Red de bots

Colección de dispositivos conectados a Internet comprometidos controlados por un tercero

Diagrama de la botnet Stacheldraht que muestra un ataque DDoS. (Tenga en cuenta que este también es un ejemplo de un tipo de modelo cliente-servidor de una botnet).

Una botnet es un grupo de dispositivos conectados a Internet , cada uno de los cuales ejecuta uno o más bots . Las botnets se pueden utilizar para realizar ataques de denegación de servicio distribuido (DDoS) , robar datos, ^[1] enviar spam y permitir que el atacante acceda al dispositivo y a su conexión. El propietario puede controlar la botnet mediante un software de comando y control (C&C). ^[2] La palabra "botnet" es una combinación de las palabras " robot " y " red ". El término suele utilizarse con una connotación negativa o maliciosa.

Descripción general

Una botnet es una colección lógica de dispositivos conectados a Internet , como computadoras, teléfonos inteligentes o dispositivos de Internet de las cosas (IoT), cuya seguridad ha sido violada y el control se ha cedido a un tercero. Cada dispositivo comprometido, conocido como "bot", se crea cuando un dispositivo es penetrado por software de una distribución de malware (software malicioso). El controlador de una botnet es capaz de dirigir las actividades de estos ordenadores comprometidos a través de canales de comunicación formados por protocolos de red basados ​​en estándares , como IRC y el Protocolo de transferencia de hipertexto (HTTP). ^{[3] [4]}

Los ciberdelincuentes alquilan cada vez más las botnets como productos básicos para una variedad de propósitos ^[5] , incluso como servicios de arranque/estresor .

Arquitectura

La arquitectura de las botnets ha evolucionado con el tiempo en un esfuerzo por evadir la detección y la interrupción. Tradicionalmente, los programas bot se construyen como clientes que se comunican a través de servidores existentes. Esto permite que el bot herder (el controlador de la botnet) realice todo el control desde una ubicación remota, lo que confunde el tráfico. ^[6] Muchas botnets recientes ahora dependen de redes peer-to-peer existentes para comunicarse. Estos programas bot P2P realizan las mismas acciones que el modelo cliente-servidor, pero no requieren un servidor central para comunicarse.

Modelo cliente-servidor

Una red basada en el modelo cliente-servidor , donde los clientes individuales solicitan servicios y recursos de servidores centralizados.

Las primeras botnets en Internet utilizaron un modelo cliente-servidor para realizar sus tareas. ^[7] Normalmente, estas botnets operan a través de redes, dominios o sitios web de Internet Relay Chat . Los clientes infectados acceden a una ubicación predeterminada y esperan comandos entrantes del servidor. El pastor de robots envía comandos al servidor, que los transmite a los clientes. Los clientes ejecutan los comandos e informan sus resultados al pastor de robots.

En el caso de las botnets de IRC , los clientes infectados se conectan a un servidor de IRC infectado y se unen a un canal predesignado para C&C por el responsable del bot. El pastor de robots envía comandos al canal a través del servidor IRC. Cada cliente recupera los comandos y los ejecuta. Los clientes envían mensajes al canal IRC con los resultados de sus acciones. ^[6]

De igual a igual

Una red peer-to-peer (P2P) en la que los nodos interconectados ("peers") comparten recursos entre sí sin el uso de un sistema administrativo centralizado.

En respuesta a los esfuerzos por detectar y decapitar las botnets de IRC, los pastores de bots han comenzado a implementar malware en redes de igual a igual . Estos bots pueden usar firmas digitales para que solo alguien con acceso a la clave privada pueda controlar la botnet, ^[8] como en Gameover ZeuS y la botnet ZeroAccess .

Las botnets más nuevas operan completamente a través de redes P2P. En lugar de comunicarse con un servidor centralizado, los robots P2P funcionan como un servidor de distribución de comandos y como un cliente que recibe comandos. ^[9] Esto evita tener un único punto de falla, lo cual es un problema para las botnets centralizadas.

Para encontrar otras máquinas infectadas, los robots P2P exploran discretamente direcciones IP aleatorias hasta que identifican otra máquina infectada. El bot contactado responde con información como su versión de software y una lista de bots conocidos. Si la versión de uno de los bots es inferior a la del otro, iniciarán una transferencia de archivos para actualizar. ^[8] De esta manera, cada bot aumenta su lista de máquinas infectadas y se actualiza comunicándose periódicamente con todos los bots conocidos.

Componentes principales

El creador de una botnet (conocido como " bot herder " o "bot master") controla la botnet de forma remota. Esto se conoce como comando y control (C&C). El programa para la operación debe comunicarse a través de un canal encubierto con el cliente en la máquina de la víctima (computadora zombie).

