Botnets Gabriel Losada Saraiva Gaio Caculakis Matheus R. Mutton Pedro Henrique de O. Fernandes
Introdução Definições MALWARE: programas desenvolvidos para executar ações danosas em um computador. Exemplos: worm, bots, virus WORM: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. SpyWare: Programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet.
Introdução Definições BOT: é um tipo de código malicioso que transforma o computador infectado em um “zumbi”, ou seja, a serviço de seu controlador . Computadores “zumbis”: Máquinas que podem ser controladas à distância pelo invasor, independente das ações do usuário. Bot herder: Nome que se dá à pessoa ou grupo que controla os computadores zombie, infectados com Bots
O que são Botnets? Grupo de computadores zombies (infectados por bots), e que são controlados por um hacker a que se denomina bot herder Grandes benefícios, alugando-as a terceiros para o envio de spam, por exemplo, ou utilizando-as diretamente para instalar spyware em milhares de computadores. também podem descarregar outro malware, como keyloggers, e assim a rede pode ser utilizada para conseguir os dados confidenciais de milhares de utilizadores.
Topologia da Botnet Fonte: www.secureworks.com
Atualidades Shadow BotNet, controlava 100mil computadores. Descoberta em Agosto, 2008. Polícia de Quebec, no Canadá, descobriu e dissolveu uma quadrilha de hackers que comandava uma botnet . O grupo é responsável por cerca de US$ 44 milhões em danos. Fevereiro 2008. BotNet Nova Zelândia, controlava mais de um milhão de computadores. Descoberta através da operação Operation Bot Roast em Novembro, 2007
Lista das maiores botnets do mundo 1. Srizbi; 315 000 computadores; 60 mil milhões de mensagens/dia 2. Bobax; 185 000 computadores; 9 mil milhões de mensagens/dia 3. Rustock; 150 000 computadores; 30 mil milhões de mensagens/dia 4. Cutwail; 125 000 computadores; 16 mil milhões de mensagens/dia 5. Storm; 85 000 computadores; 3 mil milhões de mensagens/dia 6. Grum; 50 000 computadores; 2 mil milhões de mensagens/dia 7. Onewordsub; 40 000 computadores; número de mensagens desconhecido 8. Ozdok; 35 000 computadores; 10 mil milhões de mensagens/dia 9. Nucrypt; 20 000 computadores; 5 mil milhões de mensagens/dia 10. Wopla; 20 000 computadores; 600 milhões de mensagens/dia 11. Spamthru; 12 000 computadores; 350 milhões de mensagens/dia Fonte: SecureWorks, abril de 2008
Tipos de Botnets Existem vários tipos de Botnets, cada um com uma característica diferente. Alguns exemplos seguem abaixo: GT-Bots e mIRC bots XtremBot, Agobot, Forbot, Phatbot UrXBot, sdbot, UrBot e RBot
Tipos de Botnets GT-Bots e mIRC bots GT-Bots e mIRC bots baseada mIRC é um dos mais utilizados clientes IRC para a plataforma Windows . GT é o nome comum para os bots roteiro usando mIRC. GT-Bots podem lançar códigos binarios e scrips em um chat mIRC que contem muitas vezes extensões de arquivos .MRC.
Tipos de Botnets XtremBot, Agobot, Forbot, Phatbot O robô é escrito usando C + + com várias plataformas capacidades como um compilador GPL e como o código- fonte Devido à sua abordagem modular, adicionando comandos ou scanners para aumentar a sua eficiência e tirar proveito de vulnerabilidades é bastante fácil. Agobot é bastante distinto, ele é o único robô que faz uso de outros protocolos além de controlar IRC.
Tipos de Botnets UrXBot, sdbot, UrBot e RBot São publicados sob GPL Escrita em língua compilador C rudimentar. Embora a sua implementação é menos variada e sua concepção menos sohisticated, este tipo de bots são bem conhecidos e largamente utilizados na internet.
Objetivos dos Botnets Lucro (criadas para venda) DdoS (lucro) Spam (lucro)
Estratégia de ataque Criação Configuração Infecção Controle Atividades Maliciosas
Como o invasor se comunica com o Bot - PC infectado - O Bot conecta o computador infectado a um servidor IRC, e aguarda por instruções do invasor; Servidor IRC geralmente é utilizado devido a sua simplicidade, e por ser fácil de administrar.
Como o invasor se comunica com o Bot - Invasor - O invasor não se conecta diretamente aos bots, ele também se conecta a um servidor IRC, e entra no mesmo canal. Após estar conectado, envia mensagens, que são interpretadas pelos Bots. Servidores IRC tem a desvantagem de serem transmitidos em texto claro. Para tentar dificultar esta análise de tráfego, os invasores utilizam a ferramenta TOR.
Tipos de ataque DDoS Spam Sniffing e Keylogging Click Fraud Warez
Tipos de ataque DDos Principal forma de ataque de botnets Os ataques DDoS podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos. fonte: http://www.cfa.harvard.edu/~huchra/ay16/M35a.gif
Tipos de ataque Spam Mensagem eletrônica contendo propaganda de produtos ou serviços enviada a uma ou mais pessoas sem que essas pessoas tenham solicitado as informações contidas na mensagem. fonte: http://cs.jpl.nasa.gov/gray/skicat.jpg
Tipos de ataque Keylogging É um software cuja finalidade é monitorar tudo o que é digitado. Os Keylogger na maioria das vezes se infiltram no computador da vítima através de e-mails e links falsos Os Keylogger são programados de várias maneiras. Exemplo:salvar os logs (que podem ser arquivos .txt .HTML) , enviar os logs para o email de uma pessoa.
Tipos de ataque Click Fraud Bots são instruídos a entrar em websites e clicar automaticamente em banners. Este mecanismo é utilizado para roubar dinheiro de empresas que pagam recompensas por cada página visitada.
Mapa com resultado dos Centros de Comando, detectados em 2007 fonte: http://www.shadowserver.org/wiki/uploads/Stats/ccip-all.jpg
Mapa com os IPs que se infectaram ou sairam de uma BotNet no ano de 2008. fonte: http://www.shadowserver.org/wiki/uploads/Stats/drones.jpg
Quantidade de C&C Data 03/11/2008 – 18:00hs fonte: http://www.shadowserver.org/wiki/uploads/Stats/botnets-day.png
Quantidade de Bots/Zombies ativos Entropia: número de dias decorridos para se considerar um Bot inativo (morto). OBS: quedas repentinas podem ser explicadas pela queda de um C&C, e conseqüentemente seus Bots. fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-day.png
Quantidade de Bots/Zombies ativos fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-week.png
Prevenção e Combate Usar anti-vírus e software anti-spyware e mantendo-o até à data. A definição de seu sistema operacional de software para baixar e instalar patches de segurança automaticamente. Ser cuidadoso ao abrir quaisquer anexos ou download de arquivos de e-mails que você recebe.
Prevenção e Combate Utilizar uma firewall para proteger seu computador contra ataques hackers enquanto está ligado à Internet. Desligar da Internet quando estiver longe do seu computador. Verificar a sua "itens enviados" arquivo ou "saída" caixa de correio de mensagens que você não tinha a intenção de enviar. Download de software livre só a partir de sites que você conhece e confia.
Prevenção e Combate Agir imediatamente se o seu computador está infectado. Se o seu computador foi infectado por um vírus, desligue a ligação à Internet de imediato. Aprender mais sobre a assegurar o seu computador em www.OnGuardOnline.gov.
Conclusões Conceitos errados sobre segurança Detectar bots e botnets não é uma tarefa simples
Referências Bibliográficas Wikipédia. WORM. Disponível em: http://pt.wikipedia.org/wiki/Worm, Setembro TechFaq. What is a Botnet? Disponível em: http://www.tech-faq.com/botnet.shtml, Setembro FTC Consumer Alert. Botnets and Hackers and Spam. Disponível em: http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt132.pdf, Setembro Wikipedia. Warez. Disponível em: http://pt.wikipedia.org/wiki/Warez, Setembro Palestra sobre Bot e Botnets. Disponível em: http://www.csirt.pop-mg.rnp.br/eventos/palestras/botnets.pdf, Outubro Wikipédia . Spyware. Disponível em :http://pt.wikipedia.org/wiki/Spyware, Outubro