Es un dicho que nos hemos hartado de escuchar: más vale prevenir que curar, cierto y 100% loable, pero ¿y qué pasa cuando no se puede prevenir?
Una vez un sistema ha 'caído' y ha sido comprometido por alguna pieza de malware, asumimos que la primera línea de defensa ha sido ineficaz (llámalo anti-virus, anti-malware o lo que sea)
En esos casos, es bueno tener activadas contra-medidas para hacer menos catastrófico el daño que ha podido causar un espécimen malicioso.
Una buena idea es tener instalado Mirage Anti-Bot, una herramienta que periódicamente actualiza tu fichero hosts insertando dominios que han sido reportados por abuse.ch como relacionados con actividad malware, por ejemplo Zeus o SpyEye.
Esos dominios, al ser insertados en el fichero hosts apuntando a direcciones nulas, quedan inalcanzables y de esa forma se previene que nuestro equipo entre en contacto con los servidores C&C
Una vez seguido el procedimiento de instalación (siguiente, siguiente, siguiente) procedemos a configurar el programa
El primer paso, hacer el update de firmas
Con eso, nuestro fichero hosts ha sido actualizado y contendrá un buen número de hosts bloqueados y que, en caso de que el equipo sea comprometido, al menos no podrán contactar con los servidores de control.
Otra de las funcionalidades curiosas de Mirage es qué, si activamos el 'log' de intentos de conexión a dominios bloqueados, podremos obtener evidencias de que el sistema ha sido comprometido.
En definitiva, una herramienta muy útil y funcional totalmente recomendable
11 comments :
Buen aporte Yago
gracias. muy bueno. (Desafortunadamente hay algunos antivirus, como el Microsoft Security Essential, que al detectar modificaciones al host, restauran el original, eliminando las líneas insertadas)
Gracias Yago, se agrade e cada vez que aportas estas apps tan utiles, y te animo a que nos deleites con más. PD: (Desactivar el Patriot cuando utilices el Mirage, ya que te tiraras una hora aceptando las entradas al fichero Hosts jaja, con Patriot la verdad duermo mas tranquilo por la noche) :P
¿Totalmente recomendable? Tu "última línea defensa" proviene de un reconocido desarrollador de malware. Si desconoces el tema, es preferible que no publiques nada.
Agree. Adenas menuda mierda de linea de defensa, un buen malware no hace resoluciones de dns con la configuracion de dns de s.o. sino que utiliza otros servidores dns, y asi evita sinkholes y esta bazofia casposa del archivo hosts. Sin embargo puede que a ti te sea util, junto con los posts anteriores de sqli ... cuando nos enseñareis a hacer una webshell? Jajajaja patetico
¿Puedes aportar alguna evidencia o prueba al respecto?
Pedazo de mierda de articulo. Y deja de censurar y borrar los comentarios que no te benefician.
Interesante la tool pero tengo una duda: ¿No habría problemas en la
performance de la maquina mientras el archivo hosts va registrando mas y
mas dominios?
Salud
Qwerty, si no te gusta el articulo por lo menos respeta.
He eliminado el comentario, o se habla con respeto y se plantean las cosas de una forma constructiva, o no hay comentario
Yo entiendo que para llegar a saturar ese fichero hace falta un número bastante desproporcionado.
No obstante el programa tiene la potestad de meter y sacar con lo que entiendo qué, en un momento dado los dominios 'muertos' se borrarán
Publicar un comentario