Seguridad
CIBERSEGURIDAD 46 (8) Troyano software/firmware. Es una funcionalidadmalware que aparenta ser un programa o microprograma benigno, pero realiza actividades maliciosas en el dispositivo/plata- forma/sistema sin el conocimiento del usuario. Los troyanos no infec- tan ficheros o se replican, sino que crean backdoors para el acceso no autorizado al sistema para borrar ficheros, instalar programas o sacar datos privados (números de cuenta, contraseñas, etc.). Esta funcionalidad malware se disfraza como código, APP o software útil autorizado. Una vez descargado puede tomar el con- trol de los sistemas de la víctima para propósitos maliciosos (como espiar, robar credenciales, informa- ción sensible y enviarla de forma encubierta o subliminar a un servidor C&C del ciber-atacante). Se pueden ocultar en juegos, APPs o incluso actualizaciones software y parches firmware o pueden estar embebidos como ficheros adjuntos en correos con phishing. Es un malware que transporta operaciones maliciosas bajo la apariencia de una operación deseada por ejemplo jugar un juego online, una canción-video de éxito, un fondo de pantalla, etc. Un malware con funcionalidad de troyano soft- ware se diferencia de un malware con funcionalidad de virus debido a que el troyano software se puede ligar a ficheros no ejecutables como ficheros de imágenes, ficheros de audio, etc. Ejemplos de malware con funcionalidad de troyanos son Zeus, Zitmo, Emotet (es un troyano de banca surgido en 2014, esquiva la detección basada en firmas, es persistente e incluye módulos que le ayudan a propagarse). (9) Botnet y bot. Un bot es una fun- cionalidad malware que posibilita al ciber-atacante denominado botmaster o bot-herder (humano o virtual) controlar de forma remota el dispositivo/plataforma/objeto/sis- tema infectado sin el conocimiento de la víctima utilizando canales C&C (Command and Control) desde un sistema denominado servidor C&C. También se denomina bot o zoom- bie al dispositivo infectado. Un bot es una funcionalidad malware que se auto-propaga que realiza tareas automatizadas bajo comando y se conecta con un servidor central mali- cioso. Un cluster de bots controlados por un servidor C&C se denomina botnet. Normalmente los bots se organizan en forma de colectivos de gran cardinalidad para crear una botnet que es una red de dispositivos infectados o bots controlados por un conjunto de bot-masters utilizando servidores C&C para lanzar de forma remota ciber-ataques de fraude phishing, enviar spam, ciberataques DDoS/DoS, etc. A veces el malware de infección de cada dispositivo de la botnet también se denomina bot. Mirai es tanto unmalware como una botnet (de millones de dispositivos) destinada a infectar objetos IoT que ejecutan Busybox. El malware busca dispositivos con el puerto 23 telnet abierto y vector de contraseña débil (contraseñas por defecto) para obte- ner acceso al dispositivo e infectarlo. Una vez instala la funcionalidad malware contacta con el servidor C&C para recibir instrucciones. El principal objetivo es infectar rou- ters, cámaras IP, objetos IoT/smart y grabadoras de vídeo para realizar ciberataques DDoS. Gafgyt es tanto un malware como una botnet para dispositivos IoT. La botnet Gafgyt se ha utilizado para ciber-atacar ser- vidores de juegos como Xbox Live incrementando el retardo de red de los jugadores oponentes en el mismo servidor incluso desconec- tándolos para poder ganar el juego. Algunos de los puertos utilizados por Gafgyt son el 80, el 3074, el 30000, el 30200, 37215, etc. Gafgyt como malware también ataca a routers SOHO (Small Office and Small Home) y objetos IoT para lanzar ciberata- ques DDoS. JenX es también una funcionalidadmalware bot y a la vez una botnet que utiliza exploits de ejecución de código remoto para obtener acceso y reclutar routers WiFi para su botnet con objeto de ciber-atacar servidores de juegos (que ejecutan VSE/Valve-Source- Engine). La botnet Echobot es una variante de la botnet Mirai explota vulnerabilidades, Oracle-WebLogic server, busca sistemas antiguos sin parches, lanza ciberataques DDoS, interrumpe cadenas de suministro, realiza sabotajes, roba información sensible de la cadena de suministro, etc.). Otros ejemplos de botnets son Agobot y Sdbot y botnet IoT como JenX, Mirai, Gafgyt. Algunas subca- tegorías de bots son: (a) Reverse Shell. Es una funciona- lidad de malware que proporciona acceso no autorizado de un dispositivo no determinado al ciber- atacante. Permite al ciber-atacante ejecutar y escribir comandos en la víctima ya que el ciberatacante es local. Ejemplos son JSP Web Shell y Netcat. (b) Spamware o spambot. Es una funcionalidad malware que envía spam. Busca y realiza una lista de direcciones de correo electrónico y envía un gran número de correos
RkJQdWJsaXNoZXIy Njg1MjYx