Análisis forense de botnets: una introducción

Posted on by Rudeus Greyrat

Los botnets son los programas que ejecuta un programador malicioso conocido como botmaster o molesto. Botherder envía la infección o los virus a la computadora del usuario débil cuya carga útil es una aplicación maliciosa. Se conecta a través del servidor de comando y control. El spammer compra los servicios del molesto y luego el molesto emite el comando actualizado. El análisis forense de botnets se ocupa de las actividades post mortem sobre los ataques de botnets y sus vulnerabilidades asociadas. El análisis forense de botnets es de suma importancia hoy en día, ya que asiste y previene a la organización desde el exterior y desde el interior de los ataques a la red.

En este artículo, cubriremos los siguientes temas:

  • ¿Qué es el análisis forense de botnets?
  • Clasificación de Botnet Forense.
  • Marco forense de botnets.
  • Desafíos en el marco forense de botnet.

Comencemos y cubramos cada una de estas secciones en detalle.

¿Qué es el análisis forense de botnets?

El análisis forense de botnets es la ciencia que determina el alcance de la infracción y aplica la metodología para descubrir el tipo de infección. Es una investigación de los ataques de botnet que incluye una colección de actividades como recopilación, identificación, detección, adquisición y atribución. El objetivo principal del análisis forense de botnets es medir el nivel de intrusiones, investigar las intrusiones y proporcionar información para recuperarse de una intrusión a fin de fortalecer la seguridad del sistema. La información disponible de Botnet Forensics se puede utilizar para:

  • Fortalecer las herramientas de seguridad.
  • Entender el modus operandi.
  • En el futuro se puede utilizar para prevenir una amenaza potencial a la seguridad de la red.

El análisis forense de botnets no solo garantiza la seguridad de la red, sino que también facilita la aplicación de la ley.

Clasificación del sistema forense de botnets

En términos generales, toda la investigación en el área de Botnet Forensics se puede clasificar en las siguientes categorías:

Clasificación basada en la carga útil:

En esto, los paquetes se clasifican según el campo de la carga útil. La carga útil utiliza técnicas de clasificación como la inspección profunda de paquetes que utiliza el análisis de firmas para la verificación y clasificación del tráfico. El análisis de firmas puede ser de otros tipos: 

Análisis heurístico: el análisis heurístico incluye la supervisión del tráfico de red para identificar el tráfico de red sospechoso . Detección de un bot basado en un análisis heurístico del comportamiento sospechoso del tráfico de red utilizando un procesador. 

Aquí, el comportamiento sospechoso del tráfico de red incluye el tráfico de comando y control asociado con un botmaster. El análisis heurístico y el análisis del comportamiento van de la mano. Algunos programas antivirus utilizan ambas técnicas para identificar el virus y la infección. 

Análisis de comportamiento: el análisis de comportamiento y el análisis heurístico funcionan simultáneamente, y varios antivirus utilizan ambas técnicas para identificar virus e infecciones. 

Análisis de patrones: las aplicaciones tienen algunos patrones en la carga útil de los paquetes, que se pueden usar para identificar los protocolos. El patrón puede estar presente en cualquier posición del paquete.

Análisis numérico: esto incluye tener en cuenta las características numéricas del paquete, como el tamaño de la carga útil, la cantidad de paquetes de respuesta, etc.

Clasificación basada en firma:

El objetivo principal aquí es detectar, investigar la naturaleza y descubrir la característica de una string de bits que opera en la carga útil dada. Este método de clasificación se utilizó en la zona libre, que es un proveedor de servicios de red gratuito operado por la ciudad de Fredericton.

Clasificación basada en árboles de decisión:

En este método, mientras se dividen los datos en subconjuntos más pequeños, se genera simultáneamente un árbol de decisión. El resultado se presenta en forma de árbol que tiene Nodes de decisión y Nodes hoja. Es la mejor técnica para clasificar cuando se trata de tráfico desconocido.

Clasificación basada en conjuntos:

Rokach et al. dividió el modelo de conjunto en un método Dependiente e Independiente. En el método Dependiente, la instancia de modelo más versada es el impulso, que se conoce como remuestreo y combinación. Se utiliza para mejorar el rendimiento de la clasificación de semanas en datos de entrenamiento distribuidos. A través del proceso iterativo, AdaBoost es un algoritmo de conjunto bien conocido para mejorar un algoritmo de refuerzo simple. Un método independiente bien conocido es el embolsado y el movimiento.

Marco forense de botnets

En esta sección, estamos discutiendo un marco genérico para el análisis forense de Botnet basado en los modelos e investigaciones existentes. 

 

El marco forense de botnet consta de 5 etapas :

1. Malware:

La primera fase es la fase Malware. Implica propagación, infección, comunicación y ataque que mostrarán las etapas del malware. IRC es el canal más común y ampliamente utilizado. Esta fase muestra el tipo de malware, ya sea una botnet o algún otro tipo de malware.

2. Investigador forense de botnets:

Esta es la segunda fase de Botnet Forensics Framework. Esta fase se centra en:

  • Identificar si el sistema está comprometido o infectado.
  • En caso de que el sistema se vea comprometido, identificará si se trata de un ataque de bot o de algún otro tipo de ataque.
  • Busca el bot a través del reconocimiento de tráfico, atribución, pasivo automotriz y muestra de malware.
  • También se enfoca en Atribución, Pasivo automotriz y Muestra de malware.

3. Analizador forense de botnets:

Esta es la tercera fase del marco forense de botnets. Esta fase incluye:

  • Analizar los resultados generados a partir de la fase de identificación.
  • Funciona para buscar después de la investigación criminal.
  • En caso de que el identificador asegure malware, entonces el analizador buscará qué tipo de malware es y dónde está infectado.
  • Encuentra pistas con la información real y envía todos los detalles a la fase de evidencia de Botnet.
  • Esta fase incluye etapas como análisis, investigación, examen, recolección y preservación.

4. Evidencia de botnets:

Esta es la cuarta fase de Botnet Forensics Framework. Esta etapa recopila toda la información de todas las etapas anteriores y la envía a la Fase 3 de Respuesta a Incidentes.

5. Acción del incidente:

Esta es la última fase del Botnet Forensics Framework. Esta fase involucra tres actividades: Contención, Erradicación y Recuperación. Esta fase implica los siguientes pasos:

  • Habiendo recopilado toda la información y obtenido una comprensión del incidente, el equipo de IR comenzará a combatir la amenaza.
  • Incluye la adopción de medidas para evitar daños mayores.
  • Una vez que se resuelve la amenaza, el paso de recuperación consiste en restaurar los sistemas a su funcionalidad normal, tomando medidas como reforzar la seguridad de la red, reconstruir los sistemas y reemplazar los archivos comprometidos.

Desafíos en el análisis forense de botnets

Hay algunas limitaciones en las diferentes fases de Botnet Forensics. Destacaremos la brecha en cada fase.

1. Fase de Recolección –

Debe haber un mecanismo efectivo para identificar las características de ataque de las capturas de paquetes y capturar el tráfico de bots en tiempo real, transmitido a través de una red de alta velocidad.

2. Fase de Identificación –

Esta fase tiene las siguientes limitaciones:

  • Existe la necesidad de identificar los ataques simultáneamente para desenstringr el proceso forense.
  • La identificación del tipo de ataque debería ser posible en tiempo real.
  • Debe haber una técnica eficiente para identificar botnets centralizados.
  • Los eventos de red maliciosos deben identificarse.

3. Fase de Análisis –

Esta fase tiene algunas limitaciones como:

  • El análisis profundo del tráfico IRC sigue siendo un desafío.
  • Se requiere la técnica de Machine Learning para mejorar los algoritmos.
  • Es difícil detectar el flujo de tráfico, en el caso del tráfico Waledac y el tráfico P2P.
  • La información debe considerarse de varios hosts de una red comprometida para el reconocimiento.
  • La información y las alertas de los ataques deben obtenerse de una combinación de sensores de seguridad, ya que ninguna herramienta de seguridad por sí sola puede brindar información completa sobre las alertas.

El análisis forense de Botnet es una investigación proactiva y reactiva sobre Botnet. Sin embargo, este estudio se basa en investigaciones previas de investigación reactiva. este artículo se centra en las diferentes clasificaciones de análisis forense de botnets, su marco y sus desafíos.   

Referencias –

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *