A indústria dos BotNets e os crimes cibernéticos
description
Transcript of A indústria dos BotNets e os crimes cibernéticos
A indústria dos BotNets e os crimes cibernéticos
Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions - SolutionsMestrando em Cybersecurity e Inteligência Forense (UTICA)CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified
2
Agenda• O que é um BotNet?• Como o sistema é infectado• Estudo de caso: Win32/Zbot• Estudo de caso: Win32/Rustock• Crimes com uso de Botnets• Qual seu papel neste cenário?• Referências
3
O que é um BotNet?• É uma rede de computadores comprometidos que
pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos
• Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
4
Como o sistema é infectado?
• Geralmente a infecção do sistema ocorre através dos seguintes ataques:– Spam– Phishing– Drive by download attack
• Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/
6
Características• Win32/Zbot kit consiste de um componente
construtor que é usado para criar o malware para distribuição
• O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções
• O kit de construção do Win32/Zbot pode ser obtido no Black Market
7
Operação• Algoritmo gera uma lista de nome de domínios
pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes
• O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C
Microsoft Confidential 8
Ataque• Entre os vários métodos (spam, phishing, etc)
usados um outro muito comum é o de SQL Injection para realizar upload de exploit code
• Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata%
• Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos
• Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer
Microsoft Confidential 9
O que foi comprometido?• Este bot é muito perigoso pois pode realizar as
seguintes operações:– Retirar screenshot de sites de banco– Obter dados HTML do usuário– Redirecionar o usuário para sites falsos que
parecem legítimos– Roubar credenciais– Modificar configurações do sistema e fazer
download de binários comprometidos
12
Características• Da família de rootkit que gera backdoor trojan• Rootkit inicialmente criado para ajudar na
distribuição de SPAM• Os principais componentes são criptografados
13
Componentes• Dropper é executado em Modo usuário e é
responsável por descriptografar (RC4) e baixar o rootkit driver
• O dropper também é responsável por contatar o C&C
• Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado
• O instalador do driver é executadoem modo kernel como um drivede sistema do Windows
• Geralmente troca arquivos comobeep.sys or null.sys por copiascom Rustock
14
Ataque• Os computadores infectados eram usados como bot
para reenvio de spams com intuito de infectar outros computadores
• Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails
• Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
15
Evolução do Ataque• Microsoft DCU (Digital Crime Unit) em conjunto
com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
17
Takedown• Em 2010 Microsoft entrou com um processo contra
os operadores do Rustock• Vários discos usados no C&C do
Rustock foram confiscados para análise forense– Várias evidencias foram
encontradas nos discos
19
Como botnets eram usados para crimes cibernéticos?
• Venda de drogas (remédios) falsificados (como Pfizer e Viagra)
• Email publicava anuncio da droga e infectava o computador de destino
20
Além do Crime• O problema vai além do crime pois muitos
botnets movimentam um mercado ilegal de falsificação de drogas
• Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa
Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock
21
O que devo fazer?• Comece valorizando o básico:– Não use software pirata– Mantenha o sistema operacional sempre
atualizado (use o Windows Update)– Mantenha o antivírus atualizado– Assegure que outros softwares instalados no
seu computador (como o Adobe) também estejam atualizados
• Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido
• Evangelize sua comunidade em tudo que foi recomendado acima
Microsoft Confidential 22
Referências• Taking Down Botnets: Microsoft and the Rustock
Botnet• Microsoft and Financial Services Industry Leaders
Target Cybercriminal Operations from Zeus Botnets
• Deactivating botnets to create a safer, more trusted Internet
• Anatomy of a Botnet Report• Botnet Business Booming• Microsoft SIR