Técnicas activas de Caza Detectando y destruyendo a los Botnet
1. 1 Título: Técnicas activas de Caza: Detectando y destruyendo a los Botnet.
Title: Active Technologies of Hunts: Detecting and Destroying the Botnet.
Autores: Ing. Johandry González Espín. Johandry_espin@yahoo.es
Resumen
Internet va en constante aumento, cada día se unen a la red de redes miles de sitios web, cientos de nuevos
servicios destinados a organizaciones y usuarios, pero este creciente aumento trae consigo nuevas amenazas
de seguridad.
Infinidades de vulnerabilidades son detectadas a diario obligando a sus Programadores a parchearlas
inmediatamente para evitar intrusiones, los virus amenazan con desestabilizar la seguridad informática, el robo
de identidad y de datos bancarios hacen de internet un lugar poco seguro.
Los expertos en seguridad tratan de mitigar y controlar la creciente oleada de malware y vulnerabilidades para
mantener estables y seguras sus organizaciones, pero una nueva amenaza se cierne sobre internet, una
invisible, una que trata de resumir todas las existentes, “Las Redes Botnet”.
Este documento de Seguridad tiene como objetivo convertirse en un manual sobre el funcionamiento,
características y métodos de detección de las Redes Botnet.
Palabras claves: Redes Botnet, Seguridad informática, Bot.
Abstract:
Internet goes in constant increase, every day there join the network of networks thousands of web sites,
hundreds of new services destined for organizations and users, but this increasing increase brings with it new
threats of safety.
Infinities of vulnerabilities are detected daily forcing his Programmers to patch them immediately to avoid
intrusion’s, the virus threaten to destabilize the IT security, the theft of identity and of bank information they do of
Internet a slightly sure place.
The experts in safety try to mitigate and control the increasing big wave of malware and vulnerabilities to keep
his organizations stable and sure, but a new threat hovers over Internet, the invisible one, one that tries to
summarize all the existing ones, “The Networks Botnet ".
This document of Security has as aim turn into a manual on the functioning, characteristics and methods of
detection of the Networks Botnet.
Key words: Computer science security, networks Botnet, Bot.
Introducción
Active Technologies of Hunts: Detecting and Destroying the Botnet.
2. 1
Era una de las redes más grande y potentes del mundo. Su potencia la componían más de 10 millones de
ordenadores, era responsable de sofisticados ataques de denegación de servicio, se utilizaba para el robo
bancario, robo de tarjetas de crédito y lanzamiento masivo de Spam entre otros actos delictivos.
Se estima que podía ejecutar más instrucciones por segundo que algunos de los superordenadores más
potentes del universo.
Nos referimos a una de la redes de Botnet mas grande del mundo llamada “Mariposa”. Esta red utilizaba un
virus llamado Butterfly Bot que controlaba todo su arsenal, según informes de seguridad del grupo de delitos
telemático de la unidad central operativa ya se ha desmantelado esta red de ordenadores Zombi.
La tecnología avanza a pasos vertiginosos y esto conlleva nuevos retos de seguridad, nuevos mecanismos de
ataques y defensas, los piratas informáticos tratan de mejorar sus técnicas destinadas a vulnerar toda clase de
aplicaciones y redes. Para ello han recurrido a un nuevo mecanismo de ataque, que aunque data de hace
algunos años han retornado con nuevos Bríos y nuevas mejoras en el ámbito tanto de la programación como
los métodos de Infección, este nuevo mecanismo es catalogado por los expertos y analistas como una de las
mayores amenazas de Seguridad: “Las Redes Botnet”.
¿Qué son las redes Botnet? ¿Cómo detectarlos y eliminarlos? Este proyecto de Seguridad tiene como objetivo
servir de informe sobre unas de las amenazas más sofisticadas que atentan contra la Seguridad Nacional.
Definiciones.
La definición de Botnet alcanza una definición tan amplia como el propósito por la cual ha sido creada. Un
Botnet es un conjunto de ordenadores conectados a una red o internet que interactúan entre sí para llevar a
cabo una tarea conjunta. Aunque este tipo de ordenadores pudiera utilizarse para fines educativos, el término
se aplica mayormente a propósitos maliciosos. Un Botnet o red robot consiste en ordenadores que han sido
infectados previamente con código malicioso sin consentimiento de sus propietarios y utilizados para fines
delictivos.
