esenfrdeitptru

Botnets

Los botnets son conjunto de computadores o servidores, conectados a Internet que interactúan...

Descripción

Los botnets son conjunto de computadores o servidores, conectados a Internet que interactúan para realizar una tarea ilícita sin el conocimiento de los propietarios de estos computadores.

Los computadores que son parte de la botnets se los denomina “zombies” o “drones”, la mayoría de ellos interactúan para realizar escaneos de direcciones IP en busca de vulnerabilidades, la diferencia con un gusano convencional es la existencia de un único sistema de Comando y Control.

Las botnes pueden causar:

  1. Fraude: El software bot puede ser usado para visitar páginas web y automáticamente se ejecuta “click” en los anuncios publicitarios, este mecanismo sirve para robar grandes sumas de dinero a empresas de publicidad en Internet, que pagan por cada página visitada.
  2. Denegación de servicio: Los botnets pueden ser usados para saturar el ancho de banda y consumir recursos. Estos ataques de Denegación de Servicio Distribuido puede impedir el acceso a una página web, con fines de extorsión, tienen la capacidad de establecer muchas conexiones desde miles de computadores diferentes, la remediación en este ataque es difícil.
  3. Captura de actividad de teclado: Los botnets también actúan como receptores de la actividad de un teclado esta es la mayor amenaza de una botnet. El botnet informa al atacante cuando una página ha sido visitada y se ha registrado claves. Por lo tanto se da la capacidad de obtener acceso a información personal y cuentas bancarias.
  4. Obtener software ilegalmente: Los bots pueden buscar software o licencias instaladas en la máquina víctima, y el atacante lo puede duplicar y distribuirlo ilegalmente.
  5. Propaganda Spam: Los botnets pueden enviar spam por medio de mensajería instantánea, se pueden enviar enlaces de malware a todos los contactos de la víctima.

Estrategias para detectar la vulnerabilidad:

  • Un antivirus podría ayudar a detectar, sin embargo no se confíe pues muchas infecciones podrían no ser detectadas.
  • Paquetes de detección Rootkit.
  • Modificación del archivo “host” de Windows.
  • Ventanas emergentes inexplicablemente son lanzadas al azar, probablemente correspondan a una infección de adware, sin embargo podrían ser una forma de botnet con actividades relacionadas con fraude.
  • Si el computador que alguna vez fue rápido y sin explicación alguna empieza con mucha lentitud, puede ser que está trabajando para responder al Centro de Control, considere realizar un análisis de adware y spyware.
  • Compruebe los servidores de resolución de nombres que tiene el computador por defecto. El Malware puede redirigir las peticiones de DNS al servidor que tiene el control de la computadora.

Recomendaciones:

  • Monitorear alto tráfico en puertos que tengan servicios que puedan ser vulnerados o explotados en especial sobre los puertos 135, 139, 445 pues podría significar una propagación de malware que intenta difundir sus cargas.
  • El IRC no es comúnmente utilizado por los usuarios en general, por lo que cualquier tráfico IRC  por medio de puertos típicos de IRC, deben estar sujetos a investigación, en especial cuando los patrones no pertenecen a la red institucional:
  • El tráfico IRC usualmente se manifiesta en texto claro, por eso los sensores puede ser construidos para comandos snif de un IRC  particular u otros protocolos claves sobre el Gateway de la red.  El sitio https://www.proofpoint.com/emergingthreatsnet/index.php/rules-mainmenu-38.html  provee excelentes firmas de IRC que se pueden usar.
  • Observar el puerto comúnmente usado: 6667. El rango especificado por la RFC: 6660-6669, 7000. También el IRC puede utilizar los servicios por el puerto 113, sin embargo muchos administradores de botnets usan puertos no estándares IRC.
  • Monitorear los intentos de conexión saliente en los puertos sospechosos utilizando para el efecto el equipo perimetral de seguridades.
  • Instalar un honeypot en la red interna que permita detectar Malware.
  • Detectar Malware sobre la red institucional.
  • Aislar el tráfico de la red que detecte tráfico malicioso.
  • Para mitigar la vulnerabilidad controlarlo desde un equipo de seguridad perimetral.

Cómo Citarnos

Castellano: CSIRTEPN - Grupo  Respuesta a Incidentes de Seguridad de la Escuela Politécnica Nacional

Otro idioma: CSIRTEPN – National Polytechnic School Computer Emergency Response Team

Concepto de incidente

“Evento inesperado que compromete la operación de un sistema y su información, amenazando la confidencialidad, integridad o disponibilidad”

Ver Lista de incidentes

Contáctenos

Para contactarse con nosotros y resolver tus dudas o inquietudes, escríbenos a:

Correo:team@csirt-epn.edu.ec

Dirección: Madrid y Toledo Edificio de Aulas y Relación con el Medio Externo (EARME)
Planta Baja (Centro de Datos)

Teléfono: (+593) 22976300 Ext. 1436, 1452, 1453

Horario de Atención: De lunes a Viernes de 8H00 - 18H00

 

Reportar Incidente

Puedes reportar tu incidente de los siguiente forma:

Escribenos al correo: gestion.incidentes@csirt-epn.edu.ec

Comunícate con nostros al: (593) 2 2976 300 ext 1452 1453

Repórtalo desde nuestro formulario aquí

No olvides incluir:

  • Nombres completos.
  • Correo electrónico
  • Teléfono – extensión
  • Dependencia-oficina
  • Comentario del incidente