A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

A indústria dos BotNets e os crimes cibernéticos

PublicouVinícius De Freitas Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "A indústria dos BotNets e os crimes cibernéticos"— Transcrição da apresentação:

1 A indústria dos BotNets e os crimes cibernéticos
Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified

2 Agenda O que é um BotNet? Como o sistema é infectado
Estudo de caso: Win32/Zbot Estudo de caso: Win32/Rustock Crimes com uso de Botnets Qual seu papel neste cenário? Referências

3 O que é um BotNet? É uma rede de computadores comprometidos que pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis

4 Como o sistema é infectado?
Geralmente a infecção do sistema ocorre através dos seguintes ataques: Spam Phishing Drive by download attack Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em

5 Estudo de Caso 1 Win32/Zbot

6 Características Win32/Zbot kit consiste de um componente construtor que é usado para criar o malware para distribuição O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções O kit de construção do Win32/Zbot pode ser obtido no Black Market

7 Operação Algoritmo gera uma lista de nome de domínios pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C A figura é um exemplo de um painel de control do ZBot

8 Ataque Entre os vários métodos (spam, phishing, etc) usados um outro muito comum é o de SQL Injection para realizar upload de exploit code Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata% Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer Microsoft Confidential

9 O que foi comprometido? Este bot é muito perigoso pois pode realizar as seguintes operações: Retirar screenshot de sites de banco Obter dados HTML do usuário Redirecionar o usuário para sites falsos que parecem legítimos Roubar credenciais Modificar configurações do sistema e fazer download de binários comprometidos Microsoft Confidential

10 Estatísticas Detecção do Win32/Zbot por mês

11 Estudo de Caso 2 Win32/Rustock

12 Características Da família de rootkit que gera backdoor trojan
Rootkit inicialmente criado para ajudar na distribuição de SPAM Os principais componentes são criptografados

13 Componentes Dropper é executado em Modo usuário e é responsável por descriptografar (RC4) e baixar o rootkit driver O dropper também é responsável por contatar o C&C Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado O instalador do driver é executado em modo kernel como um drive de sistema do Windows Geralmente troca arquivos como beep.sys or null.sys por copias com Rustock

14 Ataque Os computadores infectados eram usados como bot para reenvio de spams com intuito de infectar outros computadores Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de s Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez

15 Evolução do Ataque Microsoft DCU (Digital Crime Unit) em conjunto com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados

16 Estatísticas Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)

17 Takedown Em 2010 Microsoft entrou com um processo contra os operadores do Rustock Vários discos usados no C&C do Rustock foram confiscados para análise forense Várias evidencias foram encontradas nos discos

18 Crimes com uso de Botnets Win32/Rustock

19 Como botnets eram usados para crimes cibernéticos?
Venda de drogas (remédios) falsificados (como Pfizer e Viagra) publicava anuncio da droga e infectava o computador de destino

20 Além do Crime O problema vai além do crime pois muitos botnets movimentam um mercado ilegal de falsificação de drogas Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa Exemplo de uma fábrica clandestina usada para fabricar drogas vendidas através dos SPAMS gerados pelo Rustock

21 O que devo fazer? Comece valorizando o básico: Não use software pirata
Mantenha o sistema operacional sempre atualizado (use o Windows Update) Mantenha o antivírus atualizado Assegure que outros softwares instalados no seu computador (como o Adobe) também estejam atualizados Não abra suspeito, não é por que o anti-spam deixou passar que o necessariamente é válido Evangelize sua comunidade em tudo que foi recomendado acima

22 Referências Taking Down Botnets: Microsoft and the Rustock Botnet
Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets Deactivating botnets to create a safer, more trusted Internet Anatomy of a Botnet Report Botnet Business Booming Microsoft SIR Microsoft Confidential

23 Perguntas

24 Contato Twitter: @yuridiogenes
Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com

Carregar ppt "A indústria dos BotNets e os crimes cibernéticos"

Apresentações semelhantes

Vírus.

Vírus.
Instalação e Configuração

Instalação e Configuração
Internet Principais ameaças Rodrigo Pires novembro de 2006.

Internet Principais ameaças Rodrigo Pires novembro de 2006.
BD em.NET: Passo a passo conexão com SQL Server 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.

BD em.NET: Passo a passo conexão com SQL Server 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.
Vírus.

Vírus.
William Stallings Arquitetura e Organização de Computadores 8a Edição

William Stallings Arquitetura e Organização de Computadores 8a Edição
Introdução à Informática

Introdução à Informática
DNS Introdução.

DNS Introdução.
SEGURANÇA NA REDE.

SEGURANÇA NA REDE.
Material III-Bimestre Wagner Santos C. de Jesus

Material III-Bimestre Wagner Santos C. de Jesus
Lucas Augusto Scotta Merlo

Lucas Augusto Scotta Merlo
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática
Emitindo seu Certificado Digital

Emitindo seu Certificado Digital
Emitindo seu Certificado Digital

Emitindo seu Certificado Digital
Aula 12:Segurança na rede.

Aula 12:Segurança na rede.
AVAYA WEB SUPORTE Jan 07, 2013 2010 Avaya Inc. All rights reserved.

AVAYA WEB SUPORTE Jan 07, Avaya Inc. All rights reserved.
Códigos Maliciosos <Nome> <Instituição> < >

Códigos Maliciosos <Nome> <Instituição> < >
Instalação e Configuração

Instalação e Configuração
Ministério da Saúde MÓDULO CAPTAÇÃO DO ATENDIMENTO SISRCA jul/2013

Ministério da Saúde MÓDULO CAPTAÇÃO DO ATENDIMENTO SISRCA jul/2013

Apresentações semelhantes

Anúncios Google