Cuando visitamos sitios web, sin saberlo, nuestras computadoras pueden ser víctimas de una botnet. Debe haber una manera de identificar si somos víctimas o no. ¿Cuál es la forma de identificarlo y cómo recuperarse de él?
Puede detectar si sus clientes se han convertido en parte de una red de bots de tres formas.
Pero volvamos a su pregunta sobre cómo detectar si sus clientes ya forman parte de una red de bots. La forma más efectiva (en mi opinión) es detectar la comunicación entre los clientes de botnet y los servidores de botnet instalando un Sistema de detección de intrusiones (IDS) sensor en su red.
Configura este sensor IDS con una lista de tráfico de C & C conocido, y patrones de tráfico que indican que hay un cliente de botnet.
Cuando el IDS ve el tráfico a los servidores C & C, puede configurarse para advertirle sobre dicho tráfico.
Un producto IDS usado comúnmente es snort , y un conjunto de reglas comunes para detectar C & C es emerging-botcc.rules
No hay una forma única de hacer esto, es parte de la razón por la cual las botnets son un problema. Si existiera una solución única, la mayoría de los ISP y las organizaciones lo implementarían.
La mayoría de las veces, lo mejor que podemos hacer es aplicar una serie de heurísticas, reglas básicas, que darán una indicación de posibles problemas de botnets, pero no se garantiza que sean correctos; puede obtener falsos positivos.
Como se señaló en otras respuestas, en general, la solución general se centra en identificar patrones de tráfico inusuales cuando la red de bots intenta comunicarse con su C & C. Esto podría involucrar el monitoreo de solicitudes de DNS o el monitoreo del tráfico a través de su firewall. También hay servicios comerciales que realizarán este tipo de monitoreo para una red. Les proporciona una lista de sus direcciones IP y ellos monitorean la botnet C & C conocida para el tráfico de su red.
Por supuesto, la mejor solución es, en primer lugar, evitar convertirse en parte de una botnet. En la mayoría de los casos, el software malintencionado necesita la acción del usuario para que la computadora forme parte de la botnet. Evite todos los vectores estándar: abra correos electrónicos no solicitados de personas que no conoce, no instale software de sitios en los que no confía, cuando aparece una página que le indica que actualice Flash, no solo esté de acuerdo, vaya a Averigüe si hay una actualización flash y consígala e instálela desde allí, desconfíe de cualquier cosa que parezca demasiado buena para ser verdad, probablemente no lo sea, etc.
El otro paso importante que debe tomar es no otorgar derechos de administrador a su cuenta de usuario normal. Use una cuenta separada para la administración, como el software de instalación, las actualizaciones y los cambios en el sistema. Es un poco menos conveniente porque a veces tendrá que cerrar sesión en su cuenta normal y luego iniciar sesión en una cuenta diferente con privilegios de administrador y luego, cuando termine, cierre sesión y vuelva a iniciar sesión en su cuenta normal y abra todo de nuevo, etc. Pero el nivel de protección que esta compra vale la pena. Ejecute una buena solución antivirus / antimalware y asegúrese de que ésta y su sistema operativo se actualicen periódicamente. Cuando su antivirus o antimalware le advierta, tome nota. No ponga la conveniencia primero.
Un ejemplo del mundo real. La semana pasada, tuvimos un usuario con problemas informáticos. Recogimos esto debido al tráfico inusualmente alto de su computadora a una dirección IP remota específica. Le sugerimos que trajera su computadora para que pudiéramos mirarla. Estaba lleno de virus y malware. Notamos que no estaba ejecutando la solución antivirus / antimalware que proporcionamos a todos nuestros clientes de forma gratuita. Le pregunté por qué no lo estaba ejecutando
"Oh, lo quité. Lo estúpido seguía apareciendo todas estas ventanas tontas cuando intentaba ver televisión y películas de este sitio que uso".
"OK, ¿recuerdas lo que dijeron las ventanas emergentes?"
"No, no realmente, algo acerca de una advertencia: no me molesté en leerlos, solo haría clic en Aceptar y luego, unos minutos más tarde, aparecería otro, así que eliminé el software que solucionó el problema" .
"Probablemente no deberías hacer eso. El software intenta advertirte sobre virus y malware que intentan infectar tu computadora".
"pero me estaba impidiendo ver mis programas de TV. Ustedes realmente necesitan arreglar su red, no es correcto que sigan infectando mi computadora. Necesitan hacer su trabajo mejor".
Esto es como preguntar: "¿Cómo puedo saber si alguien está tomando medicamentos?" Es demasiado amplio para responder. Diferentes botnets usan diferentes programas en la computadora de la víctima para lograr el control. Los mejores pasos a seguir, sin saber si está comprometido (no importa por qué botnet), son seguir las mejores prácticas estándar:
a) emplee un buen firewall perimetral que tenga capacidades de filtrado de tráfico e inspección de paquetes, idealmente algo más nuevo (los firewalls más nuevos significan nuevas técnicas de protección)
b) Instale antivirus / antimalware en sus computadoras, y MANTÉNGASE ACTUALIZADO. Programe exploraciones nocturnas regulares.
c) Mantenga todo su software, no solo su sistema operativo, parcheado y actualizado todas las noches.
d) Contrate a un individuo de TI con experiencia en seguridad o use un proveedor de servicios de seguridad administrados para ver el firewall y los registros del host. Los problemas de registro que se ignoran son tan útiles como no registrarlos en absoluto. Si pasa algo, tener a alguien que esté observando sus registros será de gran ayuda para resolver el problema rápidamente.
e) Capacitar a los usuarios. Explique a cualquier persona de su red que necesita evitar ir a sitios web con los que no están familiarizados, y tenga mucho cuidado al hacer clic en los enlaces de los correos electrónicos, los motores de búsqueda, etc. Prevenir que las personas visiten los sitios web maliciosos es una excelente forma de evitar las explotaciones de los bots (el nuevo firewall también ayudará con esto; un buen UTM o dispositivo perimetral inteligente con filtrado de contenido web puede evitar que los usuarios olviden su entrenamiento)
f) Ponga en cuarentena y analice las computadoras que sospecha que están infectadas. Si mete la cabeza en la arena, sus dispositivos pueden estar explotando activamente a otros, utilizados en ataques muy graves y exponiéndolo a más daños y responsabilidades. La negligencia no es inocencia.
Espero que ayude!
Las secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad de seguridad informática que generalmente se encuentra en las aplicaciones web. Permite a los atacantes inyectar secuencias de comandos del lado del cliente en las páginas web que ven otros usuarios.
Digamos que está accediendo a innocent.com y tiene un marco de publicidad que se conecta a attacker.com. Attacker.com tiene el control de ese marco, por lo que el código está dentro.
Ese código puede tener una parte que simplemente envíe paquetes de "ping" a la computadora víctima utilizando su computadora.
La detección es muy difícil en esta situación porque es casi imposible distinguir una solicitud normal que se ejecuta en ese marco de una solicitud normal. Teniendo en cuenta el hecho de que el modelo de comportamiento de las botnets generalmente está más orientado a consumir los recursos (disponibilidad), los paquetes utilizados para las redes de bots y los paquetes utilizados para la publicidad normal pueden no ser diferentes.
La prevención es más fácil que la detección. Conecte sitios web con SSL (hhtps) y nunca conecte sitios web que estén firmados como peligrosos en el programa de virus.
Lea otras preguntas en las etiquetas botnet