En días pasados Karspersky dio a conocer un estudio donde hacía mención de una botnet aparentemente indestructible llamada TLD4, la cual lleva infectados hasta el momento a 4.5 millones de equipos, de inmediato la noticia cobro importancia debido a las características de TLD4 y el porque – según Kaspersky– es indestructible:

  • Infecta la computadora desde el MBR (Master Boot Record) por lo que se ejecuta antes que el sistema operativo.
  • Elimina otros archivos maliciosos que pudieran estar almacenados en los equipos.
  • Usa un mecanismo de cifrado hecho de forma expresa para sus propios propósitos. Este permite la comunicación cifrada vía Internet entre un centro de control y las botnets, al tiempo que evita su identificación mediante análisis de red e impide que otros tomen el control.
  • Accede a redes P2P, sobre todo a la red KAD.
  • Infecta máquinas Windows a través de sitios web que explotan vulnerabilidades del sistema.
  • Se encuentra en sitios que alojan pornografía, contenidos de descarga directa y torrents (se dice que los sitios afiliados reciben entre 20 y 200 dólares por cada mil instalaciones).
  • Puede modificar resultados de búsqueda, publicidad en internet y DNS.
  • Los centros de control de la botnet cambian constantemente.

Es interesante el funcionamiento de TLD4, ya que sus creadores decidieron modificar el algoritmo original que utilizaban al infectar para que fuera realmente difícil evitar el contagio, ¿Pero de verdad es imposible el detenerla?

Roger A Grimes de InfoWorld y experto en seguridad durante más de 20 años y Richard Boscovich abogado de la Unidad de Crímenes Digitales de Microsoft no creen que TLD4 sea indestructible, Grimes comenta que durante su carrera no ha conocido un sólo ataque (botnets, virus, etc) que sea imparable y que aunque tome tiempo, es posible detenerlos, además menciona que no es la primera vez que se utiliza el MBR para un ataque.

Por su parte Boscovich dice que elevar a indestructible a TLD4 significa una falta de creatividad tanto legal como técnica y menospreciar a los profesionales de la seguridad, ya que hay varias formas de detener estos ataques, y que aun cuando tiene varias formas de evadir las técnicas tradicionales no significa que no haya nada que hacer.

Para mi (Adrián Rosas) TLD4 tampoco es indestructible, más bien (y recordando que soy paranoico) me parece que la estrategia de Kaspersky es la de vender sus productos y que en algún momento dirá que ya encontró la forma de parar a la botnet indestructible, claro puedo estar equivocado, pero si ataques tan específicos y realmente peligrosos como Stuxnet o Conficker (aproximadamente 15 millones de equipos infectados) fueron detectados y controlados, no veo porque TLD4 vaya a ser la excepción.

Finalmente sólo quiero aclarar que no estoy desestimando a TLD4 y sus 4.5 millones de equipos infectados, es un problema real que poco a poco esta creciendo y que más allá de esta amenaza como tal, esta el echo de que los ataques no cesan, día a día aparecen nuevas formas de vulnerar los equipos y sistemas, lo cual compromete no sólo la información sino a las personas, tanto los dueños de esa información como los encargados de protegerla.

Y de todas formas, no se ve que lo anterior vaya a terminar pronto.

Descargar artículo en formato PDF