Inicio / Blog / ACDC en lucha contra las botnets

ACDC en lucha contra las botnets

Publicado el 24/11/2015, por Gonzalo de la Torre (INCIBE)
ACDC logo

No cabe duda de que la lucha frente a las botnets es algo que preocupa a los distintos gobiernos a nivel mundial y también se ha trasladado a otros ámbitos como son el empresarial y en menor medida, debido a la falta de concienciación, a los ciudadanos. Así mismo, este es un escenario en el que la "lucha" individual es difícil que consiga resultados ya que el terreno de juego es muy amplio y afecta a muchos actores, desde un usuario normal hasta las fuerzas y cuerpos de seguridad del estado pasando por los ISPs. Partiendo de esta premisa y con el objetivo de conseguir una colaboración a nivel europeo, involucrando a actores de diversos ámbitos tanto entes públicos como privados, se ha llevado a cabo un piloto durante los últimos dos años y medio en el que han participado 28 partners de 14 países. Entre estos partners se encontraba INCIBE que ha tenido un doble rol, desarrollar y proporcionar herramientas y ser coordinador del paquete de trabajo encargado de los experimentos.

El piloto, llamado ACDC Advanced Cyber Defence Centre , ha aglutinado herramientas de seguridad con distintos alcances, y ha desarrollado una plataforma de compartición de datos a nivel europeo en la que cada stakeholder provee la información sobre incidentes que ha detectado y siendo enviada posteriormente encargados de su gestión, como pueden ser los CERTs de cada país, NSCs, ISPs u otros stakeholders. Gracias a esto, se pueden llevar a cabo notificaciones, acciones para concienciar a los ciudadanos, mejorar los sistemas de detección, analizar las muestras sospechosas de ser malware o realizar investigaciones. De esta forma, la comunidad sale beneficiada ya que los diferentes partners enriquecen y añaden valor a los recursos analizados según su expertise.

Arquitectura a alto nivel del proyecto ACDC

Ilustración 1 - Arquitectura a alto nivel del proyecto ACDC

A parte del esfuerzo técnico realizado, se ha tenido que hacer un trabajo considerable para estudiar la viabilidad del modelo a nivel legal. Este análisis ha sido complejo debido a que hay que lidiar con un escenario muy heterogéneo al tener cada país una legislación diferente. Sin embargo, al final, se han conseguido establecer fórmulas y mecanismos que permiten un intercambio de datos acorde a las normativas.

Desde el punto de vista técnico, el amplio abanico de herramientas de detección y análisis aportado por los diferentes partners, ha permitido tener visibilidad sobre un gran número de incidentes, arrojando resultados como que amenazas relativamente antiguas siguen estando activas y distribuyéndose por la red. Como caso concreto, se puede hablar de Conficker (gusano del año 2008, cuya distribución quedó solucionada en octubre de ese mismo año con la actualización de seguridad MS08-067 de Microsoft) y sus diversas mutaciones, ya que ha sido reiteradamente detectado durante el proyecto.

Muestras de malware - conficker y sus variantes

Ilustración 2 - Muestras de malware - conficker y sus variantes

Experimentos

El piloto ha estado enfocado en detectar cinco tipos diferentes de ataques/amenazas relacionados con las botnets, mediante la realización de cinco experimentos: spam, dominios fast-flux, websites maliciosos o vulnerables, ataques DDoS e incidentes en dispositivos móviles. Como se ha comentado anteriormente, gracias a la colaboración entre los partners es posible enriquecer los elementos detectados. Esto se puede ver fácilmente con un ejemplo: un ataque originado por un bot en España intenta dejar una muestra de malware en un host esloveno. Este es detectado y tanto el bot como la muestra de malware son enviadas a ACDC. La muestra de malware es analizada por un partner alemán y se confirma que realmente es un malware, la información llega al CERT español que procede a notificar al host que ha realizado el ataque. Sin este mecanismo de colaboración internacional el bot español podría haber pasado desapercibido y habría continuado con su actividad maliciosa durante más tiempo.

Para la detección de los cinco tipos de amenazas se han usado diversas técnicas que en ocasiones arrojaban resultados que se podrían englobar en distintas categorías, ya que, por ejemplo, un mensaje de spam puede contener una url que a su vez sea un website malicioso.

Spam

Entre las herramientas usadas se encuentran honeytokens y spamtraps que han resultado muy útiles a la hora de obtener elementos maliciosos en mensajes de spam. Una vez obtenido el spam, mediante un procesado del mismo se han conseguido extraer campañas y los spambots encargados de enviar dicho spam. Las campañas se han detectado mediante algoritmos que calculan similitudes entre los mensajes de spam. Y así mismo, mediante la agrupación de IPs y ASNs que envían el mismo mensaje, se han identificado los spambots asociados a una campaña. Otro método usado para detectar spambots consiste en la localización de patrones en búsquedas de DNS inversas.

Websites maliciosos o vulnerables

Para la detección de websites maliciosos o vulnerables se han utilizado dos aproximaciones diferentes. Por un lado, honeypots y honeynets que han permitido descubrir posibles bots intentando atacar websites y obteniendo malware para su posterior análisis. Por otro lado, otro tipo de herramientas orientadas al análisis de una url concreta. Estas herramientas, a su vez, son capaces de obtener el malware que, en su caso, intenta descargarse desde la url analizada. De esta forma se han conseguido detectar websites haciendo uso de técnicas de drive by download, phishing o intentando explotar exploits en el navegador del visitante. El principal tipo de ataque encontrado ha sido el uso de peticiones HTTP sospechosas, esta técnica consiste en usar una petición HTTP HEAD con el objetivo de obtener meta-información extraída de la cabecera en la respuesta. De esta forma se puede obtener información sobre el servidor o la aplicación web.

Principales tipos de ataques contra websites

Ilustración 3 - Principales tipos de ataques contra websites

El análisis de los principales websites potencialmente vulnerables demuestra que vulnerabilidades relativamente antiguas siguen estando presentes. Este hecho, al igual de que como previamente se ha comentado, conficker siga activo, indica que todavía quedan muchos equipos sin actualizar.

Top 10 CVEs

Ilustración 4 - Top 10 CVEs

Fast-Flux

Para la detección de dominios haciendo uso de Fast-Flux y los equipos, presumiblemente bots, a los que resuelven dichos dominios, se han usado técnicas basadas en el TTL, el nombre de dominio y la respuesta DNS obtenida, buscando patrones u otros indicios que indiquen el uso de Fast-Flux. Así mismo, se ha realizado un estudio de las distintas técnicas utilizadas y se puede concluir que debido a su simplicidad, buen rendimiento y el ratio de detecciones alcanzado el análisis basado en el TTL es la técnica más recomendable. Sin embargo, cabe destacar que es aconsejable implementar todas las técnicas ya que se complementan y permiten alcanzar un mayor número de detecciones.

DDoS

En este experimento, se han utilizado diversas técnicas para detectar diferentes ataques distribuidos de denegación de servicio, como son los ataques de amplificación de DNS, SYN flood o TCP flood, destacando el uso de DDoS Blackholing ya que ha contribuido al análisis de múltiples ataques de DDoS. Dichos análisis han permitido notificar a los CERTs involucrados aquellas IPs atacantes que pertenecían a su constituency. Si bien, el proceso no ha podido ser automático en todos los casos, ya que los CERTs deben comprobar que la IP no se hubiera spoofeado. De esta comprobación, los principales indicios observados que apuntan a que se tiene una IP spoofeada han sido: el uso de UDP, que la IP haya sido vista en el ataque solo una vez o que la IP y el timestamp no correspondan a ningún cliente.

