Continuando com o artigo sobre botnets, segue agora uma breve explicação de como funciona e como é organizada uma botnet.
Este post é continuação do post Botnets e Cyber Crime: Introdução, é recomendado que o leia primeiro.
Classificação das Botnets
Tentar categorizar o conceito de botnet não é fácil. Existem muitas arquiteturas feitas e pensadas especialmente para um certo propósito. É inevitável que fatores como estes vão influenciar desde no malware utilizado para comprometer o computador da vítima até a tecnologia empregada.
As botnets podem ser dividas pela estrutura implementada. A maioria é baseada em um ou mais centros de controle e comando (C&C), onde cada bot é ligado diretamente ao servidor C&C. O servidor C&C administra a lista de máquinas infectadas, seu status e manda as instruções.
Esse tipo de estrutura é fácil de organizar e manter, mas tem um grande problema que é a vulnerabilidade do controle, desligando/desconectando o C&C toda a rede fica inoperante. O servidor representa o único ponto falho do sistema, porque é o único ponto que comanda tudo, sem ele a botnet se torna inútil. O método mais usado para detectar uma rede de botnets é analizando o tráfego de máquinas infectadas, detectando um padrão e chegando até o C&C.
Em arquiteturas decentralizadas, conhecidas como botnets Peer-to-Peer (P2P), os bots não estão necessariamente conectados com o servidor C&C, a conexão é transmitida de zumbi a zumbi. Cada nó da rede tem uma lista de bots próximos, onde eles mesmos se comunicam e trocam comandos. Neste caso, muito mais difícil de rastrear o C&C, porque o atacante precisa se comunicar com apenas uma máquina, e ela espalha para as demais. Caso essa máquina seja removida, qualquer outra pode assumir seu lugar e seguir com a botnet em funcionamento.
Ano passado, pesquisadores da Symantec detectaram uma variante do popular malware Zeus, que mantinha um sistema de backup por P2P em caso de o servidor C&C não estiver acessível. Essa variante não usa um servidor C&C isolado como uma botnet normal, o expert em segurança Andrea Lelli declarou:
"Cada nó da botnet pode agir como um servidor C&C, mas nenhum deles de fato é um. Os bots são capazes de baixar os comandos, arquivos de configuração e executáveis de outros bots, cada computador comprometido é capaz de prover dados para outros bots."
Este tipo de botnet é realmente preocupante. É mais difícil lutar contra, já que o ponto fraco aparente em arquiteturas clássicas não está presente. Por este motivo que os hackers preferem estas arquiteturas híbridas.
As botnets também podem ter subgrupos, classificadas pela tecnologia ou protocolo que operam, e estes protocolos podem variar bastante. O mais comum é a transmissão de comandos para os bots através de um canal IRC.
Já as botnets mais avançadas usam seus próprios protocolos, baseados em TCP, ICMP ou UDP. Por exemplo o Zeus citado anteriormente que usa variantes do protocolo UDP.
Outra forma interessante é o uso de serviços de mensagens baseados no IM, como por exemplo o MSN ou o ICQ. Também não podemos esquecer as botnets controladas por um servidor web baseado em HTTP.
A principal porta de entrada da maioria desses malwares é através de links maliciosos enviados via email ou mensagens através de redes sociais. A idéia aqui não é pegar uma máquina em específico, e sim o máximo de máquinas possível vulneráveis ao exploit kit.
Às vezes, as funções das redes sociais modernas, serviços em nuvem e web-portais são utilizados como um canal secreto para armazenamento de informações. Um dos incidentes mais recentes foi relacionado aos serviços Evernote, onde os hackers dispostos a sua própria conta de usuário, carregaram o arquivo com os comandos para a botnet. O mesmo método foi utilizado também com o Twitter na botnet Flashback. O botnet Zeus é um exemplo clássico deste tipo de arquitetura, que era conhecido por ser capaz de furtar dados bancários de vítimas.
Este post é continuação do post Botnets e Cyber Crime: Introdução, é recomendado que o leia primeiro.
Classificação das Botnets
Tentar categorizar o conceito de botnet não é fácil. Existem muitas arquiteturas feitas e pensadas especialmente para um certo propósito. É inevitável que fatores como estes vão influenciar desde no malware utilizado para comprometer o computador da vítima até a tecnologia empregada.
As botnets podem ser dividas pela estrutura implementada. A maioria é baseada em um ou mais centros de controle e comando (C&C), onde cada bot é ligado diretamente ao servidor C&C. O servidor C&C administra a lista de máquinas infectadas, seu status e manda as instruções.
Esse tipo de estrutura é fácil de organizar e manter, mas tem um grande problema que é a vulnerabilidade do controle, desligando/desconectando o C&C toda a rede fica inoperante. O servidor representa o único ponto falho do sistema, porque é o único ponto que comanda tudo, sem ele a botnet se torna inútil. O método mais usado para detectar uma rede de botnets é analizando o tráfego de máquinas infectadas, detectando um padrão e chegando até o C&C.
Em arquiteturas decentralizadas, conhecidas como botnets Peer-to-Peer (P2P), os bots não estão necessariamente conectados com o servidor C&C, a conexão é transmitida de zumbi a zumbi. Cada nó da rede tem uma lista de bots próximos, onde eles mesmos se comunicam e trocam comandos. Neste caso, muito mais difícil de rastrear o C&C, porque o atacante precisa se comunicar com apenas uma máquina, e ela espalha para as demais. Caso essa máquina seja removida, qualquer outra pode assumir seu lugar e seguir com a botnet em funcionamento.
Ano passado, pesquisadores da Symantec detectaram uma variante do popular malware Zeus, que mantinha um sistema de backup por P2P em caso de o servidor C&C não estiver acessível. Essa variante não usa um servidor C&C isolado como uma botnet normal, o expert em segurança Andrea Lelli declarou:
"Cada nó da botnet pode agir como um servidor C&C, mas nenhum deles de fato é um. Os bots são capazes de baixar os comandos, arquivos de configuração e executáveis de outros bots, cada computador comprometido é capaz de prover dados para outros bots."
Este tipo de botnet é realmente preocupante. É mais difícil lutar contra, já que o ponto fraco aparente em arquiteturas clássicas não está presente. Por este motivo que os hackers preferem estas arquiteturas híbridas.
As botnets também podem ter subgrupos, classificadas pela tecnologia ou protocolo que operam, e estes protocolos podem variar bastante. O mais comum é a transmissão de comandos para os bots através de um canal IRC.
Já as botnets mais avançadas usam seus próprios protocolos, baseados em TCP, ICMP ou UDP. Por exemplo o Zeus citado anteriormente que usa variantes do protocolo UDP.
Outra forma interessante é o uso de serviços de mensagens baseados no IM, como por exemplo o MSN ou o ICQ. Também não podemos esquecer as botnets controladas por um servidor web baseado em HTTP.
A principal porta de entrada da maioria desses malwares é através de links maliciosos enviados via email ou mensagens através de redes sociais. A idéia aqui não é pegar uma máquina em específico, e sim o máximo de máquinas possível vulneráveis ao exploit kit.
Às vezes, as funções das redes sociais modernas, serviços em nuvem e web-portais são utilizados como um canal secreto para armazenamento de informações. Um dos incidentes mais recentes foi relacionado aos serviços Evernote, onde os hackers dispostos a sua própria conta de usuário, carregaram o arquivo com os comandos para a botnet. O mesmo método foi utilizado também com o Twitter na botnet Flashback. O botnet Zeus é um exemplo clássico deste tipo de arquitetura, que era conhecido por ser capaz de furtar dados bancários de vítimas.
0 comentários:
Postar um comentário