Inicio / Blog / Servicio Antibotnet de INTECO

Servicio Antibotnet de INTECO

Publicado el 03/09/2014, por Antonio Rodríguez (INCIBE)
servicio antibotnet imagen

A través de la Oficina de Seguridad del Internauta hemos lanzado recientemente una nueva iniciativa para ayudar a todos los usuarios que puedan estar infectados por alguna amenaza de tipo botnet a identificarla y ayudar a eliminar esta infección de sus equipos. Esta iniciativa, denominada Servicio AntiBotnet es uno de los resultados de las medidas definidas dentro del Plan de Confianza en el Ámbito Digital para España y contribuye además al proyecto europeo de lucha contra las redes botnet, Advanced Cyber Defense Centre (ACDC), en el que INTECO participa.

ACDC

 

El Servicio Antibotnet tiene como principal finalidad la identificación de posibles dispositivos infectados por malware que forman parte de redes de ordenadores controlados, también llamadas botnet, y ofrecer información y herramientas de ayuda para la desinfección.

 

Antibotnet OSI

 

La amenaza de las botnet

Las botnet son una de las amenazas informáticas con más auge y más peligrosidad a día de hoy, por varias razones:

  • Rentabilidad: Comparadas con otros tipos de malware, resultan mucho más rentables para un criminal, ya que les permite vender una gran variedad de servicios ilícitos a demanda, como pueden ser ataques DDoS, servicios de spam, relays para actividades ilegales (utilizándolos como proxies, como si de una red TOR se tratase), y un largo etcétera.
  • Gran capacidad: Una botnet de gran tamaño ofrece a sus «bot herders» un poder de ataque electrónico sustancioso, hasta el punto que podríamos considerarlo un arma.
  • Acceso a datos confidenciales: Permite robar información sensible de una gran cantidad de usuarios infectados, especialmente información bancaria o contraseñas, las cuales pueden utilizar para sí mismos o vender a terceros.
  • Pivotaje: Pueden ser utilizadas como plataformas desde donde seguir infectando a otros equipos, o realizar intrusiones, lo cual las hace muy versátiles.
  • Difíciles de rastrear: Un proceso de rastreo poco cuidadoso alerta a sus operadores, dándoles la oportunidad de cambiar el comportamiento de su red en muy poco tiempo y desarrollar contramedidas para las técnicas utilizadas en su detección.

Las botnet son difíciles de erradicar, debido a que desmantelar únicamente los centros de control o C&C desde donde el creador las maneja, en la mayoría de los casos, no es suficiente. Los bots que siguen activos suelen tener la capacidad de regenerar su red, especialmente en las cada vez más frecuentes botnet basadas en P2P, que pueden utilizar cualquier nodo como si se tratase de un supernodo, y adaptarse a la disponibilidad del momento.

Es por esta razón que combatir las botnet destruyendo solo los C&C y utilizando una protección pasiva en los equipos de los usuarios no es todo lo efectivo que debiese.

En muchas ocasiones, un usuario infectado no tendrá un antivirus, lo tendrá desactualizado, o incluso el propio malware puede bloquearlo para evitar ser detectado, por lo que siempre quedan nodos activos que podrían reconstruir la red. Además, otras soluciones más complejas como IDS o tecnologías similares que detectan activamente eventos maliciosos de este tipo, no suelen estar al alcance de un usuario de a pie por su «complejidad» técnica.

El Servicio AntiBotnet de INTECO, sirve como herramienta de apoyo a las técnicas habituales de la lucha contra las botnet, ya que avisa a los usuarios de que alguna botnet podría estar activa dentro de su red, identificando además la familia de bot detectada. De esta forma, el usuario puede proceder a revisar más a fondo sus equipos o dispositivos y realizar una desinfección «preventiva» utilizando escaneos activos con antivirus o con cleaners especializados.

 

Cómo funciona el Servicio AntiBotnet

El Servicio AntiBotnet permite a un usuario hacer un chequeo de su dirección IP pública contra la base de datos de INTECO, en la cual están registrados eventos relacionados con botnets para el rango de direcciones IP españolas.

La información de nuestra base de datos proviene de diversos feeds, tanto de fuentes internas como de otros CSIRTs y compañías privadas con las que colaboramos, los cuales son gestionados con un SIEM.

Nuestro equipo de investigación analiza dichos eventos (detectados a través de sinkholes, sondas e IDS), clasificando el tipo de botnet asociado a dichos eventos y asignando una criticidad a cada uno de ellos. Esto, además de alimentar el Servicio AntiBotnet, nos permite generar inteligencia y estadísticas acerca de la incidencia de botnets en nuestro país.

Al utilizar el servicio, se chequea la dirección IP pública del usuario contra la lista de direcciones IP de la base de datos, y en caso de detectar un positivo, se informa al usuario de qué amenaza o amenazas se han registrado para dicha dirección IP en las últimas horas (de forma que se minimizan los falsos positivos para las direcciones IP dinámicas), así como una recomendación de cómo actuar ante ellas, o bien proporcionando cleaners, o algún método especifico de desinfección.

Esquema antibotnet

Cabe destacar que dicha información está asociada únicamente a la dirección IP pública del usuario, no identifica qué equipo o dispositivo podría estar infectado dentro de su red. Según el tipo de amenaza, se indica el sistema operativo al que afecta, de forma que el usuario pueda acotar los dispositivos a los que podría estar afectando dicha amenaza y así actuar en consecuencia.

Junto con el servicio web, también hemos desarrollado un plugin para el navegador Chrome (y próximamente para otros navegadores), que permite al usuario programar el chequeo regularmente sin tener que acceder a nuestra página web.

 

Conclusión

En INTECO lanzamos este servicio con espíritu de superación, y aunque todavía se encuentra en fase beta y será evolucionado a medida que se definan mejoras y nuevas funcionalidades, creemos que se constituye en una herramienta importante en la lucha contra las botnets y en especial hacia el elemento más cercano al usuario como son los propios equipos infectados que actúan como ordenadores zombi o bots.