1

Botnets

Gabriel Losada SaraivaGaio Caculakis

Matheus R. MuttonPedro Henrique de O. Fernandes

2

IntroduçãoDefinições

• MALWARE: programas desenvolvidos para executar ações danosas em um computador.Exemplos: worm, bots, virus

• WORM: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.

• SpyWare: Programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet.

3

• BOT: é um tipo de código malicioso que transforma o computador infectado em um “zumbi”, ou seja, a serviço de seu controlador .

• Computadores “zumbis”: Máquinas que podem ser controladas à distância pelo invasor, independente das ações do usuário.

• Bot herder: Nome que se dá à pessoa ou grupo que controla os computadores zombie, infectados com Bots

IntroduçãoDefinições

4

O que são Botnets?

• Grupo de computadores zombies (infectados por bots), e que são controlados por um hacker a que se denomina bot herder

• Grandes benefícios, alugando-as a terceiros para o envio de spam, por exemplo, ou utilizando-as diretamente para instalar spyware em milhares de computadores.

• também podem descarregar outro malware, como keyloggers, e assim a rede pode ser utilizada para conseguir os dados confidenciais de milhares de utilizadores.

5

Topologia da Botnet

Fonte: www.secureworks.com

6

Atualidades

• Shadow BotNet, controlava 100mil computadores. Descoberta em Agosto, 2008.

• Polícia de Quebec, no Canadá, descobriu e dissolveu uma quadrilha de hackers que comandava uma botnet . O grupo é responsável por cerca de US$ 44 milhões em danos. Fevereiro 2008.

• BotNet Nova Zelândia, controlava mais de um milhão de computadores. Descoberta através da operação Operation Bot Roast em Novembro, 2007

7

Lista das maiores botnets do mundo

1. Srizbi; 315 000 computadores; 60 mil milhões de mensagens/dia

2. Bobax; 185 000 computadores; 9 mil milhões de mensagens/dia

3. Rustock; 150 000 computadores; 30 mil milhões de mensagens/dia

4. Cutwail; 125 000 computadores; 16 mil milhões de mensagens/dia

5. Storm; 85 000 computadores; 3 mil milhões de mensagens/dia

6. Grum; 50 000 computadores; 2 mil milhões de mensagens/dia

7. Onewordsub; 40 000 computadores; número de mensagens desconhecido

8. Ozdok; 35 000 computadores; 10 mil milhões de mensagens/dia

9. Nucrypt; 20 000 computadores; 5 mil milhões de mensagens/dia

10. Wopla; 20 000 computadores; 600 milhões de mensagens/dia

11. Spamthru; 12 000 computadores; 350 milhões de mensagens/dia

Fonte: SecureWorks, abril de 2008

8

Tipos de Botnets

Existem vários tipos de Botnets, cada um com uma característica diferente. Alguns exemplos seguem abaixo:

• GT-Bots e mIRC bots

• XtremBot, Agobot, Forbot, Phatbot

• UrXBot, sdbot, UrBot e RBot

9

• GT-Bots e mIRC bots baseada

mIRC é um dos mais utilizados clientes IRC para a plataforma Windows .

GT é o nome comum para os bots roteiro usando mIRC.

GT-Bots podem lançar códigos binarios e scrips em um chat mIRC que contem muitas vezes extensões de arquivos .MRC.

Tipos de BotnetsGT-Bots e mIRC bots

10

Tipos de BotnetsXtremBot, Agobot, Forbot, Phatbot

• O robô é escrito usando C + + com várias plataformas capacidades como um compilador GPL e como o código-fonte

• Devido à sua abordagem modular, adicionando comandos ou scanners para aumentar a sua eficiência e tirar proveito de vulnerabilidades é bastante fácil.

• Agobot é bastante distinto, ele é o único robô que faz uso de outros protocolos além de controlar IRC.

11

Tipos de BotnetsUrXBot, sdbot, UrBot e RBot

• São publicados sob GPL

• Escrita em língua compilador C rudimentar.

• Embora a sua implementação é menos variada e sua concepção menos sohisticated, este tipo de bots são bem conhecidos e largamente utilizados na internet.

12

Objetivos dos Botnets

•Lucro (criadas para venda)

•DdoS (lucro)

•Spam (lucro)

13

Estratégia de ataque

• Criação

• Configuração

• Infecção

• Controle

• Atividades Maliciosas

14

Como o invasor se comunica com o Bot - PC infectado -

• O Bot conecta o computador infectado a um servidor IRC, e aguarda por instruções do invasor;

• Servidor IRC geralmente é utilizado devido a sua simplicidade, e por ser fácil de administrar.

