MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

10.4.07

DETECTANDO REDES BOT (BOTNETS) P2P
Desde la Universidad de Amsterdam, nace un excelente reporte sobre posibles formas de detectar ataques realizados por Botnets, usando la forma de Peer-to-Peer (P2P).

El reporte está basado en una investigación realizada, en donde ponen a pruebas Nugache, Sinit, Phatbot y Spamthru, cuatro conocidos del Malware, en máquinas corriendo Windows XP SP2.

Luego de varias pruebas, y tras analizar los datos enviados por medio de las redes creadas, se llega a la conclusión de que la detección es relativamente sencilla (ahora) ya que las PCs secuestradas por la Botnet hacen uso de los mismos puertos (es decir, para que las mismas puedan ser contactadas, estas deben tener un puerto en escucha), múltiples intentos fallidos de conexión (básicamente por los Cortafuegos, NATs, y máquinas que ya están desinfectadas), entre otros factores.

Por otro lado, proponen medidas para contrarrestar el efecto de las redes de Bots que existe hoy en día, pero no pueden prometer nada a futuro. Las medidas básicamente consisten en escanear los puertos que normalmente usa el malware, para ver que información puntualmente contiene; como también analizar las conexiones que realizan en duración y frecuencia.

Pero, finalmente declaran que hoy en día puede ser fácil, pero que a futuro con la posibilidad de encriptar información, y darle un escudo propio al código de dicho malware, los investigadores de seguridad tendrán una ardua tarea para remediar la situación.

Relacionados:
Dos familias de gusanos son las que lideran los BotNets
8 años de prisión a responsables de BotNets

0 comentarios: