Red de bots

Recopilación de dispositivos conectados a Internet comprometidos y controlados por un tercero

Diagrama de la botnet Stacheldraht que muestra un ataque DDoS. (Tenga en cuenta que este también es un ejemplo de un tipo de modelo cliente-servidor de una botnet).

Una botnet es un grupo de dispositivos conectados a Internet , cada uno de los cuales ejecuta uno o más bots . Las botnets se pueden utilizar para realizar ataques distribuidos de denegación de servicio (DDoS), robar datos, ^[1] enviar spam y permitir que el atacante acceda al dispositivo y su conexión. El propietario puede controlar la botnet mediante software de comando y control (C&C). ^[2] La palabra "botnet" es un acrónimo de las palabras " robot " y " red ". El término suele usarse con una connotación negativa o maliciosa.

Descripción general

Una botnet es una colección lógica de dispositivos conectados a Internet , como computadoras, teléfonos inteligentes o dispositivos de Internet de las cosas (IoT) cuya seguridad ha sido violada y el control cedido a un tercero. Cada dispositivo comprometido, conocido como "bot", se crea cuando un dispositivo es penetrado por software de una distribución de malware (software malicioso). El controlador de una botnet puede dirigir las actividades de estas computadoras comprometidas a través de canales de comunicación formados por protocolos de red basados ​​en estándares , como IRC y Hypertext Transfer Protocol (HTTP). ^{[3] [4]}

Los cibercriminales alquilan cada vez más botnets como productos para diversos fines ^[5] , incluidos servicios de arranque y estrés .

Arquitectura

La arquitectura de las botnets ha evolucionado con el tiempo en un esfuerzo por evadir la detección y la interrupción. Tradicionalmente, los programas bot se construyen como clientes que se comunican a través de servidores existentes. Esto permite que el pastor del bot (el controlador de la botnet) realice todo el control desde una ubicación remota, lo que ofusca el tráfico. ^[6] Muchas botnets recientes ahora dependen de redes peer to peer existentes para comunicarse. Estos programas bot P2P realizan las mismas acciones que el modelo cliente-servidor, pero no requieren un servidor central para comunicarse.

Modelo cliente-servidor

Una red basada en el modelo cliente-servidor , donde los clientes individuales solicitan servicios y recursos de servidores centralizados.

Las primeras botnets de Internet utilizaban un modelo cliente-servidor para llevar a cabo sus tareas. ^[7] Normalmente, estas botnets operan a través de redes de Internet Relay Chat , dominios o sitios web . Los clientes infectados acceden a una ubicación predeterminada y esperan los comandos entrantes del servidor. El pastor del bot envía comandos al servidor, que los retransmite a los clientes. Los clientes ejecutan los comandos e informan sus resultados al pastor del bot.

En el caso de las botnets de IRC , los clientes infectados se conectan a un servidor de IRC infectado y se unen a un canal designado previamente para C&C por el pastor del bot. El pastor del bot envía comandos al canal a través del servidor de IRC. Cada cliente recupera los comandos y los ejecuta. Los clientes envían mensajes de vuelta al canal de IRC con los resultados de sus acciones. ^[6]

De igual a igual

Una red peer-to-peer (P2P) en la que nodos interconectados ("pares") comparten recursos entre sí sin el uso de un sistema administrativo centralizado.

En respuesta a los esfuerzos por detectar y decapitar las redes de bots de IRC, los pastores de bots han comenzado a implementar malware en redes peer-to-peer . Estos bots pueden usar firmas digitales para que solo alguien con acceso a la clave privada pueda controlar la red de bots, ^[8] como en Gameover ZeuS y la red de bots ZeroAccess .

Las botnets más nuevas funcionan completamente en redes P2P. En lugar de comunicarse con un servidor centralizado, los bots P2P funcionan como un servidor de distribución de comandos y como un cliente que recibe comandos. ^[9] Esto evita que haya un único punto de fallo, lo que es un problema para las botnets centralizadas.

Para encontrar otras máquinas infectadas, los bots P2P sondean discretamente direcciones IP aleatorias hasta que identifican otra máquina infectada. El bot contactado responde con información como su versión de software y una lista de bots conocidos. Si la versión de uno de los bots es inferior a la del otro, iniciarán una transferencia de archivos para actualizarla. ^[8] De esta manera, cada bot aumenta su lista de máquinas infectadas y se actualiza a sí mismo comunicándose periódicamente con todos los bots conocidos.

Componentes principales

El creador de una botnet (conocido como " bot herder " o "bot master") controla la botnet de forma remota. Esto se conoce como comando y control (C&C). El programa para la operación debe comunicarse a través de un canal encubierto con el cliente en la máquina de la víctima (computadora zombi).

