La botnet TDSS lleva años siendo una de las más persistentes y sofisticadas, capaz incluso de infectar máquinas de 64 bits con una efectividad casi desconocida hasta ahora e incluso de eliminar a competidores como Zeus. Actualmente se cree que controla más de 4.5 millones de equipos y las modificaciones que sus creadores hacen a los bots para mejorar su funcionamiento y evitar ser detectados son de lo más avanzado que hemos visto en nuestros laboratorios.
Desde Ontinet.com, distribuidor en exclusiva de ESET, a través de los diferentes laboratorios de seguridad, estamos siguiendo de cerca la evolución de esta botnet y tenemos a expertos investigadores que monitorizan cada cambio que pueda experimentar. Fruto de esa investigación es el documento técnico (en inglés) que ponemos a disposición de todo aquel desee conocer a fondo el funcionamiento de esta botnet.
Para los más profanos en la materia, aclarar que cuando un equipo resulta infectado por un bot, entra a formar parte de una red llamada botnet junto con otras máquinas comprometidas. Los ordenadores infectados por bots se denominan zombies, ya que están esperando órdenes. Cuando un ciberdelincuente toma el control de una botnet, se dedica a enviar órdenes a dichas máquinas sin que los propietarios sean conscientes. Así, puede utilizarse para enviar spam, distribuir malware, almacenar datos robados, etc. Obviamente, también existe una comunicación inversa en las que las máquinas infectadas envían información a ese botmaster o ciberdelincuente.
La arquitectura típica que se utiliza para gestionar estas botnets es la de cliente – servidor. Así, suele existir un centro de órdenes y control (C&C, por sus siglas en inglés) donde uno o varios servidores se encargan de gestionar toda la red. No obstante, este modelo tiene una debilidad: si las máquinas consiguen desconectarse o se impide la conexión con estos centros de control, los ordenadores zombies dejan de recibir órdenes y permanecen inactivos.
En el caso de la botnet que nos ocupa, y para solucionar este problema, sus autores han ideado una metodología de control atípica. Así, pueden usarse protocolos como el Kademilia (usado frecuentemente en conexiones P2P), que se aprovechan de algo similar a una conciencia colectiva formada por todas las máquinas infectadas. En este escenario, todos los ordenadores comprometidos serían a la vez máquinas zombies y centros de control y podrían recibir y enviar órdenes sin depender de ningún servidor central.
Usando este método, la información es compartida entre todas las máquinas de la botnet. Así, aunque entren nuevas máquinas u otras abandonen esta botnet, una máquina zombie siempre recibirá información de sus vecinos, teniéndolos localizados, ya que dispone de una especie de listín telefónico actualizado en su disco duro que obtiene tras la infección. De esta forma, el único momento en que una máquina infectada necesitaría contactar con un servidor que hiciese de centro de control sería cuando el número de ordenadores zombies vecinos bajase de cierta cantidad.
Esta arquitectura no hace invulnerable a esta botnet ni a otras que la usen, pero sí entraña una mayor dificultad a la hora de desactivarla o de intentar localizar los centros de control que aquellas que conservan la arquitectura cliente – servidor. Por ello, desde el laboratorio de ESET en Ontinet.com, recordamos a todos los usuarios que la mejor manera de evitar que botnets como esta se hagan más grandes es evitar que nuestro sistema se infecte usando una protección antivirus eficaz. Y para que nos quedemos más tranquilos, también recomendamos una segunda opinión sobre el estado de salud de nuestro ordenador utilizando cualquier antivirus online –compatibles con protecciones residentes-, como ESET Online Scanner.
Josep Albors