Um dos meus termos favoritos de segurança cibernética é “botnet”. Ele evoca todos os tipos de imagens: robôs interconectados, legiões de trabalhadores conectados em rede, que se movimentam simultaneamente em direção a um único objetivo. Curiosamente, a imagem que a palavra evoca é semelhante ao que uma botnet é - em termos indiretos, pelo menos.
As Botnets são responsáveis por uma grande quantidade de poder computacional em todo o mundo. E esse poder é regularmente (talvez até consistentemente) a fonte de malware, ransomware, spam e muito mais. Mas como botnets vêm à existência? Quem os controla? E como podemos pará-los?
O que é uma botnet?
A definição da botnet SearchSecurity afirma que “uma botnet é uma coleção de dispositivos conectados à Internet, que pode incluir PCs, servidores, dispositivos móveis e dispositivos da Internet de coisas que são infectados e controlados por um tipo comum de malware. Os usuários geralmente desconhecem um botnet que infecta seu sistema ”.
A sentença final da definição é fundamental. Dispositivos dentro de uma botnet geralmente não estão lá de bom grado. Os dispositivos infectados com certas variantes de malware são controlados por agentes de ameaças remotos, também conhecidos como cibercriminosos. O malware oculta as atividades de botnets maliciosos no dispositivo, tornando o proprietário inconsciente de sua função na rede. Você poderia estar enviando comprimidos de ampliação de oferta de spam aos milhares - sem um pressentimento.
Como tal, muitas vezes nos referimos a dispositivos de rede de bots infectados O seu PC é um zumbi? E o que é um computador zumbi, afinal? [MakeUseOf Explains] Seu PC é um zumbi? E o que é um computador zumbi, afinal? [MakeUseOf Explains] Você já se perguntou de onde vem todo o spam na Internet? Você provavelmente recebe centenas de e-mails indesejados filtrados por spam todos os dias. Isso significa que há centenas e milhares de pessoas lá fora, sentadas ... Leia Mais como “zumbis”.
O que uma botnet faz?
Uma botnet possui várias funções comuns, dependendo do desejo do operador da botnet:
- Spam: Enviando grandes volumes de spam em todo o mundo. Por exemplo, a participação média de spam no tráfego global de e-mails entre janeiro e setembro foi de 56, 69%. Quando a firma de pesquisa de segurança FireEye interrompeu temporariamente a transição da famosa botnet Srizbi depois que a infame hospedagem da McColo ficou offline, o spam global caiu em grande número (e, quando finalmente ficou offline, o spam global caiu temporariamente em cerca de 50%).
- Malware: Fornecendo malware e spyware para máquinas vulneráveis. Os recursos de botnet são comprados e vendidos por malfeitores para promover seus empreendimentos criminosos.
- Dados: Capturando senhas e outras informações privadas. Isso liga-se ao acima.
- Clique em fraude: um dispositivo infectado visita sites para gerar tráfego falso na Web e impressões de publicidade.
- Bitcoin: Controladores de botnet direcionam dispositivos infectados para minerar Bitcoin e outras criptomoedas para gerar lucro silenciosamente.
- DDoS: operadores de botnets direcionam o poder de dispositivos infectados em alvos específicos, levando-os offline em ataques de negação de serviço distribuído.
Operadores de botnets geralmente transformam suas redes em várias dessas funções para gerar lucro. Por exemplo, as operadoras de botnets que enviam spams médicos para cidadãos americanos também são donas das farmácias falsificadas que entregam as mercadorias. (Ah, sim, existem produtos reais no final do e-mail. Spam Nation, de Brian Krebs, é um excelente exemplo disso.)
