OPINIÃO
BREVE APRESENTAÇÃO DA
BOTNET E DAS TÉCNICAS DE
INVESTIGAÇÃO CRIMINAL
Investigador Criminal de 1ª classe
Com o rápido desenvolvimento da
à internet, faz com que esta se torne uma das
técnica infor mática e da tecnologia, o crime
maiores a meaças pa r a a seg u r a nça d a rede,
informático torna-se uma questão preocupante
sendo um dos pontos mais impor tantes a
para as autoridades policiais de todo o mundo.
focar. A Botnet opera nor malmente de for ma
G e r a l m e n t e , e s t e c r i m e é cl a s s i f ic a d o e m
transfronteiriça, as provas electrónicas estão
t r ê s a s p e ct os: 1. c r i me que t e m c omo a lvo
a r ma zena d as em d iferentes locais e países,
um computador; 2. actividade cr iminosa
t razendo inevitavelmente grandes desaf ios à
pr at ica d a at r avé s do comput a dor, ut il i z a do
investigação criminal, podemos até dizer que
como fe r r a me nt a; 3. a ct os i l ícit os que t ê m
este crime é o mais desafiante em matéria penal.
como obje ct ivo f u nd a me nt al a obt e nçã o de
dados informáticos. À medida que a internet se
114
Chong Kam Leong
(I) DEFINIÇÃO DE BOTNET
expande e desenvolve, transforma-se num espaço
E m N ove m b r o d e 2 0 01, 56 p a í s e s
fácil para praticar crimes, por isso, o cibercrime,
assinaram a Convenção sobre o Cibercrime e
evolução do crime infor mático, constit ui um
foi dada u ma def inição concreta dos cr imes
novo ponto de preocupação. Para este tipo de
praticados por meio da internet, ou seja, actos
crimes, utilizam-se várias ferramentas e técnicas
ilícitos pr at ica dos com u so do comput a dor,
de informática, entre estas, a mais ameaçadora,
feitos através da inter net, os mais frequentes
ofensiva e bem organizada é a técnica conhecida
são a invasão do computador, div ulgação de
por Bot net. Pretendemos com este t rabal ho,
fotog r af ia s por nog r áf ica s, coment á r ios que
apresentar uma breve explicação sobre a Botnet,
representam instigação a um crime ou ameaça,
efect uar uma simples avaliação do programa
criação de websites falsos, quebra de senhas,
“zombie”, estudar as dificuldades encontradas
de spist e pa r a que a s p e ssoa s dê e m os seu s
durante a investigação criminal e por último,
dados pessoais ou utilização de dados furtados,
fala re mos do i mpa ct o que a Bot ne t t e m n a
a t a q u e s i n fo r m á t i c o s o u e n v io d e c o r r e io
internet em Macau.
electrónico indesejado.
Par tindo da história do desenvolvimento
I. SITUAÇÃO E DANOS
CAUSADOS PELA BOTNET
da internet, podemos ver que, para facilitar a
A Botnet é uma ferramenta relativamente
u m prog r a m a que ajud ava o a d m i n ist r a dor
nova na prática criminal, usada para efectuar
a cont rolar o I RC. O pr imei ro prog rama foi
ataques através da internet no mundo inteiro.