Protocolos de control

IRC es un medio históricamente favorecido de C&C debido a su protocolo de comunicación . Un pastor de robots crea un canal IRC para que se unan los clientes infectados. Los mensajes enviados al canal se transmiten a todos los miembros del canal. El pastor de bots puede establecer el tema del canal para controlar la botnet. Por ejemplo, el mensaje :[email protected] TOPIC #channel DDoS www.victim.comdel bot herder alerta a todos los clientes infectados que pertenecen al #canal para que inicien un ataque DDoS en el sitio web www.victim.com. Un ejemplo de respuesta :[email protected] PRIVMSG #channel I am DDoSing www.victim.comde un cliente bot alerta al pastor de bots que ha comenzado el ataque. ^[8]

Algunas botnets implementan versiones personalizadas de protocolos conocidos. Las diferencias de implementación se pueden utilizar para la detección de botnets. Por ejemplo, Mega-D presenta una implementación del Protocolo simple de transferencia de correo (SMTP) ligeramente modificada para probar la capacidad de spam. Derribar el servidor SMTP de Mega-D desactiva todo el grupo de bots que dependen del mismo servidor SMTP. ^[10]

computadora zombie

En informática , una computadora zombie es una computadora conectada a Internet que ha sido comprometida por un hacker , un virus informático o un troyano y puede usarse para realizar tareas maliciosas bajo dirección remota. Las botnets de computadoras zombis se utilizan a menudo para difundir correo no deseado y lanzar ataques de denegación de servicio (DDoS). La mayoría de los propietarios de computadoras zombies no saben que su sistema está siendo utilizado de esta manera. Debido a que el propietario tiende a no darse cuenta, estas computadoras se comparan metafóricamente con zombies . Un ataque DDoS coordinado por varias máquinas botnet también se parece a un ataque de una horda de zombis. ^[11]

El proceso de robo de recursos informáticos como resultado de la unión de un sistema a una "botnet" a veces se denomina "scrumping". ^[12]

Comando y control

Los protocolos de comando y control (C&C) de botnets se han implementado de varias maneras, desde enfoques IRC tradicionales hasta versiones más sofisticadas.

Telnet

Las botnets Telnet utilizan un protocolo de botnet C&C simple en el que los bots se conectan al servidor de comando principal para alojar la botnet. Los bots se agregan a la botnet mediante un script de escaneo , que se ejecuta en un servidor externo y escanea los rangos de IP en busca de inicios de sesión predeterminados del servidor telnet y SSH . Una vez que se encuentra un inicio de sesión, el servidor de escaneo puede infectarlo a través de SSH con malware, que hace ping al servidor de control.

IRC

Las redes IRC utilizan métodos de comunicación simples y de bajo ancho de banda, lo que las hace ampliamente utilizadas para alojar botnets. Suelen ser de construcción relativamente simple y se han utilizado con éxito moderado para coordinar ataques DDoS y campañas de spam, al tiempo que pueden cambiar continuamente de canal para evitar ser eliminados. Sin embargo, en algunos casos, el simple bloqueo de determinadas palabras clave ha demostrado ser eficaz para detener las botnets basadas en IRC. El estándar RFC 1459 ( IRC ) es popular entre las botnets. El primer script de controlador de botnet popular conocido, "MaXiTE Bot", utilizaba el protocolo IRC XDCC para comandos de control privado.

Un problema con el uso de IRC es que cada cliente bot debe conocer el servidor, puerto y canal de IRC para que sea de alguna utilidad para la botnet. Las organizaciones antimalware pueden detectar y cerrar estos servidores y canales, deteniendo efectivamente el ataque de botnet. Si esto sucede, los clientes siguen infectados, pero normalmente permanecen inactivos ya que no tienen forma de recibir instrucciones. ^[8] Para mitigar este problema, una botnet puede constar de varios servidores o canales. Si uno de los servidores o canales queda desactivado, la botnet simplemente cambia a otro. Todavía es posible detectar e interrumpir servidores o canales de botnet adicionales rastreando el tráfico IRC. Un adversario de una botnet puede incluso adquirir conocimiento del esquema de control e imitar al pastor de bots emitiendo comandos correctamente. ^[13]

P2P

Dado que la mayoría de las botnets que utilizan redes y dominios IRC pueden eliminarse con el tiempo, los piratas informáticos han pasado a las botnets P2P con C&C para hacer que la botnet sea más resistente y resistente a la terminación.

Algunos también han utilizado el cifrado como una forma de proteger o bloquear la botnet de otros; la mayoría de las veces, cuando utilizan el cifrado, es criptografía de clave pública y ha presentado desafíos tanto para implementarlo como para descifrarlo.

Dominios

Muchas grandes botnets tienden a utilizar dominios en lugar de IRC en su construcción (ver Rustock botnet y Srizbi botnet ). Por lo general, están alojados en servicios de hosting a prueba de balas . Este es uno de los primeros tipos de C&C. Una computadora zombie accede a una página web o dominio(s) especialmente diseñado que proporciona la lista de comandos de control. Las ventajas de utilizar páginas web o dominios como C&C es que una gran botnet se puede controlar y mantener de manera efectiva con un código muy simple que se puede actualizar fácilmente.

Las desventajas de utilizar este método son que utiliza una cantidad considerable de ancho de banda a gran escala y las agencias gubernamentales pueden apoderarse rápidamente de los dominios con poco esfuerzo. Si los dominios que controlan las botnets no son incautados, también son blancos fáciles de comprometer con ataques de denegación de servicio .

Se puede utilizar DNS Fast-Flux para dificultar el seguimiento de los servidores de control, que pueden cambiar día a día. Los servidores de control también pueden saltar de un dominio DNS a otro, y se utilizan algoritmos de generación de dominio para crear nuevos nombres DNS para los servidores de control.

Algunas botnets utilizan servicios de alojamiento de DNS gratuitos , como DynDns.org , No-IP.com y Afraid.org para apuntar un subdominio hacia un servidor IRC que alberga los bots. Si bien estos servicios DNS gratuitos no albergan ataques, proporcionan puntos de referencia (a menudo codificados en el ejecutable de la botnet). Eliminar dichos servicios puede paralizar toda una botnet.

Otros

Volviendo a llamar a grandes sitios de redes sociales ^[14] como GitHub , ^[15] Twitter , ^{[16] [17]} Reddit , ^[18] Instagram , ^[19] el protocolo de mensajes instantáneos de código abierto XMPP ^[20] y los servicios ocultos de Tor ^{[ 21]} son ​​formas populares de evitar el filtrado de salida para comunicarse con un servidor C&C. ^[22]

Construcción

Tradicional

Este ejemplo ilustra cómo se crea y utiliza una botnet con fines maliciosos.

1. Un pirata informático compra o crea un troyano y/o un kit de explotación y lo utiliza para comenzar a infectar las computadoras de los usuarios, cuya carga útil es una aplicación maliciosa: el bot .
2. El bot le indica a la PC infectada que se conecte a un servidor de comando y control (C&C) en particular. (Esto permite al botmaster mantener registros de cuántos bots están activos y en línea).
3. Luego, el botmaster puede utilizar los bots para recopilar pulsaciones de teclas o utilizar la captura de formularios para robar credenciales en línea y puede alquilar la botnet como DDoS y/o spam como servicio o vender las credenciales en línea para obtener ganancias.
4. Dependiendo de la calidad y capacidad de los bots, el valor aumenta o disminuye.

Los robots más nuevos pueden escanear automáticamente su entorno y propagarse utilizando vulnerabilidades y contraseñas débiles. Generalmente, cuantas más vulnerabilidades pueda escanear y propagar un bot, más valioso será para la comunidad de controladores de botnets. ^[23]

Las computadoras pueden ser incorporadas a una botnet cuando ejecutan software malicioso. Esto se puede lograr atrayendo a los usuarios para que realicen una descarga no autorizada , explotando las vulnerabilidades del navegador web o engañando al usuario para que ejecute un programa troyano , que puede provenir de un archivo adjunto de correo electrónico. Este malware normalmente instala módulos que permiten que el operador de la botnet ordene y controle la computadora. Una vez descargado el software, llamará a casa (enviará un paquete de reconexión ) a la computadora host. Cuando se realiza la reconexión, dependiendo de cómo esté escrito, un troyano puede eliminarse o permanecer presente para actualizar y mantener los módulos.

Otros

En algunos casos, hacktivistas voluntarios pueden crear temporalmente una botnet , como en las implementaciones del Cañón de iones de órbita baja utilizado por los miembros de 4chan durante el Proyecto Chanology en 2010. ^[24]

El Gran Cañón de China permite la modificación del tráfico legítimo de navegación web en las redes troncales de Internet en China para crear una gran botnet efímera para atacar objetivos grandes como GitHub en 2015. ^[25]

