| Relatório de inteligência de...

Lutando contra a ameaça Rustock

| Relatório de inteligência

de segurança Edição especial

Janeiro de 2010 a maio de 2011

Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 1

Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição

especial

Este documento se destina apenas a fins informativos. A MICROSOFT NÃO FORNECE

GARANTIAS, SEJAM ELAS EXPRESSAS, IMPLÍCITAS OU LEGAIS, EM RELAÇÃO ÀS

INFORMAÇÕES NESTE DOCUMENTO.

Este documento é fornecido “no estado em que se encontra”. As informações e opiniões expressas

neste documento, incluindo URL e outras referências a sites da Internet, podem ser alteradas sem

aviso prévio. Você arca com o risco de usá-las.

Copyright © 2011 Microsoft Corporation. Todos os direitos reservados.

Os nomes de empresas e produtos reais mencionados neste documento podem ser marcas comerciais

de seus respectivos proprietários.

Autores David Anselmi – Unidade de Crimes Digitais da Microsoft

Richard Boscovich – Unidade de Crimes Digitais da Microsoft

T.J. Campana – Unidade de Crimes Digitais da Microsoft

Samantha Doerr – Unidade de Crimes Digitais da Microsoft

Marc Lauricella – Computação Confiável Microsoft

Tareq Saade – Centro de Proteção contra Malware da Microsoft

Holly Stewart – Centro de Proteção contra Malware da Microsoft

Oleg Petrovsky – Centro de Proteção contra Malware da Microsoft

Gerente de programas Frank Simorjay – Computação Confiável Microsoft

2 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial

Introdução

Este documento fornece uma visão geral da família Win32/Rustock de cavalos de Troia backdoor

habilitados para rootkit. O documento examina o histórico do Win32/Rustock, sua funcionalidade,

como ele atua e fornece dados de telemetria da ameaça e análises de 2010 até maio de 2011. Além

disso, este documento detalha as medidas legais e técnicas executadas para desativar o botnet

Rustock e como detectar e remover a ameaça com produtos antimalware da Microsoft.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Rustock


Prefácio

A Microsoft e o botnet Rustock

Em 16 de março de 2011, a Microsoft anunciou que a Unidade de Crimes Digitais da Microsoft

(DCU), em cooperação com especialistas acadêmicos e do setor, detiveram com êxito o botnet

Win32/Rustock. Na época da desativação, estimava-se que o Rustock tivesse infectado cerca de

um milhão de computadores operados sob seu controle e sabia-se que ele era capaz de enviar

bilhões de mensagens de email de spam todos os dias, inclusive scams de loteria falsos da Microsoft e

ofertas de medicamentos de venda controlada falsificados – e potencialmente perigosos.

A desativação do Rustock foi a segunda destruição de botnet orquestrada pela Microsoft por meio

de um esforço conjunto entre a DCU, o Centro de Proteção contra Malware da Microsoft (MMPC) e a

Computação Confiável Microsoft, conhecido como Projeto MARS (Resposta Ativa de Segurança da

Microsoft). O Projeto MARS foi iniciado como uma forma de ter em vista e desestruturar botnets e a

infraestrutura criminosa que eles apoiam, bem como ajudar as vítimas a retomar o controle de seus

computadores infectados. A primeira desativação de botnet do Projeto MARS foi em 2010 - uma

interrupção denominada “Operação b49” que desabilitou o botnet Waledac. A Operação b49 foi

um caso de prova de conceito para a abordagem de desativação de botnets da Microsoft e foi

seguida pela desativação de um botnet maior e mais conhecido, o Rustock, no início de 2011. Da

mesma forma que o Waledac, a desativação do Rustock (Operação b107) baseou-se na moderna

aplicação de medidas legais e técnicas para desfazer a conexão entre o comando e a estrutura de

controle do botnet Rustock e os computadores infectados pelo malware em operação sob seu

controle, a fim de interromper a ameaça contínua causada pelo botnet.

