Que son las redes Botnet

Que son las Redes Botnet y como Comprobar si Formas Parte de Una

Muy buenas, en el post de hoy de contaré algunas cosas sobre las redes Botnet o redes Zombie. La tecnología y el funcionamiento que se esconde detrás de ellas no es en sí malvado, ya que pueden ser utilizadas con fines totalmente éticos. Sin embargo, comandadas por malas manos y oscuras intenciones son una arma de ciberataque muy potente.

Esta ultima clase de usos es justamente (y como suele suceder) lo que ha hecho sonar más la palabra entre el gran publico. Dicho esto, en el post de hoy me quiero centrar en los usos no tan buenos que se le suelen dar, así que si sigues estas líneas verás como funcionan, como puedes protegerte y como detectar si su dispositivo forma parte de una de ellas gracias algunos servicios que te pueden ayudar a comprobarlo.

En este post verás:

  1. ¿Que son las Botnet y como funcionan?
  2. ¿Como puedo protegerme?
  3. ¿Como comprobar si formo parte de una Botnet?
  4. Para terminar

¿Que son las Botnet y como Funcionan?

Las redes Botnet son en definitiva redes de ordenadores o dispositivos que han sido infectadas por un malware especifico que permite que puedan ser controlados remotamente por un atacante para utilizar sus recursos combinados (ancho de banda, potencia de GPU y CPU,etc.) por tal de servir por su objetivo final.

BotnetsCréditos Imagen:  Wikimedia Commons | Tom-B | CC Atribution-Share ALike

Entre la larga lista de objetivos encontramos la distribución SPAM, realización de ataques de denegación de servicio o DDoS, alojamiento y distribución de material ilegal, realización de ataques de phishing para el robo de datos personales, fraude mediante clic a enlaces de publicidad, etc.

Infección

El primer paso para que un sistema entre a formar parte de una de estas redes es que haya sido infectado previamente por un malware diseñado por el propio operador de la red, o bien, mucho más probable, comprado a un desarrollador externo que ya se encarga específicamente al diseño de malware para su posterior venta.

La infección del equipo puede venir por cualquiera de las vías tradicionales de siempre, ya sea como un adjunto en un email, un exploit aprovechando una vulnerabilidad de alguna aplicación de uso común, con un crack, etc.

En el momento en que el sistema queda infectado pasa a estar en disposición de comunicarse con el centro de comando de la red para comenzar a recibir ordenes y ejecutar acciones sin el control ni el conocimiento del usuario del equipo.

Control Remoto del Sistema

A partir de este punto, el control remoto por parte del operador de la Botnet sobre los diferentes dispositivos infectados se suele hacer por IRC o por HTTP, en el caso de que sea una red centralizada y el centro de control se encuentre en un único servidor, o por P2P, en caso de que este se encuentre distribuido entre varios ordenadores de la red.

En este punto el operador tiene a su disposición un gran numero de dispositivos que se traducen en recursos y ancho de banda a su disposición, y puede vender esa capacidad al mercado o utilizarla para fines propios.

¿Como puedo Protegerme?

Realmente, la condición de que tu PC o dispositivo pase a formar parte de una red de bots es que previamente haya sido infectado por un malware especifico destinado a permitir el control remoto de tu sistema. Por lo tanto, en cuanto a la prevención, las medidas de seguridad no difieren mucho de les que se aplican para protegerte contra el malware en general.

Privacidad y exposicion de datos

Más allá de las recomendaciones habituales como mantener el sistema actualizado, no abrir emails de dudosa procedencia ni hacer clic en sus enlaces, o en el caso de Windows disponer de un buen antivirus o suite de seguridad, puedes adoptar algunas medidas extra que pueden ser de gran ayuda.

Habilitar y Configurar Correctamente el Firewall de tu Sistema

Como premisa básica, es muy importante que no olvides comprobar que el firewall de tu sistema este activo.

En Windows 7, 8 y 10 viene habilitado por defecto para denegar todas las conexiones entrantes, pero tiene un potencias de configuración muy amplio, hasta el punto de configurar un filtrado para las conexiones salientes.

En GNU/Linux dispones del firewall del propio Kernel, pero en muchas distribuciones viene deshabilitado y es tarea del usuario acordarse de habilitarlo. En este sentido, cada distribución dispone de su propia herramienta de gestión de cortafuegos, teniendo por ejemplo UFW en Ubuntu y derivados.

Sin bien como medida básica es primordial disponer del firewall para filtrar todo el tráfico entrante, si ya formas parte de una red Botnet lo que realmente te puede ayudar es configurar un filtrado para las conexiones salientes. Esto te permitirá detectar intentos sospechosos de conexión de tu sistema al exterior, y en cuyo caso denegarlos.

Protección Anti-Malware Adicional en Windows y Linux

En Windows puedes complementar la protección del Antivirus o Suite de seguridad con alguna herramienta antimalware o antispyware para hacer análisis manuales del sistema.

Algunos de los más conocidos en ese sentido son Malwarebytes Anti-Malware y Superantispyware. Sus versiones de pago ofrecen protección en tiempo real, pero si ya dispones de un Antivirus que funciona en modo residente, lo más recomendable es decantarte por las versiones gratuitas.

