You are on page 1of 33

Códigos maliciosos e o (sub)mundo das botnets

Miriam von Zuben
miriam@cert.br
!

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill
Núcleo de Informação e Coordenação do Ponto br
Comitê Gestor da Internet no Brasil

2° Cinfotec Unicamp, Campinas, SP – 17/04/2013

Tratamento de
Incidentes
− Articulação
− Apoio à
recuperação
− Estatísticas

Treinamento e
Conscientização

Análise de
Tendências

− Cursos
− Palestras
− Documentação
− Reuniões

− Honeypots
Distribuídos
− SpamPots

Criado em 1997 para:
• 
• 
• 
• 
• 

Ser um ponto de contato nacional para notificação de incidentes
Prover a facilitação e o apoio necessários no processo de resposta a
incidentes
Estabelecer um trabalho colaborativo com outras entidades
Aumentar a conscientização sobre a necessidade de segurança na Internet
Auxiliar novos CSIRTs (Grupos de Tratamento de Incidentes de Segurança)
a estabelecerem suas atividades

http://www.cert.br/sobre/
2° Cinfotec Unicamp, Campinas, SP – 17/04/2013

Estrutura do CGI.br e NIC.br

1 – Ministério da Ciência e Tecnologia (Coordenação)
2 – Ministério das Comunicações
3 – Casa Civil da Presidência da República
4 – Ministério da Defesa
5 – Ministério do Desenvolvimento, Indústria e Comércio Exterior
6 – Ministério do Planejamento, Orçamento e Gestão
7 – Agência Nacional de Telecomunicações (Anatel)
8 – Cons. Nacional de Desenvolvimento Científico e Tecnológico
9 – Fórum Nac. de Secretários Estaduais para Assuntos de C&T
10 – Representante de Notório Saber em assuntos de Internet
2° Cinfotec Unicamp, Campinas, SP – 17/04/2013

11 – provedores de acesso e conteúdo
12 – provedores de infra-estrutura de
telecomunicações
13 – indústria de bens de informática,
telecomunicações e software
14 – segmento das empresas usuárias de
Internet
15-18 – representantes do terceiro setor
19-21 – representantes da comunidade
científica e tecnológica

a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil.829. ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet.br>. de 03 de setembro de 2003. Campinas. organização e disseminação de informações sobre os serviços internet.br/sobre-cg/ 2° Cinfotec Unicamp. http://www. incluindo indicadores e estatísticas.br Dentre as atribuições definidas no Decreto Presidencial nº 4. o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil.Comitê Gestor da Internet no Brasil – CGI. a coleta. destacam-se: •  •  •  •  •  •  •  a proposição de normas e procedimentos relativos à regulamentação das atividades na internet. SP – 17/04/2013 .cgi. a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país. a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.

Agenda •  Bots e Botnets –  definição –  funcionamento básico •  Mercado negro •  Combate a botnets •  Boas práticas –  administradores de redes –  usuários finais 2° Cinfotec Unicamp. Campinas. SP – 17/04/2013 .

Bots e Botnets 2° Cinfotec Unicamp. SP – 17/04/2013 . Campinas.

enviando cópias de si mesmo de computador para computador •  Dispõe de mecanismos de comunicação com o invasor –  permitem que seja controlado remotamente –  similar ao worm porém com capacidade de comunicação •  Terminologia: –  Computador infectado è zumbi 2° Cinfotec Unicamp. SP – 17/04/2013 . Campinas. backdoor e rootkit •  Programa capaz de se propagar automaticamente pelas redes.Bot (1/2) •  Tipo de código malicioso –  malware: programa especificamente desenvolvido para executar ações danosas e atividades maliciosas em um computador •  outros exemplos: vírus. spyware. worm.

Campinas. mídias removíveis) •  auto-execução de mídias removíveis infectadas 2° Cinfotec Unicamp. SMS) •  compartilhamento de recursos (P2P. SP – 17/04/2013 . IM. smartphones. celulares) –  equipamentos de rede (roteadores. modems) •  Formas de propagação –  exploração de vulnerabilidades –  ação direta de atacantes •  contas/computadores/equipamentos invadidos –  execução de arquivos •  download na Web •  redes sociais •  links ou anexos de mensagens eletrônicas (e-mail.Bot (2/2) •  Zumbis podem ser: –  computadores pessoais –  dispositivos móveis (tablets.

SP – 17/04/2013 .Botnet (1/2) •  Rede formada por centenas/milhares de computadores zumbis –  remotamente controlada –  permite potencializar a ação danosa dos bots –  quanto mais bots mais potente é a botnet •  Terminologia: –  invasor è controlador. herder. master –  Command and Control (C&C) è comando e controle è computador usado para comunicação entre o controlador e os zumbis 2° Cinfotec Unicamp. Campinas.

SP – 17/04/2013 . antimalware. Campinas.Botnet (2/2) •  Atividades maliciosas: –  coleta de informações pessoais –  envio de spam e phishing –  propagação de códigos maliciosos –  click-fraud –  desativação de mecanismos de segurança •  antivírus. antispam –  ataques de negação de serviço (DDoS) •  ativismo político •  extorsão 2° Cinfotec Unicamp.

1. etc. etc. IRC. P2P. HTTP. IRC.Funcionamento básico (1/4) Controlador IRC. P2P. etc.  Zumbis ficam à espera dos comandos a serem executados 2° Cinfotec Unicamp. SP – 17/04/2013 . P2P. P2P. HTTP. C&C IRC. etc. Campinas. HTTP. HTTP.

  Controlador envia ao C&C os comandos a serem executados (exemplo: envio de spam) 2° Cinfotec Unicamp. Campinas.Funcionamento básico (2/4) Controlador enviar spam C&C 1.  Zumbis ficam à espera dos comandos a serem executados 2. SP – 17/04/2013 .

SP – 17/04/2013 .  C&C repassa os comandos aos zumbis 2° Cinfotec Unicamp. Campinas.  Controlador envia ao C&C os comandos a serem executados (exemplo: envio de spam) 3.  Zumbis ficam à espera dos comandos a serem executados 2.Funcionamento básico (3/4) Controlador enviar spam enviar spam C&C enviar spam enviar spam 1.

Campinas.  2.  3.  Zumbis ficam à espera dos comandos a serem executados Controlador envia ao C&C os comandos a serem executados (exemplo: envio de spam) C&C repassa os comandos aos zumbis Zumbis executam os comandos pelo tempo determinado 2° Cinfotec Unicamp. SP – 17/04/2013 .Funcionamento básico (4/4) Controlador C&C 1.  4.

autenticação •  fast-flux service networks •  Domain Generation Algorithms (DGA) •  Exploração de CPEs –  senhas padrão 2° Cinfotec Unicamp. Campinas. SP – 17/04/2013 .Tendências •  C&C –  gerenciamento •  •  •  •  DNS covert channel ICMP P2P (cada vez mais popular) Twitter / Facebook –  defesa: •  criptografia. ofuscação.

SP – 17/04/2013 . Campinas.Mercado Negro 2° Cinfotec Unicamp.

com/es/es/threatreport/topic. SP – 17/04/2013 .jsp?id=fraud_activity_trends&aid=underground_economy_servers 2° Cinfotec Unicamp.Mercado Negro (1/2) Fonte: Underground Economy Servers—Goods and Services Available for Sale http://www. Campinas.symantec.

malware (i..are gate a target site. ZeuS’s infamy. • ICMP flood: Similar to a Smurf attack minus the Email spampart. tr Mainta separa gener .advertisers In such an pay attack. SYN ACK) and waits for an ACK packet that will never come.g. He then ZeuS source $200-$500 installs a daemon in itcode: using his DDoS bot kit.. a victim’s computer sends a response (i.e. European. an install refers to Botnet Prices Email spam: $10 per one million emails per one million emails $50-$500 DDoS attacks usually require the use of specially crafted bots and botnets. advertisers pay publishers a commission downloading and launching a file on a victim’s computer. r of t of every time a user installs usually free applications bundled with adware. SP – 17/04/2013 In oth likelih opene cyberc inform root In otha likelih Two b opene servic cyberc downl inform offers root a downl Two b Traffic servic downl downl sold p offers requir downl Traffic into do Traffic visitor downl sold p To obt requir which Traffic action into d brows visitor exploi better To obt amoun which impos action from o brows to be p exploi better Mainta amoun gener impos hostin from o traffic to be p obtain (i. In a PPI an computer install refers to This is one of the most popular means to distribute downloading launching a file on a victim’s DDoS and botnet US$700computer. botnet. most often Trojans). In such an attack.e. Offering services is aPrice per 1. Germany (DE). Great Britain (UK) US$220–300 usually offered based on the target country. In this attack. In a PPI attack.e. a customer provides the malicious file them is less profitable. After receiving the first packet. are rarelymeans sold in the Offering download services istheir a widespread In market.. business model.000 Downloads Offering download widespread practice. one of that the botnets most popular to underground distribute * This Note..pdf services (e. a hacker messages SMS spam:To$3-$150 must first gain access to a target computer. because selling malware (i.. Hackers normally operate own botnets practice.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101. P - Mercado Negro (2/2) ving y e es •  •  •  •  •  deal •  ter main •  •  •  ads. hence. In this business model. causing a DDoS. the hacker sends synchronization packets to a target. The hacker then starts the master program. or France (FR) US$200–250 US$170–250 US$300–550 US$220–300 US$100–150 US$200–350 US$12–15 US$200–250 US$80 US$170–250 US$100 United StatesTable (US)4: PPI service prices US$100–150 Global mix US$12–15 Russia (RU) US$100 Fonte:Read Russian Underground 101 . 40% the time)script bundled with adware. for a service provider to distribute. most often Trojans).Trend Micro Mixed-traffic download European mix http://www. Distributed Denial-of-Service Service Prices Offering Price 1-day DDoS service US$30–70 1-hour DDoS service US$10 1-week DDoS service US$150 1-month DDoS service US$1.000 Downloads Offering Spain (ES). ishowever. instigate a per DDoS100-100.000 bots every timeconsistently a user usually free applications and runs a of malicious andattack. Download services are Pay-per-Install Prices usually offered basedService on the target country.trendmicro. Campinas. He then does the same thing to several other machines. Asian. Germany Russia (RU) (DE). turning Windows rootkit (for installing malicious drivers): $292 them all into zombies. Downloads can come (PPI) in theservice form of[ an exploit bundle ] In the pay-per-install Offering Price or from amodel.000 attack. r re d he . gets his infected. onlinea US$200 for 2. 2° Cinfotec Unicamp. on his Hacking or Twitter $130 own or on a remote system and orders it to launch an Hacking Gmail account: $162program then attack on a chosen IP address. or US$80 global mix) are also frequently sold. a user who visits an exploit-hosting siteTable using vulnerable Pay-per-Install Service Prices 7: aBotnet prices browser downloads and runs a malicious script and gets his computer infected.200 Table 5: DDoS service prices S PAY-PER-INSTALL SERVICES • Smurf attack: Involves sending ICMP ping requests to a target broadcast address using a fake source address SOCKS bot (to get around firewalls): $100 via IP address spoofing. whichFacebook also comes from the DDoS account: bot kit.. As such. or Australia (AU) France (FR) Great Britain (UK) United States (US) Italy (IT) Global mix New Zealandmix (NZ) European Spain (ES). Downloads can come in the form of an exploit bundle DDoS botnet update US$100 per update or from a botnet. (using a customer database): broadcasting -I Hackers who use compromised computers for malicious AY PER NSTALL ERVICES purposes like distributing spam utilize ZeuS to install all of the necessary software in a bot as well. the malicious file Australia (AU)a customer provides US$300–550 PAGE | RUSSIAN UNDERGROUND 101 Download services are for a12service provider to distribute.e. The master commands all of the daemons to attack the chosen victim Hacking corporate mailbox: $500 for purposes like taking down a particular website. Italy (IT) US$200–350 New Zealand (NZ) Price per 1. a user who visits an business publishers a commission exploit-hosting siteinstalls using vulnerable browser downloads Bots (i.e. even computers that do not have confidential information saved inInthem can still prove (PPI) usefulservice for a variety of malicious ] the pay-per-install [ activities. which is consequently forced to expend all of its resources to keep track of the partially open connections made. this business model.

Campinas.Combate a botnets 2° Cinfotec Unicamp. SP – 17/04/2013 .

SP – 17/04/2013 .Takedown •  •  •  •  Iniciativas de diversas empresas para desativar botnets Botnets desativadas envolvidas no envio massivo de spam Associado à redução da quantidade global de spam O que fazer com a botnet? 2013 Bamital 2013 Virut 2012 Zeus 2011 Rustock 2011 Kelihos 2010 Mariposa 2010 Pushdo/Cutwail 2010 Bradolab 2010 Wadelac 2010 Mega-D/Ozdok 2009 Aurora 2° Cinfotec Unicamp. Campinas.

br referentes a máquinas fazendo parte de botnets 2° Cinfotec Unicamp.br 18000 16000 14000 12000 10000 8000 6000 4000 2000 0 15271 8689 291 2011 2012 2013 Número de notificações repassadas pelo CERT. Campinas. SP – 17/04/2013 .Notificações repassadas pelo CERT.

Boas práticas 2° Cinfotec Unicamp. Campinas. SP – 17/04/2013 .