Protocolos de control

El IRC es un medio de C&C históricamente favorecido debido a su protocolo de comunicación . Un pastor de bots crea un canal IRC para que los clientes infectados se unan. Los mensajes enviados al canal se transmiten a todos los miembros del canal. El pastor de bots puede configurar el tema del canal para que dé órdenes a la botnet. Por ejemplo, el mensaje :[email protected] TOPIC #channel DDoS www.victim.comdel pastor de bots alerta a todos los clientes infectados que pertenecen a #channel para que comiencen un ataque DDoS en el sitio web www.victim.com. Un ejemplo de respuesta :[email protected] PRIVMSG #channel I am DDoSing www.victim.comde un cliente bot alerta al pastor de bots de que ha comenzado el ataque. ^[8]

Algunas botnets implementan versiones personalizadas de protocolos conocidos. Las diferencias de implementación se pueden utilizar para la detección de botnets. Por ejemplo, Mega-D presenta una implementación del Protocolo Simple de Transferencia de Correo (SMTP) ligeramente modificada para probar la capacidad de enviar correo basura. Al desactivar el servidor SMTP de Mega-D, se desactiva todo el grupo de bots que dependen del mismo servidor SMTP. ^[10]

Computadora zombie

En informática , un ordenador zombi es un ordenador conectado a Internet que ha sido comprometido por un hacker , un virus informático o un troyano y que puede utilizarse para realizar tareas maliciosas bajo dirección remota. Las botnets de ordenadores zombi se utilizan a menudo para difundir correo electrónico no deseado y lanzar ataques de denegación de servicio (DDoS). La mayoría de los propietarios de ordenadores zombi no saben que su sistema está siendo utilizado de esta manera. Debido a que el propietario tiende a no ser consciente, estos ordenadores se comparan metafóricamente con los zombis . Un ataque DDoS coordinado por varias máquinas de botnet también se asemeja a un ataque de horda de zombis. ^[11]

El proceso de robar recursos informáticos como resultado de la unión de un sistema a una "botnet" a veces se denomina "scrumping". ^[12]

Las agencias de seguridad internacionales, junto con el Departamento de Justicia y el FBI, desmantelaron la red de bots 911 S5, responsable de robos por valor de 5.900 millones de dólares y diversos delitos informáticos. El ciudadano chino YunHe Wang, acusado de operar la red de bots, se enfrenta a una pena de hasta 65 años de prisión. Las autoridades se incautaron de 60 millones de dólares en activos, incluidos artículos y propiedades de lujo. ^[13]

Mando y control

Los protocolos de comando y control (C&C) de botnets se han implementado de varias maneras, desde los enfoques IRC tradicionales hasta versiones más sofisticadas.

Telnet

Las redes de bots Telnet utilizan un protocolo de botnet C&C simple en el que los bots se conectan al servidor de comando principal para alojar la red de bots. Los bots se agregan a la red de bots mediante un script de escaneo , que se ejecuta en un servidor externo y escanea rangos de IP en busca de inicios de sesión predeterminados del servidor Telnet y SSH . Una vez que se encuentra un inicio de sesión, el servidor de escaneo puede infectarlo a través de SSH con malware, que envía un ping al servidor de control.

CIR

Las redes IRC utilizan métodos de comunicación simples y de bajo ancho de banda, lo que las hace muy utilizadas para alojar botnets. Suelen ser relativamente simples en su construcción y se han utilizado con un éxito moderado para coordinar ataques DDoS y campañas de spam, al tiempo que pueden cambiar de canal continuamente para evitar ser derribadas. Sin embargo, en algunos casos, el simple bloqueo de ciertas palabras clave ha demostrado ser eficaz para detener botnets basados ​​en IRC. El estándar RFC 1459 ( IRC ) es popular entre las botnets. El primer script conocido para controlar botnets, "MaXiTE Bot", utilizaba el protocolo IRC XDCC para comandos de control privados.

Un problema con el uso de IRC es que cada cliente de bot debe conocer el servidor, el puerto y el canal de IRC para ser de alguna utilidad para la botnet. Las organizaciones anti-malware pueden detectar y apagar estos servidores y canales, deteniendo efectivamente el ataque de la botnet. Si esto sucede, los clientes siguen infectados, pero normalmente permanecen inactivos ya que no tienen forma de recibir instrucciones. ^[8] Para mitigar este problema, una botnet puede constar de varios servidores o canales. Si uno de los servidores o canales se desactiva, la botnet simplemente cambia a otro. Todavía es posible detectar e interrumpir servidores o canales de botnet adicionales al rastrear el tráfico de IRC. Un adversario de la botnet puede incluso potencialmente obtener conocimiento del esquema de control e imitar al pastor del bot emitiendo comandos correctamente. ^[14]

P2P

Dado que la mayoría de las botnets que utilizan redes y dominios IRC pueden eliminarse con el tiempo, los piratas informáticos han recurrido a botnets P2P con C&C para hacer que la botnet sea más resistente y resistente a la terminación.

Algunos también han usado el cifrado como una forma de proteger o bloquear la botnet de otros; la mayoría de las veces cuando usan cifrado se trata de criptografía de clave pública y ha presentado desafíos tanto en su implementación como en su ruptura.

Dominios

Muchas botnets de gran tamaño tienden a utilizar dominios en lugar de IRC en su construcción (ver botnet Rustock y botnet Srizbi ). Por lo general, se alojan en servicios de alojamiento a prueba de balas . Este es uno de los primeros tipos de C&C. Un equipo zombi accede a una página web o dominio(s) especialmente diseñado(s) que sirve la lista de comandos de control. Las ventajas de utilizar páginas web o dominios como C&C es que una botnet de gran tamaño se puede controlar y mantener de manera efectiva con un código muy simple que se puede actualizar fácilmente.

Las desventajas de utilizar este método son que utiliza una cantidad considerable de ancho de banda a gran escala y los organismos gubernamentales pueden apoderarse de los dominios rápidamente y con poco esfuerzo. Si los dominios que controlan las botnets no son confiscados, también son blancos fáciles para ataques de denegación de servicio .

Se puede utilizar un DNS de flujo rápido para dificultar el seguimiento de los servidores de control, que pueden cambiar de un día para otro. Los servidores de control también pueden saltar de un dominio DNS a otro, y se utilizan algoritmos de generación de dominios para crear nuevos nombres DNS para los servidores controladores.

Algunas botnets utilizan servicios de alojamiento DNS gratuitos como DynDns.org , No-IP.com y Afraid.org para apuntar un subdominio hacia un servidor IRC que alberga a los bots. Si bien estos servicios DNS gratuitos no alojan ataques, proporcionan puntos de referencia (a menudo codificados en el ejecutable de la botnet). Eliminar estos servicios puede paralizar una botnet entera.

Otros

Volviendo a sitios populares ^[15] como GitHub , ^[16] Twitter , ^{[17] [18]} Reddit , ^[19] Instagram , ^[20] el protocolo de mensajería instantánea de código abierto XMPP ^[21] y los servicios ocultos Tor ^[22] son ​​formas populares de evitar el filtrado de salida para comunicarse con un servidor C&C. ^[23]

Construcción

Tradicional

Este ejemplo ilustra cómo se crea una botnet y se utiliza con fines maliciosos.

1. Un hacker compra o construye un troyano y/o un kit de explotación y lo utiliza para comenzar a infectar las computadoras de los usuarios, cuya carga útil es una aplicación maliciosa: el bot .
2. El bot le ordena al equipo infectado que se conecte a un servidor de comando y control (C&C) en particular. (Esto le permite al botmaster mantener registros de cuántos bots están activos y en línea).
3. El botmaster puede entonces utilizar los bots para recolectar pulsaciones de teclas o usar la captura de formularios para robar credenciales en línea y puede alquilar la botnet como DDoS y/o spam como servicio o vender las credenciales en línea para obtener ganancias.
4. Dependiendo de la calidad y capacidad de los bots, el valor aumenta o disminuye.

Los bots más nuevos pueden escanear automáticamente su entorno y propagarse utilizando vulnerabilidades y contraseñas débiles. En general, cuantas más vulnerabilidades pueda escanear y propagar un bot, más valioso será para la comunidad de controladores de botnets. ^[24]

Los equipos pueden ser cooptados por una botnet cuando ejecutan software malicioso. Esto se puede lograr engañando a los usuarios para que realicen una descarga automática , explotando las vulnerabilidades del navegador web o engañando al usuario para que ejecute un programa troyano , que puede provenir de un archivo adjunto en un correo electrónico. Este malware generalmente instalará módulos que permiten que el operador de la botnet controle el equipo. Después de que se descargue el software, llamará a casa (enviará un paquete de reconexión ) al equipo anfitrión. Cuando se realiza la reconexión, dependiendo de cómo esté escrito, un troyano puede eliminarse a sí mismo o puede permanecer presente para actualizar y mantener los módulos.

Otros

En algunos casos, un botnet puede ser creado temporalmente por hacktivistas voluntarios , como en el caso de las implementaciones del cañón de iones de órbita baja utilizado por los miembros de 4chan durante el Proyecto Chanology en 2010. ^[25]

El Gran Cañón de China permite la modificación del tráfico legítimo de navegación web en las redes troncales de Internet en China para crear una gran red de bots efímera para atacar objetivos grandes como GitHub en 2015. ^[26]

Usos comunes

• Los ataques distribuidos de denegación de servicio son uno de los usos más comunes de las botnets, en los que varios sistemas envían tantas solicitudes como sea posible a un único ordenador o servicio de Internet, sobrecargándolo e impidiéndole atender solicitudes legítimas. Un ejemplo es un ataque al servidor de una víctima. El servidor de la víctima es bombardeado con solicitudes por los bots, que intentan conectarse al servidor, por lo que lo sobrecargan. El zar de Google contra el fraude, Shuman Ghosemajumder, ha dicho que este tipo de ataques que provocan interrupciones en los principales sitios web seguirán ocurriendo con regularidad debido al uso de botnets como servicio. ^[27]
• El spyware es un software que envía información a sus creadores sobre las actividades de un usuario, generalmente contraseñas, números de tarjetas de crédito y otra información que puede venderse en el mercado negro. Las máquinas comprometidas que se encuentran dentro de una red corporativa pueden ser más valiosas para el creador del bot, ya que a menudo pueden obtener acceso a información corporativa confidencial. Varios ataques dirigidos a grandes corporaciones tenían como objetivo robar información confidencial, como la red de bots Aurora. ^[28]
• El spam de correo electrónico son mensajes de correo electrónico disfrazados de mensajes de personas, pero que son publicitarios, molestos o maliciosos.
• El fraude de clic ocurre cuando la computadora del usuario visita sitios web sin que éste se dé cuenta para crear tráfico web falso para obtener ganancias personales o comerciales. ^[29]
• El fraude publicitario es a menudo una consecuencia de la actividad de bots maliciosos, según CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet. ^[30] Los fines comerciales de los bots incluyen a personas influyentes que los utilizan para aumentar su supuesta popularidad y editores en línea que utilizan bots para aumentar la cantidad de clics que recibe un anuncio, lo que permite a los sitios ganar más comisiones de los anunciantes.
• Los ataques de robo de credenciales utilizan botnets para iniciar sesión en muchas cuentas de usuario con contraseñas robadas, como en el ataque contra General Motors en 2022. ^[31]
• La minería de Bitcoin se ha utilizado en algunas de las botnets más recientes que incluyen la minería de Bitcoin como una característica para generar ganancias para el operador de la botnet. ^{[32] [33]}
• En varias botnets también se ha detectado una función de autopropagación, que consiste en buscar instrucciones preconfiguradas de comando y control (CNC) que contienen dispositivos o redes específicos para provocar más infecciones. Algunas de estas redes utilizan esta función para automatizar sus infecciones.

