El botnet tradicional ha muerto… ¡viva el botnet P2P!

Cada vez con mayor frecuencia, se están utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos “zombies”.

Estos ataques ya fueron descritos por investigadores de la Polytechnic University en Brooklyn el año pasado, pero no ha sido hasta principios de 2007 que se han visto casos reales que han conseguido implementarlo. En las últimas semanas, según Prolexic, está siendo cada vez más utilizado.

Según el problema descrito por la universidad de Brooklyn, existe un fallo asociado a las redes P2P y el protocolo que utilizan. En su estudio en concreto, se centraban en Overnet (red anteriormente usada por eDonkey y cerrada por la RIAA, Recording Industry Association of America).

El problema se basa en el envenenamiento de rutas o de índices en P2P. Un atacante podría manipular estos registros para hacer creer a los clientes que los ficheros “populares” se encuentran en una dirección IP y puerto concretos, que pueden ser designados por el atacante. Esta dirección IP no tiene por qué ser participante de la red P2P ni, por supuesto, contener el fichero que le está siendo requerido, de forma que una petición masiva puede llegar a agotar los recursos de red de la víctima. En la universidad de Brooklyn, creando un software cliente a medida y redirigiendo el tráfico a uno de sus propios servidores, pudieron comprobar lo sencillo que resultaba abrumar de tráfico un ancho de banda gracias a peticiones de los miles de usuarios de la red.

Según Prolexic, que ha visto en las últimas semanas cómo estos estudios teóricos se llevaban a la vida real, se han llegado a utilizar hasta 100.000 máquinas para realizar estos ataques. La ventaja frente al botnet “tradicional” es que el atacante no tiene que comunicarse directamente con las máquinas que controla. Si consigue modificar estos registros en el tráfico P2P y modificar los índices, todo el tráfico de los potenciales clientes que soliciten un fichero popular irá a parar a un mismo sitio definido por el atacante. Se podría hablar de un “secuestro” de la red P2P.

La implementación del protocolo en DC++ (un cliente de redes P2P de código abierto) era vulnerable a este tipo de modificaciones. Sus creadores han publicado una nueva versión que corrige estas deficiencias y protege a los usuarios de este tipo de modificaciones no deseadas. Han reconocido también que su software estaba siendo “engañado” para llevar a cabo este tipo de ataques. Los descubridores no descartan que otras redes P2P hereden estos problemas.

Quizás con estas nuevas técnicas de “reclutamiento de zombies” más “cómodas” para los atacantes, la extorsión por denegación de servicio distribuida (obligar al pago de grandes sumas para que una web “no sea atacada”) vuelva a ser “rentable”. No hace mucho, Symantec hablaba de un cierto abandono de estos métodos, pues ya no resultaba tan lucrativo para los que controlaban las botnets como el envío de spam y la distribución de malware.