Alvaro Paz nos muestra una herramienta muy eficaz para detectar ordenadores zombis en una red local, llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.
BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:
- Exploración del anfitrión.
- Uso de exploit de ataque.
- Transferencia del software de control al sistema anfitrión.
- Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
- Propagación del malware atacando otros host de la red.
- Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).
BotHunter es gratuito y está disponible para las plataformas:
* Windows XP/Vista/2003 Server 32 y 64.
* Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
* FreeBSD, probado en la versión 7.2.
* Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.
BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.
Para más información y descarga de BotHunter.