Mercado

La comunidad de controladores de botnets compite constantemente para ver quién tiene la mayor cantidad de bots, el mayor ancho de banda general y las máquinas infectadas de "alta calidad", como las de universidades, corporaciones e incluso gobiernos. ^[34]

Si bien las botnets suelen recibir el nombre del malware que las creó, varias botnets suelen utilizar el mismo malware pero son operadas por diferentes entidades. ^[35]

Suplantación de identidad (phishing)

Las botnets pueden utilizarse para realizar muchas estafas electrónicas. Estas botnets pueden utilizarse para distribuir malware, como virus, para tomar el control de la computadora o el software de un usuario habitual ^[36]. Al tomar el control de la computadora personal de alguien, se obtiene acceso ilimitado a su información personal, incluidas las contraseñas y la información de inicio de sesión de las cuentas. Esto se denomina phishing . El phishing consiste en obtener información de inicio de sesión de las cuentas de la "víctima" mediante un enlace en el que la "víctima" hace clic y que se envía por correo electrónico o mensaje de texto. ^[37] Una encuesta de Verizon descubrió que alrededor de dos tercios de los casos de "espionaje" electrónico provienen de phishing. ^[38]

Contramedidas

La dispersión geográfica de las botnets significa que cada recluta debe ser identificado, acorralado y reparado individualmente y limita los beneficios del filtrado .

Los expertos en seguridad informática han logrado destruir o subvertir las redes de comando y control de malware, entre otros medios, tomando servidores o desconectándolos de Internet, negando el acceso a dominios que el malware iba a utilizar para contactar con su infraestructura de C&C y, en algunos casos, irrumpiendo en la propia red de C&C. ^{[39] [40] [41]} En respuesta a esto, los operadores de C&C han recurrido al uso de técnicas como superponer sus redes de C&C en otra infraestructura benigna existente como IRC o Tor , utilizando sistemas de redes peer-to-peer que no dependen de ningún servidor fijo y utilizando cifrado de clave pública para derrotar los intentos de irrumpir o falsificar la red. ^[42]

Norton AntiBot estaba dirigido a consumidores, pero la mayoría de los programas están dirigidos a empresas y/o ISP. Las técnicas basadas en host utilizan heurística para identificar el comportamiento de los bots que han eludido el software antivirus convencional . Los enfoques basados ​​en red tienden a utilizar las técnicas descritas anteriormente; apagar los servidores C&C, enrutar entradas DNS con enrutamiento nulo o apagar por completo los servidores IRC. BotHunter es un software, desarrollado con el apoyo de la Oficina de Investigación del Ejército de los EE. UU ., que detecta la actividad de botnets dentro de una red analizando el tráfico de red y comparándolo con patrones característicos de procesos maliciosos.

Los investigadores de los Laboratorios Nacionales Sandia están analizando el comportamiento de las botnets ejecutando simultáneamente un millón de núcleos Linux (una escala similar a la de una botnet) como máquinas virtuales en un clúster de computadoras de alto rendimiento de 4.480 nodos para emular una red muy grande, lo que les permite observar cómo funcionan las botnets y experimentar con formas de detenerlas. ^[43]

La detección de ataques automatizados con bots es cada día más difícil, ya que los atacantes lanzan generaciones de bots más nuevas y sofisticadas. Por ejemplo, un ataque automatizado puede desplegar un gran ejército de bots y aplicar métodos de fuerza bruta con listas de nombres de usuario y contraseñas de gran precisión para hackear cuentas. La idea es saturar los sitios con decenas de miles de solicitudes de diferentes direcciones IP de todo el mundo, pero cada bot solo envía una solicitud cada 10 minutos aproximadamente, lo que puede dar como resultado más de 5 millones de intentos por día. ^[44] En estos casos, muchas herramientas intentan aprovechar la detección volumétrica, pero los ataques automatizados con bots ahora tienen formas de eludir los desencadenantes de la detección volumétrica.

Una de las técnicas para detectar estos ataques de bots es lo que se conoce como "sistemas basados ​​en firmas", en los que el software intentará detectar patrones en el paquete de solicitud. Sin embargo, los ataques evolucionan constantemente, por lo que esta puede no ser una opción viable cuando no se pueden discernir patrones entre miles de solicitudes. También existe el enfoque conductual para frustrar a los bots, que en última instancia intenta distinguir a los bots de los humanos. Al identificar el comportamiento no humano y reconocer el comportamiento conocido de los bots, este proceso se puede aplicar a nivel de usuario, navegador y red.

