Incrementos notorios en el número de máquinas integradas en botnets

Hola,

Comentan en SANS que el número de máquinas zombie integradas en botnets se ha multiplicado por cuatro en los últimos 90 días. Las máquinas zombie son aquellas que pasan a formar parte de una red gobernada (botnet) por usuarios maliciosos (botmasters), sin el conocimiento del propietario de la máquina. La integración suele basarse en la instalación de componentes maliciosos para el control remoto, principalmente a través de malware, lo que permite a los botmasters disponer de miles de máquinas para todo tipo de actividades delictivas y fraudulentas: envío masivo de spam y scams, así como ataques distribuidos de denegación de servicio, como ejemplos más representativos.

Que se hayan cuadruplicado el número de máquinas integradas en estas redes es preocupante. Por sí mismo, es un dato que indica que las máquinas vulnerables han crecido mucho (ya que de otro modo, no estarían integradas en estas redes) y por otro lado indica que los botmasters están, tras un período más o menos estable, incrementando su actividad, ya que últimamente se habían censado del orden de 150.000 máquinas por bot de media, con picos cercanos a 200.000, y durante los últimos 90 días la cuenta ha ascendido a prácticamente 500.000 máquinas integradas.

¿Quién o qué es responsable de este aumento? Sin duda, los culpables son los amigos de lo ajeno, ya que, aunque todas las máquinas del mundo fueran vulnerables, si no existieran redes de delitos tecnológicos organizadas ni usuarios malintencionados, no pasaría nada. Tampoco pasaría nada (o casi nada) si los usuarios fueran rápidos y diligentes gestionando la seguridad de sus máquinas, pero esto es entrar en un terreno utópico que a nada nos conduce.

Dejando a un lado a los principales responsables, se hace necesario investigar qué productos y/o plataformas han posibilitado, mediante las vulnerabilidades no corregidas y/o no advertidas, que los atacantes saquen tajada. En SANS ejemplifican este punto hablando de los incrementos en ataques de inyección SQL en servidores, pero a buen seguro, hay muchos más problemas de seguridad a los que podemos responsabilizar del aumento de máquinas zombie. La lista es demasiado larga para detallarla al completo, me temo.

Los datos que ha empleado SANS proceden de un estudio de Shadowserver Foundation. En la página de la fundación hay estadísticas y gráficos ampliados.

Un saludo,

oSpy, un monitor de actividad para aplicaciones y procesos

Hola,

Una notita rápida sobre un artículo de WebSense, en el que se habla del uso de oSpy para la realización de ingeniería inversa de malware.

La gran ventaja de oSpy como monitor es que permite el control selectivo de aplicaciones y procesos, es decir, faculta monitorizar sólo determinadas ejecuciones, y no todo el tráfico de red, como pasa con otros programas tipo Wireshark y compañía. Esto tiene ventajas significativas, ya que, por ejemplo, el análisis de las peticiones de red específicas en las que incurre una muestra de malware (la bajada del payload de un troyano, el depósito en un FTP de unas credenciales, etc) se simplifica y mucho, ya que en circunstancias normales, en una máquina Windows corren de una manera concurrente muchos procesos, y muchos de ellos pueden, y de hecho tienen, interrelación con Internet (actualizaciones automáticas, envío de información, pings, keepalives, etc), lo que hace que el análisis de comunicaciones pueda ser engorroso y poco productivo, al tener el analista que realizar un desbroce previo para discernir el tráfico que genera el malware del tráfico legítimo de la máquina.

Comentan los chicos de WebSense que oSpy se integra perfectamente con IDA Pro Disassembler, la que viene a ser, probablemente, una de las la herramientas estrella para la realización de análisis de ingeniería inversa de malware, junto a otras ilustres como Ollydbg, Softice o Syser, por poner algunos ejemplos.

oSpy se puede obtener gratuítamente en http://code.google.com/p/ospy/

Un saludo,