1. ¿Cuál es el impacto de las botnets en las empresas?
Las botnets causan problemas para acceder a las páginas de internet de las empresas, lo cual impide que puedan realizar negocios. Por ejemplo, la tienda de ropa deportiva Jersey-Joe.com; el sitio fue bombardeado con tantas solicitudes que se sobrecargó y quedó fuera de línea y los ataques se fueron incrementando tanto que tuvieron que llevar su sitio a otra parte porque los ataques estaban afectando el servicio a otros sitios Web que alojaba la empresa.
2. ¿Qué factores de administración, organización y tecnología deben abordarse en un plan para prevenir ataques de botnets?
Para prevenir el daño que pueden causar, es importante contar con una estrategia antes de que ocurra un ataque de robots.En el caso del Centro de Mando de Operaciones de Red de Akami detectó incrementos repentinos en el volumen de tráfico de los servidores DNS de la empresa, el equipo de auxilio de Akami, inició su procedimiento de respuesta de emergencia. El equipo realizó su diagnóstico inicial de qué y quiénes estaban siendo atacados, y en seguida se dividió en subgrupos. Un grupo se encargó de capturar las solicitudes entrantes, decodificar sus patrones, crear un perfil del ataque y recomendar contramedidas. Un segundo grupo comenzó a notificar las autoridades judiciales y a los proveedores de servicios de Internet, quienes ofrecieron orientación y ayudaron a detener ataques posteriores. Otro grupo midió el impacto del ataque en los clientes. Finalmente, otro grupo más implementó una aplicación personalizada para identificar y filtrar los paquetes de datos falsos entrantes.
3. ¿Qué tan sencillo sería para una pequeña empresa combatir ataques de botnets? ¿Para una empresa grande?
Para una pequeña resultaría muy difícil, por lo general cuentan con pocos equipos de cómputo, no poseen un departamento específico para eso, aunque las computadores tengan anti-virus aparecen nuevos robots que se enfocan en otros aspectos. En una empresa grande, se corre el riesgo de ser víctima de un ataque de botnets. Este puede ser contrarrestado si tienen recursos, se puede destinar una cierta parte a un departamento encargado para poder atender de manera más específica el ataque los botnets.
4. ¿Qué son los botnets y cómo funcionan?
La palabra bot es una abreviatura de la palabra robot. Los robots (programas automatizados) son utilizados con frecuencia en el mundo de Internet. Programas que responden de manera autónoma a determinados eventos externos son robots. Utiliza redes de IRC como un canal de comunicación con el fin de recibir comandos de un usuario remoto. En este caso particular, el usuario es un atacante y el bot es un caballo de Troya. Un buen programador puede crear fácilmente su propio bot, o personalizar uno existente. Esto le ayudará a ocultar el bot de los sistemas de seguridad básicos, y dejar que se propague fácilmente.
5. ¿Qué características ofrecen los botnets más populares?
GT-Bot: Todos los GT (Global Threat) se basan en un popular cliente de IRC para Windows llamado mIRC. El núcleo de estos robots está formado por un conjunto de scripts de mIRC, que se utilizan para controlar la actividad del sistema remoto. Este tipo de bot lanza una instancia del cliente mejorada con scripts de control y utiliza una segunda aplicación, por lo general HideWindow, para mIRC invisible para el usuario de la computadora host. Un archivo DLL adicional añade nuevas funciones a mIRC para que las secuencias de comandos puedan influir en diversos aspectos de la máquina controlada.
Agobot: Agobot es probablemente uno de los robots más populares usados por los crackers. Está escrito en C + + y liberado con una licencia GPL. Lo interesante de Agobot es su código fuente, altamente modular, que hace que sea fácil añadir nuevas funciones. Agobot proporciona muchos mecanismos para ocultar su presencia en el equipo host. Estos incluyen: NTFS Alternate Data Stream, Killer-virus y el motor encryptor polimórfica. Agobot ofrece husmeando el tráfico y la funcionalidad de clasificación. Distintos protocolos de IRC se puede utilizar para controlar este robot.
DSNX: El Dataspy Red bot X también está escrito en C + + y su código fuente está también disponible en una licencia GPL. Añadir nuevas funciones a este robot es muy fácil, gracias a su sencilla arquitectura plug-in.
SDBot: SDBot está escrito en C y también está disponible con una licencia GPL. A diferencia de Agobot, su código no está muy claro y el propio software viene con un conjunto limitado de funciones. No obstante, sigue siendo muy popular y está disponible en diferentes variantes.
6. ¿Cómo infecta y controla un robot a una computadora host?
Existen cuatro etapas para infectar y controlar a una computadora host:
1.Creación: depende en gran medida las habilidades y los requisitos del atacante. Un cracker puede decidir si desea escribir su propio código bot o extender o personalizar uno existente. Una amplia gama de robots de ready-made están disponibles y son altamente configurables. No es de extrañar que esta sea opción más usada por los "script kiddies".