Spam Nation: A história por dentro do cibercrime organizado - da epidemia global à sua porta da frente Nação Spam: a história por dentro do cibercrime organizado - da epidemia global à sua porta da frente Compre agora na Amazon $ 9.31
Os principais botnets mudaram ligeiramente de direção nos últimos anos. Enquanto os tipos de spam médicos e outros similares eram extremamente lucrativos por um longo tempo, as repressões do governo em vários países corroeram os lucros. Como tal, o número de e-mails contendo um anexo malicioso subiu para um em cada 359 e-mails, de acordo com o Relatório de Inteligência de julho de 2017 da Symantec.
O que uma botnet parece?
Sabemos que uma botnet é uma rede de computadores infectados. No entanto, os componentes principais e a arquitetura de botnet real são interessantes a serem considerados.
Arquitetura
Existem duas arquiteturas principais de botnets:
- Modelo cliente-servidor: Um botnet cliente-servidor geralmente usa um cliente de bate-papo (anteriormente IRC, mas os botnets modernos fizeram uso do Telegram e de outros serviços de mensagens criptografados), domínio ou site para se comunicar com a rede. O operador envia uma mensagem ao servidor, transmitindo-a aos clientes, que executam o comando. Embora a infra-estrutura do botnet seja diferente de básica a muito complexa, um esforço concentrado pode desabilitar um botnet cliente-servidor.
- Peer-to-Peer: Um botnet peer-to-peer (P2P) tenta interromper programas de segurança e pesquisadores identificando servidores C2 específicos criando uma rede descentralizada. Uma rede P2P é mais avançada 10 Termos de rede que você provavelmente nunca conheceu, e o que eles significam 10 Termos de rede que você provavelmente nunca conheceu e o que eles significam Aqui nós exploraremos 10 termos comuns de rede, o que eles significam e onde você provavelmente encontrará eles. Leia mais, em alguns aspectos, que um modelo cliente-servidor. Além disso, sua arquitetura difere da forma como a maioria imagina. Em vez de uma única rede de dispositivos infectados interconectados se comunicando via endereços IP, os operadores preferem usar dispositivos zumbis conectados a nós, por sua vez, conectados uns aos outros e ao servidor de comunicação principal. A idéia é que existem muitos nós interconectados, mas separados, para serem removidos simultaneamente.
Comando e controle
Comandos e controles (algumas vezes escritos em C & C ou C2) vêm em vários aspectos:
- Telnet: As redes de bots Telnet são relativamente simples, usando um script para varrer as faixas de IP para os logins padrão do servidor telnet e SSH para adicionar dispositivos vulneráveis para adicionar bots.
- IRC: As redes de IRC oferecem um método de comunicação de largura de banda extremamente baixa para o protocolo C2. A capacidade de mudar rapidamente de canal concede alguma segurança adicional aos operadores de botnets, mas também significa que os clientes infectados são facilmente eliminados da botnet se não receberem informações atualizadas sobre o canal. O tráfego de IRC é relativamente fácil de examinar e isolar, o que significa que muitos operadores se afastaram desse método.
- Domínios: Alguns grandes botnets usam domínios em vez de um cliente de mensagens para controle. Dispositivos infectados acessam um domínio específico que atende a uma lista de comandos de controle, permitindo facilmente alterações e atualizações dinamicamente. A desvantagem é o enorme requisito de largura de banda para grandes botnets, bem como a relativa facilidade com que os domínios de controle suspeitos são encerrados. Alguns operadores usam a chamada hospedagem à prova de balas para operar fora da jurisdição de países com leis de internet criminal rigorosas.
- P2P: Um protocolo P2P geralmente implementa assinatura digital usando criptografia assimétrica (uma chave pública e uma chave privada). Significado, enquanto o operador detém a chave privada, é extremamente difícil (essencialmente impossível) para qualquer outra pessoa emitir comandos diferentes para a botnet. Da mesma forma, a falta de um único servidor C2 definido faz com que atacar e destruir um botnet P2P seja mais difícil do que suas contrapartes.