En cuanto a la protección contra malware, aun puedes ir aún un poco más allá, y hacer uso de alguna herramienta de mitigación de exploits como el mismo EMET de Microsoft, o Malwarebytes Anti-Exploit, del que hablo en detalle en este post. Esto te ayudará mucho contra vulnerabilidades de software que aun no han sido corregidas. Tienes los enlaces de descarga de ambas herramientas en la parte de recursos justo abajo.

En GNU/Linux, la situación es un poco diferente, puesto que la incidencia de virus y malware es mucho menor que en Windows y el perfil de los usuarios suele ser diferente, pero aun así no está nunca demás ser cuidadoso y tomar algún tipo de protección.

El malware que comenté más arriba que tenía como objetivo atacar sistemas Linux, por ejemplo, es detectado desde hace tiempo por el antivirus ClamAV, por lo que en ese sentido, en caso de tener el sistema mal administrado, tendríamos la barrera de ClamAV. Además, tampoco estaría demás tomar alguna otra precaución como analizar el sistema en busca de Rootkits.

Recursos de interés:

Blindar tu Navegador Web

Teniendo en cuenta que una de las aplicaciones mas expuestas suele ser el navegador web, no está demás tener especial cuidado de él tomando precauciones como mantener los plugins siempre actualizados, especialmente Flash y Java, y ejecutarlos solo cuando se requieran.

En este sentido, es importante tener claro como administrar los complementos de tu navegador, por tal de deshabilitar los que no necesites, y mantener activos solo los estrictamente necesarios.

Siguiendo esta línea, es interesante la opción de Chrome/Chromium de bloquear la ejecución automática de complementos y dejarte a ti elegir en la misma web para que contenido y en que momento quieres que se ejecute. Yendo un poco más allá puedes incluso optar por configurar un filtrado de JavaScript mediante listas blancas, algo que en Chrome puedes hacer de forma nativa.

En el caso de Firefox puedes recurrir a la extensión NoScript, mediante la cual podrás realizar un filtrado más avanzado y granular de la ejecución de scripts por parte de tu navegador, pudiendo incluso decidir en tiempo real habilitar o deshabilitar ciertos scripts o contenido de la web.

Recursos de Interés:

¿Como Comprobar si formo parte de una Botnet?

Por lo general, es muy difícil detectar si has sido infectado por un malware a simple vista, ya que el malware actual utilizado en este tipo de redes, a diferencia de los antiguos virus cuyo propósito era justamente ser molestos para el usuario, lo que busca es pasar lo más inadvertido posible de cara al usuario.

Comprobar si formas parte de una red Botnet

Sin embargo, siempre existen cosas que podemos hacer. A continuación tienes algunos ejemplos.

Análisis de Trafico Saliente, Firewall, Sistemas de Detección de Intrusos, etc.

En el caso de las redes Botnet, sin embargo, su funcionamiento requiere un alto trafico saliente de datos por parte de los ordenadores que forman parte de la red, por lo que un tráfico saliente anormal y sin justificar podría ser una clara señal de alarma.

En ese sentido, al igual que un firewall con filtrado de trafico saliente te puede ayudar a detener el trafico saliente de tu sistema relacionado con la Botnet, en caso de ya haber sido infectado previamente, disponer de un sistema de detección de intrusos te puede ser de gran ayuda para ayudar poner de relieve esto.

Algunas Comprobaciones Adicionales

Existen organismos como el OSI (Organismo de Seguridad del Internauta) que crean bases de datos con direcciones IP españolas desde las que se ha estado realizando operaciones propias de las redes Botnet y que te permite conocer si tu sistema se ha visto comprometido al comparar tu IP publica con el listado de su base de datos. En la sección de recursos justo debajo te enlazo a dos servicios que puedes utilizar para comprobarlo.

El servicio Anti-Botnet de OSI, según la propia definición de sus desarrolladores, compara tu dirección IP pública con su base de datos de direcciones IP que se han relacionado en algún momento con incidentes de Botnets.

Puedes utilizarlo en línea desde la misma web, así como descargarte el plugin que ofrecen para Chrome. En caso de un resultado positivo, significa que algún dispositivo que en algún momento de haya conectado a través de esa IP pública forma o formó parte de una red Botnet en algún momento.

Servicio Anti-Botnet de OSI

El test no debería durar más de 1 o 2 segundos, puesto que tan solo se trata de comparar tu dirección IP con la lista de direcciones de su base de datos y ver si hay alguna coincidencia. Hecho esto, te saldrá una ventana de resultado indicando si tu dirección se encuentra vinculada a una red Botnet o no.

Recursos de interés:

Para Terminar

Llegados aquí solo puedo decir que espero que te haya resultado de utilidad el post, y en caso que ya conocieras acerca de las redes Botnet, que por lo menos hayas podido descubrir algunos recursos para ayudarte a comprobar si formas parte de alguna de ellas.

Anuncios

4 comments

  1. Paola · mayo 24

    Muchas gracias por la información,no tenia conocimiento alguno de este tema. Gracias.

    Me gusta

  2. Pipokun · noviembre 3, 2015

    Muy buen post, me fue de gran ayuda.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s