Inicio / Blog / Detección de botnet: análisis de SPAM

Detección de botnet: análisis de SPAM

Publicado el 10/02/2015, por David Cantón (INCIBE)
botnet spam

Una de las funcionalidades clásicas de las botnet ha sido el envío de spam, por lo que es lógico usar las metodologías de análisis de spam a las técnicas de detección de botnets. Mediante estas técnicas, en vez de observar y analizar todo el tráfico de red, como se hace en la técnica de análisis de paquetes o en el análisis de flujos de red, solo se deben analizar comunicaciones relativas al envío de correos electrónicos, reduciéndose la cantidad de información a analizar.

Técnicas deteccion botnets

-Técnicas de Detección de Botnets-

Botnets y el SPAM

El envió de spam por parte de las botnets, utilizando los ordenadores comprometidos como nodos relay SMTP, tiene dos objetivos principales:

  • Expansión, utilizan el envío masivo de correo para aumentar el número de bots. Las direcciones de correos usadas pueden ser facilitadas por el C&C, generadas aleatoriamente u obtenidas de las listas de correos de los ordenadores comprometidos. Los métodos de infección suelen ser el envío de correos con archivos adjuntos maliciosos o mensajes que incluyen direcciones a sitios maliciosos que aprovecharan vulnerabilidades de los usuarios para infectarlos. Ejemplos de este tipo de botnets son Bamital, Bankpatch o Gamut.

Tabla botnets

-Fuente: Botnet detection techniques: review, future trends and issues -

  • Monetización, envío masivo de correos, con el objetivo de vender diversos tipos de productos, se ha convertido en un gran negocio para los creadores de botnets. Hay estimaciones ya del año 2008 donde las farmacéuticas online ganaron 12.000 millones de dólares, más del triple que el año anterior. Gracias a este tipo de negocio, los dueños de las botnets pueden alquilar los servicios de envío de correo o participar directamente en los programas de afiliación. Aunque la tasa de conversión de un correo de spam es relativamente baja, la colosal cantidad de correos que son enviados diariamente hacen que se haya convertido en un negocio muy rentable.

Imagen del ciclo económico de Spam Farmacéutico

Ciclo económico de Spam Farmacéutico FUENTE: damballa

Gráfico del porcentaje de spam en el tráfico de correo electrónico

-El porcentaje de spam en el tráfico de correo electrónico, 2013 (Fuente: securelist.com) -

Técnicas de detección

Motivado por esta casuística, se han desarrollado metodologías y funcionalidades a los sistemas de seguridad con el fin de dotarles de las capacidades necesarias para identificar si un entorno está comprometido por un malware perteneciente a una botnet que envía spam y a la vez reducir la cantidad de datos a analizar.

Una característica de las campañas de spam realizadas por las botnets es que los mensajes suelen seguir un patrón o incluso ser idénticos. Debido a estas semejanzas, el análisis estadístico de los diferentes datos del correo, tanto la cabecera como el propio mensaje, en una comunicación SMTP puede ser un indicador para determinar una determinada red está infectada.

Como se indica en el informe de ENISA, el uso de herramientas como los spamtraps hace que la detección de correos de spam sea más efectiva. Los spamtraps son buzones de correo electrónico cuyo único propósito es la recepción de correo no solicitado. Para que sean efectivos estos correos deben ser publicitados y registrados en múltiples sitios como foros, listas de noticias,… Los spamtraps son una especie de honeypots pero que si deben de ser publicitados, al contrario de lo que pasa con los honeypots.

Algunos de los estudios o propuestas que se basan en el análisis de spam para la detección y/o caracterización de botnets son:

  • BotGraph: Large Scale Spamming Botnet Detection, se describe un nuevo sistema de detección de botnets, BotGraph, que tienen como objetivo realizar ataques dirigidos contra los principales proveedores de correo electrónico Web. BotGraph detecta actividad sospechosa a partir del cálculo de las correlaciones entre las actividades de botnets mediante la construcción de grandes grafos usuario-usuario y buscando sub-grafos fuertemente conectados. Según sus pruebas, esta técnica permite identificar a los usuarios de redes de bots furtivos que son difíciles de detectar cuando son analizados de forma aislada.
  • Detection of Spam Hosts and Spam Bots Using Network Flow Traffic Modeling, presenta una aproximación para la detección de anfitriones de spam, spam bots y sus correspondientes C&C basándose en el análisis flujos de datos y en los metadatos DNS. Su propuesta consiste en establecer en primer lugar los modelos de trafico SMTP legítimos frente a clientes SMTP que actúen como spammer, para posteriormente clasificar clientes SMTP desconocidos en base a los distancia con los dos modelos de tráfico. En una primera fase se identificaría los host que realizan el spam en base a la entropía, para después analizarlos con el objetivo de determinar su centro de mando y control.
  • Spamcraft: An Inside Look At Spam Campaign Orchestration, realiza un análisis de la botnet Storm, describiendo su "modus operandi": recogida de direcciones de correo electrónico de las víctimas, plantillas de correo y las modificaciones que realiza, así como las tasas de éxito en diferentes tipos de campañas.

Podemos resumir que la detección de botnet mediante el análisis del spam en una red es una técnica útil aunque limitada, ya que no todas las botnets envían spam como actividad principal. Pero la utilidad de su análisis radica en que actualmente el envío de spam es una forma de rentabilizar este tipo de amenazas, y por lo tanto es previsible que sus creadores lo sigan utilizando ampliamente en el futuro.