Semalt: Comprender las actividades de una botnet a través de la infiltración de botnet

Las botnets son uno de los mayores desafíos de seguridad de TI que enfrentan los usuarios de computadoras en la actualidad. Miles de botmasters están trabajando las 24 horas para evadir los obstáculos de seguridad desarrollados por las compañías de seguridad y otras agencias interesadas. La economía de botnets, en su complejidad, está creciendo enormemente. En este sentido, Frank Abagnale, Gerente de Éxito del Cliente de Semalt , quisiera contarle sobre una práctica increíble por parte de la compañía de computadoras Cisco.

En un estudio reciente realizado por un equipo de investigación de seguridad de Cisco, se descubrió que hay botmasters que ganan hasta US $ 10,000 a la semana con las actividades de bot. Con este tipo de motivación para las personas que estarían interesadas en meterse en el crimen, miles de millones de usuarios de computadoras desprevenidos corren un mayor riesgo de los efectos de los ataques de botnet.

El equipo de investigación de Cisco, en su investigación, tenía como objetivo comprender las diversas técnicas que los botmasters están utilizando para comprometer las máquinas. Aquí hay algunas cosas que sus esfuerzos ayudaron a descubrir:

Cuidado con el tráfico de Internet Relay Chat (IRC)

La mayoría de las botnets usan Internet Relay Chat (IRC) como un marco de comando y control. El código fuente para IRC está fácilmente disponible. Por lo tanto, los botmasters nuevos e inexpertos usan el tráfico IRC para difundir botnets simples.

Muchos usuarios desprevenidos no entienden los riesgos potenciales de unirse a una red de chat, especialmente cuando su máquina no está protegida contra ataques por alguna forma de Sistema de prevención de intrusiones.

Importancia de un sistema de detección de intrusos

Un sistema de detección de intrusos es una parte integral de una red. Mantiene un historial de alertas de una herramienta de administración de seguridad de Internet implementada y permite la reparación de un sistema informático que ha sufrido un ataque de botnet. El sistema de detección permite al investigador de seguridad saber qué estaba haciendo la botnet. También ayuda a determinar qué información ha sido comprometida.

Todos los botmasters no son geeks informáticos

Contrariamente a lo que muchos suponen, ejecutar una botnet no requiere experiencia informática avanzada o conocimiento experto de codificación y redes. Hay botmasters que saben mucho de sus actividades, pero otros son simplemente aficionados. En consecuencia, algunos bots se crean con más competencia que otros. Es importante tener en cuenta ambos tipos de atacantes al diseñar defensas para una red. Pero para todos ellos, el principal motivador es obtener dinero fácil con un mínimo esfuerzo. Si una red o máquina tarda demasiado en comprometerse, un botmaster pasa al siguiente objetivo.

Importancia educativa para la seguridad de la red

Los esfuerzos de seguridad solo son efectivos con la educación del usuario. Los administradores del sistema suelen parchear máquinas expuestas o implementar un IPS para proteger la máquina de las vulnerabilidades. Sin embargo, si el usuario no está bien informado sobre las diversas formas de evitar las amenazas de seguridad, como las botnets, la efectividad de incluso las últimas herramientas de seguridad es limitada.

El usuario debe ser constantemente educado sobre el comportamiento seguro. Esto significa que una empresa tiene que aumentar su presupuesto para la educación del usuario si quiere reducir su vulnerabilidad al alojamiento de servidores de spam, robo de datos y otras amenazas cibernéticas.

Las botnets a menudo ocurren como rarezas en una red. Si el tráfico de una o varias máquinas en una red se destaca de las demás, las máquinas podrían verse comprometidas. Con un IPS, es fácil detectar vulnerabilidades de botnet, pero es importante que el usuario sepa cómo detectar alertas generadas por sistemas de seguridad como el IPS. Los investigadores de seguridad también deben mantenerse alertas para detectar máquinas que comparten un comportamiento extraño.