Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouVinícius De Freitas Alterado mais de 9 anos atrás
1
A indústria dos BotNets e os crimes cibernéticos
Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified
2
Agenda O que é um BotNet? Como o sistema é infectado
Estudo de caso: Win32/Zbot Estudo de caso: Win32/Rustock Crimes com uso de Botnets Qual seu papel neste cenário? Referências
3
O que é um BotNet? É uma rede de computadores comprometidos que pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
4
Como o sistema é infectado?
Geralmente a infecção do sistema ocorre através dos seguintes ataques: Spam Phishing Drive by download attack Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em
5
Estudo de Caso 1 Win32/Zbot
6
Características Win32/Zbot kit consiste de um componente construtor que é usado para criar o malware para distribuição O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções O kit de construção do Win32/Zbot pode ser obtido no Black Market
7
Operação Algoritmo gera uma lista de nome de domínios pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C A figura é um exemplo de um painel de control do ZBot
8
Ataque Entre os vários métodos (spam, phishing, etc) usados um outro muito comum é o de SQL Injection para realizar upload de exploit code Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata% Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer Microsoft Confidential
9
O que foi comprometido? Este bot é muito perigoso pois pode realizar as seguintes operações: Retirar screenshot de sites de banco Obter dados HTML do usuário Redirecionar o usuário para sites falsos que parecem legítimos Roubar credenciais Modificar configurações do sistema e fazer download de binários comprometidos Microsoft Confidential
10
Estatísticas Detecção do Win32/Zbot por mês
11
Estudo de Caso 2 Win32/Rustock
12
Características Da família de rootkit que gera backdoor trojan
Rootkit inicialmente criado para ajudar na distribuição de SPAM Os principais componentes são criptografados
13
Componentes Dropper é executado em Modo usuário e é responsável por descriptografar (RC4) e baixar o rootkit driver O dropper também é responsável por contatar o C&C Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado O instalador do driver é executado em modo kernel como um drive de sistema do Windows Geralmente troca arquivos como beep.sys or null.sys por copias com Rustock
14
Ataque Os computadores infectados eram usados como bot para reenvio de spams com intuito de infectar outros computadores Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de s Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
15
Evolução do Ataque Microsoft DCU (Digital Crime Unit) em conjunto com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
16
Estatísticas Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
17
Takedown Em 2010 Microsoft entrou com um processo contra os operadores do Rustock Vários discos usados no C&C do Rustock foram confiscados para análise forense Várias evidencias foram encontradas nos discos
18
Crimes com uso de Botnets Win32/Rustock
19
Como botnets eram usados para crimes cibernéticos?
Venda de drogas (remédios) falsificados (como Pfizer e Viagra) publicava anuncio da droga e infectava o computador de destino
20
Além do Crime O problema vai além do crime pois muitos botnets movimentam um mercado ilegal de falsificação de drogas Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa Exemplo de uma fábrica clandestina usada para fabricar drogas vendidas através dos SPAMS gerados pelo Rustock
21
O que devo fazer? Comece valorizando o básico: Não use software pirata
Mantenha o sistema operacional sempre atualizado (use o Windows Update) Mantenha o antivírus atualizado Assegure que outros softwares instalados no seu computador (como o Adobe) também estejam atualizados Não abra suspeito, não é por que o anti-spam deixou passar que o necessariamente é válido Evangelize sua comunidade em tudo que foi recomendado acima
22
Referências Taking Down Botnets: Microsoft and the Rustock Botnet
Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets Deactivating botnets to create a safer, more trusted Internet Anatomy of a Botnet Report Botnet Business Booming Microsoft SIR Microsoft Confidential
23
Perguntas
24
Contato Twitter: @yuridiogenes
Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.