escrito por Jeff Fisher, e chamava-se EggDrop
Os danos causados por este tipo de ferramenta
e n ã o c a u s av a q u a lq u e r d a n o. M a i s t a r d e ,
gestão da internet relay chat (IRC) 1, foi criado
OPINIÃO
MAPA 1
Estimativa do número
de computadores
afectados
Ano
(aproximadamente)
Designação
2004
Bagle
230,000
Beagle, Mitglieder, Lodeight
2006
Rustock
150,000
RKRustok, Costrat
2007
Akbot
1,300,000
None
2007
Cutwail
1,500,000
Pandex, Mutant (related to: Wigon, Pushdo)
2007
Srizbi
2008
Mariposa
12,000,000
2008
Sality
1,000,000
2008
Asprox
15,000
Danmec, Hydraflux
2008
Waledac
80,000
Waled, Waledpak
2008
Conficker
10,500,000
2008
Zeus
2009
Grum
2009
BredoLab
2010
Programas semelhantes
450,000
3,600,000
(US only)
Cbeplay, Exchanger
Sector, Kuku
DownUp, DownAndUp, DownAdUp, Kido
Zbot, PRG, Wsnpoem, Gorhax, Kneber
560,000
Tedroo
30,000,000
Oficla
Kelihos
300,000+
Hlux
2010
TDL4
4,500,000
TDSS, Alureon
2010
LowSec
2012
Chameleon
11,000+
LowSecurity, FreeMoney, Ring0.Tools
120,000
None
su rgiu a ideia de que o operador pudesse
uma rede, a isto chamamos Botnet, (mapa 1)
executar controlos básicos e depois o programa
o quadro dos programas Bot que surgiram ao
conseguiria executar automaticamente, assim
longo dos anos:
surgiu o primeiro programa de IRC com más
i ntenções e por cau sa deste prog r a ma ter a
capacid a de de receber ordens e execut á-las
a u t o m a t i c a m e n t e , c o m o u m r o b o t , foi -l h e
(I I) P R O C ES S O D E I N F EC Ç ÃO D E
UMA BOTNET
A Bot net é manobrada praticamente via
d a d o o n o m e d e B o t (d e r iv a d o d a p a l av r a
inter net para invadir e conect ar ilegalmente
robot). Dest a for ma , o comput a dor at aca do
c o m p u t a d o r e s n ã o p r o t eg id o s , o p r og r a m a
é c o n t r ol a d o p o r o u t r e m , n ã o s e n d o m a i s
Bot, infecta as máquinas por forma a torná-las
possível efect u a r oper ações i nde pendentes,
como “zombie s” e pode rem se r cont rola d a s
p o r i s s o é t a mb é m c o n h e c id o p o r Z o m b i e,
a distância. Quando há vár ios computadores
e m ch i nê s , va m pi r o. O p r i mei r o p r og r a m a
invadidos e infectados, pode-se constituir uma
de Bot chamava-se GT-Bot, pouco mais tarde
rede. Normalmente, o programa invasor, ataca o
foram criados diferentes programas do mesmo
computador através dos seguintes 4 meios:
género, como Agobot, Sdbot, Spybot e Phatbot
entre outros. Quando vários computadores são
infectados por estes softwares, pode formar-se
● O bot é preparado e posto a disposição
no website disfarçado de software normal;
● Envio do programa através de e-mail que
115
OPINIÃO
solicita a abertura directa;
● Det e cçã o de fal h a s de prot e cçã o
Figura 1
através da botnet e ataque aos computadores
conectados;
● O bot é escondido entre os ficheiros
de sistemas operativos falsif icados ou de
softwares piratas, ao instalar estes programas
infecta-se automaticamente o computador.
Uma vez infectado pelo bot, o
computador torna-se parte integrante duma
Bot net, nor malmente, há u ma pessoa por
trás disto, este tem o poder de controlar a
rede, tem o nome de originador (botmaster
ou botherder). Possivelmente, o originador é
também o invasor, que controla remotamente
o g r upo, geral mente at ravés de ca nal de
comando e controle (C&C) para comunicar e
controlar os computadores infectados. O canal
de comando e controle consiste principalmente
em dois tipos de gestão, cent ralizada e
distribuída, e três tipos de comunicação, IRC,
HTTP e P2P respectivamente.
At ravés dos meios acima refer idos,
o i nvasor opera a Bot net cont rola ndo os
computadores infectados, assim, além de ter
u ma g rande capacidade operacional e muito
alargada, pode adquirir valiosas infor mações
a r m a z e n a d a s , u s a r a r e de p a r a e nv ia r c om
fa cil id a de e de for ma ala rga d a , at a que s de
negação de ser viço dist r ibuído (Dist ributed
Denial of Service), furtar identidades online,
invadir e infectar outros computadores, enviar
correio indesejado, efectuar ataques de phishing
e furtar dados sensíveis.
