El enemigo ya está dentro. Detección de intrusos con Snort.

diciembre 24, 2007


Recientemente hemos tenido una incidencia de virus generalizada en toda la empresa. Exactamente hemos tenido infección 100% de W32/RBot, gusano de puerta trasera que permite la entrada de un atacante externo. La primera noticia de su existencia se remonta al 12 de julio. Hasta el 14 de diciembre no hemos podido certificar su eliminación.

W32/RBot no fue detectado a tiempo. Microsoft Malware Removal Tool, MRT.EXE, versión Sep/07 no lo detectaba. La versión Nov/07 ya anunció su presencia pero era necesaria una eliminación manual del registro.

Durante todo el periodo de infección, estuvimos acotando al enemigo. Mediante firewalls aislamos oficina central del resto de la VPN. Snort me informó del tráfico que generaba de salida hacia internet, que saturaba al router y nos dejaba sin servicio en la red y sin VoIP en toda la empresa.

Ya sé cómo entró W32/RBot. El problema es que no te das cuenta del problema hasta que lo tienes encima. En mi búsqueda de soluciones, como soy firmemente Anti-Antivirus, usé Snort para ver el tráfico que se generaba y me planteé usar un sniffer de forma permanente en la red. Actualmente tengo SmoothWall 3.0 corriendo como firewall y éste ya integra Snort como detección de intrusos.

Hice memoria y recordé la existencia del proyecto HoneyNet. Actualmente están en la versión 2. Me descargué el CD-ROM y puse en marcha el sistema que me notificó exáctamente qué estaba traficando W32/RBot. El proyecto genera unas utilidades en forma de CD-ROM instalable que genera una especie de gateway por el que hacemos pasar el tráfico malicioso de forma transparente, notificándonos, sin notificar al intruso, de qué está pasando. Es algo así como poner miel para atraer a las avispas. Creamos una red “HoneyNet” en donde ponemos “HoneyPots” o tarritos de miel, que son equipos interesantes de ser atacados. El intruso ataca dichos equipos a través de la pasarela HoneyWall proporcionada por el CD-ROM que instalamos. Todos los equipos atacados son virtuales o sin uso real, y son cebos para el intruso.

Lean más sobre el tema directamente en la web del proyecto, http://www.honeynet.org.

Snort, http://www.snort.org

Windows Malware Removal Tool, http://www.microsoft.com/security/malwareremove/default.mspx

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: