Detectar ordenadores zombis en la red local.
|
En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.
BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:
- Exploración del anfitrión.
- Uso de exploit de ataque.
- Transferencia del software de control al sistema anfitrión.
- Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
- Propagación del malware atacando otros host de la red.
- Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).
Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.
BotHunter es gratuito y está disponible para las plataformas:
- Windows XP/Vista/2003 Server 32 y 64.
- Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
- FreeBSD, probado en la versión 7.2.
- Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.
BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.
Más información y descarga de BotHunter:
http://www.bothunter.net/
Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html
Programas y Juegos gratis, pásate por http://blogusuariospc.blogspot.com
Buena herramienta, a mi me es muy util, ya que en una ocasion un virus infecto la computadora de mi casa, y despues comenzo a infectar las comutadoras de mis amigos, que venian a conectarse a mi red.
Como puedo tener presencia en la red con el blog que he creado sobre IT?
En el editan varios consultores de la empresa Learning sobre temas bastante interesantes.
http://www.l-p-s.es
Gracias por la ayuda!
saludos
Hola Pilar.
Para que un blog sobre IT tenga presencia en la red necesita constancia, calidad en los contenidos y enlaces de otras paginas influyentes en la red. Es algo que no se consigue en un mes ni en dos. Podrías empezar por buscar páginas con temática afín y proponerle un intercambio de enlaces y por darte de alta en directorios.
Un saludo
Alvaro Paz
Hola Alvaro!!
Muchas gracias x contestar.
Más o menos había pensado en esto, lo de los directorios pero no he sabido como darme de alta, y para el tema de intercambio de enlaces… como contacto con el administrador del blog? ya te digo que soy principiante y hay cosas que quizás sean obvias pero me aturullo… siempre con lo facil!jejeje!
Saluditosss!!!
Aunque llevo varios años como informático de sistemas y conozco los terminos llevo poco en esto de seguridad y prevención y tengo que reconocer que, de la información que he buscado para ponerme al día este es de los mejores que he encontrado.
Muchas Gracias y enhorabuena