Mitigando el problema de los botnets

Botnets, Publicaciones, Windows

mayo 15, 2014
a las 5:14 pm

Algunas personas nos piden sugerencias para mitigar el problema de los botnets que plagan las redes actualmente.

Estos son, fundamentalmente, máquinas de Windows infectadas por algún programa zombie que está continuamente tratando de acceder a su centro de comando y control (CCC) con la finalidad de obtener indicaciones para realizar ataques de diverso tipo.

Los botnets son como una manada de equipos en todo el planeta que a la orden de su centro de comando y control para ejecutar las órdenes de sus dueños remotos.

Hay un botnet muy peligroso, llamado zeus el cual captura información bancaria de los usuarios y credenciales de redes sociales. Incluso lo venden customizado al comprador para robar diverso tipo de información.

Una adecuada educación sobre el uso de internet por parte de los usuarios sería la solución a este problema. El tratar de descontaminar las máquinas con problemas es muchas veces imposible, incluso porque tiene una tasa de detección que no supera el 47%, por lo tanto hay que hallar otras vías.

Una de las propuestas es bloquear el acceso a los CCC conocidos. Con esto el botnet al menos perdería efectividad. Esto se puede realizar al menos de dos formas:

Bloqueándole en los DNS de caché de nuestras redes: Se conocen los nombres de dominio de los botnets, si en los DNS de caché se pusiera toda la lista de dominios que alojan CCC apuntando a 127.0.0.1, el equipo contaminado cuando intente acceder al botnet, será redirigido a él mismo, evitándose así se conecte.
Bloqueándole el acceso en el proxy: Se conocen los nombres de dominio e IPs de las botnets, si en el proxy de la institución se bloquea el acceso a estos destinos, así el usuario utilice otros DNS el proxy negaría el acceso.

Lógicamente hay que mantener las listas actualizadas pues continuamente se agregan nuevos CCC. Y lógicamente si el usuario sale de nuestra red, la actividad maliciosa podría realizarse desde otra red. Pero no deja de ser una solución simple y parcial.

En las siguientes dos URL podremos obtener blocklists para squid y/o para DNS de Linux y/o de Windows de forma tal que le pueden implementar en sus redes que estén siendo reportadas como fuentes de botnets.

http://www.darkreading.com/attacks-breaches/tech-insight-how-to-defend-against-zeus-/d/d-id/1134471?

http://www.malwaredomains.com/?page_id=66

https://zeustracker.abuse.ch/blocklist.php

Agradecemos cualquier sugerencia, artículo, comentario, para mejorar la detección, eliminación y/o bloqueo de botnets