24C3: Storm Worm, un troyano P2P

“Cybercrime 2.0. Storm Worm” por Thorsten Holz fue otra de las conferencias a las que asistimos en el 24C3, y que ofrezco en diferido. Por cierto, en la web de referencia de cada charla podéis encontrar los vídeos correspondientes.

Esta charla sobre “Cibercrimen 2.0″ ha sido interesante, sobretodo imaginando el tipo de trabajo detectivesco que debe realizar esta gente para estudiar un malware cada vez más sofisticado y elaborado.

Storm Worm fue un troyano detectado a principios de 2007, que infectó varios miles de máquinas con Windows.

Thorsten trabaja en un grupo de investigación universitario, que dispone de una red de honeypots, cubierta a su vez por “Truman boxes”, que vienen a ser proxys transparentes que permiten analizar todo el tráfico generado y recibido por los honeypots sin que los troyanos se percaten de que hay alguien escuchando. Ha detallado cómo llegaron a identificar los mecanismos de infección y control, que en este último punto introdujo la innovación de emplear la red P2P Overnet para controlar una red de bots distribuidos.

A partir de las comunicaciones interceptadas, siguieron la pista de la aplicación hasta dicha red, y diseccionaron el protocolo de control, que permitía la comunicación bidireccional, por ejemplo para que “el maligno” ordenase enviar spam a las máquinas troyanizadas, y estas reportasen de sus avances.

Un detalle que llama la atención es la sorprendente diferencia (medible en órdenes de magnitud) entre el número de máquinas infectadas que anunciaban los medios de comunicación y el número medio de nodos que ellos detectaron como sistemas genuinamente infectados.

Buena parte de la charla estuvo plagada de detalles técnicos, desde un repaso al código ofuscado por el que se propagaba Storm Worm hasta el protocolo empleado para controlar las máquinas o la introducción posterior de cifrado para dificultar la monitorización llevada a cabo por los investigadores.