Usos comunes

• Los ataques distribuidos de denegación de servicio son uno de los usos más comunes de las botnets, en los que varios sistemas envían tantas solicitudes como sea posible a una sola computadora o servicio de Internet, sobrecargándolo e impidiéndole atender solicitudes legítimas. Un ejemplo es un ataque al servidor de una víctima. El servidor de la víctima es bombardeado con solicitudes de los bots, que intentan conectarse al servidor y, por lo tanto, lo sobrecargan. El zar del fraude de Google, Shuman Ghosemajumder , ha dicho que este tipo de ataques que causan interrupciones en los principales sitios web seguirán ocurriendo regularmente debido al uso de botnets como servicio. ^[26]
• El software espía es un software que envía información a sus creadores sobre las actividades de un usuario (normalmente contraseñas, números de tarjetas de crédito y otra información que puede venderse en el mercado negro). Las máquinas comprometidas que se encuentran dentro de una red corporativa pueden ser más valiosas para el pastor de bots, ya que a menudo pueden obtener acceso a información corporativa confidencial. Varios ataques dirigidos a grandes corporaciones tenían como objetivo robar información confidencial, como la botnet Aurora. ^[27]
• El spam de correo electrónico son mensajes de correo electrónico disfrazados de mensajes de personas, pero que son publicitarios, molestos o maliciosos.
• El fraude de clics ocurre cuando la computadora del usuario visita sitios web sin su conocimiento para crear tráfico web falso para beneficio personal o comercial. ^[28]
• El fraude publicitario suele ser consecuencia de la actividad de bots maliciosos, según CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet. ^[29] Los propósitos comerciales de los bots incluyen personas influyentes que los usan para aumentar su supuesta popularidad, y editores en línea que usan bots para aumentar la cantidad de clics que recibe un anuncio, lo que permite a los sitios ganar más comisiones de los anunciantes.
• Los ataques de relleno de credenciales utilizan botnets para iniciar sesión en muchas cuentas de usuario con contraseñas robadas, como en el ataque contra General Motors en 2022. ^[30]
• La minería de Bitcoin se utilizó en algunas de las botnets más recientes que incluyen la minería de Bitcoin como una característica para generar ganancias para el operador de la botnet. ^{[31] [32]}
• La funcionalidad de propagación automática, para buscar instrucciones push preconfiguradas de comando y control (CNC) que contengan dispositivos o redes específicos, para apuntar a una mayor infección, también se detecta en varias botnets. Algunas de las botnets utilizan esta función para automatizar sus infecciones.

Mercado

La comunidad de controladores de botnets compite constantemente por quién tiene la mayor cantidad de bots, el mayor ancho de banda general y las máquinas infectadas de mayor "alta calidad", como máquinas universitarias, corporativas e incluso gubernamentales. ^[33]

Si bien las botnets suelen recibir el nombre del malware que las creó, varias botnets suelen utilizar el mismo malware pero son operadas por entidades diferentes. ^[34]

Suplantación de identidad

Las botnets se pueden utilizar para muchas estafas electrónicas. Estas botnets se pueden utilizar para distribuir malware, como virus, para tomar el control de la computadora/software de un usuario normal ^[35]. Al tomar el control de la computadora personal de alguien, este tiene acceso ilimitado a su información personal, incluidas contraseñas e información de inicio de sesión en cuentas. Esto se llama phishing . El phishing es la adquisición de información de inicio de sesión en las cuentas de la "víctima" con un enlace en el que la "víctima" hace clic y que se envía por correo electrónico o mensaje de texto. ^[36] Una encuesta realizada por Verizon encontró que alrededor de dos tercios de los casos de "espionaje" electrónico provienen de phishing. ^[37]

Contramedidas

La dispersión geográfica de las botnets significa que cada recluta debe ser identificado/acorralado/reparado individualmente y limita los beneficios del filtrado .

Los expertos en seguridad informática han logrado destruir o subvertir las redes de mando y control del malware, entre otros medios, confiscando servidores o bloqueándolos de Internet, negando el acceso a dominios que el malware debía utilizar para contactar con su infraestructura de C&C, y, en algunos casos, irrumpir en la propia red de C&C. ^{[38] [39] [40]} En respuesta a esto, los operadores de C&C han recurrido al uso de técnicas como la superposición de sus redes de C&C en otras infraestructuras benignas existentes como IRC o Tor , utilizando sistemas de redes peer-to-peer que no dependen en cualquier servidor fijo y utilizando cifrado de clave pública para derrotar los intentos de ingresar o falsificar la red. ^[41]

Norton AntiBot estaba dirigido a consumidores, pero la mayoría se dirige a empresas y/o ISP. Las técnicas basadas en host utilizan heurísticas para identificar el comportamiento de los bots que han pasado por alto el software antivirus convencional . Los enfoques basados ​​en redes tienden a utilizar las técnicas descritas anteriormente; cerrar servidores C&C, entradas DNS de enrutamiento nulo o apagar completamente servidores IRC. BotHunter es un software, desarrollado con el apoyo de la Oficina de Investigación del Ejército de EE. UU ., que detecta la actividad de botnets dentro de una red analizando el tráfico de la red y comparándolo con patrones característicos de procesos maliciosos.

Los investigadores de los Laboratorios Nacionales Sandia están analizando el comportamiento de las botnets ejecutando simultáneamente un millón de kernels de Linux (una escala similar a una botnet) como máquinas virtuales en un grupo de computadoras de alto rendimiento de 4.480 nodos para emular una red muy grande, lo que les permite observar cómo Las botnets funcionan y experimentamos formas de detenerlas. ^[42]

Detectar ataques de bots automatizados es cada día más difícil a medida que los atacantes lanzan generaciones de bots más nuevas y sofisticadas. Por ejemplo, un ataque automatizado puede desplegar un gran ejército de bots y aplicar métodos de fuerza bruta con listas de nombres de usuarios y contraseñas muy precisas para hackear cuentas. La idea es saturar los sitios con decenas de miles de solicitudes de diferentes IP en todo el mundo, pero con cada bot solo enviando una solicitud cada 10 minutos aproximadamente, lo que puede resultar en más de 5 millones de intentos por día. ^[43] En estos casos, muchas herramientas intentan aprovechar la detección volumétrica, pero los ataques de bots automatizados ahora tienen formas de eludir los desencadenantes de la detección volumétrica.

Una de las técnicas para detectar estos ataques de bots es lo que se conoce como "sistemas basados ​​en firmas", en los que el software intentará detectar patrones en el paquete de solicitud. Sin embargo, los ataques evolucionan constantemente, por lo que puede que esta no sea una opción viable cuando no se pueden discernir patrones a partir de miles de solicitudes. También existe el enfoque conductual para frustrar a los bots, que en última instancia intenta distinguirlos de los humanos. Al identificar el comportamiento no humano y reconocer el comportamiento conocido de los bots, este proceso se puede aplicar a nivel de usuario, navegador y red.

El método más capaz de utilizar software para combatir un virus ha sido utilizar software honeypot para convencer al malware de que un sistema es vulnerable. Luego, los archivos maliciosos se analizan mediante software forense.

El 15 de julio de 2014, el Subcomité sobre Crimen y Terrorismo del Comité ^[44] del Poder Judicial del Senado de los Estados Unidos celebró una audiencia sobre las amenazas que plantean las botnets y los esfuerzos públicos y privados para perturbarlas y desmantelarlas. ^[45]

El aumento de dispositivos IoT vulnerables ha provocado un aumento de los ataques de botnets basados ​​en IoT. Para abordar esto, se introdujo un nuevo método de detección de anomalías basado en red para IoT llamado N-BaIoT. Captura instantáneas del comportamiento de la red y emplea codificadores automáticos profundos para identificar el tráfico anormal de los dispositivos IoT comprometidos. El método se probó infectando nueve dispositivos IoT con las botnets Mirai y BASHLITE, lo que demuestra su capacidad para detectar con precisión y rapidez ataques originados en dispositivos IoT comprometidos dentro de una botnet. ^[46]

Además, comparar diferentes formas de detectar botnets es realmente útil para los investigadores. Les ayuda a ver qué tan bien funciona cada método en comparación con otros. Este tipo de comparación es buena porque permite a los investigadores evaluar los métodos de manera justa y encontrar formas de mejorarlos. ^[47]

Lista histórica de botnets

La primera botnet fue reconocida y expuesta por primera vez por EarthLink durante una demanda contra el notorio spammer Khan C. Smith ^[48] en 2001. La botnet fue construida con el propósito de enviar spam masivo y representaba casi el 25% de todo el spam en ese momento. ^[49]

Alrededor de 2006, para frustrar la detección, algunas botnets estaban reduciendo su tamaño. ^[50]

• Investigadores de la Universidad de California en Santa Bárbara tomaron el control de una botnet que era seis veces más pequeña de lo esperado. En algunos países, es común que los usuarios cambien su dirección IP varias veces al día. Los investigadores suelen utilizar la estimación del tamaño de la botnet por el número de direcciones IP, lo que posiblemente lleve a evaluaciones inexactas. ^[75]

Ver también

• La seguridad informática
• gusano informático
• robot de spam
• Cronología de virus y gusanos informáticos
• Amenaza Persistente Avanzada
• Computación voluntaria

