Por ejemplo en este vídeo vemos un ejemplo con Spyeye que se está convirtiendo en el sucesor de Zeus:
Desde la explosión de la web 2.0 (y del malware 2.0), las botnets han descubierto en el HTTP un método mucho más eficaz de controlar a sus zombis. HTTP es un protocolo que no suele ser filtrado "hacia afuera" en un sistema, puesto que impediría la navegación estándar. Poco a poco Internet migra hacia el navegador como contenedor de toda la experiencia en la Red y esto no es diferente para los atacantes. Para ellos también resulta mucho más cómodo controlar una botnet desde el navegador. El malware ha ido migrando hacia este sistema, que permite cifrado sencillo (SSL) y pasar más desapercibido para las soluciones de seguridad.
Identificando la infección
Buff, complicado. Pero siendo observadores podemos sospechar que algo extraño sucede:
• Aparecen nuevas barras de herramientas, vínculos o favoritos que no se han agregado intencionadamente al explorador web.
• Su página principal, el puntero del mouse o el programa de búsqueda cambia de forma inesperada.
• Escribe la dirección de un sitio concreto, como un motor de búsqueda, pero se le dirige a otro sitio web sin previo aviso.
• Los archivos se eliminan automáticamente del equipo.
• Ve anuncios emergentes aunque no esté en Internet.
• Su equipo de repente comienza a funcionar más lento de lo habitual.
• De pronto se muestran mensajes o imágenes inesperados se reproducen sonidos o música inusuales de forma aleatoria.
• Su cortafuegos le informa de que algunas aplicaciones intentan conectarse a Internet, aunque usted no las haya iniciado.
• Sus amigos mencionan que han recibido mensajes desde su dirección, y usted está seguro de no que usted no los ha enviado.
• Su bandeja de entrada contiene muchos mensajes sin la dirección del remitente o encabezado.
• Su ordenador se paraliza con frecuencia o encuentra errores.
• Su ordenador se vuelve lento cuando se inician los programas.
• El sistema operativo no puede cargarse.
• Los archivos y carpetas han sido borrados o su contenido ha cambiado.
• Su disco duro es accedido con mucha frecuencia.
Cualquiera de estos síntomas podrían indicar que formamos parte de una botnet y nuestra máquina es un "zombie"
Recomendaciones
Linux
Yo como usuario de Linux, recomiendo usar linux y tenerlo actualizado. Evitarás con ello la mayor parte de los problemas. No considero windows un mal sistema pero sí es el objetivo de la mayoría de ataques y software malintencionado.
Si usas windows:
No confíes en el antivirus.
Mantén actualizado el sistema operativo y los programas. Windows Update y Secunia (gracias, Héctor)
Sé inteligente, no ignores las alertas de seguridad de certificados ni aceptes sin más la ejecución de programas que no conoces.
Crackers, generadores de seriales etc,etc. Te la juegas.
Usa software reconocido y de fuentes fiables.
Contramedidas
Si ya crees que estás infectado por software malicioso, empieza por echar un vistazo a los puntos clave de tu sistema: procesos, conexiones abiertas (netstat) y utilizar software especializado.
Utilidades de Sysinternals: Proceso. Process explorer es muy bueno, no te fies del "explorador de tareas"
Utilidades de Sysinternals: Funciones de red. TCPview
 |
| Proceso de una botnet y conexión abierta |
De Nirsoft recomiendo Currports, IPNetInfo
 |
| CurrPorts de Nirsoft |
Otro punto importante es comprobar la integridad de los ejecutables del sistema, es decir, comprobar que los programas y librerias son las auténticas y no han sido sustituidas por copias falsas de malware. Para ello debemos comprobar la firma y podemos usar Sigcheck de Windows Sysinternals
Update:
Como comenta Héctor , muy interesante también analizar los programas que se ejecutan en el inicio. Para ello podemos usar , también de Sysinternal Autoruns
Igualmente completar el test de firmas de procesos con un análisis de Rootkits, para ello usad RootkitRevealer, del amigo Russinovich.
Secunia para mantener todo el software actualizado
Mucha paciencia, y sobre todo ser previsor y prudente. Mas vale prevenir que curar
Mucha suerte
Dale duro a los zombies.
ResponderEliminarMuy rico el artículo.
Yo añadiría "Secunia", fundamental para mantener actualizado no sólo el soft de MS y alguna herramienta para el control de los programas que se ejecutan al inicio, como el "Autoruns" de SysInternals o el "CCleaner". Éstos últimos suelen cantar muchísimo.
PD: Revisa el enlace del Process Explorer, que creo que se te ha ido la mano.
Gracias el apunte, Héctor. Corregido y actualizado
ResponderEliminarTengo en mente continuar el asunto con una entrada para explicar como podemos pasar de víctima a atacante, aprovechando que el malware nos ha conectado con su "creador" seguir la conexión, identificar quién está al "otro lado", reconocer sus vulnerabilidades y lanzar un metasploit contra él. En la ekoparty dieron una charla sobre el asunto y se pueden sacar unas ideas muy, muy buenas.
Saludos