“BOTNETS” · Un estudio de Honeynet.org, especialistas en el seguimiento de redes automatizadas...

“BOTNETS”

Inspector Jorge Martín GarcíaJefe del Grupo de Seguridad Lógica

COMISARIA GENERAL DE POLICÍA JUDICIALU.D.E.F. CENTRAL

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA

BRIGADA DE INVESTIGACIÓN TECNOLOGICA

¿ Dónde estamos ?

• C.G.P.J. / U.D.E.F. CENTRAL


Funciones

Investigación de:

- Ataques- Intrusiones- Daños Informáticos- Descubrimiento y revelación de Secretos.- Sustracción de datos personales.


Procedimiento• Para la persecución de muchos de estos

delitos es necesaria la denuncia previa.

• Deben aportar Informe técnico:– Firmado por el responsable de la administración del

sistema o del área de informática de la empresa.

– Deben aportarse registros de auditoria del sistema (log´s)


• Valoración de daños

– Algunos de los tipos penales requieren que el perjuicio económico sea superior a cierta cantidad.

– Además sirve para valorar la gravedad del delito.


Troyanos, Virus y Gusanos

• Troyano: Programa de apariencia útil o inocente que oculta código malicioso.

• Virus: Además de ejecutar código destructivo se autopropaga.

• Gusano: Similar a un virus que se replica a si mismo a través de redes.


Instalación de Troyanos

• Troyano o caballo de troya es un programa de apariencia inocente (incluso útil) que oculta código malicioso.

• Puede instalar:– Keyloggers– Puertas traseras (ej. Servidor ftp)– Analizadores de protocolos/sniffers


Intrusiones y Ataques• Intrusión: Acceder a un sistema sin

autorización.

• Ataque: Acción encaminada a destruir datos, programas o impedir el correcto funcionamiento de los sistemas.

Puede haber ataques con o sin intrusión.


Denegación de servicio

• Ataque DOS: Colapsar un sistema sobrecargándolo de peticiones, de forma que sus usuarios legítimos no puedan acceder.

• Ataque DDOS: es un ataque DOS distribuido. Se usan múltiples equipos “zombis” que lanzan el ataque simultáneamente.


Maquinas “Zombie”•Equipos comprometidos controlados por usuarios maliciosos, que los utilizan con el total desconocimiento de sus propietarios y/o administradores

•Estos ordenadores ejecutan de forma ocultapara el usuario algun tipo de programa troyano.

•Las máquinas "zombie" se aglutinan en los denominados botnets


Botnets• El termino “botnet” hace referencia a una red de bots.

Inicialmente se entendía por “bot” o robot de IRC, un programa o fragmento de código que simulaba una identidad en un canal de IRC.

• Sus funciones eran el control de canales y la simulación de participantes en juegos multijugador.

• La capacidad de ejecutar simultáneamente determinadas acciones como repuesta a un único comando pronto los convirtió en auténticos ejércitos de mercenarios digitales.


•Los botnets pueden concentrar un gran número de máquinas "zombie” y las misiones a que se destinan son esencialmente:

•Ataques de DDoS masivos•Gestionar el envio de correo basura (SPAM)•Alojar herramientas y componentes destinados al fraude (Phising).•Snifado de trafico en redes y captura de contraseñas.•Manipulación de encuestas, votaciones y juegos online.•Distribución de malware.


• Mecanismos de Propagacion:

– Correo electronico– Descarga de archivos– Instalación de software desde sitios no confiables– Uso de gusanos y virus.

• Cuando una maquina es infectada establece una conexión a un canal determinado en un servidor de IRC.

• Como respuesta a determinados eventos de ese canal todos sus “usuarios” efectúan determinadas acciones.


Lanzando el Ataque:

Internet

`

Zombie

Zombie

Zombie

ServidorVictima

Hacker


Capacidad de ataque• Imaginemos una red de 1.000 PC´s infectados

• Si cada equipo genera 128kbps de trafico hacia un servidor.

1.000 x 128Kbps = 128.000 Kbits por segundo

La victima recibe 125 Mbps!


Ejemplos de ataques:


Algunas Cifras:

Un estudio de Honeynet.org, especialistas en el seguimiento de redes automatizadas de máquinas comprometidas, efectuado entre Noviembre de 2004 y Enero de 2005, monitorizó más de 100 botnetsdiferenciados, alguno de ellos con más de 50.000 máquinas "zombie" comprometidas. Se llegaron a censar más de 226.000 direcciones IP distintas por canal auditado.

Durante ese periodo de tiempo se detectaron 226 ataques DDOS contra 99 objetivos diferentes.


Durante el mes de Mayo de 2.005 se detectaron una media de 172.000 nuevas maquinas zombis infectadas al día.

Resulta llamativo que los tres países en que se detectaron mayor numero de zombies sean también los mayores productores de SPAM.(FUENTE: CipherTrust)


Las organizaciones criminales requieren el uso de estos servicio, lo que propicia la aparición de un nuevo mercado donde se compran, venden o alquilan:

Dear Sir/Madam, Hello! We are xxxxxxx crew

We propose you for sale some interesting things:

- private exploits

- we infect users pc's with your trojan for lowprices (10000 infected pc's for 25$)

- bulletproof domain + hosting. You can use this hosting for any scam/fraudand nobody will close it!

We are now spaming 5 000 000 people, look out the domain is alive as always andnever gonna be down !! Please go and order our services at: http://xxxx.xxxx-.ru


¿Qué medidas podemos tomar?

• Instalar un FIREWALL

– Proteger la red interna de accesos no deseados

– Establecer Políticas de uso de Internet– Efectuar filtrado de paquetes– Limitar el acceso a contenidos.– Reforzar el control de accesos.


Monitorizar el trafico de redRegistrar y analizar estadísticas de trafico permite detectar y aislar situaciones anómalas.


•Establecer y aplicar políticas de seguridad y planes de contingencia.

• Realizar copias de seguridad frecuentemente.

•Mantener el sistema actualizado con los ultimos parches

de seguridad.

•Utilizar y actualizar software Antivirus, Antispyware y

Adware

•Restringir el acceso a sitios de contenido inapropiado

•Evitar el uso de aplicaciones P2P


Muchas Gracias

Contacto: Grupo de Seguridad LógicaBrigada de Investigación Tecnológica

Tel. 91/582.27.52

[email protected]@policia.es

mailto:[email protected]

mailto:[email protected]

“BOTNETS” · Un estudio de Honeynet.org, especialistas en el seguimiento de redes automatizadas...

Documents

Transcript of “BOTNETS” · Un estudio de Honeynet.org, especialistas en el seguimiento de redes automatizadas...