(III) ESTRUTUR A DE CONTROLE DA
BOTNET
116
H T T P f u ncion a m de for m a ce nt r a l i z a d a , o
originador do grupo apenas precisa de conectarse c om o se r v idor ce nt r a l , at r avé s do qu a l
pode conect ar-se e comu nicar com todos os
computadores infectados. Este tipo de controlo
centralizado é vantajoso pela facilidade com
que é efectuado, pela comunicação e a recolha
de dados, ao or iginador basta enviar ordens
a o s e r v id o r c e nt r a l , a t r avé s d e p r ot o c olo s
IRC ou HTTP para comu nicar com todos os
computadores infectados. No entanto, se um
dos computadores infectados for detectado e
descoberto, será muito fácil chegar ao servidor
ce nt r al, u m a vez e ncont r a do, se r á p ossível
impedir imediatamente o envio de dados, assim
milhares de computadores infectados deixarão
de estar conectado com o servidor, daí a Botnet
ficará quebrada. (figura 1)
Peer 2 Peer (P2P) – a ligação distribuída
é u ma est r ut u ra mais f lexível e sustent ável
em comparação com a gestão centralizada. O
originador ou atacante, com o uso da rede P2P,
Na est r ut u ra do canal de comando e
pode evitar a centralização dos computadores
controle da Botnet, os meios de comunicação
infectados num só ser vidor. Numa est r ut u ra
IRC e HTTP pertencem à gestão centralizada,
P2P, os computadores que fazem parte da Botnet
a principal diferença é o que ocorre nos canais
não estão conectados somente com um servidor,
IRC e nos HTTP. Como os protocolos IRC e
mas também interligados, quando o originador
OPINIÃO
envia ordens a um dos computadores infectados,
emitindo ordens de ataque, o computador alvo
2. E nv io e m m a s s a d e m e n s a ge n s n ã o
solicitadas (spamming)
transmitirá a mensagem a outros computadores
At r avé s d a Bot ne t p o de m se r e nv ia dos
conectados, por sua vez, os que receberão a
e-mails em massa, sobretudo com a ajuda dos
mensagem irão propagá-la novamente, assim
computadores infectados, grandes quantidades
cr ia-se uma cor rente de comu nicação de
de e-mails são enviados a diferentes receptores.
ordens e comandos. Esta via de transmissão é
A maior parte desses e-mails servem para fazer
relativamente lenta, mas tem a vantagem que,
promoções ou divulgar publicidade, assim como
se for de sc ob e r t o que u m c omput a dor e st á
são utilizados para mandar ataques de phishing.
infectado, é mais difícil encontrar o servidor
3.Servidor Proxy
central, assim a rede não fica prejudicada. (figura 2)
A Botnet faz uso de u m ser vidor prox y,
conectado com o invasor, que ser ve para
Figura 2
praticar outros crimes informáticos. Assim,
não só faz com que o invasor esconda a sua
identidade, bem como o computador vítima
pode tornar-se o bode expiatório dos crimes
praticados.
4. Interceptação da comunicação de dados
A Botnet conseg ue interceptar as
comunicações de dados nos computadores
vítimas, furtando os dados sensíveis como
nome e senha do usuário. Além disso, se
um dos computadores for atacado pelo bot,
através da interceptação da comunicação
de d a dos, pode recol her i n for mações
importantes de outras redes “zombie”, pois
ajuda o originador a obter mais informações
dessa rede, assim como saber a situação do
ambiente ciber nético do tal computador,
por for ma a efect uar ataques e invasões dos
(IV) UTILIZAÇÃO DA BOTNET
1. A t a q u e d e n e g a ç ã o d e s e r v i ç o
distribuído (Distributed Denial of Service)
Uma Botnet é nor malmente utilizada em
ataques de negação de serviço distribuído, é um
tipo de ataque constante e repentino, como se
se tratasse de uma inundação, principalmente
2
efectuado através de TCP SYN FLOODING e
3
UDP FLOODING , atinge a sua finalidade fazendo
exceder os limites do servidor, fazendo com que
computadores interligados.
5. Gravador de teclado (Keylogger)
Se o computador vítima usa comunicação
criptografada (como https ou pop3s), a técnica
acima referida não f unciona, porque é muito
difícil de desbloquear o conteúdo por SSL. Por
isso, o bot pode ter uma função para gravar o que
for escrito com o teclado, a finalidade é registar
tudo o que é digitado no computador vítima,
tendo t ambém f ilt ros que detect am palav ras
este não seja capaz de operar nor malmente e
específicas e que favorecem ainda mais o furto
atender às solicitações dos utilizadores.
de dados confidenciais.
117
OPINIÃO
Ut i l i z a mo s 47
MAPA 2
diferentes soft wares
Nome do ficheiro
citadel.exe
Tamanho do ficheiro
247296 bytes
Tipo do ficheiro
PE32 executable (GUI) Intel 80386, for MS Windows
e xe , e n t r e e s t e s 3 6
MD5
699e84682acdf3304fc79014e30eb11f
conseguiram detectar
antivírus para
ex a m i n a r o c it a d e l.
o cit a del.exe como
6. Investigação online das operações
malware, abaixo apresentamos uma parte dos
Nos últimos anos, a investigação de votos
resultados da examinação. (mapa 3)
online tem merecido cada vez mais atenção.
Após a instalação do citadel.exe, este produz
Com o uso da Botnet é fácil criar pools de votos
automaticamente um outro ficheiro, o piyz.exe e
e m r e de, c omo ca d a u m dos c omput a dor e s
instala-o no computador do utilizador. (figura 3)
Situação das operações dos dois programas
infectados possui um endereço IP diferente, é
possível disfarçar a origem do inquérito, levando
no sistema. (figura 4)
as pessoas a votar, falsif icando
Figura 3
assim o resultado da votação.
I I .
B R E V E
E X P E R I M E N TAÇ ÃO
SOBRE A DETECÇÃO DE
PROGRAMAS BOT
( I ) I N S TA L A Ç Ã O D O
C:\DOCUME~1\User\LOCALS~1\Temp\citadel.exe
C:\Documents and Settings\User\Application Data\Akgaqu\piyz.exe
C:\Documents and Settings\User\Application Data\Odryku\ipesi.kei
C:\Documents and Settings\User\Application Data\Direty\alag.fev
C:\Documents and Settings\User\Application Data
C:\Documents and Settings\User\Application Data\Akgaqu
C:\Documents and Settings\User\Application Data\Odryku
C:\Documents and Settings\User\Application Data\Direty
C:\Documents and Settings\User\Application Data\Odryku\ipesi.dat
PROGRAMA CITADEL
De seguida, os dados de um dos mais
No decorrer e na finalização do
populares e famosos programas bot, conhecido
procedimento de instalação do programa bot
por Citadel, designado por citadel.exe. (mapa 2)
Cit a d el , d e a c ordo c om a s i n for m a ç õ e s d a
MAPA 3
118
comunicação em rede desse programa,
o citadel.exe efect uou comunicações
ANTIVÍRUS
RESULTADOS
nProtect
Trojan-Spy/W32.ZBot.247296.BH
McAfee
RDN/Generic.bfr!ce
Symantec
Trojan.Gen.2
citadel.exe executou acções de post &
Norman
ZBot.GSSC
get através do protocolo http, como os
TrendMicro-HouseCall
TROJ_SPNR.0BCO13
dados são muitos, apenas apresentamos
Kaspersky
Trojan-Spy.Win32.Zbot.jwcj
BitDefender
Trojan.Generic.KDV.906991
TrendMicro
TROJ_SPNR.0BCO13
d a d o s b á sic o s , p a r a m a i s d e t a l h e s
McAfee-GW-Edition
RDN/Generic.bfr!ce
sobre o prog rama bot Citadel, pode
Kingsoft
Win32.Troj.Zbot.jw.(kcloud)
Microsoft
PWS:Win32/Zbot
principalmente através dos 4 endereços
IP. (mapa 4)
Durante a comunicação, o
um dos itens. (figura 5)
Neste estudo apenas apresentamos
ser consult ado o Malware Analysis:
Citadel da “AhnLab”. Com os dados
a ci ma refe r idos, podemos ve r if ica r
OPINIÃO
sua existência. O dia em que o originador decide
MAPA 4
dar uma ordem de ataque, é possível descobrir
DOMAIN
IP
a sua existência, mas normalmente, na altura,
oklodfmmm.com
199.2.137.201
já é tarde demais, possivelmente centenas de
k-k131.co.jp
59.106.171.39
milhares de computadores já estão infectados e
tableindexcsv.com
199.2.137.201
danificados. Por estas razões, antes de acontecer
dcu-a-202.
