Botnets

Hace unos días conocimos la noticia de que gracias a la colaboración de de la policía española y el FBI habían detenido al supuesto autor de la botnet Mariposa, descubierta en el 2008 y desmantelada a final de 2009.

Esta botnet llegó a contar con entre 8 – 12 millones de equipos Zombies.

Pero sabemos realmente ¿qué es una botnet?. La idea es sencilla aunque efectiva, básicamente consiste en conseguir un ejército de equipos y usarlos según los intereses de la persona que realiza este malware.

Una vez el equipo se infecta, el agresor puede controlarlo de forma remota a través de Internet. A partir de ese momento el equipo se convierte en un zombie a las órdenes del hacker sin que el usuario llegue a percatarse. Los grupos de equipos infectados de esta manera es lo que denominamos “botnet”.

Los delincuentes pueden compartir el control de la red o vender el acceso a la misma para que otros puedan utilizarla con fines maliciosos. Por ejemplo se puede utilizar una de estas redes para el envío de spam, de hecho hasta el 99% del spam se distribuye de esta forma ya que permite a los remitentes evitar ser descartados mediante listas negras de IPs.

Otro uso común de estas redes es lanzar ataques de denegación de servicios (DDoS), organizan miles de ordenadores para que accedan a una web concreta de forma simultánea haciendo que el servidor sea incapaz de gestionar tantas peticiones y parando de esta forma el servicio.

La solución a este tipo de amenazas no es sencilla, pero aquí van algunos consejos prácticos sencillo que se me ocurren para intentar evitar que nuestros equipos formen parte de una botnet.

Solución antimalware (virus, troyanos, rootkits, spyware…): La solución debe estar actualizada y ser capaz de bloquear cualquier tipo de amenaza conocida.

Host IPS: Importante activar esta protección de día cero, nos ayudará a bloquear amenazas que aun no son conocidas, antes de que el antimalware tenga la firma podrá ser capaz de bloquear algunas aplicaciones maliciosas.

Mantener actualizadas y parcheadas nuestros sistemas y aplicaciones. Muchas infecciones llegan por vulnerabilidades conocidas, es vital el parchear de forma correcta nuestros equipos para evitar que el malware explote estas debilidades.

Firewall: Tanto a nivel perimetral como a nivel de puesto. Bloquemos todos aquellos puertos que nuestros equipos no utilicen. Dificultaremos tanto la gestión de nuestras máquinas si ya formamos parte de una botnet como que los ataques puedan ser realizados desde nuestros equipos.

Bloqueo de sitios web maliciosos, la mayor parte de las infecciones provienen de la web intentemos reducir la posibilidad de que los usuarios se infecten. Debemos tener activa esta protección a nivel de Gateway y de puesto.

Bloqueo/simulación del java script. Mucha infecciones proviene de la ejecución de un java scritpt, lo ideal es contar con alguna herramienta que simule su ejecución y decida si es malicioso o no. Más drástico pero igual de efectivo bloqueando su ejecución.

Evitar infecciones mediante correo electrónico. Con sistemas de protección contra spam y malware a nivel de correo electrónico y evitando abrir aquellos correos donde no conocemos al remitente o el asunto pueda parecernos dudoso.

No utilizar el usuario administrador por defecto. Muchos usuario utilizan el administrador de la máquina para el día a día. No es necesario, el usuario administrador puede hacer todo en nuestro equipo si un malware nos infecta bajo este usuario tendrá por lo tanto privilegios para hacer todo.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en twitter para intercambiar experiencias en torno al mundo de