Buenas a todos.
Estoy iniciandome en este mundo y me gustaría hacerles una consulta. Estoy pensando como poder bloquear la conexión de equipos infectados a su C&C. Había pensado en poner un proxy y hacer pasar todas las peticiones http y https por él y bloquear cualquier tráfico de salida, pero desconozco si la comunicación de los equipos infectados con su C&C se realiza mediante este protocolo. En caso de ser así, ¿cómo podría bloquearlos?.
Me gustaría ir mas allá que bloquear ip's en el firewall o desinfectarlos y demás soluciones. Me gustaría que el tema se centrase en como controlar esas comunicaciones.
Gracias y saludos.
La mejor forma de controlar las comunicaciones es a través del firewall.
Si lo configura en modo interactivo, cada comunicación de su dispositivo, o red, le solicitará autorizo, declarando cuál aplicación o servicio es, y hacia la IP o destino a la cual se dirige en conectividad. Con ello establecerá reglas en la cual podrá controlar el tráfico ya sea saliente o entrante.
En este asunto siempre debe haber una cultura de la seguridad, y conocer las aplicaciones que usa, y las comunicaciones que establece.
Por lo general los servidores de comando y control "comprometen" o se enmascaran con servicios comunes del sistema a través de brechas o troyanos. Es como el conocer su casa al detalle, la ubicación de los muebles, decorados, ventanas, etc. Si nota algo fuera de la rutina (tráfico que no debe ser, o excesivo, escalada de permisos por parte de aplicaciones, o servicios, etc.), es señal de que debe realizar una auditoría de seguridad.
Es más bien un método, que será o no efectivo así sea la cultura y suspicacia del usuario, y su cultura o costumbres en seguridad.
Estoy de acuerdo con lo que dices, pero a veces no siempre es posible actuar así. En mi caso acabo de entrar a una empresa con mas de 1000 terminales, es complejo controlar todas las conexiones ya que hasta que llegue a controlar todo lo que usan... quería buscar alguna alternativa para poder controlar esa comunicación y que sea algo dinámico el poder controlarlo.
¿Con algún NIDS se podría controlar los patrones de los paquetes que van al C&C y poder ir así bloqueando equipos?
En mi experiencia, y que sepa; No.
Para el entorno empresarial están Firewall´s específicamente para ese mundo y sus condiciones.
Como le mencioné, es por el Firewall y con un buen HIPS, que por lo general lo tienen incorporado (entre otras funciones), sobre todo los modernos.
Las empresas o compañías deben invertir en su seguridad, y esos firewall´s (empresariales), son de pago y bastantes costosos.
Esto es imprescindible para su trabajo, de otro modo no tendrá el control de nada y estará desnudo.
¿El módulo de inspeccion ssl del firewall podría detectar este tipo de comunicaciones y bloquearlas?
Esa función solo inspecciona la integridad del cifrado.
No sé qué concepción tiene sobre el tipo de conexión de un servidor C&C.
Esta es una conexión normal, como cualquier tipo de servicio (siempre está cifrada, pero esto no es exclusivo y es norma). Y como le expliqué, por lo general está enmascarada con servicios legítimos.
Por ejemplo una aplicación comprometida, ejecuta su conexión típica y funcional hacia internet, a parte de esa conexión, la aplicación "levantaría" una conexión extra o fuera de su legal función, que sería la del servidor. Al hacer este llamado, ahí es donde intervendría el Firewall, que pediría el permiso y le avisaría que la aplicación solicita otra salida hacia un destino nuevo. Si es ignorante de cómo funciona el software, lo pillan.
El servidor de comando y control, lo que permite accesos y llamadas a servicios del sistema para continuar abriendo brecha y escalar (según sea el caso, intensión o finalidad, así como nivel de compromiso de sistema).
Todo ello es posible mitigarlo y controlarlo a través del firewall.
Según sea en complejidad, le ofrecería herramientas para establecer controles e inspecciones. Por ejemplo, el HIPS juega un papel importante, porque de aprobar la segunda llamada del software o la aplicación, sí solicita el llamado a un servicio sin permisos, o modificar el sistema, me avisaría.
En redes complejas de mucho tráfico y usuarios, estos firewalls se rigen a través del nodo central, que a la vez delega sobre las Pc clientes o usuarias.
Se supone que los usuarios estén controlados con políticas dentro del sistema: que no puedan instalar, modificar, o escalar más allá de sus permisos. Si esto se violare, el propio sistema y firewall notifica a través de un logs o reporte del suceso o evento.
Para las redes empresariales busque sobre los firewalls que hay en el mercado.
En mi caso, ya tengo cierta experiencia con el Kerio Control, que suelo usarlo incluso en la red privada que tenemos varios amigos, y se juega, se comparte info a través de portales multimedias, etc. y son casi 50 Pc e invitados.