En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Detectar ordenadores zombis en la red local.

En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:

  • Exploración del anfitrión.
  • Uso de exploit de ataque.
  • Transferencia del software de control al sistema anfitrión.
  • Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
  • Propagación del malware atacando otros host de la red.
  • Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).

Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.

BotHunter es gratuito y está disponible para las plataformas:

  • Windows XP/Vista/2003 Server 32 y 64.
  • Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
  • FreeBSD, probado en la versión 7.2.
  • Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter:
http://www.bothunter.net/

Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html
Detectar ordenadores zombis en la red local. Detectar ordenadores zombis en la red local. Reviewed by Álvaro Paz on martes, agosto 04, 2009 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.