Monitorización de botnet Amenazas que su antivirus no puede ver

Mientras que el software de seguridad tradicional generalmente solo inspecciona las comunicaciones entrantes y las descargas en busca de malware, una herramienta de seguridad gratuita. En cambio, BotHunter correlaciona la comunicación bidireccional entre computadoras vulnerables y hackers. BotHunter "cambia el paradigma de seguridad" centrándose en la salida, dice Phillip Porras, un experto en seguridad informática de SRI International y uno de sus creadores.

Las redes de botnets son oscuras redes de computadoras comprometidas. Normalmente, la PC se infecta con malware a través de un correo electrónico o visita un sitio web comprometido. La infección puede demorar un tiempo antes de que llame a un servidor de comando y control que puede descargar malware, o alistar la PC en una campaña de correo no deseado o ataque de denegación de servicio.

Con BotHunter, un administrador de red puede ver qué sistema una red se está comunicando con un servidor externo desconocido y actúa rápidamente para detenerlo. BotHunter produce un informe que enumera todos los eventos relevantes y las fuentes de eventos que lo llevaron a la conclusión de una infección. Hay un puntaje en la probabilidad de que el partido sea malware.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

BotHunter, una aplicación que surgió del proyecto Cyber-Threat Analytics de SRI International, difiere de la tradicional Sistemas de Detección de Intrusos manteniendo un registro de los intercambios de datos que normalmente ocurren cuando una PC está infectada con malware. Simplemente especifique la red que desea monitorear, y BotHunter luego escuchará de forma pasiva, registrando el tráfico anónimo y ocasionalmente enviando mensajes salientes a una base de datos de adware, spyware, virus y gusanos mantenidos por SRI International. Actualmente, el proyecto recolecta 10.000 nuevos intercambios de datos de malware por día, según Porras. Dijo que BotHunter comenzó a reconocer los patrones de intercambio de datos de Conflicker en noviembre de 2008, mucho antes de que otros proveedores de seguridad popularizaran la amenaza. Porras dice que tanto la base de datos de amenazas como los motores de análisis BotHunter se revisan constantemente para verificar su precisión. Esto se hace al infectar las honeynets de SRI con malware conocido para ver si BotHunter lo detecta con exactitud.

BotHunter, que es gratuito pero no de código abierto, funciona con Unix, Linux, Max OS y Windows XP (incluso en escritorio independiente) PCs). Se espera una versión de Windows Vista pronto. BotHunter no pretende ser un reemplazo de la seguridad tradicional (firewall y antivirus), dice Porras, sino un complemento. Él dice que ha habido 110,000 descargas en todo el mundo desde su lanzamiento.

Porras admite que hay algunos Black Hats, incluso algunos White Hats, que discuten en línea varias formas de burlar a BotHunter. Por ahora, sin embargo, BotHunter sigue siendo una forma útil de identificar y, por lo tanto, mitigar el botware en su red o sistema doméstico.

Robert Vamosi es un escritor de seguridad informática independiente especializado en la protección de hackers y amenazas de malware.