Utilizando el firewall para detectar una botnet

Las redes Botnet son en la actualidad una de las principales amenazas para los usuarios. Como ya hemos comentado en este mismo blog, el poder de las mismas las convierten en la principal herramienta del cibercrimen para obtener dinero… y en el principal dolor de cabeza para los usuarios.

Si una computadora está infectada, y es parte de una red botnet, el usuario puede experimentar problemas como lentitud en el sistema, disminución del ancho de banda, procesos indebidos en ejecución, entre otras acciones sospechosas. Esto se debe a que los atacantes utilizan los recursos del sistema para perpetrar acciones maliciosas: envío de spam, realización de ataques de denegación de servicio distribuido (DDoS), alojamiento de archivos para sitios web (material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.), abuso de publicidad online, etc.

Un firewall es una aplicación que sirve para controlar e identificar el tráfico entrante y saliente de un equipo. Si un usuario posee un firewall, este puede ser utilizado, eventualmente, para detectar actividad sospechosa en el equipo

Aunque no es la función primordial de estas aplicaciones, si se posee un firewall que trabaje en modo interactivo con el usuario, y dado que una botnet realiza conexiones entrantes y salientes al equipo infectado; es posible detectar la presencia de actividades sospechosas en el equipo, y bloquear las conexiones de forma tal de impedir la comunicación con el administrador de la botnet.

Es decir, si el sistema fue utilizado para navegación web, es razonable que el firewall presente una política de utilización del navegador web, y el puerto 80. Sin embargo, ante la presencia de una botnet, el firewall reportará conexiones que el usuario no encontrará coincidencias con sus tareas diarias (sea por los puertos, por la cantidad de conexiones, por los destinos, y otros.)

Es importante destacar que, una vez detectado tráfico indebido; debe chequearse la presencia de una infección utilizando un antivirus con capacidades proactivas de detección para identificarla y eliminarla.

Para extender la información aquí descrita, pueden consultar nuestro nuevo artículo “Cómo evitar ser parte de una botnet“, donde mostramos un caso particular del firewall de ESET Smart Security detectando actividad de botnet del troyano Waledac.

Sebastián

Autor , ESET

  • Christian

    Hola, como les comente en un post anterior, el nuevo Smart Security 4 tiene un excelente monitor de red en el cual se puede monitorear conexiones sospechosas. Lo voy a copiar y pegar

    Hola, bueno esta version de trial (prueba) la descargue la semana pasada, y tiene una interfaz excelente, una mayor personalizacion y mas control de varios parametros y me imagino que el motor heuristico lo ha de ser aun mejor. Con el monitoreo en red, que trae, pude detectar que habia una conexion sin que yo me diera cuenta.
    aparecia una direccion IP y el nombre

    cds74.mia9.llnw.net

    y tenia una terminacion .br

    me imagino que se me infecto por que andaba buscando un driver de una tarjeta de sonido vieja, y entre a paginas donde me pedian clave, tarjeta de credito, etc. al ver que siempre aparecia cuando arrancaba windows, tuve que formatear el disco.

    Hoy mas que nunca hay individuos y organizaciones que a cualquier manera quieren ganar dinero. Y una manera de estar protegido es por medio de estos blogs y tener actualizado el nod32 en mi caso el business edition. Saludos

Síguenos