Anatomía de una eliminación de Botnet

7

Entonces, Microsoft era En parte responsable por eliminar la botnet Kelihos en septiembre de 2011. Usaron una variedad de medidas legales y técnicas para hacerlo. No quiero adentrarme en las políticas y legalidades globales de las medidas legales que tomaron, pero desde una perspectiva técnica, ¿qué es lo que constituye la herramienta más importante de una persona cuando intenta eliminar una red de bots? El conjunto de herramientas debe estar bastante restringido debido a los diversos jugadores, potencialmente poco cooperativos.

Como pregunta secundaria: ¿Tiene Microsoft alguna ventaja en la guerra contra las botnets simplemente por su capacidad para eliminar la actualización de eliminación de software malintencionado cada mes?

    
pregunta logicalscope 24.01.2012 - 21:13
fuente

1 respuesta

4

Voy a probar esta pregunta reflexionando sobre algunas cosas que sé. No tome esto como consejo de un profesional que realmente trabaja en esta área o algo así. Esto está escrito con lo que he escuchado sobre botnets en mente, no tan específico. Y lo que he oído ahora puede ser histórico. Básicamente, esta no es una gran respuesta. Con estas cosas en mente ...

En primer lugar, la mayoría de las botnets tradicionales se ven como tres entidades de diferentes tipos de personas: el cliente, el cliente maestro y el servidor. El cliente va a la víctima, el servidor emite comandos y el cliente maestro es solo una interfaz elegante para manejar el servidor. Tener el ejecutable en la máquina de la víctima como un servidor que permite que un cliente se conecte y controle es lo que hacen muchos "patines", pero no vale nada en 2012 debido a que los firewalls decentes son omnipresentes. Por lo tanto, las botnets utilizan un sistema de varios tipos llamado 'conexión inversa'.

Entonces, si quisieras apagar una red de bots, golpearías el servidor, matando así la capacidad del cliente maestro de emitir comandos a las víctimas. Suena muy bien en el papel, pero no tanto cuando lo aplicas. Por ejemplo, muchas botnets son P2P, por lo que no hay un control centralizado, o al menos no es fácil de localizar. Algunos pueden detectar cuándo un servidor se ha desconectado y, a continuación, iniciar automáticamente uno nuevo en otro lugar. Podría tener servidores que administren servidores que administren servidores, cada paso se realiza a través de capas de enmascaramiento de direccionamiento indirecto. Tienes la idea.

Muchas botnets tienen características de actualización. Es decir, el servidor puede emitir actualizaciones al ejecutable del cliente en las máquinas infectadas. Estas actualizaciones pueden tener nuevas formas de evitar los nuevos escáneres heurísticos, por ejemplo. Por lo tanto, una forma de eliminar la botnet sería obtener el control del servidor y emitir una actualización que reemplace el código del cliente infectante con un archivo ejecutable vacío en todas las víctimas. Solo una idea ...

Leí un libro de Symantec hace un tiempo (olvidé el nombre). Detalló un proceso en el que las compañías antimalware tienen máquinas vulnerables conectadas a Internet con el único fin de infectarse para que puedan ver qué está flotando. Entonces, tal vez una red de bots de moda podría infectar una de estas máquinas, y luego la compañía puede verificar de dónde provienen los comandos. Naturalmente, dichos comandos atravesarían docenas de capas de direccionamiento indirecto, pero es un comienzo, ¿no?

Aquí hay otra idea: tal vez, tales compañías metieron a una persona en las áreas donde se desarrollan tales botnets. Foros privados y similares. A los crackers les encanta presumir de su destreza, reduciendo todos sus logros a un viaje del ego. Es bastante obvio cómo esto puede salir mal para ellos.

Además, tienes diferentes categorías de personas que escriben estas cosas desagradables. Los pastores, los investigadores, etc. Honestamente, no creo que todos encajen en esto, pero es una buena manera de verlo. Por lo tanto, puede haber múltiples responsables, lo que complica un derribo permanente.

Una persona con destreza técnica necesita hacer un nuevo aspecto que docenas de niños de script emplean en su malware como los clientes de redes de bots. RunPE, por ejemplo, probablemente fue actualizado por un geek que no tenía intención de infectar, pero luego fue utilizado por los niños, ya que dicho geek proporcionaba una interfaz fácil de usar que los niños podían comprender.

Entonces, cuando encuentras a los responsables de una red de bots, sin duda muchos de los colaboradores se salen del gancho. ¿A quién culpas principalmente? ¿Alguien de quién fue el código utilizado en él, y que dicho código era lo suficientemente específico como para ser / solo / usado para propósitos infames? ¿O sólo el codificador principal? No sé ser honesto.

Lo siento por este paseo. Solo estaba pensando en cómo las botnets podrían ser eliminadas en general =)

EDITAR: para responder a su segunda pregunta, las actualizaciones de seguridad pueden hacer que una pieza de malware sea completamente inoperable desde solo un pequeño ajuste en el sistema. El malware a menudo es altamente específico para ciertas configuraciones.

Windows es el principal objetivo del malware, por lo que Microsoft es el actualizador oficial de los medios, lo que significa que tienen mucho poder para deshacerse de los clientes de la red de bots. No solo haciendo que los clientes de botnet no funcionen con los cambios del sistema, sino también actualizando su software de seguridad como Herramienta de eliminación de software malintencionado para detectar dicho malware.

    
respondido por el Louis 25.01.2012 - 14:57
fuente

Lea otras preguntas en las etiquetas