RETO 1 Detección de bots y servidores de comando y control (ICE e INCIBE)
Los centros especializados en seguridad cibernética están realizando investigaciones para la obtención de información de bots mediante la compra de dominios obtenidos de fuentes (públicas y privadas) de DGAs (Domain Generation Algorithms).
Por ello, se está interesado en la obtención de información propia relativa a amenazas (en este caso concreto botnet1) para obtener conocimiento acerca de su funcionamiento y poder así establecer medidas de mitigación apropiadas.
El reto consiste en la investigación y posterior desarrollo de una prueba de concepto para la detección de bots y servidores de comando y control (C&C). Los recursos de apoyo que se pondrían a disposición de posibles proveedores (data-sets, etc.) son los dominios de DGA. Actualmente, los avances realizados en este campo son la investigación sobre el problema y la recopilación de conjuntos de datos para entrenar sistemas.
Este reto forma parte de la Consulta Preliminar a Mercado en Ciberseguridad del ICE.
Ejemplos de Casos de uso:
Caso 1: En base a la investigación inicial se seleccionará una estrategia de detección de bots, se implantará en una PoC y se verificará su viabilidad mediante la obtención de información de bots pertenecientes a una o varias botnets. La información que se desea obtener acerca del bot es, al menos, la siguiente: IP, timestamp del momento en que se realiza la detección. También sería deseable obtener información adicional sobre el comportamiento de cada Botnet en concreto, como por ejemplo el protocolo de comunicación utilizado entre bots y servidores C&C, puertos, etc.
Caso 2: En base a la investigación inicial se seleccionará una estrategia de detección de paneles C&C, se implantará en una PoC y se verificará su viabilidad mediante la obtención de información de bots pertenecientes a una o varias botnets. La información que se desea obtener acerca del C&C es, al menos, la siguiente: IP, timestamp del momento en que se realiza la detección.
También sería deseable, si es posible, obtener información adicional como, por ejemplo, el protocolo de comunicación utilizado entre bots y servidores C&C, puertos, URL completa donde se encuentra el panel, tecnología subyacente del panel, información acerca del servidor en el que está alojado, etc.
Nota: Estos casos de uso se establecen como ejemplos, con el objeto de que los investigadores dispongan de potenciales problemas de investigación, no siendo exclusivos. Es decir, las propuestas no tendrán que basarse en estos ejemplos. Se podrán establecer otros casos de uso distintos u otros casos que complementen a los citados.