El método más eficaz para utilizar software contra un virus ha sido el uso de honeypots para convencer al malware de que un sistema es vulnerable. Los archivos maliciosos se analizan a continuación con software forense.

El 15 de julio de 2014, el Subcomité sobre Delito y Terrorismo del Comité ^[45] sobre el Poder Judicial del Senado de los Estados Unidos celebró una audiencia sobre las amenazas que plantean las redes de bots y los esfuerzos públicos y privados para interrumpirlas y desmantelarlas. ^[46]

El aumento de dispositivos IoT vulnerables ha llevado a un aumento de ataques de botnets basados ​​en IoT. Para abordar esto, se introdujo un nuevo método de detección de anomalías basado en la red para IoT llamado N-BaIoT. Captura instantáneas del comportamiento de la red y emplea codificadores automáticos profundos para identificar tráfico anormal de dispositivos IoT comprometidos. El método se probó infectando nueve dispositivos IoT con botnets Mirai y BASHLITE, lo que demostró su capacidad para detectar con precisión y rapidez los ataques que se originan en dispositivos IoT comprometidos dentro de una botnet. ^[47]

Además, comparar diferentes formas de detectar botnets es muy útil para los investigadores, ya que les ayuda a ver qué tan bien funciona cada método en comparación con otros. Este tipo de comparación es buena porque permite a los investigadores evaluar los métodos de manera justa y encontrar formas de mejorarlos. ^[48]

Lista histórica de botnets

La primera botnet fue reconocida y expuesta por primera vez por EarthLink durante una demanda con el notorio spammer Khan C. Smith ^[49] en 2001. La botnet fue construida con el propósito de enviar spam masivo y representaba casi el 25% de todo el spam en ese momento. ^[50]

Alrededor de 2006, para impedir su detección, algunas redes de bots comenzaron a reducir su tamaño. ^[51]

• Los investigadores de la Universidad de California en Santa Bárbara tomaron el control de una botnet que era seis veces más pequeña de lo esperado. En algunos países, es común que los usuarios cambien su dirección IP varias veces en un día. Los investigadores suelen estimar el tamaño de la botnet por el número de direcciones IP, lo que puede dar lugar a evaluaciones inexactas. ^[76]

Véase también

• Seguridad informática
• Gusano informático
• Robot de spam
• Cronología de los virus y gusanos informáticos
• Amenaza persistente avanzada
• Computación voluntaria

