Upload
internet
View
111
Download
0
Embed Size (px)
Citation preview
A indústria dos BotNets e os crimes cibernéticos
Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions - SolutionsMestrando em Cybersecurity e Inteligência Forense (UTICA)CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified
2
Agenda• O que é um BotNet?• Como o sistema é infectado• Estudo de caso: Win32/Zbot• Estudo de caso: Win32/Rustock• Crimes com uso de Botnets• Qual seu papel neste cenário?• Referências
3
O que é um BotNet?• É uma rede de computadores comprometidos que
pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos
• Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
4
Como o sistema é infectado?
• Geralmente a infecção do sistema ocorre através dos seguintes ataques:– Spam– Phishing– Drive by download attack
• Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/
5
Estudo de Caso 1
Win32/Zbot
6
Características• Win32/Zbot kit consiste de um componente
construtor que é usado para criar o malware para distribuição
• O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções
• O kit de construção do Win32/Zbot pode ser obtido no Black Market
7
Operação• Algoritmo gera uma lista de nome de domínios
pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes
• O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C
Microsoft Confidential 8
Ataque• Entre os vários métodos (spam, phishing, etc)
usados um outro muito comum é o de SQL Injection para realizar upload de exploit code
• Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata%
• Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos
• Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer
Microsoft Confidential 9
O que foi comprometido?• Este bot é muito perigoso pois pode realizar as
seguintes operações:– Retirar screenshot de sites de banco– Obter dados HTML do usuário– Redirecionar o usuário para sites falsos que
parecem legítimos– Roubar credenciais– Modificar configurações do sistema e fazer
download de binários comprometidos
10
Estatísticas• Detecção do Win32/Zbot por mês
11
Estudo de Caso 2
Win32/Rustock
12
Características• Da família de rootkit que gera backdoor trojan• Rootkit inicialmente criado para ajudar na
distribuição de SPAM• Os principais componentes são criptografados
13
Componentes• Dropper é executado em Modo usuário e é
responsável por descriptografar (RC4) e baixar o rootkit driver
• O dropper também é responsável por contatar o C&C
• Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado
• O instalador do driver é executadoem modo kernel como um drivede sistema do Windows
• Geralmente troca arquivos comobeep.sys or null.sys por copiascom Rustock
14
Ataque• Os computadores infectados eram usados como bot
para reenvio de spams com intuito de infectar outros computadores
• Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails
• Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
15
Evolução do Ataque• Microsoft DCU (Digital Crime Unit) em conjunto
com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
16
Estatísticas• Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
17
Takedown• Em 2010 Microsoft entrou com um processo contra
os operadores do Rustock• Vários discos usados no C&C do
Rustock foram confiscados para análise forense– Várias evidencias foram
encontradas nos discos
18
Crimes com uso de Botnets
Win32/Rustock
19
Como botnets eram usados para crimes cibernéticos?
• Venda de drogas (remédios) falsificados (como Pfizer e Viagra)
• Email publicava anuncio da droga e infectava o computador de destino
20
Além do Crime• O problema vai além do crime pois muitos
botnets movimentam um mercado ilegal de falsificação de drogas
• Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa
Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock
21
O que devo fazer?• Comece valorizando o básico:– Não use software pirata– Mantenha o sistema operacional sempre
atualizado (use o Windows Update)– Mantenha o antivírus atualizado– Assegure que outros softwares instalados no
seu computador (como o Adobe) também estejam atualizados
• Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido
• Evangelize sua comunidade em tudo que foi recomendado acima
Microsoft Confidential 22
Referências• Taking Down Botnets: Microsoft and the Rustock
Botnet• Microsoft and Financial Services Industry Leaders
Target Cybercriminal Operations from Zeus Botnets
• Deactivating botnets to create a safer, more trusted Internet
• Anatomy of a Botnet Report• Botnet Business Booming• Microsoft SIR
Perguntas
Contato
Twitter: @yuridiogenesBlog (ENG): blogs.technet.com/yuridiogenesBlog (PT-BR): yuridiogenes.wordpress.com