199.2.137.202
um ataque nocivo de uma Botnet, o utilizador
deve instalar um software antivírus que faz o
que na instalação do programa bot criaram-se
trabalho de detecção; depois do ataque, a nível
vários outros files e foram escritos dados, o mais
policial, servirá para ajudar a investigação e a
impor tante, é a obtenção dos 4 endereços IP
recolha de provas.
relativos ao bot, que servem para acompanhar
O trabalho de detecção consiste principalmente
a investigação. De facto, é necessár io ainda
na análise das características dos dados da rede,
analisar as operações e recolher os dados da
através de um método de aprendizagem da máquina,
rede, a este t rabal ho dá-se o nome de black
que analisa as características de forma inteligente,
boxing e white boxing, matéria que não vamos
com vista a descobr ir a Botnet escondida. O
aprofundar neste trabalho.
utilizador comum, normalmente usa um software
antivírus para
Figura 4
efectuar a
detecção, este
baseia-se na
comparação
entre as bases
de dados e os
programas
para encontrar
(II) DETECÇÃO DA BOTN ET E DOS
COMPUTADORES INFECTADOS
uma Botnet.
No trabalho de investigação e recolha de
provas, um dos passos fundamentais é recolher
A detecção de uma Botnet é um trabalho
amostras de vírus informáticos necessários para
relativamente difícil, a facilidade com que os
aquela investigação. Geralmente, com a técnica
bots são produzidos é a principal causa, alguns
desses programas são escritos especialmente
por técnicos profissionais ou são reproduzidos
p e s s o a l m e nt e a t r avé s d e u m d o s i nú m e r o s
prog ramas existentes, por i ndivíduos que
n ã o p o s s ue m t é c n ica s e s p e cí f ica s , o q ue é
m u i t o f r e q u e n t e h oj e e m d i a . Q u a n d o u m
computador “zombie” está em operação, sem
efect uar quaisquer ataques nocivos, estando
a p e n a s a e s p a l h a r e d iv u lg a r i n fo r m a ç õ e s
do honeypot conseguem-se obter essas amostras,
q u e s e r ve d e p oi s p a r a f a z e r a c o m p a r a ç ã o
através do sistema md5 (que compara o número
Figura 5
http://oklodfmmm.com/pro/file.php
POST /pro/f ile.php HTTP/1.1 Accept: */* UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.1; SV1; InfoPath.2) Host: oklodfmmm.com
Cont e nt-L e ng t h: 128 Con ne ct ion: Ke e p -A l ive
Cache-Control: no-cache PF\x82\xe3\x81R\xb0\
x0f \xa5\xdd9\.....
individualmente, é muito difícil de descobrir a
119
OPINIÃO
imagens podem tornar o sistema operativo
MAPA 5
i n d e p e n d e nt e e e v it a r a s o p e r a ç õ e s d o
programa de rede e do seu tráfico, fazendo
Lugar
País
Percentagem
1
Estados Unidos da América
28.12%
2
Coreia do Sul
21.27%
armazenar os vestígios dos dados e log files
3
Itália
10.46%
desse programa. Uma vez obtido o programa
4
Malásia
8.88%
5
Macau
6.40%
6
Japão
2.82%
original ou fazer o download do malware
7
Rússia
2.59%
para saber a localização do servidor e dos
8
Áustria
2.52%
9
Taiwan
2.49%
10
Índia
1.75%
os possíveis para salvaguardar a existência
do programa bot, podendo assim analisar e
p a r a i nve s t ig a ç ã o, p o d e m - s e r e t i r a r o s
dados daquela rede e analisar o seu tráfico,
por outro lado, tenta-se analisar o servidor
alvos de ataques, entre outros.
