación de Maquinaria Computacional, los investigadores mostrarán como este proceso de inversión automática es capaz de descifrar la estructura y el propósito de las comunicaciones entre los bots y el servidor de comando y control.

“El protocolo de comunicaciones de la botnet es su núcleo,” afirma Juan Caballero, estudiante de doctorado afiliado tanto con la Universidad de California en Berkeley y la Universidad Carnegie Mellon, así como autor principal del estudio. “Esa es la forma en que los atacantes envían los comandos a la botnet.”

Cada vez que los investigadores han intentado analizar automáticamente los protocolos de comunicación de las botnets, se han enfocado en descifrar los comandos recibidos por el cliente. Sin embargo, Caballero, junto al profesor asistente de la UC Berkeley Dawn Song y otros dos colegas, ha desarrollado una técnica que traduce tanto los comandos recibidos por un cliente como las respuestas que envía.

Después los investigadores ejecutaron el código de la botnet en una máquina virtual y analizaron el movimiento de la información que llegaba y salía de los registros del ordenador—los componentes de memoria dentro del procesador de la máquina—antes de que fuese encriptado. La observación de los cambios en los registros de memoria—a lo que los investigadores llaman “deconstrucción del buffer”—les permitió obtener la estructura de las comunicaciones de la botnet y deducir la función de los distintos componentes de cada comando.

“Esto es de relevancia para el malware, puesto que normalmente no tenemos el ejecutable para el servidor de comando y control de la botnet,” afirma Paolo Milani, investigador de postdoctorado en el Secure System Lab del Instituto de Tecnología de Viena, y autor de un estudio anterior sobre el análisis de protocolos automatizados. “Por tanto, con las técnicas anteriores, no seríamos capaces de invertir automáticamente la ingeniería existente en el lado del cliente del protocolo.”

Los investigadores utilizaron la técnica resultante en una herramienta, llamada Dispatcher, para analizar las comunicaciones de red de las botnets e incluso inyectar nueva información dentro del flujo de comunicaciones. Los investigadores pusieron a prueba el método en una botnet compleja conocida como MegaD, que saltó a los titulares a principios de 2008 cuando las firmas de seguridad se dieron cuenta de que era responsable de casi un tercio del tráfico de spam mundial.

Los investigadores analizaron 15 mensajes recogidos durante el seguimiento de un bot de MegaDL: Siete comandos enviados desde los servidores de control y ocho respuestas desde el bot. La herramienta Dispatcher analizó el bot mientras se ejecutaba en la máquina virtual, y detectó automáticamente el punto en el que el programa descifraba los comandos pero aún no había encriptado sus respuestas. 

Los administradores de red también pueden utilizar la herramienta Dispatcher para infiltrarse en la botnet. Los clientes de MegaD normalmente comprueban si pueden enviar correos electrónicos, y así formar parte útil dentro de una campaña de spam. No obstante, y dado que los investigadores pueden bloquear todo el trafico saliente de correo, el cliente normalmente enviaría un mensaje al servidor de control diciendo que su test de correo ha fallado. Sin embargo los investigadores modificaron el mensaje en ruta, respondiendo con el código necesario para afirmar que el test de spam había tenido éxito.

“Normalmente, habría enviado un mensaje diciendo que no puede llevarse a cabo el spam,” afirma Caballero desde la UC Berkeley. “En vez de eso, nosotros logramos obtener la plantilla del spam y pudimos ver el tipo de spam que se enviaría.”

Las herramientas como Dispatcher podrían ayudar a aumentar el actualmente escaso número de investigadores que de forma habitual invierten la ingeniería de las botnets, afirma Joe Stewart, investigador de seguridad senior en Secure Works, una firma de seguridad de redes. “Solucionaría un problema mundial—poseer la suficiente cantidad de personas para analizar las botnets,” señala. “El número de personas capaces de invertir la ingeniería de las botnets es escaso. Esta herramienta generaría entusiasmo en más personas y podría servirles de ayuda.”

Stewart añade, no obstante, que los investigadores experimentados no necesitan este tipo de herramientas automatizadas para analizar la mayoría del malware. Aunque se pueden tardar semanas en invertir la ingeniería de las botnets más complicadas, el malware que normalmente se encuentran la mayoría de compañías y organizaciones no es un problema en absoluto. Más del 90 por ciento de todas las botnets utilizan un tipo de encriptación fácil de romper para proteger sus comunicaciones, haciendo que las técnicas manuales sean relativamente fáciles y rápidas.

“No todos los bot masters necesita el tipo de encriptación que usa MegaD,” señala Stewart. “No creo que merezca la pena dedicar tanto tiempo, desde luego no con el efecto que estamos provocando en ellas ahora mismo, que es mínimo.”

Sin embargo las botnets seguirán evolucionando, afirma Song desde la UC Berkeley. “Los programas de las botnets cada vez son más complejos,” afirma. “Están utilizando, entre otras, varias técnicas de ofuscación. Por tanto, el análisis manual puede que funcione por ahora, pero en el futuro necesitaremos mejores herramientas."