Botnet: Uma visao geral

Botnet: Uma visão geral

AlunoDiego Gomes Magalhães

OrientadorFlávio Luis de Mello, D. Sc.

Banca AvaliadoraEdilberto Strauss, Ph. D.Flávio Luis de Mello, D. Sc.


Apresentação

Diego Gomes Magalhães Arquiteto de Sistemas Java Bel. Sistema de Informação – Lemos de Castro


Motivação

• Segurança da Informação

• Curiosidade sobre arquitetura de redes zumbi

• Falta de material em língua portuguesa


Agenda * Tempo de apresentação: 15 minutos

• O que são redes zumbi?

• Breve histórico e seu ciclo de vida

• Quais suas motivações? • Estatísticas no Brasil e no Mundo

• Conclusão

• Trabalhos futuros

• Q&A


Redes ZumbiO que são?

“Botnet é uma coleção de softwares robôs, ou bots (Abreviação de robots - robôs em inglês), que são executados automaticamente e de forma autónoma. O termo é freqüentemente associado com software malicioso, mas ele também pode referir-se à rede de computadores usando computação distribuída software.” Wikipedia (http://pt.wikipedia.org/wiki/Botnet)

ou ainda...

“Redes formadas por diversos computadores infectados com bots. Podem ser usadas em atividades de negação de serviço, esquemas de fraude, envio de spam, etc.” Cert.br (http://cartilha.cert.br/glossario/)

http://pt.wikipedia.org/wiki/Botnet

http://cartilha.cert.br/glossario/


Redes ZumbiAnatomia de uma rede zumbi

• Bot herder (Dono da rede zumbi)

• Botnet Server (C&C)

• Máquinas zumbis ou Bots

Fig. 1 – Anatomia típica de uma rede zumbi


Redes ZumbiVariações de tipos de rede

Fig. 2 – Skype Botnet

Fig. 3 – IRC Botnet


Redes ZumbiLinha do tempo

• 1993: Robey Pointer Eggdrop

• 1998: Ataques de bots direcionados a mIRC

• 1999: prettyPark Worm (inclui também um bot IRC)

• 2002: AgoBot e SDBots aparecem

• 2005: Aparecimento dos primeiros bots web (perl)

• 2006: Primeiro C&C (Command and Control) via web

• 2007: Storm Worm P2P C&C

• 2009 - Atualidade: Kneber, Zeus, Mariposa e outros.


Redes ZumbiCiclo de vida

Computador é infectado e se torna um bot

Botherder fica sabendo da

existencia do novo bot

Bot se protege de A/V e tenta infectar outras

máquinas

Bot escuta aos comandos do

C&C

Recupera módulos

Executa comandos

Exporta relatórios e informações

para o C&C


Redes ZumbiMotivação e evolução histórica

• Prova de conceito?• Robey Pointer Eggdrop

• Dados de usuários• Pretty Park

• Roubo de dados e transações ilícitas• AgoBot e SDBot

• Lavagem de dinheiro e formação de crime organizado• Zeus, Mariposa e Kneber – Money Mules, Venda de informação

• Interesses políticos e industriais• Ataque DDOS a países inteiros (Caso da Estônia),

• Acesso e roubo de informações (Incidente Google x China)


Estatísticas

Fig. 4.1 – Número de amostras de malware (Fonte: PandaLabs)

Fig. 4.2 – Número de amostras de malware (Fonte: PandaLabs)


Estatísticas

Fig. 5.1 – Percentual de tipos de malware (Fonte: PandaLabs)

Fig. 5.1 – Percentual de tipos de malware (Fonte: PandaLabs)


Estatísticas

Fig. 6 – Taxa de infecção em máquinas que receberam o MSRT (Fonte: Microsoft – Thrustworthy Infrastructure

Program and Policy 2009)


Estatísticas

Fig. 7 – Percentual do tipo de malware detectado pelo MSRT (Fonte: Microsoft – Thrustworthy Infrastructure

Program and Policy 2009)


Conclusão

• Botnets são uma realidade pouco conhecida no Brasil

• O volume de dinheiro movimentado por essas redes é maior que o somatório dos roubos físicos

• Sem detecção, dados podem ser perdidos e usados demaneira ilícita


Trabalhos futurosPropostas e tópicos a serem explorados

• Cloud Computing:• Botnets e a computação nas nuvens• Uso de serviços de cloud computing grátis para fins maliciosos

• Arquitetura de software• Tipos e variações de C&C• Construindo Honeypots

• Redes de computadores• Detectando zumbis através de network footprint• Meios de minimizar a ligação entre os bots e seu dono


Q&APerguntas e Respostas

• Fim da apresentação • Abertura a perguntas por parte da banca avaliadora

• Dúvidas e observações dos ouvintes

Technology

Botnet: Uma visao geral