Español | English
rss facebook linkedin Twitter

Microsoft (1) - Waledac (0)

A finales de febrero y después de una investigación de varios meses, Microsoft ganó el juicio contra el imaginario John Doe (nombre utilizado de manera simbólica para representar a los responsables de la botnet Waledac) para forzar el cierre de la infraestructura formada por un total de 277 dominios (objetivo de la denuncia) y 90000 ordenadores infectados que formaban parte de esta red.

La iniciativa llevada a cabo con la colaboración de organizaciones como Shadowserver, la universidad de Washington y Symantec entre otros, tenía como objetivo involucrar a terceras partes responsables de la gestión de diversos dominios (VeriSign, China Springboard, Wild West Domains, etc.) para forzar su actuación en el cierre de los dominios implicados.

La denuncia (pdf) presentada detalla el funcionamiento de la botnet así como los objetivos del entramado criminal detrás de ella (envío de spam, malware, recolección de datos, ataques de denegación de servicios, alquiler a terceras partes, etc.).

Fuente: http://blogs.technet.com/microsoft_blog/archive/2010/02/25/cracking-down-on-botnets.aspx

La estructura multi-capa de Waledac está formada por:

- Nodos Spam: Máquinas infectadas a las que se les envía la orden de envío de spam. Los correos enviados pueden ser spam puro y duro o incluir otro tipo de códigos maliciosos.

- Nodos Repetidor: A nivel genérico, se trata de máquinas infectadas que funcionan como redirectores de tráfico. Serían los encargados de redirigir las comunicaciones entre diferentes bots o enrutar nuevas máquinas aún no infectadas hacia servidores de malware después de una campaña de spam. También pueden funcionar como servidores de nombres de dominio (DNS).

- Nodos Control: Estas máquinas NO son nodos infectados, siendo su tarea principal la de actuar como proxy inverso. Básicamente reciben datos de los "Nodos repetidor" y lo transfieren a otros servidores "detrás" de los nodos TLS. La función de esta capa de servidores es la de ocultar los servidores que hay en la última línea de la botnet, lo que dificulta en gran medida la recolección de información de las zonas detrás de estos nodos. Estos nodos están controlados por los responsables de la botnet.

-Nodos Principales: Los paneles de control de la botnet. Estos servidores son controlados directamente por los admins de la botnet. Realizan funciones de organización y coordinación de los distintos nodos que forman la red mediante el envío de instrucciones.

Evidentemente, la sentencia actúa contra estas dos últimas capas que forman el entramado de gestión de Waledac ya que seguramente sería todo un caos legislativo/técnico/social intentar tomar medidas judiciales contra las máquinas infectadas o sus proveedores. En este sentido, Microsoft ha tenido el acierto de realizar la denuncia incluyendo todas aquellas entidades legítimas que necesitan en muchos casos un apoyo legal en el que basarse para tomar este tipo de decisiones.

Esperemos que iniciativas como esta sigan prosperando y aunque por el momento no se juzgue ni conozca a sus responsables directos, se empiece a mermar de forma continuada los recursos de los que disponen.

Daniel López
S21sec e-crime

1 comentario:

- Raúl - dijo...

Estoy totalmente a favor de esta lucha y desarticulación de las botnets.

Pero el título de la nota se equivoca ya que el contador de Waledac es mucho mayor que cero, podriamos ponero en cientos, miles o más. ¿no les parece?

Está bien ser optimista, pero Waledac (0) disimula el éxito que ya han tenido y siguen teniendo los delincuentes.

Exelente como siempre sus notas.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login