23 mayo 2014

Mirage Anti-Bot, la última línea de defensa

Es un dicho que nos hemos hartado de escuchar: más vale prevenir que curar, cierto y 100% loable, pero ¿y qué pasa cuando no se puede prevenir? 

Una vez un sistema ha 'caído' y ha sido comprometido por alguna pieza de malware, asumimos que la primera línea de defensa ha sido ineficaz (llámalo anti-virus, anti-malware o lo que sea)

En esos casos, es bueno tener activadas contra-medidas para hacer menos catastrófico el daño que ha podido causar un espécimen malicioso.

Una buena idea es tener instalado Mirage Anti-Bot, una herramienta que periódicamente actualiza tu fichero hosts insertando dominios que han sido reportados por abuse.ch como relacionados con actividad malware, por ejemplo Zeus o SpyEye.

Esos dominios, al ser insertados en el fichero hosts apuntando a direcciones nulas, quedan inalcanzables y de esa forma se previene que nuestro equipo entre en contacto con los servidores C&C

Una vez seguido el procedimiento de instalación (siguiente, siguiente, siguiente) procedemos a configurar el programa


El primer paso, hacer el update de firmas


Con eso, nuestro fichero hosts ha sido actualizado y contendrá un buen número de hosts bloqueados y que, en caso de que el equipo sea comprometido, al menos no podrán contactar con los servidores de control.

Otra de las funcionalidades curiosas de Mirage es qué, si activamos el 'log' de intentos de conexión a dominios bloqueados, podremos obtener evidencias de que el sistema ha sido comprometido.


En definitiva, una herramienta muy útil y funcional totalmente recomendable

11 comments :

n0ipr0cs dijo...

Buen aporte Yago

Maravento dijo...

gracias. muy bueno. (Desafortunadamente hay algunos antivirus, como el Microsoft Security Essential, que al detectar modificaciones al host, restauran el original, eliminando las líneas insertadas)

disqus_sVKdZQc45j dijo...

Gracias Yago, se agrade e cada vez que aportas estas apps tan utiles, y te animo a que nos deleites con más. PD: (Desactivar el Patriot cuando utilices el Mirage, ya que te tiraras una hora aceptando las entradas al fichero Hosts jaja, con Patriot la verdad duermo mas tranquilo por la noche) :P

Anónimo dijo...

¿Totalmente recomendable? Tu "última línea defensa" proviene de un reconocido desarrollador de malware. Si desconoces el tema, es preferible que no publiques nada.

Peperoni dijo...

Agree. Adenas menuda mierda de linea de defensa, un buen malware no hace resoluciones de dns con la configuracion de dns de s.o. sino que utiliza otros servidores dns, y asi evita sinkholes y esta bazofia casposa del archivo hosts. Sin embargo puede que a ti te sea util, junto con los posts anteriores de sqli ... cuando nos enseñareis a hacer una webshell? Jajajaja patetico

Yago Jesus dijo...

¿Puedes aportar alguna evidencia o prueba al respecto?

Qwerty dijo...

Pedazo de mierda de articulo. Y deja de censurar y borrar los comentarios que no te benefician.

Lech Barrueta A. dijo...

Interesante la tool pero tengo una duda: ¿No habría problemas en la
performance de la maquina mientras el archivo hosts va registrando mas y
mas dominios?
Salud

Judoco dijo...

Qwerty, si no te gusta el articulo por lo menos respeta.

Yago Jesus dijo...

He eliminado el comentario, o se habla con respeto y se plantean las cosas de una forma constructiva, o no hay comentario

Yago Jesus dijo...

Yo entiendo que para llegar a saturar ese fichero hace falta un número bastante desproporcionado.

No obstante el programa tiene la potestad de meter y sacar con lo que entiendo qué, en un momento dado los dominios 'muertos' se borrarán