Pregunta al experto: Vitaly Kamluk responde a las preguntas sobre DDoS y botnets

El experto en seguridad de Kaspersky Lab, Vitaly Kamluk, responde a las preguntas de nuestros lectores sobre la neutralización de DDoS y botnets.

Vitaly Kamluk, con más de 10 años de experiencia en seguridad informática, es el Investigador Principal de Seguridad de Kaspersky Lab. Está especializado en ingeniería inversa de malware, informática forense e investigaciones sobre el cibercrimen. Actualmente, Vitaly vive en Singapur y trabaja con la INTERPOL como miembro del Laboratorio de Análisis Forense Digital, haciendo análisis de malware y dando apoyo en las investigaciones.

https://instagram.com/p/1xKFAOv0I5/

Invitamos a nuestros lectores a que hagan preguntas a Vitaly, y hemos recibido tantas, que hemos tenido que dividir esta sesión de preguntas y respuestas en diferentes partes. Hoy, Vitaly contestará a las preguntas relacionadas con DDoS y botnets.

¿Según tu opinión, cuál es el número de grandes botnets, que incluyen más de 50.000 ordenadores zombificados en el mundo?

Creo que es menor de 20, pero es pura especulación ya que, por lo general, descubrimos el tamaño real del botnet sólo después de haberlo desarmado. Los criminales quieren infectar lo máximo posible, por lo que puede que mantengan el tamaño del botnet bajo cierto umbral para poder pasar desapercibidos.

¿Existen botnets suficentemente sofisticados cuyo objetivo sea la creación de agrupaciones compuestas por smartphones, PCs y Macs?

A veces sucede que el botnet puede infectar al ordenador y al smartphone. Un buen ejemplo fue Zeus para móviles y Zeus para PC. Hay botnets para Macs pero, según nuestra experiencia, suelen ser independientes.

¿Cómo podemos detectar un botnet? ¿Por dónde se empieza? ¿Cuáles son las últimas tendencias en malware y botnets?

En primer lugar, debes detectar algún proceso o archivo sospechoso en el disco. El siguiente paso será analizar este objeto y localizar la lista de servidores de controles y comandos (C&C). Luego tendrás que conocer los protocolos y solicitar las actualizaciones periódicas del C & C.

Algunas de las tendencias recientes en malware y botnets incluyen la búsqueda de mecanismos de control fiables, tales como los basados en Tor y las comunicaciones P2P. Hay muchos artículos y documentos técnicos sobre este tema, simplemente hay que buscar “Tor Botnet”.

¿Qué se necesita para desactivar un botnet?

La mejor forma de hacerlo es detener al propietario del botnet. Aún mejor si detenemos también al distribuidor y al desarrollador del software bot, además de al explotador y al empaquetador.

¿De qué parte del mundo vienen los botnets? ¿Qué lenguaje de programación se utiliza para desarrollar su software? ¿Cómo podemos asegurarnos de que nuestros sistemas domésticos no están infectados con botnets? En circunstancias inesperadas, existe una segunda línea de defensa en caso de que los ciberataques no sean neutralizados?

Los botnets están en todas partes y el lenguaje de programación que se utiliza es una cuestión de elección personal. Para asegurarte de que tus sistemas no son parte de un botnet, debes analizarlos mediante un software antivirus y comprobar las redes de comunicación. Tienes que asegurarte de que no hay ninguna conexión extraña e inesperada.

En cuanto a la segunda línea de defensa, por desgracia, el diseño de la arquitectura computacional actual no la proporciona. El propietario de cada ordenador es el responsable del mismo. Neutralizar la amenaza de forma remota se considera como una intrusión en el sistema y sería ilegal en la mayoría de los casos. Al fin y al cabo, una vez tu equipo se encuentre en peligro, no podrás confiar en el sistema hasta su completa desinstalación, por lo que se hace incluso más difícil. Muchos usuarios no se preocupan por las infecciones informáticas hasta que empiezan a perder dinero.

¿Es importante que los botnets modernos estén controlados mediante IRC? ¿Es suficiente con impedir que el propietario del botnet pueda controlarlo para poder eliminarlo?

Los criminales pueden usar diferentes técnicas para controlar un botnet. La IRC es sólo una de las muchas aplicaciones de protocolos que existen, y tiene sus ventajas y sus desventajas. Yo creo que éste es un método anticuado ya que, en general, los botnets modernos están hechos con HTTP.

Para eliminar definitivamente un botnet, necesitamos encontrar y detener a su propietario. Esto es exactamente lo que hacemos en colaboración con la Interpol. Los intentos de impedir que el propietario del botnet pueda controlarlo no son de mucha ayuda a largo plazo, ya que la mayoría de los criminales están muy preparados para este tipo de ataques.

¿Qué herramientas y métodos son adecuados cuando descubrimos que se ha producido un intento de ataque DDoS, desde la perspectiva del cliente, a la del proveedor de Internet, ya sea regional, nacional o incluso transnacional?

Bien, las herramientas más eficaces tanto para el cliente como para los grandes proveedores de Internet, serán siempre un filtrado eficaz. Pero para implementarlas, primero hay que investigar la amenaza. Por eso, es importante  atrapar al bot responsable del DDoS y analizarlo con detenimiento. La solución final es la toma de control del mecanismo del botnet y detenerlo desde dentro, pero eso es otra historia.

¿Cómo podemos mitigar una amplificación de un ataque DDoS?

Hay que dispersar geográficamente el objetivo de ataque e implementar múltiples capas de filtrado.

¿Cómo puedo saber si formo parte de un botnet o una mina de Bitcoin?

Analiza tu sistema en busca de malware, porque es el malware el que producirá minas de Bitcoin sin tu consentimiento o hará que tu PC sea parte de un botnet. Éstas son algunas de las formas más efectivas para el análisis de malware:

  1. Analiza tu sistema con una solución Antivirus de confianza, esto te ahorrará mucho tiempo, pero no pienses que el escáner automático será 100% fiable, así que sigue buscando.
  2. Comprueba que en tu lista de procesos no haya invitados no deseados: los usuarios deberían conocer muy bien todos los procesos que están activos en su sistema.
  3. Comprueba la lista de programas que se inician automáticamente. Para ello, existe una app de Windows gratuita llamada Sysinternals Autoruns Tool.
  4. Por último, realiza un control avanzado conectando tu ordenador a otro (que esté conectado a Internet) y registra todo el tráfico de red. Esto debería revelar cualquier actividad sospechosa, aunque no sea visible desde un sistema infectado.

Publicaremos más respuestas en unos días. ¡Estad atentos!

Consejos