- Outros: Ao longo dos anos, vimos operadores de botnet usarem alguns canais interessantes de Comando e Controle. Aqueles que vêm à mente instantaneamente são os canais de mídia social, como o botnet Android Twitoor, controlado via Twitter, ou o Mac.Backdoor.iWorm que explorou o subreddit da lista de servidores Minecraft para recuperar endereços IP de sua rede. O Instagram não é seguro também. Em 2017, Turla, um grupo de espionagem cibernética com ligações estreitas à inteligência russa, estava usando comentários nas fotos de Britney Spears no Instagram para armazenar a localização de um servidor C2 de distribuição de malware.
Zumbis
A última peça do quebra-cabeça da botnet são os dispositivos infectados (ou seja, os zumbis).
Operadores de botnets procuram e infectam propositalmente dispositivos vulneráveis para expandir sua capacidade operacional. Listamos os principais usos da botnet acima. Todas essas funções exigem poder de computação. Além disso, os operadores de botnets nem sempre são amigáveis uns com os outros, transformando o poder de suas máquinas infectadas uns nos outros.
A grande maioria dos proprietários de dispositivos zumbis não tem conhecimento de seu papel na botnet. Às vezes, no entanto, o malware de botnet age como um canal para outras variantes de malware.
Este vídeo da ESET fornece uma boa explicação sobre como os botnets se expandem:
Tipos de dispositivos
Dispositivos em rede estão chegando online a uma taxa surpreendente. E os botnets não estão apenas em busca de um PC ou Mac. Como você vai ler mais na seção a seguir, os dispositivos da Internet das Coisas são tão suscetíveis (se não mais) às variantes de malware do botnet. Especialmente se eles são procurados por causa de sua segurança terrível.
Se eu dissesse aos meus pais para devolverem a sua nova smart TV que eles colocaram à venda porque IOT é inseguro, isso faz de mim uma boa filha ou uma filha má?
Eu perguntei se podia ouvir comandos de voz, eles disseram sim; Eu fiz um som crepitante. Eles disseram que vamos conversar amanhã.- Tanya Janca (@shehackspurple) 28 de dezembro de 2017
Smartphones e tablets também não são seguros. O Android viu vários botnets nos últimos anos. Android é um alvo fácil Como o malware entra no seu smartphone? Como o malware entra no seu smartphone? Por que os fornecedores de malware querem infectar seu smartphone com um aplicativo infectado e como o malware entra em um aplicativo móvel? Leia mais: é open source, tem várias versões de sistema operacional e inúmeras vulnerabilidades ao mesmo tempo. Não se alegrem tão rapidamente, os usuários do iOS. Houve algumas variantes de malware direcionadas aos dispositivos móveis da Apple, embora geralmente limitados a iPhones desbloqueados com vulnerabilidades de segurança.
Outro destino de dispositivo de botnet principal é um roteador vulnerável 10 maneiras que seu roteador não é tão seguro quanto você pensa 10 maneiras que seu roteador não é tão seguro quanto você pensa Aqui estão 10 maneiras de o seu roteador ser explorado por hackers e sequestradores sem fio drive-by . Consulte Mais informação . Roteadores que executam firmware antigo e inseguro são alvos fáceis para botnets, e muitos proprietários não perceberão que o portal da Internet carrega uma infecção. Da mesma forma, uma quantidade simplesmente impressionante de usuários da Internet não consegue alterar as configurações padrão em seus roteadores. 3 Senhas padrão que você deve alterar e por que 3 senhas padrão que você deve alterar e por que as senhas são inconvenientes, mas necessárias. Muitas pessoas tendem a evitar senhas sempre que possível e ficam felizes em usar as configurações padrão ou a mesma senha para todas as contas. Esse comportamento pode tornar seus dados e ... Leia mais após a instalação. Assim como os dispositivos IoT, isso permite que o malware se propague a um ritmo espantoso, com pouca resistência à infecção de milhares de dispositivos.
