1
Botnets
Gabriel Losada SaraivaGaio Caculakis
Matheus R. MuttonPedro Henrique de O. Fernandes
2
IntroduçãoDefinições
• MALWARE: programas desenvolvidos para executar ações danosas em um computador.Exemplos: worm, bots, virus
• WORM: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.
• SpyWare: Programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet.
3
• BOT: é um tipo de código malicioso que transforma o computador infectado em um “zumbi”, ou seja, a serviço de seu controlador .
• Computadores “zumbis”: Máquinas que podem ser controladas à distância pelo invasor, independente das ações do usuário.
• Bot herder: Nome que se dá à pessoa ou grupo que controla os computadores zombie, infectados com Bots
IntroduçãoDefinições
4
O que são Botnets?
• Grupo de computadores zombies (infectados por bots), e que são controlados por um hacker a que se denomina bot herder
• Grandes benefícios, alugando-as a terceiros para o envio de spam, por exemplo, ou utilizando-as diretamente para instalar spyware em milhares de computadores.
• também podem descarregar outro malware, como keyloggers, e assim a rede pode ser utilizada para conseguir os dados confidenciais de milhares de utilizadores.
5
Topologia da Botnet
Fonte: www.secureworks.com
6
Atualidades
• Shadow BotNet, controlava 100mil computadores. Descoberta em Agosto, 2008.
• Polícia de Quebec, no Canadá, descobriu e dissolveu uma quadrilha de hackers que comandava uma botnet . O grupo é responsável por cerca de US$ 44 milhões em danos. Fevereiro 2008.
• BotNet Nova Zelândia, controlava mais de um milhão de computadores. Descoberta através da operação Operation Bot Roast em Novembro, 2007
7
Lista das maiores botnets do mundo
1. Srizbi; 315 000 computadores; 60 mil milhões de mensagens/dia
2. Bobax; 185 000 computadores; 9 mil milhões de mensagens/dia
3. Rustock; 150 000 computadores; 30 mil milhões de mensagens/dia
4. Cutwail; 125 000 computadores; 16 mil milhões de mensagens/dia
5. Storm; 85 000 computadores; 3 mil milhões de mensagens/dia
6. Grum; 50 000 computadores; 2 mil milhões de mensagens/dia
7. Onewordsub; 40 000 computadores; número de mensagens desconhecido
8. Ozdok; 35 000 computadores; 10 mil milhões de mensagens/dia
9. Nucrypt; 20 000 computadores; 5 mil milhões de mensagens/dia
10. Wopla; 20 000 computadores; 600 milhões de mensagens/dia
11. Spamthru; 12 000 computadores; 350 milhões de mensagens/dia
Fonte: SecureWorks, abril de 2008
8
Tipos de Botnets
Existem vários tipos de Botnets, cada um com uma característica diferente. Alguns exemplos seguem abaixo:
• GT-Bots e mIRC bots
• XtremBot, Agobot, Forbot, Phatbot
• UrXBot, sdbot, UrBot e RBot
9
• GT-Bots e mIRC bots baseada
mIRC é um dos mais utilizados clientes IRC para a plataforma Windows .
GT é o nome comum para os bots roteiro usando mIRC.
GT-Bots podem lançar códigos binarios e scrips em um chat mIRC que contem muitas vezes extensões de arquivos .MRC.
Tipos de BotnetsGT-Bots e mIRC bots
10
Tipos de BotnetsXtremBot, Agobot, Forbot, Phatbot
• O robô é escrito usando C + + com várias plataformas capacidades como um compilador GPL e como o código-fonte
• Devido à sua abordagem modular, adicionando comandos ou scanners para aumentar a sua eficiência e tirar proveito de vulnerabilidades é bastante fácil.
• Agobot é bastante distinto, ele é o único robô que faz uso de outros protocolos além de controlar IRC.
11
Tipos de BotnetsUrXBot, sdbot, UrBot e RBot
• São publicados sob GPL
• Escrita em língua compilador C rudimentar.
• Embora a sua implementação é menos variada e sua concepção menos sohisticated, este tipo de bots são bem conhecidos e largamente utilizados na internet.
12
Objetivos dos Botnets
•Lucro (criadas para venda)
•DdoS (lucro)
•Spam (lucro)
13
Estratégia de ataque
• Criação
• Configuração
• Infecção
• Controle
• Atividades Maliciosas
14
Como o invasor se comunica com o Bot - PC infectado -
• O Bot conecta o computador infectado a um servidor IRC, e aguarda por instruções do invasor;
• Servidor IRC geralmente é utilizado devido a sua simplicidade, e por ser fácil de administrar.
15
Como o invasor se comunica com o Bot - Invasor -
• O invasor não se conecta diretamente aos bots, ele também se conecta a um servidor IRC, e entra no mesmo canal.
• Após estar conectado, envia mensagens, que são interpretadas pelos Bots.
• Servidores IRC tem a desvantagem de serem transmitidos em texto claro. Para tentar dificultar esta análise de tráfego, os invasores utilizam a ferramenta TOR.
16
Tipos de ataque
• DDoS
• Spam
• Sniffing e Keylogging
• Click Fraud
• Warez
17
fonte: http://www.cfa.harvard.edu/~huchra/ay16/M35a.gif
Tipos de ataque DDos
• Principal forma de ataque de botnets
• Os ataques DDoS podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos.
18
Tipos de ataque Spam
•Mensagem eletrônica contendo propaganda de produtos ou serviços enviada a uma ou mais pessoas sem que essas pessoas tenham solicitado as informações contidas na mensagem.
fonte: http://cs.jpl.nasa.gov/gray/skicat.jpg
19
Tipos de ataque Keylogging
• É um software cuja finalidade é monitorar tudo o que é digitado.
• Os Keylogger na maioria das vezes se infiltram no computador da vítima através de e-mails e links falsos
• Os Keylogger são programados de várias maneiras.
Exemplo:salvar os logs (que podem ser arquivos .txt .HTML) , enviar os logs para o email de uma pessoa.
20
Tipos de ataque Click Fraud
•Bots são instruídos a entrar em websites e clicar automaticamente em banners.• Este mecanismo é utilizado para roubar dinheiro de empresas que pagam recompensas por cada página visitada.
21
Mapa com resultado dos Centros de Comando, detectados em 2007
fonte: http://www.shadowserver.org/wiki/uploads/Stats/ccip-all.jpg
22
Mapa com os IPs que se infectaram ou sairam de uma BotNet no ano de 2008.
fonte: http://www.shadowserver.org/wiki/uploads/Stats/drones.jpg
23
Quantidade de C&C
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botnets-day.png
Data 03/11/2008 – 18:00hs
24
Quantidade de Bots/Zombies ativos
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-day.png
Entropia: número de dias decorridos para se considerar um Bot inativo (morto).
OBS: quedas repentinas podem ser explicadas pela queda de um C&C, e conseqüentemente seus Bots.
25
Quantidade de Bots/Zombies ativos
fonte: http://www.shadowserver.org/wiki/uploads/Stats/botcount5-week.png
26
Prevenção e Combate
Usar anti-vírus e software anti-spyware e mantendo-o até à data.
A definição de seu sistema operacional de software para baixar e instalar patches de segurança automaticamente.
Ser cuidadoso ao abrir quaisquer anexos ou download de arquivos de e-mails que você recebe.
27
Prevenção e Combate
•Utilizar uma firewall para proteger seu computador contra ataques hackers enquanto está ligado à Internet.
•Desligar da Internet quando estiver longe do seu computador.
•Verificar a sua "itens enviados" arquivo ou "saída" caixa de correio de mensagens que você não tinha a intenção de enviar.
•Download de software livre só a partir de sites que você conhece e confia.
28
Prevenção e Combate
• Agir imediatamente se o seu computador está infectado.
Se o seu computador foi infectado por um vírus, desligue a ligação à Internet de imediato.
• Aprender mais sobre a assegurar o seu computador em www.OnGuardOnline.gov.
29
Conclusões
• Conceitos errados sobre segurança
• Detectar bots e botnets não é uma tarefa simples
30
Referências Bibliográficas
•Wikipédia. WORM. Disponível em: http://pt.wikipedia.org/wiki/Worm, Setembro
•TechFaq. What is a Botnet? Disponível em: http://www.tech-faq.com/botnet.shtml, Setembro
•FTC Consumer Alert. Botnets and Hackers and Spam. Disponível em: http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt132.pdf, Setembro
•Wikipedia. Warez. Disponível em: http://pt.wikipedia.org/wiki/Warez, Setembro
•Palestra sobre Bot e Botnets. Disponível em: http://www.csirt.pop-mg.rnp.br/eventos/palestras/botnets.pdf, Outubro
•Wikipédia . Spyware. Disponível em :http://pt.wikipedia.org/wiki/Spyware, Outubro