Botnet C&C Data Feeds

Guía básica de ataques de botnets y amenazas relacionadas

Actualmente, los ciberataques y las infecciones a menudo se concretan con la ayuda de botnets y su infraestructura. Los ataques perpetrados mediante botnets pueden ir dirigidos tanto contra usuarios de Internet comunes como contra organizaciones específicas. Las sofisticadas técnicas para eludir la detección (como la criptografía avanzada y la conciencia de sandbox) contribuyen al creciente número de este tipo de ataques. La mayoría de las víctimas de botnets ni siquiera saben que están infectadas y siguen trabajando con normalidad; ello ayuda a la botnet a persistir y facilita el acceso de los criminales a valiosos recursos.

Hechos sobre las botnets

  • Primera aparición pública: 2000
  • Botnets más conocidas: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock, etc.
  • El número de endpoints y organizaciones infectados y vinculados a botnets ha aumentado espectacularmente
  • Principal método de infección: descargas ocultas y mensajes de correo electrónico
  • Objetivos de la infección: distribución de spam, ataques DDoS, robo de identidad y datos, fraude financiero, fraude publicitario, disponibilidad de grandes recursos de cómputo distribuidos, etc.
  • Los creadores de botnets alquilan los equipos que la conforman al mejor postor

Kaspersky Botnet C&C Data Feeds

Kaspersky Botnet C&C Data Feeds se compone de conjuntos de direcciones URL y hashes con contenido utilizable (nombres de amenazas, marcas de tiempo, geoubicaciones, IP resueltas de recursos web infectados, hashes de malware asociados, etc.). La información comprende servidores de botnets de escritorio y móviles, así como objetos maliciosos relacionados. Al contrario que las fuentes de botnets tradicionales, que ofrecen información sin procesar y datos no filtrados, nuestras fuentes brindan inteligencia precisa y puntual basada en las actividades auténticas de las botnets en tiempo real. Las fuentes de datos ayudan a detectar las conexiones a los servidores de botnets (servidores de C&C) que utilizan los cibercriminales para controlar los equipos infectados (bots).

Kaspersky Botnet C&C Data Feeds es ideal tanto para dispositivos de red pequeños como para puertas de enlace y servidores fundamentales de alto rendimiento, así como para proveedores de servicios de Internet y empresas de filtrado de contenido, seguridad en Internet o alojamiento web. Es totalmente independiente del diseño del software y hardware, y se puede implementar correctamente en plataformas privadas (que no sean x86 ni *NIX).

Recopilación y procesamiento

Los datos de Kaspersky Botnet C&C Data Feeds son el resultado de fusionar información provista por fuentes heterogéneas y altamente confiables, como Kaspersky Security Network, nuestros propios rastreadores web, el servicio de vigilancia de botnets (una plataforma propia exclusiva que supervisa las botnets, los bots, sus objetivos y sus actividades de manera ininterrumpida), trampas de spam, equipos de investigación y socios. Los datos fusionados se inspeccionan y se filtran de forma cuidadosa en tiempo real. Para ello se utilizan varias técnicas de preprocesamiento, como criterios estadísticos, sistemas expertos de Kaspersky Lab (sandboxes, motores heurísticos, analizadores múltiples, herramientas de similitud, creación de perfiles de comportamiento, etc.), la validación de nuestros analistas y la verificación de whitelisting:

Anti-Botnet

Kaspersky Botnet C&C Data Feeds contiene datos indicadores de amenazas investigados en profundidad, obtenidos del mundo real, en tiempo real.

Características

  • Las fuentes de datos contaminadas con falsos positivos no tienen valor, por lo que nuestra información se somete a exhaustivas pruebas y filtros antes de publicarse. Nuestro interés es garantizar que los datos distribuidos estén 100 % validados.
  • Kaspersky Security Network (una enorme red distribuida, formada por más de 100 millones de usuarios de todo el mundo) proporciona datos de inteligencia en forma continua, los cuales se actualizan en tiempo real.
  • Fuentes actualizadas continuamente basadas en los hallazgos sobre botnets de todo el mundo.
  • Cientos de miles de máscaras para detectar servidores de C&C de botnets y recursos web relacionados.
  • Amplia cobertura (decenas de miles de botnets y bots se rastrean a diario).
  • Los datos se distribuyen en formatos ligeros y básicos (JSON, CSV, OpenIoC, STIX) a través de FTP, HTTPS o mecanismos de entrega ad-hoc para facilitar la integración de las fuentes en las soluciones de seguridad.

Ventajas

  • Detecte los recursos web a los que los bots transfieren los datos robados (las "zonas de descarga" controladas por el propietario de la botnet), mejore la protección de sus usuarios en línea (al evitar que su información personal quede expuesta e impedir que se apropien de sus recursos de cómputo) y resguarde la reputación de su marca (al impedir que se filtre la información más secreta e importante de su empresa).
  • Detecte los recursos web desde los que los bots reciben las instrucciones de comando y control, e interrumpa los ciberataques de las botnets correspondientes de forma proactiva y en tiempo real.
  • Bloquee la transferencia de tráfico malicioso desde o hacia los nodos de C&C y determine si hay equipos infectados dentro de su organización o red.
  • Filtre direcciones y URL de origen y destino en el tráfico de su red para emprender las acciones de prevención de riesgos adecuadas.
  • Aproveche la inteligencia para combatir las grandes botnets globales sin tener que invertir en complejos centros de análisis de amenazas, y obtenga una visión global y en tiempo real de las actividades maliciosas de las botnets.
  • Cuente con la capacidad de reportar abusos a los ISP/MSSP en los que se alojan los servidores de C&C para que puedan eliminar los recursos afectados y limitar o bloquear la funcionalidad de las botnets.

Casos prácticos

  • Refuerce las soluciones con las que protege su red (incluidos los firewalls, los sistemas IPS/IDS, los servidores proxy de seguridad y las soluciones de DNS seguras) con indicadores de comprometimiento (IOC) que se actualizan continuamente e información contextual práctica, que le permitirá reforzar de forma preventiva las medidas de seguridad y evitar filtraciones de datos.
  • Desarrolle o mejore la protección contra malware para los dispositivos de red periféricos (como enrutadores, puertas de enlace y dispositivos UTM) y detecte objetos maliciosos mediante el análisis del tráfico de red.
  • Revele infecciones activas buscando equipos y nodos infectados que se estén utilizando con fines ilegítimos dentro de su perímetro de seguridad.
  • Prevenga la pérdida y exfiltración de información confidencial que se pueda utilizar en robos de identidad y abusos de marca.
  • Detenga los servidores de C&C activos que emitan comandos para atacar a clientes específicos e informe a estos clientes de los nuevos ataques, de su nivel de riesgo y de las acciones necesarias para evitar ataques similares en el futuro.

Nada sugiere que el número de ataques de botnets se reducirá en el futuro. Aproveche la inteligencia de seguridad sobre botnets para que los criminales no puedan dirigir los ataques a sus clientes o a su negocio, y explotarlos. Kaspersky Botnet C&C Data Feeds le permite actualizar y reforzar continuamente su seguridad de forma práctica y rentable. Equípese con una inteligencia incomparable sobre la intención inmediata, las capacidades y los objetivos del submundo del cibercrimen, que puede incorporar de forma directa e inmediata en sus soluciones de seguridad.

Contáctenos

Si desea obtener más información, complete este formulario de contacto e indique que necesita más información sobre Kaspersky Anti-Botnet Feeds. Nuestro representante se pondrá en contacto con usted lo antes posible.