Referencias

1. "Thingbots: el futuro de los botnets en la Internet de las cosas". Security Intelligence . 20 de febrero de 2016. Archivado desde el original el 7 de enero de 2023 . Consultado el 28 de julio de 2017 .
2. "botnet". Archivado desde el original el 7 de enero de 2023 . Consultado el 9 de junio de 2016 .
3. Ramneek, Puri (8 de agosto de 2003). "Bots & Botnet: An Overview". SANS Institute . Archivado desde el original el 12 de julio de 2015. Consultado el 12 de noviembre de 2013 .
4. Putman, CGJ; Abhishta; Nieuwenhuis, LJM (marzo de 2018). "Modelo de negocio de una botnet". 2018 26.ª Conferencia internacional Euromicro sobre procesamiento paralelo, distribuido y basado en red (PDP) . pp. 441–445. arXiv : 1804.10848 . Bibcode :2018arXiv180410848P. doi :10.1109/PDP2018.2018.00077. ISBN . 978-1-5386-4975-6. Número de identificación del sujeto  13756969.
5. Danchev, Dancho (11 de octubre de 2013). «Ciberdelincuentes novatos ofrecen acceso comercial a cinco minibotnets». Webroot . Archivado desde el original el 1 de julio de 2015. Consultado el 28 de junio de 2015 .
6. Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington, Virginia: Syngress. págs. 29–75. doi :10.1016/B978-159749135-8/50004-4. ISBN 9781597491358.
7. "Botnets: definición, tipos, cómo funcionan". Crowdstrike . Archivado desde el original el 10 de enero de 2023 . Consultado el 18 de abril de 2021 .
8. Heron, Simon (1 de abril de 2007). «Técnicas de comando y control de botnets». Seguridad de redes . 2007 (4): 13–16. doi :10.1016/S1353-4858(07)70045-4.
9. Wang, Ping (2010). "Botnets peer-to-peer". En Stamp, Mark; Stavroulakis, Peter (eds.). Manual de seguridad de la información y las comunicaciones . Springer. ISBN 9783642041174Archivado desde el original el 22 de junio de 2024 . Consultado el 28 de julio de 2016 .
10. CY Cho, D. Babic, R. Shin y D. Song. Inferencia y análisis de modelos formales de protocolos de comando y control de botnets Archivado el 24 de septiembre de 2016 en Wayback Machine , Conferencia ACM de 2010 sobre seguridad informática y de comunicaciones.
11. Teresa Dixon Murray (28 de septiembre de 2012). "Los bancos no pueden evitar ataques cibernéticos como los que afectaron a PNC, Key y US Bank esta semana". Cleveland.com. Archivado desde el original el 25 de julio de 2015. Consultado el 2 de septiembre de 2014 .
12. Arntz, Pieter (30 de marzo de 2016). "The Facts about Botnets" (Los hechos sobre las botnets). Malwarebytes Labs . Archivado desde el original el 17 de julio de 2017. Consultado el 27 de mayo de 2017 .
13. "EE.UU. afirma que han derribado una de las mayores botnets del mundo". 25 de mayo de 2024. Archivado desde el original el 30 de mayo de 2024. Consultado el 30 de mayo de 2024 .
14. Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 de enero de 2007). Botnets . Burlington, Virginia: Syngress. págs. 77–95. doi :10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8.
15. Zeltser, Lenny. "Cuando los bots usan las redes sociales para el mando y el control". zeltser.com . Archivado desde el original el 7 de octubre de 2017. Consultado el 27 de mayo de 2017 .
16. Osborne, Charlie. "Hammertoss: los hackers rusos atacan la nube, Twitter y GitHub en la propagación de malware". ZDNet . Archivado desde el original el 18 de febrero de 2017. Consultado el 7 de octubre de 2017 .
17. Singel, Ryan (13 de agosto de 2009). «Hackers usan Twitter para controlar botnet». Wired . Archivado desde el original el 7 de octubre de 2017. Consultado el 27 de mayo de 2017 .
18. "Descubierta la primera botnet para Android controlada por Twitter". 24 de agosto de 2016. Archivado desde el original el 3 de julio de 2017. Consultado el 27 de mayo de 2017 .
19. Gallagher, Sean (3 de octubre de 2014). «Una botnet impulsada por Reddit infectó miles de Macs en todo el mundo». Ars Technica . Archivado desde el original el 23 de abril de 2017 . Consultado el 27 de mayo de 2017 .
20. Cimpanu, Catalin (6 de junio de 2017). «Los piratas informáticos estatales rusos utilizan las publicaciones de Britney Spears en Instagram para controlar el malware». Bleeping Computer . Archivado desde el original el 8 de junio de 2017. Consultado el 8 de junio de 2017 .
21. Dorais-Joncas, Alexis (30 de enero de 2013). "Recorriendo Win32/Jabberbot. Un C&C de mensajería instantánea". Archivado desde el original el 2 de junio de 2017 . Consultado el 27 de mayo de 2017 .
22. Constantin, Lucian (25 de julio de 2013). «Los cibercriminales están utilizando la red Tor para controlar sus botnets». PC World . Archivado desde el original el 3 de agosto de 2017. Consultado el 27 de mayo de 2017 .
23. "Guía de filtrado de tráfico de botnets de Cisco ASA". Archivado desde el original el 25 de mayo de 2017 . Consultado el 27 de mayo de 2017 .
24. Berinato, Scott (noviembre de 2006). "Ataque de los bots". Wired . Archivado desde el original el 14 de julio de 2014.
25. Norton, Quinn (1 de enero de 2012). «Anonymous 101 Part Deux: Morals Triumph Over Lulz». Wired.com. Archivado desde el original el 2 de febrero de 2013. Consultado el 22 de noviembre de 2013 .
26. Peterson, Andrea (10 de abril de 2015). «China despliega una nueva arma para la censura en línea en forma de 'Gran Cañón'». The Washington Post . Archivado desde el original el 17 de abril de 2015. Consultado el 10 de abril de 2015 .
27. "Aquí se explica por qué seguirán produciéndose cortes masivos de servicios de Internet". Vox . 24 de octubre de 2016. Archivado desde el original el 10 de octubre de 2022 . Consultado el 31 de julio de 2022 .
28. "Operación Aurora: la estructura de mando". Damballa.com. Archivado desde el original el 11 de junio de 2010. Consultado el 30 de julio de 2010 .
29. Edwards, Jim (27 de noviembre de 2013). «Así es como se ve cuando una botnet de fraude de clics controla secretamente su navegador web». Archivado desde el original el 23 de julio de 2017. Consultado el 27 de mayo de 2017 .
30. FTC. «Bots de redes sociales y publicidad engañosa» (PDF) . Archivado (PDF) del original el 22 de junio de 2024. Consultado el 26 de julio de 2020 .
31. Burt, Jeff. "Ataque de robo de credenciales contra GM expone datos de propietarios de automóviles". www.theregister.com . Archivado desde el original el 31 de julio de 2022. Consultado el 31 de julio de 2022 .
32. Nichols, Shaun (24 de junio de 2014). "¿Tienes una botnet? ¿Estás pensando en usarla para minar Bitcoin? No te molestes". Archivado desde el original el 14 de septiembre de 2017. Consultado el 27 de mayo de 2017 .
33. "Minería de Bitcoin". BitcoinMining.com. Archivado desde el original el 19 de abril de 2016. Consultado el 30 de abril de 2016 .{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace )
34. "Caballos de Troya y preguntas frecuentes sobre virus". DSLReports. Archivado desde el original el 20 de octubre de 2012. Consultado el 7 de abril de 2011 .
35. Relaciones entre botnets de muchos a muchos Archivado el 4 de marzo de 2016 en Wayback Machine , Damballa , 8 de junio de 2009.
36. "Usos de las botnets | El Proyecto Honeynet". www.honeynet.org . Archivado desde el original el 20 de marzo de 2019 . Consultado el 24 de marzo de 2019 .
37. "¿Qué es el phishing? - Definición de WhatIs.com". SearchSecurity . Archivado desde el original el 24 de marzo de 2019 . Consultado el 24 de marzo de 2019 .
38. Aguilar, Mario (14 de abril de 2015). «La cantidad de personas que caen en los correos electrónicos de phishing es asombrosa». Gizmodo . Archivado desde el original el 24 de marzo de 2019. Consultado el 24 de marzo de 2019 .
39. "Detección y desmantelamiento de la infraestructura de comando y control de botnets utilizando perfiladores de comportamiento e informantes de bots". vhosts.eecs.umich.edu .
40. "DISCULPACIÓN: Detección de servidores de comando y control de botnets mediante análisis NetFlow a gran escala" (PDF) . Conferencia anual sobre aplicaciones de seguridad informática . ACM. Diciembre de 2012. Archivado (PDF) del original el 4 de marzo de 2016 . Consultado el 16 de junio de 2017 .
41. BotSniffer: detección de canales de comando y control de botnets en el tráfico de red . Actas del 15.º Simposio anual sobre seguridad de redes y sistemas distribuidos. 2008. CiteSeerX 10.1.1.110.8092 . 
42. "IRCHelp.org – Privacidad en IRC". www.irchelp.org . Archivado desde el original el 22 de junio de 2024 . Consultado el 21 de noviembre de 2020 .
43. "Investigadores inician un millón de núcleos Linux para ayudar a la investigación de botnets". Noticias sobre seguridad informática y seguridad de redes. 12 de agosto de 2009. Consultado el 16 de agosto de 2024 .
44. "Los ataques de botnets de fuerza bruta ahora eluden la detección volumétrica". DARKReading de Information Week . 19 de diciembre de 2016. Archivado desde el original el 14 de noviembre de 2017 . Consultado el 14 de noviembre de 2017 .
45. "Subcomité sobre Delincuencia y Terrorismo | Comité Judicial del Senado de los Estados Unidos". www.judiciary.senate.gov . Archivado desde el original el 11 de diciembre de 2022 . Consultado el 11 de diciembre de 2022 .
46. Estados Unidos. Congreso. Senado. Comité de la Judicatura. Subcomité sobre Delito y Terrorismo (2018). Derribando botnets: Esfuerzos públicos y privados para interrumpir y desmantelar redes cibercriminales: Audiencia ante el Subcomité sobre Delito y Terrorismo del Comité de la Judicatura, Senado de los Estados Unidos, 113.° Congreso, segunda sesión, 15 de julio de 2014. Washington, DC: Oficina de Publicaciones del Gobierno de los Estados Unidos. Archivado desde el original el 22 de junio de 2024. Consultado el 18 de noviembre de 2018 .
47. Meidan, Yair (2018). "Detección basada en redes N-BaIoT de ataques de botnets de IoT mediante codificadores automáticos profundos". IEEE Pervasive Computing . 17 (3): 12–22. arXiv : 1805.03409 . doi :10.1109/MPRV.2018.03367731. S2CID  13677639.
48. García, S.; Grill, M.; Stiborek, J.; Zunino, A. (1 de septiembre de 2014). «An empirical comparison of botnet detection methods» (Una comparación empírica de métodos de detección de botnets). Computers & Security (Computadoras y seguridad ) . 45 : 100–123. doi :10.1016/j.cose.2014.05.011. hdl : 11336/6772 . ISSN:  0167-4048. Archivado desde el original el 9 de diciembre de 2022. Consultado el 8 de diciembre de 2023 .
49. Credeur, Mary. "Atlanta Business Chronicle, redactora". bizjournals.com. Archivado desde el original el 22 de marzo de 2019. Consultado el 22 de julio de 2002 .
50. Mary Jane Credeur (22 de julio de 2002). «EarthLink gana una demanda de 25 millones de dólares contra un remitente de correo basura». Archivado desde el original el 23 de marzo de 2019. Consultado el 10 de diciembre de 2018 .
51. Paulson, LD (abril de 2006). "Los piratas informáticos fortalecen las botnets maliciosas al reducirlas" (PDF) . Computer; News Briefs . 39 (4). IEEE Computer Society: 17–19. doi :10.1109/MC.2006.136. S2CID  10312905. Archivado (PDF) del original el 12 de noviembre de 2013. Consultado el 12 de noviembre de 2013. El tamaño de las redes de bots alcanzó su punto máximo a mediados de 2004, y muchas de ellas utilizaban más de 100.000 máquinas infectadas, según Mark Sunner, director de tecnología de MessageLabs. El tamaño medio de las botnets es ahora de unas 20.000 computadoras, afirmó.
