¿Qué debes hacer si tu computadora es atacada por un zombi de la red? ¿Cómo defender?
Métodos de defensa contra botnets
Si una computadora es sometida a un ataque DoS por parte de una botnet, existen pocas opciones. En términos generales, las botnets están distribuidas geográficamente, lo que dificulta determinar su patrón de ataque a las computadoras.
Las huellas dactilares pasivas del sistema operativo pueden confirmar ataques que se originan en botnets, y los administradores de red pueden configurar dispositivos de firewall para utilizar la información obtenida de las huellas digitales pasivas del sistema operativo para tomar medidas contra las botnets. La mejor defensa es utilizar un sistema de prevención de intrusiones con hardware especializado instalado.
Algunas botnets utilizan servicios de alojamiento DNS gratuitos para apuntar un subdominio a un servidor IRC que alberga "broilers". Aunque estos servicios DNS gratuitos no lanzan ataques por sí mismos, proporcionan puntos de referencia. La eliminación de estos servicios puede alterar toda la botnet. Recientemente, algunas empresas han intentado eliminar subdominios de estos dominios. La comunidad de bots se refiere a este tipo de enrutamiento como "enrutamiento nulo" porque los servicios de alojamiento DNS a menudo redirigen el subdominio infractor a una dirección IP inalcanzable.
La estructura del servidor zombie antes mencionada tiene vulnerabilidades y problemas inherentes. Por ejemplo, si se descubre un servidor con un túnel de botnet, también expondrá todos los demás servidores y otros bots. Si un servidor de botnet carece de redundancia, desconectar el servidor provocará que toda la botnet colapse. Sin embargo, el software del servidor IRC incluye funciones que enmascaran otros servidores y bots, por lo que descubrir un canal no necesariamente conducirá a la desaparición de la botnet.
Las técnicas basadas en host utilizan heurísticas para identificar el comportamiento de los bots que eluden los mecanismos antivirus tradicionales. Los métodos basados en red utilizan gradualmente las técnicas anteriores para apagar los servidores de los que dependen las botnets para sobrevivir, como los proyectos DNS de "enrutamiento nulo", o apagar completamente los servidores IRC.
Sin embargo, la nueva generación de botnets es casi en su totalidad P2P, incorporando comando y control en la botnet a través de actualizaciones y cambios dinámicos, la botnet puede evitar la falla de un solo punto. El software espía puede "codificar" todas las contraseñas sospechosas en el bot utilizando una clave pública. Los datos capturados por la botnet solo se pueden leer a través de la clave privada que posee el controlador del bot.
Es importante destacar que la nueva generación de botnets son capaces de detectar y responder a intentos que puedan analizar su funcionamiento. Por ejemplo, las grandes botnets pueden incluso desconectar a los investigadores de la red cuando detectan que están siendo analizados y estudiados. Por lo tanto, las unidades necesitan soluciones de botnet profesionales
Soluciones de botnet
La buena noticia es que a medida que las amenazas continúan creciendo, las fuerzas de defensa también están respondiendo rápidamente. Si es el director de una gran empresa, puede utilizar algunos productos comerciales o productos de código abierto para hacer frente a estas amenazas.
El primero es el producto de FireEye, que puede ofrecer una visión clara de cualquier ataque sin recurrir a ninguna firma. Las máquinas virtuales de FireEye son privadas, lo que mitiga el riesgo de que un atacante aprenda cómo comprometer dicha máquina virtual. FireEye puede identificar nodos de botnet y evitar que se comuniquen con las redes de los clientes. Esto permite al personal de TI del cliente tomar medidas cuando FireEye detecta un ataque de botnet y luego reconstruir fácilmente los sistemas infectados. Las máquinas infectadas se pueden prohibir inmediatamente cuando el acceso a la red sea menos crítico. Damballa creó su propia tecnología para rastrear y defenderse de las botnets. La solución Failsafe de la empresa identifica hosts comprometidos dentro de las redes empresariales sin el uso de tecnologías basadas en firmas o comportamiento. Además, SecureWorks y eEye Digital Security también cuentan con su propia tecnología especializada para hacer frente a las botnets.
Es poco probable que las botnets derriben a grandes empresas conocidas, como Google. La razón es simple: dependen principalmente de servidores distribuidos. Los atacantes DDoS tendrían que conquistar una red distribuida globalmente, lo cual es casi imposible porque la red puede manejar hasta 650 Gb por segundo de datos. Las pequeñas empresas pueden protegerse contra ataques DDoS eligiendo cuidadosamente su proveedor de Internet. Es una buena idea si el proveedor puede identificar y filtrar ataques en el nivel de acceso al enlace de alta velocidad.
Sin embargo, debido a que las actividades de ataque DDoS son tan fáciles de detectar y potentes, los defensores pueden aislarlas fácilmente y eliminar la botnet. Las organizaciones criminales suelen reservar sus recursos para tareas que les reporten más dinero y al mismo tiempo minimicen su exposición.