Por otro lado, ha sido posible diferenciar los ataques DDoS que han sido llevados a cabo desde un rango de red móvil, pertenecientes a ciertos ASNs. De entre todos los ataques llevados a cabo desde IPs de dichos ASNs alrededor de un 10% de los mismos pertenecen a rangos de redes móviles. Este resultado podría estar indicando una nueva tendencia en la que se estén utilizando estos dispositivos para realizar ataques DDoS.

Mobile bot

Dentro del alcance del proyecto se han desarrollado dos herramientas para dispositivos móviles:

- Device Monitor  https://play.google.com/store/apps/details?id=eu.acdc.xlab.devicemonitor&hl=en (Enlace no disponible actualmente)

- Conan Mobile

Gracias a estas herramientas se ha podido inferir el estado de seguridad de los dispositivos móviles a nivel europeo mediante la comprobación de ciertos parámetros en la configuración de los dispositivos y a través de la clasificación de las conexiones realizadas. Pudiendo llegarse a la conclusión de que solo un bajo porcentaje de los dispositivos parece pertenecer a una botnet.

Clasificación de las conexiones realizadas desde dispositivos móviles

Ilustración 5 - Clasificación de las conexiones realizadas desde dispositivos móviles

Como puede observarse en el gráfico, la mayoría de las conexiones han sido normales o clasificadas como phishing o malicious websites, lo cual puede ser explicado debido a que los dispositivos móviles, normalmente son usados para leer el mail. Las conexiones a sitios maliciosos podrían indicar que son realizadas desde APKs maliciosos o bien, podrían ser debidas a que el usuario haya seguido algún link que se encontrara en algún correo malicioso. Si bien, a día de hoy, parece que hay una baja incidencia en el número de botnets o amenazas afectando a dispositivos móviles. Aunque este número ya está aumentando y es de esperar que lo siga haciendo a medida que pasa el tiempo, ya que el foco de los atacantes se va dirigiendo a intentar vulnerar los dispositivos para poder tomar ventaja de los servicios bancarios, pago con NFC, en definitiva monetizar la "inversión", tal y como se desprende de diversos estudios como el siguiente: https://securelist.com/analysis/quarterly-malware-reports/69872/it-threat-evolution-in-q1-2015/

Conclusión

Para finalizar, gracias a proyectos de este tipo y pese a su complejidad se ve reflejada la necesidad de tener mecanismos para detectar, analizar, estudiar y actuar a nivel europeo y así mismo demuestran la viabilidad del sistema. Es importante poder tener un punto común entre los distintos actores que simplifique y en la medida de lo posible automatice los mecanismos de notificación entre ellos y permita de una forma sencilla poder gestionar los incidentes cuyo origen sea un país concreto pero el destino sea otro país diferente.

ACDC ha sido un éxito considerando que ha demostrado la viabilidad tanto técnica como legal del sistema y ha permitido realizar el ciclo completo, detectando ataques de botnets a redes y realizando la notificación a los involucrados. No obstante, todavía queda un largo camino por delante pero de momento, gracias a iniciativas como esta, se van dando los pasos necesarios para recorrerlo. Este proceso no es algo aislado, ya que existen iniciativas similares, con mayor o menor alcance que ACDC. Entre otras, en el mundo financiero, ya hay en producción sistemas de compartición de incidentes de seguridad como la iniciativa Soltra y a nivel gubernamental en Japón se está llevando a cabo un piloto parecido, en el sentido de intentar aunar diferentes actores (usuarios, ISPs, empresas privadas y públicas) para la lucha contra el malware: (https://www.ict-isac.jp/active/en/).

Más información sobre ACDC:

Para obtener los entregables generados en el proyecto visita: http://acdc-project.eu/documents/

Para obtener algunas de las herramientas desarrolladas visita: http://acdc-project.eu/software/

Para obtener más información sobre el proyecto visita: https://www.acdc-project.eu/ y https://www.botfree.eu/

Etiquetas: