No es novedad que las botnet, redes de robots informáticos maliciosos, se hayan convertido en una amenaza tangible para todos los usuarios y organizaciones. El hecho de que miles de máquinas puedan atacar un solo objetivo de manera automática hace que los proveedores de servicio de Internet se vuelvan un componente fundamental en el proceso de detección y bloqueo de este tipo de riesgos.
Durante los últimos meses, CenturyLink dio seguimiento a la botnet Mylobot, un malware sofisticado categorizado como downloader. Su riesgo principal es la capacidad que posee para cargar en el equipo afectado cualquier otro tipo de software que el atacante desee.
Diversas técnicas de evasión hacen que su detección sea compleja, incluso a través de herramientas de análisis avanzado como Sandboxing. Esto se debe en parte a que espera 14 días una vez que el host ha sido infectado antes de intentar establecer comunicación con con servidores de control dispersos por internet.
Aun así, uno de los comportamientos que podría ayudar a su detección luego de este período es la gran cantidad de consultas a servidores DNS que realiza intentando conectarse a su servidor de control para obtener más instrucciones.
En el análisis realizado por CenturyLink se ha observado que, como fase dos de la infección, el software instala “Khalesi”, uno de los malware más descargados durante 2018 según Kaspersky cuya función principal es el robo de información.
Mediante la combinación de diferentes orígenes de datos, como DNS y Netflow, y utilizando herramientas de IA y técnicas de análisis gráfico, CenturyLink ha sido capaz de identificar equipos infectados, elementos de comando y control y downloaders de la botnet Mylobot.
El trabajo, realizado sin acceso a muestras específicas del malware, muestra el poder que las metodologías de análisis forense de datos de red pueden tener para identificar infraestructuras maliciosas.
Como resultado, se han bloqueado los componentes que conforman esta estructura en nuestra red para mitigar el riesgo hacia nuestros clientes, y se ha notificado a los dueños de los componentes identificados como afectados, para que puedan rápidamente tomar acciones tendientes a proteger su infraestructura y evitar con esto, la propagación de la amenaza.
Si bien este ha sido el último evento, no es un caso aislado. CenturyLink realiza este monitoreo de forma constante, y como resultado del Threat Research Lab genera periódicamente el Threat Report, documento que posee información sobre diferentes amenazas y su impacto en cada región. Para más información, el mismo puede descargarse de forma gratuita en el siguiente link: Threat Report