Tales computadoras infectadas son conocidas como zombis o drones y al software que está instalado en sus
sistemas se les conoce como “Bot” estos Botnet son controlados por piratas informáticos llamados “Botmaster”
o herder
Los comienzos de estas redes datan del año 1990, su objetivo era controlar los servidores hackeados y
utilizarlos para lanzar ataques distribuidos, pero los criminales encontraron en ellos otro modelo de negocio y
que aun hoy es uno de los más empleados para cometer delitos a través de internet.
Al comienzo se infectaba los ordenadores por malware y se utilizaban los recursos de los ordenadores
infectados, creando canales de infección mediante Servidores IRC (Internet Relay chat), este medio era de fácil
manipulación, muy flexible y de amplia difusión en internet, pero tenía una desventaja, el trafico de la sala de
chat era transmitido en texto claro y esto simplificaba la manera de espiar el trafico de la Botnet por medio de un
Sniffer.
Los Botmaster han dirigido su atención al protocolo Http debido a que su uso es más difundido y normalmente
no se encuentra un bloqueo en las configuraciones de los Firewall, además si se realizara un escaneo en busca
de información de otros drones infectados, la búsqueda seria Nula.
Ya en la actualidad se están utilizando las redes p2p para los Botnet porque no existe un servidor central y esta
también ampliamente difundida.
Objetivos de los Botnet.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
3. 1
La creación de las redes Botnet puede utilizarse para varios propósitos desde educativos hasta maliciosos.
Recientemente un grupo de expertos en seguridad han programado intencionalmente una red Botnet de cerca
de un millón de ordenadores para poder entender su comportamiento y manera de combatirla eficazmente.
Pero el mayor uso está bajo la piratería Cibernética, son utilizadas para varias funciones, pero entre las más
comunes están:
1. Ataques de denegación de Servicio distribuidos. Estos ataques masivos buscan saturar con
trafico ilegitimo a los servidores de sus víctimas hasta agotar el ancho de banda, dado que los
drones se encuentran dispersos en el todo el globo terráqueo brindan una capacidad de ataque
muy concentrada, una capacidad de ataque más potente de las que pueden soportar grandes
servidores de grandes corporaciones obligándolos a detener sus servicios y cerrar sus sitios Web
por días incluso semanas. Siendo muy difícil frenar estos ataques.
2. Envío masivo de Spam. En múltiples ocasiones cuando escuchamos informes de seguridad sobre
grandes envíos de Spam, los Botnet son mayormente responsables de ello. Reenvían cualquier
mensaje de correo electrónico, muchos de ellos para cometer engaños (phishing) y envían enlaces
a sitios maliciosos.
3. Robo de identidad: Los drones pueden almacenar sitios web fraudulentos que aparenten ser sitios
Web legítimos y los usuarios introduzcan numero de tarjetas de crédito, contraseñas o datos
personales.
4. Keylogging. Una de las mayores amenazas. Los drones o zombie instalan software espía en los
ordenadores infectados a fin de captar toda la actividad del teclado, contraseñas, sitios web
visitados y otra actividad en el ordenador. Toda esta información es enviada el Botmaster que la
utiliza a su gusto. Esta técnica está fuertemente ligada al espionaje industrial o corporativo, y en
ocasiones las víctimas se cuentan entre grandes organizaciones como bancos o empresas de
software.
5. Descargas de Ficheros. Utilizado para descargar gran cantidad de ficheros que consumen gran
ancho de banda y que casi siempre son Warez o ilegal.
Existen diversos objetivos y funciones para los Botnet, que varían en función de sus creadores, van desde la
siembra de otras redes Botnet hasta infinidades de uso y ninguna de ellas las podemos descartar.
Los expertos en seguridad tienen como objetivo detectar fallas y vulnerabilidades en sus sistemas que pudieran
hacer que su organización se convierta en una red zombi, para poder localizar y destruir una red de drones se
hace imprescindible que el personal de seguridad conozca a detalle cómo funciona esta sofisticada arma
mundial.
Los detalles comienzan entendiendo él;
Ciclo de vida de un Botnet.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
4. 1
Podemos denominar “ciclo de vida de un Botnet” a todo el progreso en que se desglosa esta red pasando por
sus etapas de desarrollo.
a) Diseño y desarrollo. En esta fase se definen los objetivos por la cual se desea programar un Botnet,
teniendo en cuenta tipo de red, características y necesidades se crea el malware para cumplir los
objetivos previstos.
b) Ciclo de implantación: Comienza en el primer momento en que se infecta el primer Equipo y sigue
expandiéndose a otros ordenadores hasta que se hace efectivo. La fase importante de vida del Botnet
radica en esta etapa, debido a que si no se toman medidas concretas de programación los sistemas de
seguridad de las víctimas (antivirus, IDS, etc.) pudieran detectar actividad sospechosa e impedir la
implantación y la red no llegara a establecerse. Una rápida propagación es el éxito de una red Botnet,
su mecanismo es similar a la de los virus mediante correo electrónico, memoria extraíble o navegación
Web.
c) Explotación. En esta fase la red cumple los objetivos por la cual fue creada y diseñada, pero aun en
esta fase debe continuar con su ciclo de implantación debido a que algunos drones pudieran salirse de
la red ya sea por la detección de las medidas de seguridad u otros factores.
d) Declive. Cuando el número de drones desciende a un nivel no operativo se dice que ha llegado a esta
fase. Puede deberse a la detección de las medidas de seguridad como antivirus, IDS, parcheo de las
vulnerabilidades existentes u otros factores.
e) Inactividad. Se mantiene el ciclo de declive y los heder no encuentra la manera de aumentar el ciclo de
implantación y la red deja de estar operativa o pasa a la inactividad debido a poco uso.
f) Modificación. Si se actualizan los controladores que dirigen a la red zombi para evitar la detección o
incluir alguna mejora el ciclo comienza nuevamente y no solo re infecta a los anteriores ordenadores
sino que abarca nuevas computadoras.
Existen diversos análisis sobre el ciclo de vida de un Botnet pero a modo general estos conforman las
principales funciones y características por las que pasa este tipo de Redes.
Valor Económico.
Las Redes Botnet le bridan a los heder un valor económico que pueden ser aprovechados de múltiples
maneras, los principales son:
Explotación Personal. Es cuando el propietario le da uso a la red para su gusto personal.
Alquiler a terceros. Es el mecanismo más difundido dentro de internet, el propietario alquila los
servicios del Botnet a terceros, para enviar gran cantidad de Spam, dejar fuera un servidor o sitio Web,
esta remuneración se factura teniendo en cuenta el tipo de ataque solicitado, la duración del mismo y la
cantidad de drones que deben intervenir para que sea efectivo, en cualquiera de los casos el propietario
No cede el control de su red, el mismo la dirige y controla.
Venta de Información. El propietario recolecta información confidencial como números de tarjeta de
créditos, datos bancarios y se dedica a venderlos a través de portales.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
5. 1
Ganancias en concepto de Publicidad. Los propietarios explotan la Publicidad por “clics” que ofrecen
algunas compañías Web a través de internet.
Venta del Software. El propietario vende el
Software de control de la red zombi.
Aquí se muestra una grafica actual con el “Top ten de los
Botnet más rentables;
Fig. 1. Botnet más Rentables para los heder.
Mecanismos de Control “El Bot”.
La fase más importante de un ciclo de vida de un Botnet es su ciclo de implantación, ahí radica el éxito y la
fuerza de la red. Para este propósito la mayor parte del Software Bot contiene alguna forma de propagación
automática que funge como un escáner inteligente localizando números IP, vulnerabilidades críticas, una vez
que las localiza las explota e infecta a los ordenadores y las agrega a su lista de drones.
Pudiéramos confundir este tipo de propagación con los gusanos pero a diferencias de ellos los Botnet contienen
un mecanismo de control Unificado.
Mediante este mecanismo de control y comando unificado la red Botnet no carece de control y no la convierte
en una red muerta. Para esto el C&C o comando y control es la herramienta clave para la comunicación entre el
heder y la Botnet.
El heder maneja la interfaz C&C y el C&C maneja el Bot.
Se muestra un ejemplo de comunicación por medio de esta interfaz;
Fig. 2 ejemplo de ataque.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
6. 1
La mayoría del los Software Bot utilizan un conjunto de exploits remotos para penetrar en los equipos, los
puertos más comunes son:
1. Puerto 445/TCP (Microsoft DS-Service) utilizado para compartir recursos con equipos con Windows
2000, 2003 y XP y demás conexiones basada en CIFS.
2. Puerto 139/TCP (NetBIOS Name Service) Utilizados en Equipos Windows para encontrar información
relativa a características de red ofrecidas por otros equipos. La información que puede recolectarse de
esta forma incluye el nombre del sistema, nombre de los archivos compartidos, etc.
