Botnets
Gabriel Losada Saraiva
Gaio Caculakis
Matheus R. Mutton
Pedro Henrique de O. Fernandes
1
Introdução
Definições
• MALWARE: programas desenvolvidos para executar
ações danosas em um computador.
Exemplos: worm, bots, virus
• WORM: Programa capaz de se propagar
automaticamente através de redes, enviando cópias de si
mesmo de computador para computador.
• SpyWare: Programa automático de computador, que
recolhe informações sobre o usuário, sobre os seus
costumes na Internet.
2
Introdução
Definições
•
BOT: é um tipo de código malicioso que transforma o
computador infectado em um “zumbi”, ou seja, a
serviço de seu controlador .
•
Computadores “zumbis”: Máquinas que podem ser
controladas à distância pelo invasor, independente das
ações do usuário.
•
Bot herder: Nome que se dá à pessoa ou grupo que
controla os computadores zombie, infectados com Bots
3
O que são Botnets?
• Grupo de computadores zombies (infectados por bots), e
que são controlados por um hacker a que se denomina
bot herder
• Grandes benefícios, alugando-as a terceiros para o envio
de spam, por exemplo, ou utilizando-as diretamente para
instalar spyware em milhares de computadores.
• também podem descarregar outro malware, como
keyloggers, e assim a rede pode ser utilizada para
conseguir os dados confidenciais de milhares de
utilizadores.
4
Topologia da Botnet
Fonte: www.secureworks.com
5
Atualidades
• Shadow BotNet, controlava 100mil computadores.
Descoberta em Agosto, 2008.
• Polícia de Quebec, no Canadá, descobriu e dissolveu
uma quadrilha de hackers que comandava uma botnet .
O grupo é responsável por cerca de US$ 44 milhões em
danos. Fevereiro 2008.
• BotNet Nova Zelândia, controlava mais de um milhão
de computadores. Descoberta através da operação
Operation Bot Roast em Novembro, 2007
6
Lista das maiores botnets do mundo
1. Srizbi; 315 000 computadores; 60 mil milhões de mensagens/dia
2. Bobax; 185 000 computadores; 9 mil milhões de mensagens/dia
3. Rustock; 150 000 computadores; 30 mil milhões de mensagens/dia
4. Cutwail; 125 000 computadores; 16 mil milhões de mensagens/dia
5. Storm; 85 000 computadores; 3 mil milhões de mensagens/dia
6. Grum; 50 000 computadores; 2 mil milhões de mensagens/dia
7. Onewordsub; 40 000 computadores; número de mensagens desconhecido
8. Ozdok; 35 000 computadores; 10 mil milhões de mensagens/dia
9. Nucrypt; 20 000 computadores; 5 mil milhões de mensagens/dia
10. Wopla; 20 000 computadores; 600 milhões de mensagens/dia
11. Spamthru; 12 000 computadores; 350 milhões de mensagens/dia
Fonte: SecureWorks, abril de 2008
7
Tipos de Botnets
Existem vários tipos de Botnets, cada um com uma
característica diferente. Alguns exemplos seguem abaixo:
• GT-Bots e mIRC bots
• XtremBot, Agobot, Forbot, Phatbot
• UrXBot, sdbot, UrBot e RBot
8
Tipos de Botnets
GT-Bots e mIRC bots
•
GT-Bots e mIRC bots baseada
mIRC é um dos mais utilizados clientes IRC para
a plataforma Windows .
GT é o nome comum para os bots roteiro usando
mIRC.
GT-Bots podem lançar códigos binarios e scrips
em um chat mIRC que contem muitas vezes
extensões de arquivos .MRC.
9
Tipos de Botnets
XtremBot, Agobot, Forbot, Phatbot
• O robô é escrito usando C + + com várias plataformas
capacidades como um compilador GPL e como o códigofonte
• Devido à sua abordagem modular, adicionando comandos
ou scanners para aumentar a sua eficiência e tirar proveito
de vulnerabilidades é bastante fácil.
• Agobot é bastante distinto, ele é o único robô que faz uso
de outros protocolos além de controlar IRC.
10
Tipos de Botnets
UrXBot, sdbot, UrBot e RBot
•
São publicados sob GPL
•
Escrita em língua compilador C rudimentar.
•
Embora a sua implementação é menos variada e sua
concepção menos sohisticated, este tipo de bots são bem
conhecidos e largamente utilizados na internet.
11
Objetivos dos Botnets
•Lucro (criadas para venda)
•DdoS (lucro)
•Spam (lucro)
12
Estratégia de ataque
•
•
•
•
•
Criação
Configuração
Infecção
Controle
Atividades Maliciosas
13
Como o invasor se comunica com o Bot
- PC infectado • O Bot conecta o computador infectado a um
servidor IRC, e aguarda por instruções do
invasor;
• Servidor IRC geralmente é utilizado devido a sua
simplicidade, e por ser fácil de administrar.
