C\u00c3\u00b3mo crecen, se comunican y evaden la detecci\u00c3\u00b3n<\/p>\n
La actual generaci\u00c3\u00b3n de bots es compleja. Se propagan a la manera de los gusanos, se esconden como los virus y pueden escalarse para emprender grandes ataques coordinados. Las t\u00c3\u00a9cnicas m\u00c3\u00a1s populares utilizadas por los botmasters para reclutar grupos de computadoras personales infectadas en una red de bots, involucran a los servidores de nombre de dominio (DNS, por sus siglas en ingl\u00c3\u00a9s). As\u00c3\u00ad como un proveedor de servicios de Internet utiliza un DNS din\u00c3\u00a1mico para asignar nombres de dominio de Internet a una computadora con diversas direcciones IP, los bots incluyen nombres de dominio predeterminados, asignados por proveedores din\u00c3\u00a1micos de DNS. Algunos redes robot m\u00c3\u00a1s recientes, dirigen sus propios servicios DNS distribuidos, que corren en n\u00c3\u00bameros de puerto altos, para evadir la detecci\u00c3\u00b3n de los dispositivos de seguridad en el gateway.<\/p>\n
Los bots se comunican entre s\u00c3\u00ad y con sus botmasters, a trav\u00c3\u00a9s de protocolos de red bien definidos. En lugar de crear nuevos protocolos de red utilizan, en la mayor\u00c3\u00ada de los casos, protocolos de comunicaci\u00c3\u00b3n existentes, que son implementados por herramientas p\u00c3\u00bablicas de software disponibles.<\/p>\n
El protocolo IRC predomina en las comunicaciones de botnet. Este protocolo, dise\u00c3\u00b1ado para comunicaciones grupales en foros de discusi\u00c3\u00b3n a los que se llama \u00e2\u20ac\u0153canales\u00e2\u20ac\u009d (channels), tambi\u00c3\u00a9n permite la comunicaci\u00c3\u00b3n uno a uno por medio de mensajes privados. En s\u00c3\u00ad, el protocolo IRC puede ser utilizado por los botmasters para dirigir su ej\u00c3\u00a9rcito botnet usando las habilidades de la comunicaci\u00c3\u00b3n grupal), y controlar selectivamente algunos de los bots (comunicaci\u00c3\u00b3n uno a uno) para actividades espec\u00c3\u00adficas. Los firewalls pueden configurarse para bloquear el tr\u00c3\u00a1fico IRC, pero es mucho m\u00c3\u00a1s complicado detectar los canales IRC integradas en las comunicaciones en protocolo HTTP.<\/p>\n
Es por esta raz\u00c3\u00b3n que el protocolo HTTP es hoy d\u00c3\u00ada un m\u00c3\u00a9todo popular de comunicaci\u00c3\u00b3n utilizado por los botnets. El uso del protocolo HTTP dificulta la detecci\u00c3\u00b3n del botnet ya que puede confundirse con el resto del tr\u00c3\u00a1fico de Internet. Adicionalmente, la mayor\u00c3\u00ada de las pol\u00c3\u00adticas del firewall son implementadas en el servidor de acceso a la red (gateway), donde se puede bloquear el tr\u00c3\u00a1fico entrante y saliente utilizando el protocolo IRC. No obstante, el hecho de que los botnets usen el protocolo http, les permite evadir generalmente las pol\u00c3\u00adticas de seguridad del firewall.<\/p>\n
Algunos botnets m\u00c3\u00a1s avanzados utilizan protocolos IM (Mensajer\u00c3\u00ada Instant\u00c3\u00a1nea) y peer-to-peer (P2P). Aunque el n\u00c3\u00bamero de botnets que utilizan protocolos diferentes al IRC y HTTP es relativamente peque\u00c3\u00b1o, estos protocolos podr\u00c3\u00adan alcanzar un uso m\u00c3\u00a1s generalizado en un futuro cercano, lo cual implicar\u00c3\u00a1 un reto m\u00c3\u00a1s complejo para la detecci\u00c3\u00b3n de botnets.<\/p>\n
Las redes robot se hacen cada d\u00c3\u00ada m\u00c3\u00a1s sofisticados y, de esta forma, m\u00c3\u00a1s h\u00c3\u00a1biles para evadir la detecci\u00c3\u00b3n. No s\u00c3\u00b3lo son los mejores para evadir los motores antivirus y sistemas de detecci\u00c3\u00b3n de intrusos (IDS) basados en firmas; son tambi\u00c3\u00a9n m\u00c3\u00a1s evasivos a los sistemas de detecci\u00c3\u00b3n basados en identificaci\u00c3\u00b3n de anomal\u00c3\u00adas.<\/p>\n
Los botnets evaden los antivirus y los sistemas IDS basados en firmas, mediante m\u00c3\u00a9todos como los empaquetadores ejecutables, rootkits y otras t\u00c3\u00a9cnicas de evasi\u00c3\u00b3n de protocolos, los cuales perfeccionan la supervivencia de los botnets y el porcentaje de \u00c3\u00a9xito de nuevos anfitriones comprometidos. Asimismo, los botnets tambi\u00c3\u00a9n han a\u00c3\u00b1adido- y contin\u00c3\u00baan haci\u00c3\u00a9ndolo- nuevos mecanismos para disimular los rastros de su comunicaci\u00c3\u00b3n. Como se mencion\u00c3\u00b3 anteriormente, algunos botnets ya est\u00c3\u00a1n abandonando el IRC, y se mudan hacia protocolos modificados IRC o HTTP, y m\u00c3\u00a1s recientemente a protocolos VoIP. Algunas veces, los bots utilizan esquemas de encriptaci\u00c3\u00b3n para prevenir que su contenido sea revelado. Actualmente los botnets utilizan TCP (Transmisi\u00c3\u00b3n Control Protocol), ICMP (Internet Control Message Protocol), e incluso IPv6 (el \u00c3\u00baltimo nivel de creaci\u00c3\u00b3n de t\u00c3\u00baneles en protocolo de Internet). La aparici\u00c3\u00b3n masiva de estos nuevos botnets es s\u00c3\u00b3lo cuesti\u00c3\u00b3n de tiempo.<\/p>\n
Los nuevos descubrimientos en materia de bots y en t\u00c3\u00a9cnicas para creaci\u00c3\u00b3n de botnets, as\u00c3\u00ad como los nuevos esquemas de detecci\u00c3\u00b3n y prevenci\u00c3\u00b3n de las redes robot, har\u00c3\u00a1n que esta guerra de la seguridad sea cada d\u00c3\u00ada mayor en los pr\u00c3\u00b3ximos tiempos.<\/p>\n
Fuente: http:\/\/www.trendmicro.com\/la<\/p>\n","protected":false},"excerpt":{"rendered":"
C\u00c3\u00b3mo crecen, se comunican y evaden la detecci\u00c3\u00b3n La actual generaci\u00c3\u00b3n de bots es compleja. Se propagan a la manera de los gusanos, se esconden como los virus y pueden escalarse para emprender grandes ataques coordinados. Las t\u00c3\u00a9cnicas m\u00c3\u00a1s populares utilizadas por los botmasters para reclutar grupos de computadoras personales infectadas en una red de […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-6","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n