Martes, Febrero 07, 2012
AddThis Social Bookmark Button
CXO Community
GL Coaching

Botnets - Parte II

PDFImprimirE-mail

Escrito por Mariano Vazquez Miércoles, 09 de Junio de 2010 00:00

Blog - El ABC de...

Usar puntuación: / 6
MaloBueno 
AddThis Social Bookmark Button

Mariano VázquezEvolución de las redes Botnets.

Han evolucionado de ser pequeñas redes, conformadas por pocos equipos y administradas desde centros de comando y control fijos en sus primeras versiones, hasta convertirse en complejos sistemas distribuidos de administración descentralizada, valiéndose en algunos casos de la madurez de los protocolos p2p, por ejemplo; el protocolo gnuntella2 y los servicios de DNS dinámicos, pasando a contar con miles de equipos a su disposición siendo en este tipo de versiones mucho más difícil de ser detectados sus botmasters.

Para visualizar la Parte I de este blog, haga clic aquí.

El equipo infectado por un bot cumple las órdenes de su amo llamado comúnmente  “botmaster” transformando a los equipos víctimas en máquinas “sirvientes” o “zombis”.

Las redes botnets son cada vez más numerosas tornándose cada vez más sofisticadas en aras de lograr ser indetectables. Sus componentes utilizan técnicas avanzadas de ocultamiento como el polimorfismo de su código, la impostación de procesos legítimos,  y técnicas más complejas como la utilización de rootkits y encriptación de sus canales de comunicación, esto último para dificultar el reconocimiento y la interpretación de los comandos, como también, la ubicación de los centros de comando y control al ser analizada la interacción entre las máquinas infectadas (zombis) y las máquinas supernodos que realizan las tareas de comando y control en redes descentralizadas.

Otro de los puntos fuertes de las nuevas generaciones de botnets es la programación modular, entendiéndose como la capacidad que tiene el bot de bajar del centro de control y comando los módulos de software que aplican al tipo de antivirus que se tiene instalado, dado que una de las tareas de los bots es la de inutilizar el antivirus con el objetivo de comprometer las funciones del equipo infectado. Esto quiere decir que si en un equipo el software de base es Windows XP con el antivirus de la marca “X”, el bot de la máquina infectada bajará el módulo anti-antivirus “X” para Windows XP a fin de deshabilitarlo.

El gran crecimiento de este tipo de redes se debe en parte al incremento de las redes sociales debido a que para propagarse muchas veces se valen de los problemas de seguridad dentro de estas redes y así poder inyectar código malicioso e infectar a los usuarios que las integran.

Los botmasters, a menudo, compiten entre ellos tratando de robarse las máquinas sirvientes, y en este proceso es cuando se hacen más vulnerables a la detección de los programas en una máquina, dado que la máquina infectada comienza a tener un comportamiento errático de baja performance e inestabilidad.

Síntomas de una máquina que forma parte de una red de botnets
Los síntomas más comunes de una máquina infectada y perteneciente a una red de botnets es  la baja de performance a nivel procesador, memoria y ancho de banda, sumado a que muchas veces el antivirus deja de funcionar, la máquina se reinicia en forma inesperada y lo mismo sucede con la actualización de los fixes del sistema operativo.    

A continuación se muestran algunos comandos de la botnet AGOBOT:

Host  Control Command:

  • Harvest.cdKeys | Devuelve un listado de Cd Keys del servidor víctima.
  • Harvest.emails | Devuelve un listado de e-mails capturados en el servidor víctima.
  • PCtrl.List | Devuelve el listado de procesos del  servidor víctima.
  • Pctrl.Killsvc | Para o mata un determinado procesos en el servidor víctima.
  • Harvest.Registry | Devuelve el listado de entradas de registro del servidor víctima.

Contramedidas para tratar de evitar ser parte de una botnet
Si bien las redes botnets actúan de manera sigilosa y sofisticada, existen acciones que pueden ayudarnos a preservar la integridad, confidencialidad y disponibilidad de nuestros equipos:

  • Instalar un antivirus reconocido en el mercado.
  • Configurar el software de nuestro equipo para que se actualice de forma automática.
  • Aumentar las configuraciones de seguridad de nuestro navegador.
  • No utilizar usuarios con privilegio de administrador y/o similares para navegar por la Web. También es conveniente utilizar el modo prívate de los navegadores cuando navegamos páginas riesgosas.
  • No hacer clic en los links que vienen adjuntos en los e-mails. Es aconsejable tipear el link completo de la página a la que se hace referencia.
  • Hay que asegurarse que el sistema operativo tenga las revisiones más recientes de seguridad y corrección de errores.
  • Instalar, en la medida de lo posible, algún software que nos avise sobre las nuevas actualizaciones del software que tenemos instalado en la máquina, tal como; “software informer”.
  • No guardar en nuestras máquinas contraseñas de otros sistemas y/o servicios sin una adecuada encriptación o software de manejo de contraseñas de forma segura.
  • Analizar el tráfico de red para detectar anomalías en el consumo de ancho de banda, utilización de protocolos y  puertos que no condicen con el segmento de red que se está analizando. Algunas herramientas para lograrlo son: la instalación de IDSs e IPSs en los distintos segmentos de la red, combinando estos con herramientas para medir la utilización del ancho de banda como RRDtool, Cacti, MRTG, y herramientas para entender la utilización de ancho de banda por protocolos como Ntop.
  • Utilizar, para detectar y retardar la propagación de los worms dentro de la red, sticky honeypots, tal como; “Labrea”.
  • Escanear periódicamente las redes internas y externas de la organización en busca de vulnerabilidades en los protocolos, en los sistemas operativos y en las aplicaciones, los cuales pudieran servir para la propagación de estos worms.

Conclusiones

Las redes botnets son sofisticados sistemas informáticos con fines delictivos, persiguiendo mayormente como meta, obtener ganancias monetarias.
 
Es claro que para combatir este tipo de amenazas a nivel global se necesita una clara intervención de los Gobiernos a través de los CSIRTs mundiales generando un frente de trabajo conjunto sancionando a los hosters que encubran redes de este tipo.

Bibliografía

  • Botnets the killer web app SYNGRESS.
  • An Incide look a Botnets Computer Sciences Department (University of Wisconsin, Madison).

Por Mariano Vázquez, Técnico Superior en Comunicaciones (ORT), NSP, Ingeniero de e-Security en Standard Bank Argentina.

< Prev   Próximo >

El autor Mariano Vazquez es miembro desde el Martes, 18 Mayo 2010.

Otros artículos del autor...

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

FacebookLinkedinTwitterYoutubeSlideShareMySpace

Level 3 Think Ahead
tecsystem Soluciones y Servicios
GL Coaching
UCEMA Ingeniería Informática
CSO Gold Executive Council ICIO2: I know it
Dixit
El Derecho Informático

Revista Impresa #15

Revista CXO Community #15 - Seguridad en Entidades Financieras: un nuevo escenario

Kiosco Digital

Kiosco Digital

Ingreso de usuarios

Capacitación

Registrados

Hoy: 0 registrados
Esta semana: 2 registrados
Este mes: 5 registrados

Visitas

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterHoy848
mod_vvisit_counterAyer6506
mod_vvisit_counterEsta semana7354
mod_vvisit_counterUltima semana37116
mod_vvisit_counterEste mes34161
mod_vvisit_counterUltimo mes148794
mod_vvisit_counterTodos los días7678829
Online 115
Hoy: Feb 07, 2012