Derrubando uma rede de bots
Derrubar uma botnet não é uma tarefa fácil, por várias razões. Às vezes, a arquitetura do botnet permite que um operador seja reconstruído rapidamente. Outras vezes, o botnet é simplesmente grande demais para ser derrubado de uma só vez. A maioria das remoções de botnets requer coordenação entre pesquisadores de segurança, agências governamentais e outros hackers, às vezes confiando em dicas ou backdoors inesperados.
Um grande problema enfrentado pelos pesquisadores de segurança é a relativa facilidade com que operadores de copycat iniciam operações usando o mesmo malware.
GameOver Zeus
Eu vou usar o botnet GameOver Zeus (GOZ) como um exemplo de remoção. O GOZ foi um dos maiores botnets recentes, com mais de um milhão de dispositivos infectados em seu pico. O principal uso da botnet foi o roubo monetário (distribuição do CryptoLocker ransomware). Uma história de ransomware: onde começou e para onde está indo História de ransomware: para onde começou e para onde está indo Ransomware data de meados dos anos 2000 e como muitas ameaças à segurança de computadores. Originou-se da Rússia e da Europa Oriental antes de evoluir para se tornar uma ameaça cada vez mais potente, e o spam e, usando um sofisticado algoritmo de geração de domínios peer-to-peer, parecia ser imparável.
Um algoritmo de geração de domínio permite que o botnet pré-gere longas listas de domínios para uso como um “ponto de encontro” para o malware de botnet. Vários pontos de encontro impedem a propagação, já que apenas os operadores conhecem a lista de domínios.
Em 2014, uma equipe de pesquisadores de segurança, trabalhando em conjunto com o FBI e outras agências internacionais, finalmente forçou o GameOver Zeus offline, na Operação Tovar. Não foi fácil. Depois de perceber as sequências de registro de domínio, a equipe registrou cerca de 150.000 domínios nos seis meses que antecederam o início da operação. Isso foi para bloquear qualquer registro de domínio futuro dos operadores de botnets.
Em seguida, vários ISPs deram o controle de operação dos nós proxy da GOZ, usados pelos operadores da botnet para se comunicarem entre os servidores de comando e controle e a botnet real. Elliot Peterson, o principal investigador do FBI na Operação Tovar, disse: “Conseguimos convencer os robôs de que éramos bons para conversar, mas todos os colegas e proxies e supernós controlados pelos bandidos eram ruins para conversar e deveriam ser ignorado. ”
O proprietário de botnets Evgeniy Bogachev (alias online Slavik) percebeu que a queda estava em vigor após uma hora, e tentou revidar por mais quatro ou cinco horas antes de "conceder" a derrota.
No rescaldo, os pesquisadores foram capazes de quebrar a criptografia do ransomware CryptoLocker, criando ferramentas de descriptografia gratuitas para as vítimas CryptoLocker Is Dead: Veja como você pode recuperar seus arquivos! CryptoLocker está morto: veja como você pode recuperar seus arquivos! Consulte Mais informação .
As Botnets da IoT são diferentes
As medidas para combater o GameOver Zeus eram extensas, mas necessárias. Ele ilustra que o enorme poder de um botnet habilmente requer uma abordagem global de mitigação, exigindo “táticas jurídicas e técnicas inovadoras com ferramentas tradicionais de aplicação da lei”, bem como “fortes relações de trabalho com especialistas do setor privado e contrapartes legais em mais de 10 anos. países ao redor do mundo. ”
Mas nem todas as botnets são iguais. Quando um botnet encontra seu fim, outro operador está aprendendo com a destruição.
