A indústria dos BotNets e os
crimes cibernéticos
Agenda
•
•
•
•
•
•
•
O que é um BotNet?
Como o sistema é infectado
Estudo de caso: Win32/Zbot
Estudo de caso: Win32/Rustock
Crimes com uso de Botnets
Qual seu papel neste cenário?
Referências
2
O que é um BotNet?
• É uma rede de computadores comprometidos que pode
ser usada de forma ilícita e secreta por um ou mais
indivíduos para fins maliciosos
• Os computadores que fazem parte de um botnet são
também chamados de bots, robots, nós ou zumbis
3
Como o sistema é infectado?
• Geralmente a infecção do sistema ocorre através dos
seguintes ataques:
– Spam
– Phishing
– Drive by download attack
• Um exemplo de um computador infectado e como a
vítima ia ser extorquida pode ser encontrado em
http://yuridiogenes.wordpress.com/2013/02/27/umaligao-no-meio-da-noite/
4
Estudo de Caso 1
Win32/Zbot
5
Características
• Win32/Zbot kit consiste de um componente construtor
que é usado para criar o malware para distribuição
• O Win32/Zbot tem uma
arquitetura
Cliente/Servidor que
requer um Servidor de
C&C (Command and
Control) para onde o Bot
se conecta para receber
instruções
• O kit de construção do
Win32/Zbot pode ser
obtido no Black Market
6
Operação
• Algoritmo gera uma lista de nome de domínios pseudo
randômicos a qual o bot vai tentar se conectar em
momentos diferentes
• O operador do
botnet usa o mesmo
algoritmo para gerar
a lista de nomes que
serão registradas e o
IP apontará para o
C&C na data que o
Bot está agendado
para se conectar com
o C&C
7
Ataque
• Entre os vários métodos (spam, phishing, etc) usados um
outro muito comum é o de SQL Injection para realizar
upload de exploit code
• Quando o sistema é comprometido e o Win32/Zbot é
executado no destino ele faz uma cópia dele mesmo
para %system% ou %appdata%
• Após isso começa a se inserir em vários processos do
sistema (geralmente winlogon.exe e explorer.exe), sendo
executado assim no contexto destes processos
• Depois de se proliferar no sistema ele contata o C&C
para receber instruções do que fazer
Microsoft Confidential 8
O que foi comprometido?
• Este bot é muito perigoso pois pode realizar as seguintes
operações:
– Retirar screenshot de sites de banco
– Obter dados HTML do usuário
– Redirecionar o usuário para sites falsos que parecem
legítimos
– Roubar credenciais
– Modificar configurações do sistema e fazer download
de binários comprometidos
Microsoft Confidential 9
Estatísticas
• Detecção do Win32/Zbot por mês
10
Estudo de Caso 2
Win32/Rustock
11
Características
• Da família de rootkit que gera backdoor trojan
• Rootkit inicialmente criado para ajudar na distribuição de
SPAM
• Os principais componentes são criptografados
12
Componentes
• Dropper é executado em Modo usuário e é responsável
por descriptografar (RC4) e baixar o rootkit driver
• O dropper também é responsável por contatar o C&C
• Antes de infectar o computador o dropper verifica uma
chave de registro para saber se o Rustock rootkit já está
instalado
• O instalador do driver é executado
em modo kernel como um drive
de sistema do Windows
• Geralmente troca arquivos como
beep.sys or null.sys por copias
com Rustock
13
Ataque
• Os computadores infectados eram usados como bot para
reenvio de spams com intuito de infectar outros
computadores
• Algumas versões do Rustock usavam um SMTP
customizado (botdll.dll) para envio de emails
• Diferente de outros malwares (como o Win32/Lethic), o
Rustock enviava spam para um usuário por vez
14
Evolução do Ataque
• Microsoft DCU (Digital Crime Unit) em conjunto com o
MMPC (Microsoft Malware Protection Center) fez um teste
com um sistema infectador por Win32/Harning (Dropper
do Rustock) e em 5 minutos os seguintes malwares foram
detectados
15
Estatísticas
• Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
16
Takedown
• Em 2010 Microsoft entrou com um processo contra os
operadores do Rustock
• Vários discos usados no C&C do
Rustock foram confiscados para
análise forense
– Várias evidencias foram
encontradas nos discos
17
Crimes com uso de Botnets
Win32/Rustock
18
Como botnets eram usados para
crimes cibernéticos?
• Venda de drogas (remédios) falsificados (como Pfizer e
Viagra)
• Email publicava anuncio da droga e infectava o
computador de destino
19
Além do Crime
• O problema vai além do crime pois muitos botnets
movimentam um mercado ilegal de falsificação de
drogas
• Não apenas as informações de cartão de crédito são
roubadas, mas o indivíduo recebe a medicação falsa
Exemplo de uma fábrica
clandestina usada para
fabricar drogas vendidas
através dos SPAMS
gerados pelo Rustock
20
O que devo fazer?
• Comece valorizando o básico:
– Não use software pirata
– Mantenha o sistema operacional sempre atualizado
(use o Windows Update)
– Mantenha o antivírus atualizado
– Assegure que outros softwares instalados no seu
computador (como o Adobe) também estejam
atualizados
• Não abra e-mail suspeito, não é por que o anti-spam
deixou passar que o e-mail necessariamente é válido
• Evangelize sua comunidade em tudo que foi
recomendado acima
21
Referências
• Taking Down Botnets: Microsoft and the Rustock Botnet
• Microsoft and Financial Services Industry Leaders Target
Cybercriminal Operations from Zeus Botnets
• Deactivating botnets to create a safer, more trusted
Internet
• Anatomy of a Botnet Report
• Botnet Business Booming
• Microsoft SIR
Microsoft Confidential 22
Perguntas
Contato
Twitter: @yuridiogenes
Blog (ENG): blogs.technet.com/yuridiogenes
Blog (PT-BR): yuridiogenes.wordpress.com
Download
  1. Internet

WebCastBotNet - Technet Gallery

Resultados iniciais no DeterLab

Resultados iniciais no DeterLab

Cápitulo 1 - Angelfire

Cápitulo 1 - Angelfire

Tipos de ataque

Tipos de ataque

Estágio – Recursos Humanos

Estágio – Recursos Humanos

breve apresentação da botnet e das técnicas de investigação criminal

breve apresentação da botnet e das técnicas de investigação criminal

Universidade .NET

Universidade .NET

Slide 1 - Felipemartins.info

Slide 1 - Felipemartins.info

Sistema de Detecção de Intrusos em Ataques Oriundos de Botnets

Sistema de Detecção de Intrusos em Ataques Oriundos de Botnets