III. SITUAÇ ÃO AC TUAL E
PERSPECTIVAS FUTURAS
Seg undo os dados da “Trend Micro”
de bites dos f icheiros), e conf ir mar assim se
sobre a Botnet, no primeiro trimestre de 2013,
são iguais aos programas originais. Com o uso
entre os países com maior aumento de casos de
desta técnica é possível obter várias amostras,
Botnet, Macau ocupa o 5º lugar. (mapa 5)
o que é mu it o út i l pa r a a me r a a n á l ise, a o
D e a c ord o c om o a c om p a n h a me nt o d o
contrário, a investigação criminal que necessita
surgimento de programas bot, o “Conf icker”,
de investigar certos factos específicos, seguir
e m 2013, afe ct ou aprox i m a d a me nt e 50 0 I P
esta via é muito mais difícil. Um outro método é
individuais em Macau. (figura 6)
procurar encontrar o computador vítima e tentar
O r it mo de desenvolv i mento de u ma
obter o programa bot, mas nestes computadores
Botnet, muitas vezes, tem prioridade e exerce
nor malmente já não consta o programa
grandes pressões a nível de estudo da segurança
executável original, ainda por cima, hoje em dia
informática, sem falar de problemas relativos à
4
os bots têm instalados o rootkit e sistemas de
desactualização da lei. O problema das Bonets
criptograf ia, tor nando difícil a sua obtenção.
envolve questões transfronteiriças, o originador,
O terceiro método visa efect uar cópias/
ser vidor, computadores infectados e vítimas
imagens do computador vítima, utilizando estas
têm diferentes localizações, o que dif icult a
Figura 6
sobretudo a organização das operações de
investigação criminal, por outro lado, as
provas digitais podem ficar danificadas
em pouquíssimo tempo, impedindo, de
c e r t o mo do, a r e c ol h a e p r e s e r va ç ã o
das mesmas. Numa Botnet, o número de
vítimas é incalculável, a maior parte delas
nem sabe que tem o computador infectado,
impossibilitando assim a prestação
opor t u na e adequad a de i nfor mações,
120
OPINIÃO
Figura 7
colaboração daquelas
entidades, houve
u ma par ticipação de
empresas pr ivadas e
públicas de 80 países,
onde foram suspensas
aproximadamente
e nt r e 1.0 0 0 e 1.4 0 0
Botnet, por cada rede
envolvida havia mais
de 1.000 computadores
vítimas, este foi uma
sendo esta uma questão complicada de resolver.
das operações mais bem sucedidas.
Para além disso, com a vulgarização da internet e
Em Macau, a probabilidade de ataques é
das tecnologias com ela relacionadas, as Botnets
relativamente baixa, por ser uma cidade pequena,
começaram a aparecer nos telemóveis inteligentes,
não tendo grandes mercados financeiros, nem
no início de 2012, u ma empresa que produ z
grandes empresas, mesmo assim, não podemos
antivírus referiu que muitos utilizadores na China,
ignorar a ameaça que representa para o sector
foram infectados por uma Botnet criada para
do jogo e o sector público. Há necessidade de
telemóveis Android. Podemos ver no Relatório
vulgarizar os conhecimentos sobre segurança
2 012 d a S e g u r a n ç a Ci b e r n é t ic a d a C h i n a ,
na internet e reforçar o sentido de protecção nos
publicado pelo Centro da Segurança Cibernética
utilizadores de computador, dificultando não só
do Estado, apenas em 2012, 160.000 usuários
a propagação de programas bot em Macau, como
foram atacados por malwares. (figura 7)
diminuindo a possibilidade de ocorrência de outros
Para combater eficazmente o problema da
crimes informáticos. Além disso, as empresas
Botnet, além de melhorar a implementação da lei
de telecomunicações, entidades públicas e as
existente e o nível técnico do pessoal, a cooperação
empresas privadas de segurança cibernética devem
transregional também é algo muito importante.
cooperar para definir planos e mecanismos de
No dia 6 de Junho de 2013, a Agência Federal de
comunicação nesse âmbito, ajudando eficazmente
Investigação dos EUA e a “Microsoft Corporation”,
a prevenção e investigação do crime informático.
realizaram um combate à Botnet Citadel, através da
Notas:
1. Internet Relay Chat (IRC) é um protocolo de comunicação directa utilizado na internet, que permite conversas
em grupo ou privadas.
2. TCP FLOODING baseia-se no uso de falhas do protocolo TCP para enviar grande número de pedidos de conexão
TCP falsos, com o objectivo de sobrecarregar o sistema alvo (sobrecarga da CPU ou insuficiência de memória).
3. UDP FLOODING consiste no envio de um grande número de pacotes UDP por endereços de IP falsos, visando
sobrecarregar o sistema alvo.
4. “Rookit” é um tipo de software ou técnica que serve para esconder a existência de certos programas.
121