Referencias

1. "Thingbots: el futuro de las botnets en el Internet de las cosas". Inteligencia de Seguridad . 20 de febrero de 2016 . Consultado el 28 de julio de 2017 .
2. "red de robots" . Consultado el 9 de junio de 2016 .
3. Ramneek, Puri (8 de agosto de 2003). "Bots y botnets: descripción general". Instituto SANS . Consultado el 12 de noviembre de 2013 .
4. Putman, CGJ; Abhishta; Nieuwenhuis, LJM (marzo de 2018). "Modelo de negocio de una Botnet". 2018 26.ª Conferencia Internacional de Euromicro sobre Procesamiento Paralelo, Distribuido y Basado en Red (PDP) . págs. 441–445. arXiv : 1804.10848 . Código Bib : 2018arXiv180410848P. doi :10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. S2CID  13756969.
5. Danchev, Dancho (11 de octubre de 2013). "Los ciberciminales novatos ofrecen acceso comercial a cinco mini botnets". Raíz web . Consultado el 28 de junio de 2015 .
6. Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadí; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington, Virginia: Syngress. págs. 29–75. doi :10.1016/B978-159749135-8/50004-4. ISBN 9781597491358.
7. "Botnets: definición, tipos y cómo funcionan". Huelga multitudinaria . Consultado el 18 de abril de 2021 .
8. Heron, Simon (1 de abril de 2007). "Técnicas de mando y control de botnets". Seguridad de la red . 2007 (4): 13-16. doi :10.1016/S1353-4858(07)70045-4.
9. Wang, Ping (2010). "Robots de igual a igual". En Sello, Marca; Stavroulakis, Peter (eds.). Manual de Seguridad de la Información y las Comunicaciones . Saltador. ISBN 9783642041174.
10. CY Cho, D. Babic, R. Shin y D. Song. Inferencia y análisis de modelos formales de protocolos de control y comando de botnets, Conferencia ACM 2010 sobre seguridad informática y de las comunicaciones.
11. Teresa Dixon Murray (28 de septiembre de 2012). "Los bancos no pueden evitar ataques cibernéticos como los que afectaron a PNC, Key y US Bank esta semana". Cleveland.com . Consultado el 2 de septiembre de 2014 .
12. Arntz, Pieter (30 de marzo de 2016). "Los hechos sobre las botnets". Laboratorios Malwarebytes . Consultado el 27 de mayo de 2017 .
13. Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington, Virginia: Syngress. págs. 77–95. doi :10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8.
14. Zeltser, Lenny. "Cuando los bots utilizan las redes sociales para comandar y controlar". zeltser.com .
15. Osborne, Charlie. "Hammertoss: los piratas informáticos rusos apuntan a la nube, Twitter y GitHub en la propagación de malware". ZDNet . Consultado el 7 de octubre de 2017 .
16. Singel, Ryan (13 de agosto de 2009). "Los piratas informáticos utilizan Twitter para controlar la botnet". Cableado . Consultado el 27 de mayo de 2017 .
17. "Descubierta la primera botnet de Android controlada por Twitter". 24 de agosto de 2016 . Consultado el 27 de mayo de 2017 .
18. Gallagher, Sean (3 de octubre de 2014). "La botnet impulsada por Reddit infectó miles de Mac en todo el mundo". ARS Técnica . Consultado el 27 de mayo de 2017 .
19. Cimpanu, Catalin (6 de junio de 2017). "Los piratas informáticos estatales rusos utilizan las publicaciones de Britney Spears en Instagram para controlar el malware". Computadora que suena . Consultado el 8 de junio de 2017 .
20. Dorais-Joncas, Alexis (30 de enero de 2013). "Recorriendo Win32/Jabberbot. Un C&C de mensajería instantánea" . Consultado el 27 de mayo de 2017 .
21. Constantin, Lucian (25 de julio de 2013). "Los ciberdelincuentes están utilizando la red Tor para controlar sus botnets". Mundo PC . Consultado el 27 de mayo de 2017 .
22. "Guía de filtro de tráfico de botnets de Cisco ASA" . Consultado el 27 de mayo de 2017 .
23. El ataque de los bots en Wired
24. Norton, Quinn (1 de enero de 2012). "Anonymous 101 Part Deux: La moral triunfa sobre Lulz". Cableado.com . Consultado el 22 de noviembre de 2013 .
25. Peterson, Andrea (10 de abril de 2015). "China despliega una nueva arma para la censura en línea en forma de 'Gran Cañón'". El Washington Post . Consultado el 10 de abril de 2015 .
26. "He aquí por qué seguirán produciéndose interrupciones masivas de sitios web". Vox . 24 de octubre de 2016 . Consultado el 31 de julio de 2022 .
27. "Operación Aurora: la estructura de mando". Damballa.com. Archivado desde el original el 11 de junio de 2010 . Consultado el 30 de julio de 2010 .
28. Edwards, Jim (27 de noviembre de 2013). "Así es como se ve cuando una botnet de fraude por clics controla en secreto su navegador web" . Consultado el 27 de mayo de 2017 .