Proteção •  A potência das botnets está diretamente associada com a quantidade de zumbis que as compõem –  quanto menos zumbis •  menos potentes elas serão •  menores poderão ser os danos causados –  prevenção depende de ação conjunta •  administradores de redes •  usuários finais. SP – 17/04/2013 . etc. Faça a sua parte!!!! 2° Cinfotec Unicamp. Campinas.

br/entenda-o-antispoofing/ –  implementar Gerência de Porta 25 •  impedir que zumbis sejam usados para entrega direta de spam •  detectar máquinas infectadas http://www.nic. SP – 17/04/2013 . Campinas.antispam.Combate a botnets •  Detectar infecções: –  acompanhar flows de rede •  identificar zumbis se comunicando com o C&C –  postmortem •  detectar outras máquinas infectadas (C&C) •  Mitigar as atividades maliciosas: –  implementar BCP 38 •  impedir a participação dos zumbis em: –  ataques de amplificação –  outros ataques que usem pacotes spoofados http://bcp.br/admin/porta25/ 2° Cinfotec Unicamp.

se possível. SP – 17/04/2013 .Proteção aos equipamentos de rede •  Administradores e usuários finais •  Alterar. Campinas. a senha padrão –  verificar em contrato se isso é permitido –  utilizar senhas bem elaboradas •  guardar a senha original •  lembrar de restaurá-la quando necessário •  Desabilitar o gerenciamento via Internet (WAN) –  funções de administração (interface de configuração) acessíveis somente via rede local •  atacante externo não será capaz de promover mudanças de segurança 2° Cinfotec Unicamp.

antimalware. plugins –  apenas programas originais –  configurações de segurança já disponíveis •  Instalar aplicativos –  de fontes confiáveis –  bem avaliados pelos usuários –  com permissões coerentes 2° Cinfotec Unicamp. Campinas. antiphishing. extensões. antispam •  complementos.Dicas para usuários finais (1/3) •  Manter computadores e dispositivos móveis seguros: –  com todas as atualizações aplicadas –  com todos os programas instalados com as versões mais recentes •  Usar: –  mecanismos de segurança •  firewall pessoal. SP – 17/04/2013 .

Dicas para usuários finais (2/3) •  Manter postura preventiva –  não acessar sites ou seguir links •  recebidos de mensagens eletrônicas •  em páginas sobre as quais não se saiba a procedência –  não confiar apenas no remetente da mensagem •  ela pode ter sido enviada de: –  máquinas infectadas –  contas falsas ou invadidas 2° Cinfotec Unicamp. SP – 17/04/2013 . Campinas.

•  Trocar regularmente as senhas •  Evitar usar o usuário “administrador” 2° Cinfotec Unicamp. sobrenome. dicionários de diferentes idiomas. Campinas. SP – 17/04/2013 .Dicas para usuários finais (3/3) •  Proteger contas e senhas –  utilizar: •  grande quantidade de caracteres •  diferentes tipos de caracteres •  números aleatórios –  não utilizar: •  sequências de teclado •  dados pessoais: –  nome. números de telefones •  informações que possam ser coletadas em blogs e redes sociais •  palavras que façam parte de listas –  nomes de músicas. contas de usuário. etc. placas de carros. personagens de filmes. números de documentos. times de futebol.

Campinas.antispam.br/ 2° Cinfotec Unicamp.internetsegura. SP – 17/04/2013 Campanha Antispam.br http://www.Informe-se e Mantenha-se Atualizado Portal Internet Segura http://www.br/ .

Publicação Cartilha de Segurança para Internet 4.cert. Campinas.0 2ª Edição do Livro Novas recomendações.0) 2° Cinfotec Unicamp. SP – 17/04/2013 .br/ Reestruturada •  ilustrada •  em HTML5 •  formato EPub Nova licença •  Creative Commons (CC BY-NC-ND 3. em especial sobre: •  segurança e privacidade em redes sociais •  segurança no uso de dispositivos móveis http://cartilha.

0 Brasil Redes Sociais – 08/2012 Senhas – 10/2012 Comércio Eletrônico – 11/2012 Privacidade – 02/2013 Dispositivos Móveis – 04/2013 em ança Segur ociais S Redes e> <Nom > tuição <Insti il> <e-ma 2° Cinfotec Unicamp.Cartilha de Segurança para Internet – Fascículos Organizados e diagramados de forma a facilitar a difusão de conteúdos específicos Slides de uso livre para: •  ministrar palestras e treinamentos •  complementar conteúdos de aulas •  licença CC BY-NC-SA 3. Campinas. SP – 17/04/2013 .

xml Twitter http://twitter.br/ 2° Cinfotec Unicamp.br/rss/cartilha-rss.com/certbr Site http://cartilha. Campinas.cert.Cartilha de Segurança para Internet – Dica do Dia RSS http://cartilha.cert. SP – 17/04/2013 .

br -Centro de Estudos.br http://www. SP – 17/04/2013 .miriam@cert.nic.br/ –  NIC.cert. Campinas.Núcleo de Informação e Coordenação do .br .Perguntas? Miriam von Zuben .br/ –  CERT.br . Resposta e Tratamento de Incidentes de Segurança no Brasil http://www.br/ 2° Cinfotec Unicamp.Comitê Gestor da Internet no Brasil http://www.cgi.br –  CGI.