3. Puerto 135/TCP utilizados por Microsoft para implementar servicios Remote procedure Call (RPC). Un
servicio (RPC) es un protocolo que permite a un programa en ejecución en un equipo ejecutar código
en otro equipo sin la necesidad de que el programador genere código adicional.
4. Puerto 80. Utilizado para el servicio Web.
Detectándolos y destruyéndolos.
Una red zombi no fuera tan potente sino tuviera tantos ordenadores bajo su dominio creando una especie de
súper Clúster. A los Botnet se les consideran un de las mayores amenazas tanto en su potencia tecnológica
como en su difícil método de detección.
El que tenga tantos drones bajo su dominio hace muy difícil su captura, puesto que hay diferentes numero IP, y
estos están ubicados en diferentes puntos geográficos bajo la jurisdicción de diferentes naciones.
Detectarlos y aun más destruirlos o siquiera prevenirse de ellos es una meta colosal, pero que no deja de estar
entre los objetivos a cumplimentar entre los experto de seguridad del mundo entero.
Instituciones de todo el mundo como Microsoft, Symantec, Eset lideran grandes campañas para detener y
mitigar estas molestas redes.
Cada uno del personal de Seguridad informática de una organización debe conocer o dominar el mecanismo de
propagación de los Botnet, métodos de infección, técnica de detección y eliminación y medida de prevención.
Tanto es la preocupación de los expertos sobre esta amenaza que algunas instituciones han creados comandos
de Seguridad para investigar y detener los efectos producidos por las redes Botnet.
Métodos de detección de las redes Botnet.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
7. 1
¿Esta su red infectada con un Bot? Si el personal de seguridad es capaz de detectar un Bot en un ordenador
infectado, es posible que mediante una correcta auditoria exhaustiva se pueda localizar el Botnet. Para realizar
esto se requiere grandes destrezas y amplios conocimientos sobre redes y aplicaciones, es por ello que en
ocasiones organizaciones con grandes sistemas de redes como universidades, instituciones financieras,
departamentos de Seguridad crean un grupo de Expertos para detectar y frenar la contaminación. Expertos en
diferentes ramas de la ciencia computacional, Ingenieros en sistemas, Ingenieros Forenses, administradores de
Red, expertos en seguridad y muchos otros campos necesarios.
Son muy pocos los indicios que demuestren que nuestra red es parte de un Botnet. En muchas ocasiones
tiende a confundirse con otros síntomas de infección por troyanos, muchos virus presentan síntomas diferentes
y aplicaciones crean conflictos internos que pudieran confundirnos con la presencia de un dron.
A pesar de ello hay algunos signos que debemos tener presente para determinar la presencia de un posible Bot
en nuestro sistema.
El Laboratorio de Seguridad de ESET, ha recopilado 10 reglas básicas a tener presente:
1. El ventilador arranca a toda marcha cuando el equipo esta inactivo. Es un claro indicativo de que
programas están ejecutándose sin conocimiento del usuario y utilizando grandes recursos del sistema.
Aunque también pudiera deberse a las actualizaciones de Microsoft en equipos Windows o excesiva
suciedad en el fan del Microprocesador.
2. El Equipo tarda mucho tiempo en apagarse o no lo hace correctamente. Con frecuencia el malware
hace que los equipos fallen en su intento de apagarse o lo hagan con errores y tarden demasiado
tiempo, pero también errores en los sistemas operativos o conflictos con programas legítimos pudieran
causar estos síntomas.
3. Observara una lista de post en su muro de Facebook que no ha enviado. Facebook es una red
muy extendida y en miles de ocasiones utilizada para propagar malware. Si nota que su ordenador está
infectado con malware es recomendable que cambie la contraseña, pero ¡No la cambie si no ha
desinfectado su ordenador primero!
4. Las aplicaciones andan muy lento. Significa que aplicaciones están consumiendo grandes recursos
del sistema, pero también en sistemas Windows si hubieran más de 10 mil archivos en una carpeta esto
causaría gran lentitud en un ordenador.
5. No se puede descargar las actualizaciones del sistema operativo. ¡Alerta! Esto es un síntoma que
no se puede ignorar, incluso si no está siendo causado por un Bot u otro malware. Sino mantiene los
parches de seguridad actualizado el sistema se va a infectar tarde o temprano.
6. No se puede descargar actualizaciones del antivirus o visitar sitios web de los proveedores. El
malware trata de evitar que a menudo el software antivirus sea ejecutado o instalado. La imposibilidad
de actualizar el software antivirus o de visitar el sitio web del fabricante es un fuerte indicativo de la
presencia de malware.
7. El acceso a internet es muy lento. Si un Bot esta en ejecución en el sistema para por ejemplo / enviar
grandes cantidades de Spam, realizar ataques de denegación de servicios, subir o bajar gran cantidad
de datos puede causar que el acceso a internet sea muy lento.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
8. 1
8. Sus familiares y amigos han recibido correo electrónico que usted no envió. Esto pudiera ser
señal de un Bot u otro malware o bien que su cuenta de correo electrónico haya sido comprometida.
9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador
Web. Si bien este es un clásico signo de adware los Bot pudieran instalar adware en su equipo.
10. El administrador de tares de Windows muestra programas con nombres o descripciones
extrañas. El uso del administrador de tareas requiere el uso de cierta habilidades por parte de los
administradores de sistemas, en múltiples ocasiones software legitimo utiliza entradas con nombres
extraños, el administrador de tareas no es suficiente para determinar si un software es malicioso o no,
no intente detener el proceso sin antes determinar su legitimidad, esto pudiera hacer que su equipo
siquiera inicie.
Existen algunos otros síntomas que nos pueden ayudar a determinar la presencia de un Bot en nuestra Red.
Detección por parte del software antivirus, aunque no siempre sucede eso. No debemos utilizar esto
como única herramienta.
Si tiene servidores DNS en su equipo por defecto adminístrelos. Si no son los previstos por su
proveedor de servicios es posible que su equipo sea víctima de malware que redirija el trafico DNS a
un servidor Malicioso.
En todas las redes existentes el monitoreo del trafico representa una herramienta importante para la detección
de actividad sospechosa no solo de los Botnet sino de cualquier intruso. En nuestro caso de detección de
Botnet se hace patente e imprescindible el monitoreo del trafico de red. En su rutina de monitoreo incluya los
siguientes factores:
Chequeo de los puertos IRC. Ya que no son utilizados comúnmente por los internautas.
Busque conexiones en los puertos 6667. Puerto por defecto del IRC.
Controle el rango de puerto desde el 6660 hasta 6669 y 7000.
Verifique el puerto 113 (puerto Ident IRC) la mayoría de administradores de Botnet no utilizan los
puertos IRC estándares.
Si tiene un Firewall corporativo configurado en su servidor investigue las conexiones salientes de
cualquier puerto sospechoso.
Utilice un buen IDS y adminístrelo.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
9. 1
Controle su cache DNS. Muchos mecanismos de C&C utilizaran un dominio DNS que un herder
utilizara para cambiarlo fácilmente si necesita cambiar su infraestructura C&C.
Instale un Honeypot que recolecte malware de su red interna y así puede detectar el Bot que intente
infectar a otros ordenadores. Si la red ha sido comprometida su Honeypot también lo estará.
Examine los puertos 135, 130 y 445 si detecta mucho tráfico es posible que tenga una propagación de
malware.
Controle el trafico SMTP. Si es masivo y por ordenadores que no son servidores SMTP estamos en
presencia de un Spam Bot.
¿Utiliza Proxy Http? Si es así los procesos maliciosos pueden ponerse al descubierto al solicitar al
proxy pedidos de datos externos vía http.
En nuestro Informe hemos mencionado múltiples medidas de detección casi imperceptibles y que tienden a
confundirse con otras infecciones, pero ahí es donde radica la destreza de los expertos en seguridad en
detectar todos estos componentes a tiempo.
Desactivando las Redes Botnet.
Los mecanismos de detección de las redes Botnet son sumamente complejos aun más complejos resulta
desactivarlas. Grandes instituciones y corporaciones tardan meses y hasta años en detectarlas y eliminarlas.
Pero aun así existen métodos y técnicas disponibles para un personal altamente calificado que le permita
mitigar estas amenazas. Para desactivar una Botnet primero hay que localizar el Bot, y a su vez este no llevara
al Botnet con la correspondiente habilidad Técnica.
Técnicas Activas de Caza.
1. Honeypot. Investigaciones han demostrado que resulta una valiosa herramienta recolectar el malware
utilizado para convertir los ordenares en drones y estudiarlos. Adminístrelo y configúrelos
correctamente.