14
Como o invasor se comunica com o Bot
- Invasor • O invasor não se conecta diretamente aos bots,
ele também se conecta a um servidor IRC, e entra
no mesmo canal.
• Após estar conectado, envia mensagens, que são
interpretadas pelos Bots.
• Servidores IRC tem a desvantagem de serem
transmitidos em texto claro. Para tentar dificultar
esta análise de tráfego, os invasores utilizam a
ferramenta TOR.
15
Tipos de ataque
•
•
•
•
•
DDoS
Spam
Sniffing e Keylogging
Click Fraud
Warez
16
Tipos de ataque
DDos
• Principal forma de ataque de botnets
• Os ataques DDoS podem ser definidos como
ataques DoS diferentes partindo de várias
origens, disparados simultânea e
coordenadamente sobre um ou mais alvos.
fonte: http://www.cfa.harvard.edu/~huchra/ay16/M35a.gif
17
Tipos de ataque
Spam
•Mensagem eletrônica contendo propaganda de
produtos ou serviços enviada a uma ou mais pessoas
sem que essas pessoas tenham solicitado as
informações contidas na mensagem.
fonte: http://cs.jpl.nasa.gov/gray/skicat.jpg
18
Tipos de ataque
Keylogging
• É um software cuja finalidade é monitorar tudo o que é
digitado.
• Os Keylogger na maioria das vezes se infiltram no
computador da vítima através de e-mails e links falsos
• Os Keylogger são programados de várias maneiras.
Exemplo:salvar os logs (que podem ser arquivos .txt .HTML) ,
enviar os logs para o email de uma pessoa.
19
Tipos de ataque
Click Fraud
•Bots são instruídos a entrar em websites e clicar
automaticamente em banners.
• Este mecanismo é utilizado para roubar dinheiro de
empresas que pagam recompensas por cada página
visitada.
20
Mapa com resultado dos Centros de Comando,
detectados em 2007
fonte: http://www.shadowserver.org/wiki/uploads/Stats/ccip-all.jpg 21
Mapa com os IPs que se infectaram ou sairam
de uma BotNet no ano de 2008.
fonte: http://www.shadowserver.org/wiki/uploads/Stats/drones.jpg 22
Quantidade de C&C
Data 03/11/2008 – 18:00hs
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botnets-day.png
23
Quantidade de Bots/Zombies ativos
Entropia: número de dias decorridos para se considerar um
Bot inativo (morto).
OBS: quedas repentinas podem ser explicadas pela queda de
um C&C, e conseqüentemente seus Bots.
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-day.png24
Quantidade de Bots/Zombies ativos
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-week.png
25
Prevenção e Combate
Usar anti-vírus e software anti-spyware e
mantendo-o até à data.
A definição de seu sistema operacional de
software para baixar e instalar patches de
segurança automaticamente.
Ser cuidadoso ao abrir quaisquer anexos ou
download de arquivos de e-mails que você
recebe.
26
Prevenção e Combate
•Utilizar uma firewall para proteger seu computador contra
ataques hackers enquanto está ligado à Internet.
•Desligar da Internet quando estiver longe do seu computador.
•Verificar a sua "itens enviados" arquivo ou "saída" caixa de
correio de mensagens que você não tinha a intenção de
enviar.
•Download de software livre só a partir de sites que você
conhece e confia.
27
Prevenção e Combate
• Agir imediatamente se o seu computador está infectado.
Se o seu computador foi infectado por um vírus, desligue a
ligação à Internet de imediato.
• Aprender mais sobre a assegurar o seu computador em
www.OnGuardOnline.gov.
28
Conclusões
• Conceitos errados sobre segurança
• Detectar bots e botnets não é uma tarefa simples
29
Referências Bibliográficas
•Wikipédia. WORM. Disponível em: http://pt.wikipedia.org/wiki/Worm, Setembro
•TechFaq. What is a Botnet? Disponível em: http://www.tech-faq.com/botnet.shtml, Setembro
•FTC Consumer Alert. Botnets and Hackers and Spam. Disponível em:
http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt132.pdf, Setembro
•Wikipedia. Warez. Disponível em: http://pt.wikipedia.org/wiki/Warez, Setembro
•Palestra sobre Bot e Botnets. Disponível em: http://www.csirt.pop-mg.rnp.br/eventos/palestras/botnets.pdf, Outubro
•Wikipédia . Spyware. Disponível em :http://pt.wikipedia.org/wiki/Spyware, Outubro
30