• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Cómo evitar ser parte de una botnet

    En la actualidad, las redes botnet son uno de los recursos más utilizados por los atacantes para perpetrar acciones maliciosas. Un sistema infectado puede ser administrado por los creadores de la botnet sin que el ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Cómo evitar ser parte de una botnet

      En la actualidad, las redes botnet son uno de los recursos más utilizados por los atacantes para perpetrar acciones maliciosas. Un sistema infectado puede ser administrado por los creadores de la botnet sin que el usuario lo note. Sin embargo, el correcto aprovechamiento de un firewall instalado en el sistema puede ayudar al usuario a detectar la utilización del equipo por parte de estas redes criminales.

      ¿Qué es una botnet?

      Se define “botnet” como un conjunto de equipos infectados con malware, controlados por un atacante para su trabajo en forma de red.

      En una primera instancia, los creadores de la botnet distribuyen malware para infectar a los usuarios. Cada sistema infectado abre puertas traseras en el sistema, necesarias para dar control al dueño de la botnet. Una vez que los equipos zombies han sido reclutados, los cibercriminales hacen uso de un centro de Comando y Control (C&C) para llevar a cabo las tareas que deseen, sirviéndose de los recursos de todos los equipos que forman parte de la red. Entre las tareas más frecuentes se incluyen:

      • Envío de spam
      • Realización de ataques de denegación de servicio distribuido (DDoS)
      • Alojamiento de archivos para sitios web: material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.
      • Distribución e instalación de nuevo malware
      • Abuso de publicidad online


      Si el sistema del usuario está infectado, los atacantes utilizarán los recursos del sistema para llevar a cabo acciones maliciosas. Las mismas son realizadas en forma transparente al usuario mientras utiliza el equipo, pudiendo percatarse de esto solamente en caso de un consumo excesivo de recursos, el cual ralentizaría su funcionamiento o, incluso, impediría su utilización.

      ¿Qué es un firewall?

      Un firewall es una aplicación que sirve para controlar e identificar el tráfico entrante y saliente de un equipo. Además, permite generar una política para permitir o bloquear las conexiones sospechosas.

      ¿Cómo protegerse?

      Dado que un equipo infectado por una botnet utiliza conexiones tanto entrantes (envío de comandos desde el C&C) como salientes (acciones maliciosas), la utilización de un firewall se presenta como una acción de prevención útil para identificar y bloquear conexiones no deseadas.

      En la siguiente imagen se observa cómo el firewall de ESET Smart Security , trabajando en modo interactivo, detecta una nueva conexión, en este caso de navegación web:

      [IMG]http://i42.*******.com/aea9vd.png[/IMG]

      Toda la información referida a la conexión es descripta por la solución: tráfico saliente, aplicación (Internet Explorer), editor (Microsoft Corporation), destino (www.eset.com y su dirección IP), puerto (80) y protocolo (HTTP). Este mensaje aparecerá durante la navegación, es decir, habiendo solicitado el usuario la conexión al sitio indicado.

      Una vez que el usuario analiza estos datos, puede presionar el botón para permitir o bloquear la conexión. Cabe destacar que, una vez que se permite la conexión, el firewall no volverá a consultar cuando los datos coincidan con información previamente cargada por el usuario.

      También es posible observar tráfico cuando no se ha solicitado ninguna conexión, tal es el caso de un equipo parte de una botnet. En la siguiente imagen se observa la primera consulta del firewall en un sistema infectado con el troyano Waledac:

      [IMG]http://i43.*******.com/efpg02.png[/IMG]

      Tanto la aplicación y el editor como la información de destino presentan datos desconocidos por el usuario. Cuando la información no puede ser reconocida por sus nombres o los mismos no se corresponden con acciones ejecutadas en el momento del alerta por parte del firewall, es prudente sospechar de la existencia de una botnet y bloquear cualquier tráfico no solicitado a fin de evitar la comunicación entre el sistema y el administrador de la botnet.

      Si el usuario detecta este tipo de actividad sospechosa debe confirmar la infección con un antivirus y, en caso afirmativo, limpiar el sistema de cualquier código malicioso.

      Conclusión

      Un buen firewall puede permitir al usuario detectar la presencia de actividades sospechosas en el equipo y bloquear las conexiones que desee realizar el administrador de la botnet con el mismo. Para esto podemos contar con aplicaciones gratuitas tan buenas ó incluso mejores que opciones de pago pues no solo controlan el trafico sino tambien la ejecucion de cualquier archivo en nuestra PC como lo son el Comodo Firewall PRO(version FREE que se puede instalar a este solamente desde el instalador del firewall+antivirus) ó el Online Armor Free Sin embargo, una vez detectada la presencia de una infección, se debe utilizar un antivirus con capacidades proactivas de detección para identificarla y eliminarla.

      Fuente: ESET
      Última edición por Velcro fecha: 14/05/09 a las 19:40:11

    2. #2
      Usuario Avatar de LinkTheHero
      Registrado
      jul 2006
      Ubicación
      Peru
      Mensajes
      170

      Re: Cómo evitar ser parte de una botnet

      interesante tema, pero el ESET Smart Security no vuelve a pedir lo mismo? siempre y cuando no se ponga el check de recordar accion, hasta donde yo se.

      Gracias por la info