A indústria dos BotNets e os crimes cibernéticos Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified
Agenda O que é um BotNet? Como o sistema é infectado Estudo de caso: Win32/Zbot Estudo de caso: Win32/Rustock Crimes com uso de Botnets Qual seu papel neste cenário? Referências
O que é um BotNet? É uma rede de computadores comprometidos que pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
Como o sistema é infectado? Geralmente a infecção do sistema ocorre através dos seguintes ataques: Spam Phishing Drive by download attack Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/
Estudo de Caso 1 Win32/Zbot
Características Win32/Zbot kit consiste de um componente construtor que é usado para criar o malware para distribuição O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções O kit de construção do Win32/Zbot pode ser obtido no Black Market
Operação Algoritmo gera uma lista de nome de domínios pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C A figura é um exemplo de um painel de control do ZBot
Ataque Entre os vários métodos (spam, phishing, etc) usados um outro muito comum é o de SQL Injection para realizar upload de exploit code Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata% Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer Microsoft Confidential
O que foi comprometido? Este bot é muito perigoso pois pode realizar as seguintes operações: Retirar screenshot de sites de banco Obter dados HTML do usuário Redirecionar o usuário para sites falsos que parecem legítimos Roubar credenciais Modificar configurações do sistema e fazer download de binários comprometidos Microsoft Confidential
Estatísticas Detecção do Win32/Zbot por mês
Estudo de Caso 2 Win32/Rustock
Características Da família de rootkit que gera backdoor trojan Rootkit inicialmente criado para ajudar na distribuição de SPAM Os principais componentes são criptografados
Componentes Dropper é executado em Modo usuário e é responsável por descriptografar (RC4) e baixar o rootkit driver O dropper também é responsável por contatar o C&C Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado O instalador do driver é executado em modo kernel como um drive de sistema do Windows Geralmente troca arquivos como beep.sys or null.sys por copias com Rustock
Ataque Os computadores infectados eram usados como bot para reenvio de spams com intuito de infectar outros computadores Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
Evolução do Ataque Microsoft DCU (Digital Crime Unit) em conjunto com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
Estatísticas Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
Takedown Em 2010 Microsoft entrou com um processo contra os operadores do Rustock Vários discos usados no C&C do Rustock foram confiscados para análise forense Várias evidencias foram encontradas nos discos
Crimes com uso de Botnets Win32/Rustock
Como botnets eram usados para crimes cibernéticos? Venda de drogas (remédios) falsificados (como Pfizer e Viagra) Email publicava anuncio da droga e infectava o computador de destino
Além do Crime O problema vai além do crime pois muitos botnets movimentam um mercado ilegal de falsificação de drogas Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa Exemplo de uma fábrica clandestina usada para fabricar drogas vendidas através dos SPAMS gerados pelo Rustock
O que devo fazer? Comece valorizando o básico: Não use software pirata Mantenha o sistema operacional sempre atualizado (use o Windows Update) Mantenha o antivírus atualizado Assegure que outros softwares instalados no seu computador (como o Adobe) também estejam atualizados Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido Evangelize sua comunidade em tudo que foi recomendado acima
Referências Taking Down Botnets: Microsoft and the Rustock Botnet Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets Deactivating botnets to create a safer, more trusted Internet Anatomy of a Botnet Report Botnet Business Booming Microsoft SIR Microsoft Confidential
Perguntas
Contato Twitter: @yuridiogenes Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com