52. "Symantec.cloud | Seguridad del correo electrónico, seguridad web, protección de puntos finales, archivado, continuidad, seguridad de mensajería instantánea". Messagelabs.com. Archivado desde el original el 18 de noviembre de 2020. Consultado el 30 de enero de 2014 .
53. Chuck Miller (5 de mayo de 2009). «Investigadores secuestran el control de la botnet Torpig». SC Magazine US. Archivado desde el original el 24 de diciembre de 2007. Consultado el 7 de noviembre de 2011 .
54. "La red de Storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior". Tech.Blorge.Com. 21 de octubre de 2007. Archivado desde el original el 24 de diciembre de 2007. Consultado el 30 de julio de 2010 .
55. Chuck Miller (25 de julio de 2008). "La botnet Rustock vuelve a enviar spam". SC Magazine US. Archivado desde el original el 4 de abril de 2016. Consultado el 30 de julio de 2010 .
56. Stewart, Joe (13 de enero de 2009). "Botnets de spam a tener en cuenta en 2009". Secureworks.com . SecureWorks. Archivado desde el original el 5 de marzo de 2016 . Consultado el 9 de marzo de 2016 .
57. "Botnet Pushdo: nuevos ataques DDOS a importantes sitios web. Harry Waldron. Seguridad informática". Msmvps.com. 2 de febrero de 2010. Archivado desde el original el 16 de agosto de 2010. Consultado el 30 de julio de 2010 .
58. "Acusan a un adolescente neozelandés de controlar una red de bots que afecta a 1,3 millones de ordenadores". The H security. 30 de noviembre de 2007. Archivado desde el original el 8 de marzo de 2013. Consultado el 12 de noviembre de 2011 .
59. "Tecnología | El spam aumenta tras un breve respiro". BBC News . 26 de noviembre de 2008. Archivado desde el original el 22 de mayo de 2010 . Consultado el 24 de abril de 2010 .
60. "Sality: Historia de una red viral peer-to-peer" (PDF) . Symantec. 3 de agosto de 2011. Archivado desde el original (PDF) el 24 de septiembre de 2015 . Consultado el 12 de enero de 2012 .
61. "Cómo el FBI y la policía desmantelaron una red de bots masiva". theregister.co.uk. Archivado desde el original el 5 de marzo de 2010. Consultado el 3 de marzo de 2010 .
62. "Nueva botnet masiva del doble del tamaño de Storm — Security/Perimeter". DarkReading. 7 de abril de 2008. Archivado desde el original el 11 de junio de 2016. Consultado el 30 de julio de 2010 .
63. "Calculando el tamaño del brote de Downadup — F-Secure Weblog: Noticias del laboratorio". F-secure.com. 16 de enero de 2009. Archivado desde el original el 23 de mayo de 2016. Consultado el 24 de abril de 2010 .
64. "Botnet Waledac 'diezmada' por MS derribado". The Register. 16 de marzo de 2010. Archivado desde el original el 18 de abril de 2011. Consultado el 23 de abril de 2011 .
65. Gregg Keizer (9 de abril de 2008). «Top botnets control 1M pirateado computers». Computerworld. Archivado desde el original el 13 de agosto de 2014. Consultado el 23 de abril de 2011 .
66. "Botnet ataca a soldados zombis en sitios web defectuosos". The Register. 14 de mayo de 2008. Archivado desde el original el 11 de mayo de 2011. Consultado el 23 de abril de 2011 .
67. "Infosecurity (UK) - BredoLab derribó una botnet vinculada con Spamit.com". .canada.com. Archivado desde el original el 11 de mayo de 2011. Consultado el 10 de noviembre de 2011 .
68. "Investigación: pequeñas botnets caseras prevalecen en redes empresariales". ZDNet. Archivado desde el original el 11 de mayo de 2011. Consultado el 30 de julio de 2010 .
69. Warner, Gary (2 de diciembre de 2010). "Oleg Nikolaenko, Mega-D Botmaster to Stand Trial". Delitos cibernéticos y condena de prisión. Archivado desde el original el 7 de enero de 2016. Consultado el 6 de diciembre de 2010 .
70. Kirk, Jeremy (16 de agosto de 2012). «Spamhaus declara muerta la botnet Grum, pero Festi aumenta». PC World . Archivado desde el original el 1 de julio de 2015. Consultado el 11 de marzo de 2016 .
71. "Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)". kasperskytienda.es. 3 de julio de 2011. Archivado desde el original el 14 de marzo de 2016 . Consultado el 11 de julio de 2011 .
72. "Las 10 botnets más buscadas de Estados Unidos". Networkworld.com. 22 de julio de 2009. Archivado desde el original el 22 de junio de 2024. Consultado el 10 de noviembre de 2011 .
73. "Una operación policial de la UE desmantela una red informática maliciosa". phys.org . Archivado desde el original el 7 de octubre de 2019 . Consultado el 7 de octubre de 2019 .
74. "Descubierto: Botnet que cuesta a los anunciantes de display más de seis millones de dólares al mes". Spider.io. 19 de marzo de 2013. Archivado desde el original el 9 de julio de 2017. Consultado el 21 de marzo de 2013 .
75. "Esta pequeña botnet está lanzando los ataques DDoS más poderosos hasta el momento". ZDNet . Archivado desde el original el 31 de julio de 2022 . Consultado el 31 de julio de 2022 .
76. Espiner, Tom (8 de marzo de 2011). "El tamaño de la botnet puede ser exagerado, dice Enisa | Amenazas de seguridad". Zdnet.com. Archivado desde el original el 23 de octubre de 2012. Consultado el 10 de noviembre de 2011 .

Enlaces externos

• El Proyecto Honeynet y la Research Alliance: “Conozca a su enemigo: seguimiento de botnets”
• La Fundación Shadowserver: un grupo de vigilancia de seguridad formado exclusivamente por voluntarios que recopila, rastrea e informa sobre malware, actividad de botnets y fraude electrónico.
• EWeek.com – "¿Está ya perdida la batalla contra las botnets?"
• Redada de botnets: el FBI declara culpable al autor intelectual del malware SpyEye