BotHunter sistema de detección de malware


BotHunter es un sistema de detección de malware a través del tráfico de red creado por Computer Science Laboratory, SRI International. Si uno accede a la página web oficial del proyecto (bothunter.net) observará la siguiente descripción:





It tracks the two-way communication flows between your computer(s) and the Internet, comparing your network traffic against an abstract model of malware communication patterns.(1) Its goal is to catch bots and other coordination-centric malware infesting your network, and it is exceptionally effective.

Hemos destacado dos aspectos de la descripción: por un lado que se compara el tráfico contra un modelo abstracto de patrones de comunicación de malware y por otro la afirmación de que es excepcionalmente efectivo. Uno con esta descripción tan sugerente no le queda otra que ver en qué consiste este modelo y qué lo puede hacer tan efectivo. Durante esta entrada vamos a revisar el paper de SRI, donde se comenta la arquitectura, la lógica y diversos componentes de gran interés.

Empecemos. BotHunter utiliza un enfoque que recibe el nombre de “Infection Dialog Correlation Strategy”. Este enfoque modela las infecciones de los bots como un conjunto de flujos de comunicación que son intercambiados entre un elemento interno de nuestra red y uno o más elementos externos. Considera que en el ciclo de vida de una infección se pueden dar las siguientes fases: escaneo del objetivo, infección mediante un exploit, descarga de un binario más ejecución, establecimiento de comunicación con un servidor Command-and-Control (C&C) y un escaneo hacia fuera en busca de nuevas víctimas (fase de propagación le podríamos llamar). Para que BotHunter lo considere como una actividad de un bot no tienen porque darse todas estas fases en su totalidad, ni en un determinado orden; como veremos durante esta entrada.

El modelo del que hablamos muestra una infección como un conjunto de participantes y una secuencia ordenada de intercambios, lo que la gente de SRI expresa de la siguiente manera:

Infección I = < A,V,C,V',E,D >

donde

A = Atacante.
V = Víctima.
E = Egg Download Location.
C = Comunicación con el C&C server.
V’ = La siguiente víctima.
D = representa un diálogo de infección compuesto por flujos bidireccionales que cruzan el límite. Este diálogo esta compuesto por cinco transacciones:
E1: Escaneo desde un elemento en el exterior hacia uno en el interior.
E2: Exploit desde un elemento situado en el exterior hacia uno en el interior.
E3: Descarga de un binario del exterior por parte de un elemento situado en el interior.
E4: Comunicación por parte de un elemento interno con el servidor de Command-and-Control (C&C).
E5: Escaneo desde un elemento interior en busca de futuras víctimas.

Estos elementos se modelan en el siguiente diagrama:

imagen 3

Las transiciones contempladas serían:

1. Un atacante realiza un escaneo de la víctima (E1)
2. El atacante infecta a la víctima (E2)
3. La víctima descarga un binario (E3)

En este punto puede suceder:

Tipo I:

4. La víctima se comunica con el C&C (E4)
5. La víctima escanea para encontrar nuevas víctimas (E5)

o Tipo II:

6. La víctima escanea para encontrar nuevas víctimas (E5)

Vistos de manera rápida los elementos del modelo abstracto que comentábamos y las transiciones, vamos a ver la lógica que utilizará la herramienta para cazar a los bots:

# Descripción muy simple de la lógica de BotHunter, quedan muchos aspectos por reflejar
# solo pretende ilustrar grosso modo qué mensajes tendrá en cuenta.

if ((E2 and (E3 or E5)) or ( count (E3 or E5) > 1)) then
bot_cazado();
fi

Debe quedar claro que tienen que darse una de las dos condiciones para que salte una alerta de que hay un bot. Analizando las condiciones, vemos que la número uno espera una alerta de infección y una alerta de descarga de un binario o escaneo a otros equipos. La segunda condición busca al menos dos alertas del tipo de descarga de binario o de escaneo a terceros.

Es de suponer que llegados a estas alturas os hayáis preguntado, ¿Y qué tiene por debajo BotHunter? ¿Cómo es su arquitectura? Pues BotHunter se basa en el sistema de detección de intrusos opensource Snort, con reglas centradas en malware; además, incorpora los plugins SLADE (Statistical PayLoad Anomaly Detection Engine o Analizador de flujos de tráfico —definición muy simple, que me perdone la gente de SRI :P—) y SCADE (Statistical sCan Anomaly Detection Engine o Analizador de escaneo de puertos tanto de entrada como de salida). De una manera gráfica la arquitectura y los flujos de alertas serían:

Imagen2

El diagrama ilustra claramente que existen tres fuentes principales y cada una de ellas emite unos tipos de mensaje: (i) el plugin SLADE proporciona mensajes de tipo E2, (ii) el plugin SCADE proporciona mensajes de tipo E1 y E5 y (iii) las reglas de malware seleccionadas proporcionan mensajes de tipo E2, E3 y E4. Estos datos después son relacionados por el correlador que utiliza una matriz, donde cada entrada se corresponde con un elemento interno que ha generado actividad. De este elemento interno los tres sensores van rellenando E1, E2, E3, E4 y E5 durante una ventana de tiempo:

imagen1

Cuando sobre alguna de las entradas se cumplan alguna de la condiciones vistas con anterioridad se caza a un bot.

Como bien indican en la introducción de su paper la gente de SRI intenta evitar la cantidad de ruido que por regla general suele producir un IDS, además de conseguir modelar la infección que acaba convirtiendo a un sistema en un bot. Por lo que hemos podido ver en su definición formal a través del paper, BotHunter promete y mucho. Se anima al lector a leer el paper, dado que les resolverá muchas de las dudas que no se aclaran en esta introductoria entrada, y a los que hayan trabajado con la herramienta se les anima a dejar comentarios que abran un poco de luz sobre su efectividad, rendimiento y otras muchas incógnitas. Es necesario también matizar que la herramienta ha evolucionado desde la escritura del documento inicial, por lo que en algunos aspectos podrían haber surgido ampliaciones, como el número de estados del modelo etc. pero manteniendo en esencia el trabajo inicial que mostramos en esta entrada introductoria.

Enlace:
http://www.bothunter.net

Fuente:
Por José Miguel Holguín
http://www.securityartwork.es/

Via: http://www.inteco.es/



Otras noticias de interés:

El ataque de la señora de la limpieza en Ubuntu y Debian Desktop
Con este simpático nombre han bautizado los chicos de PING Labs a un ataque que afecta a Ubuntu y Debian –y posiblemente a muchas otras distribuciones de GNU/Linux. Este ataque permitiría acceder sin problemas a las sesiones bloqueadas con un sal...
Obama vetará proyecto sobre seguridad cibernética
La propuesta, que será votada esta semana, permitiría al gobierno de los EEUU y a las empresas compartir información sobre ataques de piratas informáticos....
Phishing que agrega malwares a su PC
Una de las más famosas herramientas para construir sitios dedicados al phishing, se llama Rock Phish ( es una antigua banda de asaltantes especializada en robos por Internet). La misma se destaca por la facilidad de crear sitios que tengan toda la a...
El próximo reproductor multimedia de Microsoft podría soportar intercambio de ar
Al menos eso parece desprenderse de las primeras betas de Windows Media Player 9 que Microsoft está distribuyendo entre algunos de sus betatesters. ...
Jornadas de Sowftware Libre en Popayán
La Universidad del Cauca Facultad de Ingeniería Electrónica y Telecomunicaciones Campus de Tulcán Popayán, Cauca, Colombia - Agosto 18 - 21, 2006 invita a todos a las Jornadas de Software Libre en Popayán, los días 18-21 de agosto. ...
Fallo de seguridad afecta Twitter
La falla es la aparición de mensajes remarcados en colores o negros, que impiden la normal utilización de la cuenta. Sospechan que pueden haberlo hackeado. Sin embargo; el servicio funciona con normalidad a través de dispositivos móviles o client...
El éxito de OpenID
OpenID, la manera de registrarse en múltiples sitios web con una única credencial está experimentando un crecimiento prometedor. Grandes empresas como Microsoft, Google, Verisign e IBM se han apuntado al club y miles de sitios web aceptan las cont...
50% de empresas tendría que revisar políticas de privacidad
Los posibles problemas con la fuga de datos, el cloud computing y los servicios de localización harán que las organizaciones tengan que modificar sus condiciones de seguridad para finales de 2012....
¡Yahoo! Negación de transferencia de archivo del mensajero Yahoo Messenger
Una vulnerabilidad se ha divulgado en Yahoo Menssenger, que puede ser explotado por la gente malévola para causar un DOS (negación del servicio) en el cliente de otro usuario. ...
La seguridad es cuestión de rutina
Mientras se anunciaba la aparición de un nuevo gusano que se aprovecha como el Sasser de la vulnerabilidad que reinicia el sistema cuando es explotada, aparece una nueva versión de éste último, creada por un imitador del autor original, quien ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bothunter
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deteccion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra