Los botnets son maliciosos. Son el invisible, siempre creciente y polimórfico «ejército» del que los administradores de redes empresariales deben defenderse.
Si bien hay algunos usos legítimos y beneficiosos para las botnets, con demasiada frecuencia se utilizan con fines maliciosos. En este último caso, lo normal es que un ordenador se infecte con un tipo de malware, que luego intenta ponerse en contacto con el centro de control (o tal vez con otros bots que pueda detectar). El bot suele intentar propagarse a los ordenadores cercanos mientras espera instrucciones del controlador principal (también conocido como el botmaster).
Los vectores de la infección inicial del bot de una máquina son tan numerosos y variados como los de cualquier otro malware. El software desactualizado, las descargas de drive-by, los correos electrónicos de phishing e incluso las unidades de Facebook y USB son todas vías potenciales de infección.
Los peligros de los botnets en la empresa
Si bien las sólidas políticas de seguridad pueden proteger contra muchas infecciones de redes de botnets, el potencial de daño o pérdida debido a una red de botnets es una preocupación importante para los administradores de la red. Por ejemplo, es posible que un botnet obtenga el control total de la red.
Ransomware, la suplantación de identidad interna y la exfiltración de datos también son motivo de preocupación, por supuesto. Sin embargo, incluso las redes de bots que se utilizan para ataques DDoS, la minería criptográfica, el fraude por clic o el correo basura pueden acarrear grandes cargas económicas para la empresa en términos de consumo de energía, recursos informáticos bloqueados (y, por consiguiente, una menor productividad) e incluso una reputación de IP dañada.
Los dispositivos de IoT son otra área de especial preocupación, ya que a menudo no tienen capacidades de seguridad de alto nivel y pueden incluso carecer de la capacidad de ser actualizados remotamente. (El malware botnet Mirai, particularmente apunta a los dispositivos de IoT.)
La batalla contra los botnets maliciosos es interminable. Incluso a medida que las autoridades y otros sombreros blancos aumentan sus intentos de detener los botnets maliciosos, los dueños de los botnets diseñan medios cada vez más sofisticados para eludir la detección y la reparación.
Comando y control de la red de botnets
La clave para defenderse de las redes de bots maliciosos está en su estructura. Cada botnet tiene al menos un botmaster que emite órdenes a través de algún tipo de esquema de comando y control (o C&C/C2).
Los comandos C&C pueden ser emitidos a través de HTTP, DNS, Telnet o Internet relay chat (IRC), por ejemplo, o a través de un servicio oculto como la red ToR. Las botnets más recientes utilizan un mecanismo de peer to peer en el que los comandos se emiten a cualquiera de los bots implicados, y luego se propagan a todos los demás bots de la botnet.
Por lo tanto, si se puede «cortar la cabeza» de la botnet, es decir, sus comunicaciones C&C, es posible desactivarla eficazmente, proteger la red contra nuevas infiltraciones y ataques, y luego proceder a remediar las computadoras afectadas.
Introduciendo la protección C&C de botnet desde el perímetro hasta la nube
El reciente lanzamiento de Hillstone StoneOS, versión 5.5R8, ofrece mejoras con sofisticadas protecciones que ayudan a detectar y prevenir las comunicaciones C&C y así incapacitar a las redes de robots. Lanzado el 2 de diciembre, el último StoneOS ofrece protecciones mejoradas y refinadas para los cortafuegos de próxima generación de las series E y T de Hillstone, el NGFW CloudEdge virtual y, ahora, también para los cortafuegos del centro de datos de próxima generación de la serie X. Una breve demostración técnica está disponible.
Estas mejoras proporcionan una protección completa de botnets a través de redes híbridas e incluyen:
- Una robusta plataforma de centro de datos. La detección de C&C es ahora totalmente compatible con las plataformas de firewall del centro de datos de la serie X. A través de Hillstone X-Series, los administradores pueden proteger el centro de datos monitoreando o interrumpiendo las conexiones C&C de L3 a L7. Además, estas capacidades están soportadas en un nuevo firewall basado en CloudEdge VM, el VM08, que aborda las condiciones de carga de trabajo virtual de alto rendimiento y gran ancho de banda y los estrictos requisitos de SLA típicos de los centros de datos, dando así a los administradores aún más flexibilidad en el despliegue.
- La detección de los algoritmos de generación de dominios (DGAs) también ha sido mejorada y añadida a los firewalls de los centros de datos de la serie X. La detección de DGA es un importante mecanismo de defensa para los administradores porque los hosts infectados a menudo generan pseudo nombres de dominio de forma aleatoria, incluyendo nombres de dominio de servidores C&C. Esta mejora detecta y previene estos tipos de tráfico automáticamente, reforzando aún más las defensas.
- Una lista de acceso personalizada C&C de la red de botnets mejorada permite a los administradores bloquear las comunicaciones sospechosas de la botnet. Además, los administradores pueden ajustar y personalizar dinámicamente la lista de acceso para permitir o bloquear el tráfico basado en la dirección IP o el nombre de dominio. Una base de datos de firmas incluida, que se actualiza continuamente, ofrece a los administradores de la red la posibilidad de bloquear las comunicaciones C&C de una amplia variedad de operadores de botnets conocidos.
- Mejora del soporte del túnel del DNS puede desviar automáticamente los mensajes de respuesta DNS defectuosos a un lugar seguro donde los administradores de TI pueden aplicar otras herramientas especializadas de análisis de seguridad. Esto previene la conexión a destinos potencialmente maliciosos que podrían ser usados para comunicaciones C&C. Los administradores también reciben estadísticas detalladas del registro de amenazas de las solicitudes de acceso al DNS con resultados falsos para su posterior investigación y reparación.
- La detección avanzada de túneles DNS, nuevo para todos los productos de firewall de Hillstone, protege la red contra la fuga de datos y los intentos de exfiltración. Los atacantes pueden codificar los datos de la empresa en mensajes de solicitud de DNS en un intento de evitar la autenticación de la web o el bloqueo del firewall. Los firewalls de Hillstone detectan este tipo de tráfico a través de múltiples métricas y métodos para protegerse contra este tipo de explotación.
¡Actualice hoy!
Hillstone StoneOS 5.5R8 incluye más de cien actualizaciones y mejoras para proporcionar la solución de seguridad más completa, inteligente, fiable y fácil de usar para las empresas. Estas capacidades están disponibles desde el borde a la nube a través de los NGFWs Hillstone E- o T-Series en el borde, a los cortafuegos del centro de datos X-Series, a los NGFWs virtuales Hillstone CloudEdge en el centro de datos o ejecutándose en la nube. Juntas, estas soluciones de seguridad proporcionan una protección completa a través de redes híbridas.
Manténgase a la vanguardia del panorama de amenazas a la seguridad cibernética en constante cambio actualizándose hoy. Puede obtener más información sobre la última versión de StoneOS en la sección de Recursos de Hillstone de nuestro sitio web, o poniéndose en contacto con nosotros.