15

Como o invasor se comunica com o Bot - Invasor -

• O invasor não se conecta diretamente aos bots, ele também se conecta a um servidor IRC, e entra no mesmo canal.

• Após estar conectado, envia mensagens, que são interpretadas pelos Bots.

• Servidores IRC tem a desvantagem de serem transmitidos em texto claro. Para tentar dificultar esta análise de tráfego, os invasores utilizam a ferramenta TOR.

16

Tipos de ataque

• DDoS

• Spam

• Sniffing e Keylogging

• Click Fraud

• Warez

17

fonte: http://www.cfa.harvard.edu/~huchra/ay16/M35a.gif

Tipos de ataque DDos

• Principal forma de ataque de botnets

• Os ataques DDoS podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos.

18

Tipos de ataque Spam

       

•Mensagem eletrônica contendo propaganda de produtos ou serviços enviada a uma ou mais pessoas sem que essas pessoas tenham solicitado as informações contidas na mensagem.

   

           fonte:  http://cs.jpl.nasa.gov/gray/skicat.jpg

19

Tipos de ataque Keylogging

• É um software cuja finalidade é monitorar tudo o que é digitado.

• Os Keylogger na maioria das vezes se infiltram no computador da vítima através de e-mails e links falsos

• Os Keylogger são programados de várias maneiras.

Exemplo:salvar os logs (que podem ser arquivos .txt .HTML) , enviar os logs para o email de uma pessoa.

20

Tipos de ataque Click Fraud

       

•Bots são instruídos a entrar em websites e clicar automaticamente em banners.• Este mecanismo é utilizado para roubar dinheiro de empresas que pagam recompensas por cada página visitada.

21

Mapa com resultado dos Centros de Comando, detectados em 2007

           fonte:  http://www.shadowserver.org/wiki/uploads/Stats/ccip-all.jpg

22

Mapa com os IPs que se infectaram ou sairam de uma BotNet no ano de 2008.

           fonte:  http://www.shadowserver.org/wiki/uploads/Stats/drones.jpg

23

Quantidade de C&C

           fonte:  http://www.shadowserver.org/wiki/uploads/Stats/botnets-day.png

Data 03/11/2008 – 18:00hs

24

Quantidade de Bots/Zombies ativos

           fonte:  http://www.shadowserver.org/wiki/uploads/Stats/botcount5-day.png

Entropia: número de dias decorridos para se considerar um Bot inativo (morto).

OBS: quedas repentinas podem ser explicadas pela queda de um C&C, e conseqüentemente seus Bots.

25

Quantidade de Bots/Zombies ativos

           fonte:  http://www.shadowserver.org/wiki/uploads/Stats/botcount5-week.png

26

Prevenção e Combate

Usar anti-vírus e software anti-spyware e mantendo-o até à data.

A definição de seu sistema operacional de software para baixar e instalar patches de segurança automaticamente.

Ser cuidadoso ao abrir quaisquer anexos ou download de arquivos de e-mails que você recebe.

27

Prevenção e Combate                                                                                    

•Utilizar uma firewall para proteger seu computador contra ataques hackers enquanto está ligado à Internet.

•Desligar da Internet quando estiver longe do seu computador.

•Verificar a sua "itens enviados" arquivo ou "saída" caixa de correio de mensagens que você não tinha a intenção de enviar.

•Download de software livre só a partir de sites que você conhece e confia.

28

Prevenção e Combate

•  Agir imediatamente se o seu computador está infectado.

Se o seu computador foi infectado por um vírus, desligue a ligação à Internet de imediato.

• Aprender mais sobre a assegurar o seu computador em www.OnGuardOnline.gov.

29

Conclusões

• Conceitos errados sobre segurança

• Detectar bots e botnets não é uma tarefa simples

30

Referências Bibliográficas

•Wikipédia. WORM. Disponível em: http://pt.wikipedia.org/wiki/Worm, Setembro

•TechFaq. What is a Botnet? Disponível em: http://www.tech-faq.com/botnet.shtml, Setembro

•FTC Consumer Alert. Botnets and Hackers and Spam. Disponível em: http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt132.pdf, Setembro

•Wikipedia. Warez. Disponível em: http://pt.wikipedia.org/wiki/Warez, Setembro

•Palestra sobre Bot e Botnets. Disponível em: http://www.csirt.pop-mg.rnp.br/eventos/palestras/botnets.pdf, Outubro

•Wikipédia . Spyware. Disponível em :http://pt.wikipedia.org/wiki/Spyware, Outubro