Em 2016, a maior e mais perigosa botnet foi a Mirai. Antes de sua remoção parcial, a botnet Mirai da Internet das Coisas atingiu vários alvos proeminentes Por que sua moeda de criptografia não é tão segura quanto você pensa Por que sua moeda de criptografia não é tão segura quanto você pensa O Bitcoin continua a atingir novos máximos. Cryptocurrency recém-chegado Ethereum ameaça explodir em sua própria bolha. O interesse em blockchain, mineração e criptomoeda está em alta de todos os tempos. Então, por que os entusiastas da criptomoeda estão sob ameaça? Leia mais com ataques DDoS impressionantes. Um desses ataques atingiu o blog do pesquisador de segurança Brian Krebs com 620Gbps, forçando a proteção DDoS de Krebs a abandoná-lo como cliente. Outro ataque nos dias seguintes atingiu o provedor francês de hospedagem de nuvem OVH com 1, 2Tbps no maior ataque já visto. A imagem abaixo ilustra quantos países Mirai atingiu.
Embora o Mirai não estivesse nem perto de ser o maior botnet já visto, produziu os maiores ataques. Mirai fez uso devastador das faixas de dispositivos IoT ridiculamente inseguros Sua casa inteligente está em risco de vulnerabilidades da Internet das Coisas? Sua casa inteligente está em risco de vulnerabilidades da Internet das coisas? A Internet das Coisas é segura? Você esperaria que sim, mas um estudo recente destacou que as preocupações de segurança levantadas há vários anos ainda precisam ser abordadas. Você casa inteligente poderia estar em risco. Leia mais, usando uma lista de 62 senhas padrão inseguras para acumular dispositivos (admin / admin estava no topo da lista, veja figura).
O pesquisador de segurança Marcus Hutchins (também conhecido como MalwareTech) explica que parte da razão para o enorme poder de Mirai é que a maioria dos dispositivos de IoT ficam lá, sem fazer nada até que sejam solicitados. Isso significa que eles estão quase sempre online e quase sempre têm recursos de rede para compartilhar. Um operador de botnet tradicional analisaria seus períodos de pico de energia e ataques de tempo de acordo. Botnets IoT, não tanto.
Assim, à medida que dispositivos de IoT mais mal configurados ficam on-line, a chance de exploração aumenta.
Ficando seguro
Aprendemos sobre o que uma botnet faz, como cresce e muito mais. Mas como você impede que seu dispositivo se torne parte de um? Bem, a primeira resposta é simples: atualize seu sistema Como consertar o Windows 10: Perguntas freqüentes de um iniciante Como consertar o Windows 10: Perguntas freqüentes de um iniciante Precisa de ajuda com o Windows 10? Respondemos às perguntas mais frequentes sobre como usar e configurar o Windows 10. Leia mais. Atualizações regulares corrigem buracos vulneráveis em seu sistema operacional, por sua vez, cortando os caminhos para a exploração.
O segundo é baixar e atualizar um programa antivírus e um programa antimalware também. Existem inúmeros pacotes antivírus gratuitos que oferecem proteção excelente e de baixo impacto. Invista em um programa antimalware, como o Malwarebytes O Guia Completo de Remoção de Malware O Guia Completo de Remoção de Malware O malware está em qualquer lugar nos dias de hoje, e a erradicação de malware do sistema é um processo demorado, que requer orientação. Se você acha que seu computador está infectado, este é o guia que você precisa. Consulte Mais informação . Uma assinatura do Malwarebytes Premium custará US $ 24, 95 por ano, oferecendo proteção contra malware em tempo real. Vale a pena o investimento, na minha opinião.
Finalmente, pegue alguma segurança adicional no navegador. Kits de exploração de passagem são um incômodo, mas eles são facilmente evitáveis quando você usa uma extensão de bloqueio de script como uBlock Origem O que é Cryptojacking e como você pode evitá-lo? O que é o Cryptojacking e como você pode evitá-lo? Uma nova ameaça à segurança está na cidade: crypjacking, em que seu computador é sequestrado para gerar Bitcoins. Mas o quão difundido é, e como você pode parar seu sistema sendo subvertido dessa maneira? Consulte Mais informação .
O seu computador fazia parte de uma botnet? Como você percebeu? Você descobriu qual infecção estava usando seu dispositivo? Deixe-nos saber suas experiências abaixo!