2. Configuración: consiste en el suministro de servidor de IRC y el canal de información. Una vez instalado en el equipo afectado, el bot se conecta con el host seleccionado. Un intruso entra por primera vez los datos necesarios para restringir el acceso a los bots, asegura el canal y, finalmente, proporciona una lista de usuarios autorizados (que será capaz de controlar los bots). En esta etapa se puede personalizar aún más el bot, por ejemplo, definir el objetivo y método de ataque.
3. Infección: implica el uso de diversas técnicas para difundir los bots. Las técnicas directas incluyen la explotación de las vulnerabilidades del sistema operativo o servicios. Los ataques indirectos emplean otro software con el trabajo sucio - que incluyen el uso incorrecto de archivos HTML explotar las vulnerabilidades de Internet Explorer, o utilizando otros programas maliciosos distribuidos a través de-to-peer redes peer o por medio de DCC (Directo de cliente a cliente) de intercambio de archivos en el IRC. Los ataques directos suelen ser automatizados con el uso de gusanos. Todos los gusanos tienen que buscar las subredes para los sistemas vulnerables e inyectar el código bot. Cada sistema infectado continúa el proceso de infección, permitiendo al atacante salvar los recursos valiosos y proporcionar un montón de tiempo para buscar otras víctimas. Los puertos principales implicados son los utilizados por Windows, en particular, Windows 2000 y XP Service Pack 1. Ellos parecen ser el blanco de los atacantes favoritos, porque es fácil de encontrar equipos con Windows sin parches o sin los firewall instalados.
4. Control: implica acciones después de que el robot está instalado en el host de destino en un directorio seleccionado A fin de iniciar con Windows, actualiza las claves del Registro de Windows, por lo general HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \.
Lo primero que el bot hace después de instalarse correctamente es conectarse al servidor IRC y unir el canal de control con el uso de una contraseña. El bot está listo para recibir órdenes de la aplicación principal. El atacante debe utilizar igualmente una contraseña para conectarse al botnet. . Esto es necesario, para que nadie más pueda utilizar la botnet suministrado.
7. ¿Cómo se puede prevenir un ataque de robots?
Lo más importante es mantener su sistema actualizado, la descarga de parches y actualizaciones del sistema, para el sistema operativo y todas las aplicaciones que acceden a Internet. Además, se debe tener cuidado con la apertura de los archivos adjuntos sospechosos en el correo electrónico. Es aconsejable desactivar el soporte para lenguajes de script como ActiveX y JavaScript. Por último, es fundamental utilizar un antivirus y mantenerlo actualizado. Sin embargo, muchos robots están configurados para evadir los controles antivirus, por lo que un servidor de seguridad personal es una valiosa adición a la seguridad, especialmente si el ordenador está encendido las 24 horas del día.
Los signos de la presencia de bots son de conexión y lentitud del sistema. Una manera sencilla y eficaz para detectar conexiones sospechosas es la herramienta netstat.
Netstat: Su principal función es el control de los puertos activos. Netstat examina escuchar los puertos TCP y UDP, y proporciona información detallada sobre la actividad de la red. * NIX sistema netstat muestra todos los arroyos abiertos. También utiliza filtros de salida de selección.
Los estados posibles conexiones de contener:
· ESTABLECIDO - ambas máquinas están conectadas
· CLAUSURA - el host remoto cierra la conexión
· SYN_RCVD - un host remoto ha pedido para iniciar una conexión
· SYN_SENT - el anfitrión está comenzando una nueva conexión
· LAST_ACK - el host debe enviar un informe antes de cerrar la conexión
· TIMED_WAIT, CLOSE_WAIT - un host remoto está finalizando la conexión
· FIN_WAIT 1 - el cliente se da por concluida la relación
· FIN_WAIT 2 - ambas máquinas están cerrando la conexión
Existen estrategias para la defensa de los administradores: Los administradores deben tener siempre la información actualizada sobre las últimas vulnerabilidades, y debe decir los recursos de seguridad de Internet sobre una base diaria. Una suscripción a una lista de correo Bugtraq, como es una buena idea. Los administradores también deben tratar de educar a sus usuarios y definir políticas de seguridad y privacidad. También, es necesario estudiar los registros generados por IDS y sistemas de cortafuegos, servidores de correo, DHCP y servidores proxy. Esto puede ayudar a detectar cualquier tráfico anormal, lo que podría ser un signo de la presencia de bots en la red. Una vez que dicho tráfico se nota, un sniffer es muy útil para identificar la subred y la computadora generarla. Todo lo anterior puede parecer obvio, pero a menudo olvidado. Es posible usar técnicas más sofisticadas para estudiar y detectar las amenazas. Una de estas técnicas es honeybots. Honeybots son máquinas construidas para convertirse en un blanco fácil para los ataques. Su papel es el de llegar a infectarse y permiten al administrador de localizar el origen del problema y estudiar el método de ataque. Independientemente de las herramientas a nuestra disposición, la defensa más eficaz contra ataques de botnets se encuentra en el propio usuario y en su conciencia.
Bibliografía
Robot Wars – How Botnets Work
http://www.windowsecurity.com/articles/Robot-Wars-How-Botnets-Work.html?printversion
10 Caso
ResponderEliminar0 en mapas