2. Spam en mensajería instantánea. Si capturamos los enlaces enviados a los usuarios de mensajería
instantánea que apuntan a enlaces maliciosos podemos seguir el rastro.
3. Recolección de Enlaces. Consiste en navegar en foros y utilizar motores de búsqueda para localizar
enlaces que redirijan a sitios maliciosos.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
10. 1
Se procede a la recolección de malware en un ambiente controlado de tipo “sandbox” con el objetivo de
localizar el mecanismo de acceso a la Botnet si localizamos la ubicación y los protocolos del servidor C&C
pasamos a monitorearlo.
Advertencia: Los mecanismos de detección y desactivación son para personal altamente calificado con previa
autorización del departamento de máxima Seguridad informática dentro de la organización, se corre un alto
riesgo de seguridad en estas funciones, algunas de ellas son;
Infección por código malicioso. Por no tener un estado controlado donde analizar el malware y
monitorear el Bot, dando una rápida expansión dentro de la red.
Ataques de denegación de Servicios. Sin las correctas técnicas de detección los herder pudieran
detectar escaneo sobre sus ordenadores zombi y realizar fuertes ataques coordinados de denegación
de servicios a la organización, complicando la investigación y sufriendo grandes daños estructurales.
En la detección de las redes Botnet se debe fijar un objetivo;
¿Se intenta detectar actividad zombi en las redes locales y se desea proceder a descontaminar la red
local? O
¿Se desea luchar de manera global contra esta amenaza de seguridad?
La respuestas a estas interrogantes determinan el grado de implicación sobre actividad Botnet y las medidas de
control y seguridad interna, en ambos casos se debe contar con personal altamente calificado y coordinar las
investigaciones con organizaciones competentes, como las organizaciones de Grupo de respuestas a
incidentes.
En ocasiones la localización de los drones ocurre de forma casual al investigar un incidente de seguridad en un
ordenador de la red o al intentar resolver un problema de seguridad de un cliente corporativo. En este caso una
investigación previa y exhaustiva es necesaria de manera Inmediata para determinar si hay contaminación en la
red.
Una manera casual de localización de un Bot pudiera suceder después de observar que;
1. Se identifique que una gran cantidad de equipos en la red se conecten a una misma IP sospechosa
2. Se identifique que una gran cantidad de equipos efectúen consultas DNS a un mismo dominio
Sospechoso.
3. Se detecte en la red gran actividad de escaneo.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
11. 1
Una vez se procese toda la información y se confirme que estamos en presencia de un Bot o Botnet se
trabajara en estrecha colaboración con diferentes organizaciones como Grupo de respuesta a Incidentes,
Proveedores de servicios para llevar a cabo su desactivación. Recolectar toda la evidencia de la existencia de
un Botnet con su mecanismo de control, puertos de escucha y demás funciones se convierte en material
altamente clasificado y de sumo valor para el personal de seguridad.
Pero, hay ocasiones en que no podemos controlar la situación y el heder a detectado actividad de escaneo en
su red, nos ha localizado y pasamos de investigadores a víctimas, ahora nuestra organización es el blanco de
una potente Botnet, ¿Qué medidas de seguridad podemos llevar a cabo? si;
Estamos Bajo ataque.
Técnicamente no hay muchas opciones cuando estamos bajo un ataque de denegación de Servicio distribuido.
Dado la dispersión geográfica en que se encuentran ubicados los drones hacen muy difícil localizar un patrón
de ordenadores que nos este atacando y dado el gran numero de drones inmersos en el ataque las técnicas de
filtrado de paquetes que son las más utilizadas para mitigar estos ataques son casi nulas.
No obstante el equipo de seguridad debe trabajar rápido y de manera precisa para frenar los daños, existen
algunas contramedidas para mitigar los ataques de los drones, algunas son;
1. Escaneo pasivo. Un escaneo pasivo de los paquetes funciona para reconfigurar el firewall.
2. Alertar a los proveedores de Servicios. Los Botnet utilizan normalmente servicios gratuitos de DNS
para IP dinámicas para apuntar a un subdominio al cual el creador puede conectarse si le cierran el
servidor IRC. En ocasiones basta con avisar al proveedor para que cierre la cuenta y cese el ataque.
3. Los Botnet no son infalibles. Los Botnet contienen vulnerabilidades en su arquitectura, en ocasiones
basta con localizar el servidor IRC y el canal para acceder a la Botnet y cerrar el canal.