29. FTC. "Bots de redes sociales y publicidad engañosa" (PDF) .
30. Burt, Jeff. "El ataque de relleno de credenciales contra GM expone los datos de los propietarios de automóviles". www.theregister.com . Consultado el 31 de julio de 2022 .
31. Nichols, Shaun (24 de junio de 2014). "¿Tienes una botnet? ¿Estás pensando en usarla para extraer Bitcoin? No te molestes" . Consultado el 27 de mayo de 2017 .
32. "Minería de Bitcoin". BitcoinMining.com. Archivado desde el original el 19 de abril de 2016 . Consultado el 30 de abril de 2016 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
33. "Preguntas frecuentes sobre virus y caballos de Troya". Informes DSLR . Consultado el 7 de abril de 2011 .
34. Relaciones de botnets de muchos a muchos Archivado el 4 de marzo de 2016 en Wayback Machine , Damballa , 8 de junio de 2009.
35. "Usos de botnets | El proyecto Honeynet". www.honeynet.org . Archivado desde el original el 20 de marzo de 2019 . Consultado el 24 de marzo de 2019 .
36. "¿Qué es el phishing? - Definición de WhatIs.com". BuscarSeguridad . Consultado el 24 de marzo de 2019 .
37. Aguilar, Mario (14 de abril de 2015). "La cantidad de personas que caen en correos electrónicos de phishing es asombrosa". Gizmodo . Consultado el 24 de marzo de 2019 .
38. "Detección y desmantelamiento de la infraestructura de control y comando de botnets mediante perfiladores de comportamiento e informantes de bots". vhosts.eecs.umich.edu .
39. "DIVULGACIÓN: Detección de servidores de control y comando de Botnet mediante análisis de NetFlow a gran escala" (PDF) . Conferencia Anual de Aplicaciones de Seguridad Informática . ACM. Diciembre 2012.
40. BotSniffer: detección de canales de control y comando de botnets en el tráfico de la red . Actas del 15º Simposio anual de seguridad de sistemas distribuidos y redes. 2008. CiteSeerX 10.1.1.110.8092 . 
41. "IRCHelp.org - Privacidad en IRC". www.irchelp.org . Consultado el 21 de noviembre de 2020 .
42. "Los investigadores inician millones de kernels de Linux para ayudar en la investigación de botnets". Noticias sobre seguridad de TI y seguridad de redes. 12 de agosto de 2009 . Consultado el 23 de abril de 2011 .^{[ enlace muerto permanente ]}
43. "Los ataques de botnet de fuerza bruta ahora eluden la detección volumétrica". DARKLectura de la Semana de la Información . 19 de diciembre de 2016 . Consultado el 14 de noviembre de 2017 .
44. "Subcomité sobre Delito y Terrorismo | Comité Judicial del Senado de los Estados Unidos". www.judiciary.senate.gov . Consultado el 11 de diciembre de 2022 .
45. Estados Unidos. Congreso. Senado. Comité del Poder Judicial. Subcomité sobre Delincuencia y Terrorismo (2018). Derribando botnets: esfuerzos públicos y privados para perturbar y desmantelar las redes cibercriminales: Audiencia ante el Subcomité sobre Delito y Terrorismo del Comité del Poder Judicial, Senado de los Estados Unidos, Ciento Trece Congreso, Segunda Sesión, 15 de julio de 2014. Washington, DC : Oficina de Publicaciones del Gobierno de EE. UU . Consultado el 18 de noviembre de 2018 .
46. Meidan, Yair (2018). "Detección de ataques de botnets de IoT basada en la red N-BaIoT mediante codificadores automáticos profundos". Computación generalizada IEEE . 17 (3): 12–22. arXiv : 1805.03409 . doi :10.1109/MPRV.2018.03367731. S2CID  13677639.
47. García, S.; Parrilla, M.; Stiborek, J.; Zunino, A. (1 de septiembre de 2014). "Una comparación empírica de los métodos de detección de botnets". Computadoras y seguridad . 45 : 100–123. doi :10.1016/j.cose.2014.05.011. hdl : 11336/6772 . ISSN  0167-4048.
48. Credeur, María. "Atlanta Business Chronicle, redactor". bizjournals.com . Consultado el 22 de julio de 2002 .
49. Mary Jane Credeur (22 de julio de 2002). "EarthLink gana una demanda de 25 millones de dólares contra un remitente de correo electrónico no deseado" . Consultado el 10 de diciembre de 2018 .
50. Paulson, LD (abril de 2006). "Los piratas informáticos fortalecen las botnets maliciosas reduciéndolas" (PDF) . Computadora; Resúmenes de noticias . Sociedad de Computación IEEE. 39 (4): 17-19. doi :10.1109/MC.2006.136. S2CID  10312905. El tamaño de las redes de bots alcanzó su punto máximo a mediados de 2004, y muchas de ellas utilizaban más de 100.000 máquinas infectadas, según Mark Sunner, director de tecnología de MessageLabs. El tamaño promedio de las botnets es ahora de unas 20.000 computadoras, dijo.
51. "Symantec.cloud | Seguridad del correo electrónico, seguridad web, protección de terminales, archivo, continuidad, seguridad de mensajería instantánea". Messagelabs.com. Archivado desde el original el 18 de noviembre de 2020 . Consultado el 30 de enero de 2014 .
52. Chuck Miller (5 de mayo de 2009). "Los investigadores secuestran el control de la botnet Torpig". Revista SC Estados Unidos. Archivado desde el original el 24 de diciembre de 2007 . Consultado el 7 de noviembre de 2011 .
53. "La red Storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior". Tech.Blorge.Com. 21 de octubre de 2007. Archivado desde el original el 24 de diciembre de 2007 . Consultado el 30 de julio de 2010 .
54. Chuck Miller (25 de julio de 2008). "La botnet Rustock vuelve a enviar spam". Revista SC Estados Unidos. Archivado desde el original el 4 de abril de 2016 . Consultado el 30 de julio de 2010 .
55. Stewart, Joe (13 de enero de 2009). "Botnets de spam a tener en cuenta en 2009". Secureworks.com . Trabajos seguros . Consultado el 9 de marzo de 2016 .
56. "Pushdo Botnet - Nuevos ataques DDOS en los principales sitios web - Harry Waldron - Seguridad de TI". Msmvps.com. 2 de febrero de 2010. Archivado desde el original el 16 de agosto de 2010 . Consultado el 30 de julio de 2010 .
57. "Adolescente de Nueva Zelanda acusado de controlar una botnet de 1,3 millones de computadoras". La seguridad H. 30 de noviembre de 2007 . Consultado el 12 de noviembre de 2011 .
58. "Tecnología | El spam aumenta después de un breve respiro". Noticias de la BBC . 26 de noviembre de 2008 . Consultado el 24 de abril de 2010 .
59. "Sality: historia de una red viral de igual a igual" (PDF) . Symantec. 3 de agosto de 2011 . Consultado el 12 de enero de 2012 .
60. "Cómo el FBI y la policía acabaron con una enorme botnet". allíregister.co.uk . Consultado el 3 de marzo de 2010 .
61. "Nueva botnet masiva del doble del tamaño de una tormenta: seguridad/perímetro". Lectura oscura. 7 de abril de 2008 . Consultado el 30 de julio de 2010 .
62. "Cálculo del tamaño del brote de Downadup - Weblog de F-Secure: noticias del laboratorio". F-secure.com. 16 de enero de 2009 . Consultado el 24 de abril de 2010 .
63. "La botnet Waledac 'diezmada' por la eliminación de MS". El registro. 16 de marzo de 2010 . Consultado el 23 de abril de 2011 .
64. Gregg Keizer (9 de abril de 2008). "Las principales redes de bots controlan 1 millón de computadoras secuestradas". Mundo de la informática . Consultado el 23 de abril de 2011 .
65. "Botnet sics soldados zombies en sitios web cojos". El registro. 14 de mayo de 2008 . Consultado el 23 de abril de 2011 .
66. "Infosecurity (Reino Unido): BredoLab derribó la botnet vinculada con Spamit.com". .canada.com. Archivado desde el original el 11 de mayo de 2011 . Consultado el 10 de noviembre de 2011 .
67. "Investigación: pequeñas botnets de bricolaje que prevalecen en las redes empresariales". ZDNet . Consultado el 30 de julio de 2010 .
68. Warner, Gary (2 de diciembre de 2010). "Oleg Nikolaenko, Mega-D Botmaster será juzgado". Delitos cibernéticos y cumplir condena . Consultado el 6 de diciembre de 2010 .
69. Kirk, Jeremy (16 de agosto de 2012). "Spamhaus declara muerta la botnet Grum, pero surge Festi". Mundo PC .
70. "Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)". kasperskytienda.es. 3 de julio de 2011 . Consultado el 11 de julio de 2011 .
71. "Las 10 botnets más buscadas de Estados Unidos". Networkworld.com. 22 de julio de 2009 . Consultado el 10 de noviembre de 2011 .
72. "La operación policial de la UE acaba con una red informática maliciosa". phys.org .
73. "Descubierto: Botnet cuesta a los anunciantes gráficos más de seis millones de dólares al mes". Araña.io. 19 de marzo de 2013 . Consultado el 21 de marzo de 2013 .
74. "Esta pequeña botnet está lanzando los ataques DDoS más poderosos hasta el momento". ZDNet . Consultado el 31 de julio de 2022 .
75. Espiner, Tom (8 de marzo de 2011). "El tamaño de la botnet puede ser exagerado, dice Enisa | Amenazas de seguridad | ZDNet UK". Zdnet.com . Consultado el 10 de noviembre de 2011 .

enlaces externos

• Proyecto Honeynet y Alianza de Investigación: "Conozca a su enemigo: seguimiento de botnets"
• The Shadowserver Foundation: un grupo de vigilancia de seguridad totalmente voluntario que recopila, rastrea e informa sobre malware, actividad de botnets y fraude electrónico.
• EWeek.com – "¿Ya está perdida la batalla de las botnets?"
• Explosión de botnet: "El cerebro del malware SpyEye se declara culpable", FBI