26 noviembre 2008

Detecta la presencia de BotNets en tus sistemas con BOTHUNTER

Por aquí ya hemos hablado en alguna ocasión sobre botnets ya que es un tema muy interesante tanto a nivel técnico como por las intrahistorias que genera.

Hoy toca hablar de una herramienta que será muy muy útil para los administradores de red y/o seguridad de organizaciones que dispongan de múltiples PCs / servidores conectados a Internet y donde, en un descuido, es fácil que el virus-botnet se propague entre sus equipos. En organizaciones cuyo volumen de trafico de red es considerablemente alto es bastante probable que una decena / centena de PCs zombies puedan pasar inadvertidos entre enormes cantidades de flujos de red.

Detectar la presencia de botnets en una red cuyo tamaño supere el millar de equipos conectados puede ser una tarea ardua y compleja ya que, salvo tratar de afinar un IDS de propósito general, pocas opciones más hay disponibles

Recientemente ha sido presentada una herramienta destinada exclusivamente a detectar patrones anómalos relacionados con sistemas zombies, la herramienta se llama BotHunter y su puesta en escena es magnifica: interface gráfica impecable, buena documentación, desarrolladores competentes

A nivel interno hace uso de una versión modificada de Snort a la que le han añadido un motor de correlación y una vistosa interface gráfica. Hay versiones para Linux, FreeBSD y Windows

Cabe destacar que no es una herramienta destinada al home-user ya que no actúa en modo H-IDS. Para hacer uso de la herramienta hay que posicionarla en un tramo de red donde pueda 'ver' el trafico de entrada/salida en el segmento de red monitorizado ya sea implantando TAPS o haciendo port mirroring.

10 comments :

solrac dijo...

Se podría decir que la versión doméstica de un botnet es un rootkit ¿o son cosas distintas?

Si es así, ¿qué software se podría utilizar para uso doméstico?

Yago Jesus dijo...

Hola solrac, no son conceptos análogos, una botnet yo la definiría como conjunto de sistemas que han sido troyanizados y que trabajan cooperativamente para un fin. Un rootkit es una herramienta / método / técnica para ocultar evidencias en un sistema (puertas traseras, procesos, logs ...) Aun siendo cosas diferentes, lo normal es que tras un PC que forme parte de una botnet, haya un rootkit instalado para ocultar las conexiones y actividad del software troyano.

Asfasfos dijo...

Yago está en lo cierto, el botnet es un conjunto de equipos o sistemas que tienen un bichillo el cual trabajan con un fin (parecido a herramientas como el SETI pero hacia algo malo ya sea DoS, spam, porno, etc). Mientras que un rootkit es la herramienta (por ejemplo el fu) de ocultar un servicio, software, etc para que el usuario no se de cuenta de su existencia.

Si que es verdad que uno está relacionado con otro. De hecho, en tu casa tu puedes ser parte de un botnet dentro de Internet

Un saludo

solrac dijo...

Muchas gracias por la explicación.

Efectivamente Asfastos, creo que mucha gente no es consciente de la 'amenaza zombie' y puede formar parte de ella sin saberlo.

Es por mi modesto conocimiento del tema el motivo por el que leo este blog ;) . Por mi parte, para evitar en medida de lo posible ser un 'zombie' utilizo un par de herramientas (gratuitas) para limpiar mi pc, el AVG Anti-Rootkit y el CCleaner (para limpiar el Registro y esas cosas).

Yago Jesus dijo...

Con permiso de la audiencia, mi pequeña contribucion al asunto http://www.security-projects.com/?Patriot Hace años que no lo actualizo pero es efectivo

solrac dijo...

Vi tu recomendación sobre el Patriot y el SpyBoot S&D (entre otros), instalé los dos pero si quería seguir utilizando mi ordenador no me quedó más remedio que quitar el Patriot, cada pocos minutos saltaba y empezada a consumir el 99% de la CPU. El S&D sí lo tengo residente.

Algún consejo sobre como configurar el Patriot y no morir en el intento?

Yago Jesus dijo...

Windows XP o Vista ?

solrac dijo...

XP y 'solo' 1GB de RAM.

Algún otro dato?

Yago Jesus dijo...

No te aparecia ningun mensaje / alerta o similar ?

Anónimo dijo...

mi hi5
es jennyfer_tkm@hotmail.com
y no se ve nada
ok kiero mi hi5 de vuelta