Los heder han encontrado nuevas arquitecturas más refinadas para los Botnet, estos contienen una lista de
servidores alternativos para en caso de emigración y de esta manera eludir los intentos de detectarlos.
Otras medidas de Protección contra ataques de denegación de servicios pueden consultarse en otros manuales
de seguridad.
Todas estas medidas son imprescindibles para detectar y destruir estas potentísimas redes, pero como medida
complementaria existen algunas organizaciones y compañías que ofrecen servicios de detección y Monitoreo de
redes Botnet, mediante chequear el trafico saliente Http.
Active Technologies of Hunts: Detecting and Destroying the Botnet.
12. 1
Las redes Botnet están en constante evolución, buscando nuevos mecanismos de infección obligando a los
expertos a mantenerse actualizados en materia de tecnología. Una investigación ha revelado que las redes
Botnet están evolucionando y se están atacando unas a otras para dominar el mercado internacional, virus que
intentan desactivar a la competencia.
Otras redes están formando alianzas estratégicas para seguir con la hegemonía, un ejemplo de esta
cooperación ha sido el de Conficker y Waledac.
Se están estableciendo nuevas y mejoradas técnicas de programación de malware que incorporan técnicas
criptográficas para controlar el C&C y las actualizaciones.
A pesar de estos avances en sistemas de Redes Botnet siguen existiendo medidas preventivas de seguridad,
algunas son conocidas y son utilizadas para cientos de amenazas y vulnerabilidades comunes pero no dejan de
ser un denominador común y que no podemos descartar.
Medidas de Seguridad contra Botnet.
1. Instalación de parches de actualización de sistemas operativos y aplicaciones.
2. Instalación, actualización y correcta configuración del software Antivirus y antispyware.
3. Monitoreo y escaneo de la red corporativa, conexiones salientes y puertos abiertos indebidamente.
4. Instalación de Firewall e IDS.
5. Preparación del personal de seguridad, administradores de red, especialista de seguridad informática,
analistas de seguridad, etc. sobre las funciones de los Botnet y sus características.
6. No abrir los archivos adjuntos a menos que pueda verificar su origen, ni descargue ficheros de fuentes
desconocidas.
7. Limite los derecho de usuarios cuando este en línea.
8. Aumente las configuraciones de seguridad del navegador Web.
9. Cambie con frecuencia las contraseñas e inserte contraseñas fuertes.
Existen muchas otras medidas de seguridad teniendo en cuenta el nivel tecnológico y personal de seguridad de
cada organización, estas pueden ir desde configuraciones en Routers y terminales hasta Redes inalámbricas.
Conclusiones.
Las redes Botnet también ha inundado la telefonía móvil por lo que hay también medidas de seguridad para
estas tecnologías.
No basta con que nuestra organización cuente con una infraestructura tecnológica potente, tanto en software,
hardware y personal altamente capacitado si desechamos una de los factores importante de infección de la
redes Botnet “La ingeniería Social”.
La misma se centra en que el humano es el eslabón más débil de la cadena de seguridad, los piratas
informáticos a veces no tienen que detenerse en vulnerar sistemas con complicadas técnicas de intrusión o
Active Technologies of Hunts: Detecting and Destroying the Botnet.
13. 1
programación, solo les basta con pocos minutos para obtener mediante la ingeniería social el acceso a los
recursos de una organización y así difundir la red Botnet.
Los Botnet seguirán siendo una amenaza invisible para la seguridad mundial, los heder seguirán buscando
nuevas técnicas para ocultar sus delitos informáticos, nuevas técnicas para lograr la correcta implantación,
nuevas y compleja técnicas de encriptación pero los expertos en seguridad de todo el mundo unidos a grandes
corporaciones y entidades mundiales seguirán localizando y destruyendo a unas de las mayores amenazas de
seguridad; “Las redes Botnet”.
Referencias Bibliografía:
http://www.symantec.com/es/mx/norton/theme.jsp?themeid=botnet
http://blogs.eset-la.com/laboratorio/2010/04/23/10-senales-su-equipo-parte-botnet/
www.segu-info.com.ar
http://www.microsoft.com/spain/athome/security/viruses/zombies_and_botnets.mspx
http://www.windowsecurity.com/articles/Robot-Wars-How-Botnets-Work.html
http://cert.inteco.es/Formacion/Amenazas/botnets/ciclo_vida_botnet/
Active Technologies of Hunts: Detecting and Destroying the Botnet.