Uno de los puntos más débiles de las botnets ha sido desde siempre su dependencia de centros de control desde los cuales los operadores daban órdenes a todos los componentes. Esto hacía que en el caso de que las autoridades tomaran control de estos C&C la botnet sufría cuanto menos un considerable bajón en su rendimiento, sino definitivo si al menos temporal. Pues bien, como cualquier desarrollador, los creadores de estas botnets se esfuerzan constantemente para mejorarlas y blindarlas, uno de sus últimos avances es el de prescindir de estos C&C en beneficio de una botnet P2P.
Resulta difícil imaginar cuanto han avanzado las botnets en 10 años, desde aquellas rudimentarias botnets que se conectaban a canales de IRC basicamente para controlar las máquinas que se tenían hackeadas, pasando por protocolos más complejos y encriptados en la explosión de las botnets de spamm y robo de datos, hasta llegar a las botnets P2P.
Investigadores de Symantec han detectado recientemente una de estas botnet P2P formada por una variante del troyano ZeuS, uno de los troyanos favoritos de los fraudes bancarios (capaz de robar documentos, datos de usuario y contraseñas..) y del cual se liberó el código fuente recientemente dando origen a toda una serie de mejoras y modificaciones por parte de sus usuarios.
Ya en Noviembre de 2011, se detectó una variante que introducía el P2P como alternativa en el caso que los centros de control cayeran, permitiendo que un nodo confiara en ordenes recibidas de otro nodo. Pero ahora lo que se ha detectado es una nueva variante que prescinde completamente de los C&C, ya que cada nodo de la botnet puede actuar como C&C, distribuir comandos y ficheros de configuración.
Este sistema P2P se realiza a través de HTTP, ya que el troyano incorpora una versión customizada del servidor web nginx, con lo que cada nodo de la botnet puede transmitir y recibir tráfico HTTP.
Todos estos avances, hacen como hemos dicho, mucho más difícil de hacer caer una botnet, ya que ahora no existirán puntos vitales de la misma a los que atacar. De todas maneras la carrera armamentística no se detiene y los investigadores de Symantec investigan en estos momentos de que manera un nuevo nodo es capaz de comunicarse con la botnet ya existente al carecer de centros de control.