Desativações de botnets em grande escala como essas não podem ser executadas de forma

autônoma. Elas requerem a colaboração de pesquisadores acadêmicos, do setor, de departamentos

de aplicação da lei e de governos no mundo todo. Neste caso específico, a Microsoft trabalhou com a

Pfizer, com o provedor de segurança de rede FireEye e com especialistas de segurança da

Universidade de Washington. A FireEye prestou assistência técnica significativa, com a análise

técnica do Rustock, e os três prestaram declarações no tribunal federal sobre os perigos causados

pelo botnet Rustock e seu impacto na comunidade da Internet. A Microsoft também trabalhou com a

Dutch High Tech Crime Unit no Departamento de Polícia da Holanda, para ajudar a desmantelar

parte da estrutura de comando do botnet em operação fora dos Estados Unidos. Além disso, a

Microsoft trabalhou com a CN-CERT no bloqueio do registro de domínios na China que o Rustock

poderia usar para futuros servidores de controle e comando.

http://www.microsoft.com/presspass/presskits/DCU/

http://blogs.technet.com/b/microsoft_blog/archive/2010/09/08/r-i-p-waledac-undoing-the-damage-of-a-botnet.aspx


A principal lição que aprendemos de todas as nossas iniciativas para combater botnets foi que a

união de esforços de interrupção proativos foi a chave para o sucesso.

Richard Boscovich

Advogado sênior, Unidade de Crimes Digitais da Microsoft


Como o Win32/Rustock atua

O Win32/Rustock é uma família composta de vários componentes de cavalos de Troia backdoor

habilitados para rootkit, que foram historicamente desenvolvidos para auxiliar na distribuição de

emails de spam. As primeiras detecções do Rustock foram feitas no início de 2006. Em 2008, o

Rustock começou a aparecer em quantidades significativas e, no meio de 2010, havia se

transformado em uma das ameaças mais presentes e invasivas do mundo - Figura 1. As variantes

recentes pareciam estar associadas a programas de segurança falsos.

Figura 1. Detecções do Win32/Rustock feitas por soluções antimalware da Microsoft, outubro de 2008 a maio de 2011

Componentes e instalação

O Rustock consiste em três componentes diferentes, criptografados com tecnologias personalizadas e

de terceiros. Embora o Rustock tenha evoluído nos últimos cinco anos, ele se baseia, em grande parte,

na compactação de códigos e em utilitários obscuros como o aPLib e o UPX, além do algoritmo de

criptografia RC4.

Os três componentes e seu envolvimento no processo de infecção do Rustock são descritos nos

parágrafos a seguir:


1. O componente dropper é executado no modo de

usuário e é responsável por descriptografar e

instalar o componente de driver rootkit. (O

componente dropper também era responsável por

entrar em contato com um servidor de comando e

controle do Rustock (C&C) para determinar se

havia atualizações disponíveis.)

Antes de tentar infectar o computador, o

componente dropper verifica o Registro para

determinar se o rootkit do Rustock já está

presente. Ele faz isso procurando determinadas

chaves de "eventos globais” que o Rustock

adiciona ao Registro de um computador quando

está totalmente instalado. Se o rootkit estiver

presente e ativo, o dropper não tentará infectar

novamente o computador.

O código do componente dropper é complexo; é deliberadamente confuso e não otimizado,

empregando jumps polimórficos e strings não estáticas. Ele é criptografado com o algoritmo

RC4 e, em seguida, empacotado com a biblioteca de compactação aPLib.

2. O componente instalador de driver é executado no modo kernel, camuflado como um

driver de sistema Windows. Esse componente tenta se ocultar substituindo um driver como

o beep.sys ou o null.sys por uma cópia de si mesmo e, em seguida, substituindo-a após a

inicialização. Se essa tentativa não der certo, o instalador presente no sistema, em geral, usa

um nome de arquivo embutido em código ou gerado aleatoriamente, dependendo da

variante do Rustock. glaide32.sys e lzx32.sys são exemplos de nomes de arquivo embutidos

em código; 7005d59.sys é um nome de arquivo aleatório típico observado pelos

pesquisadores.

Variantes mais antigas do Rustock empregavam muitas técnicas alternativas para se

instalarem como drivers de sistema e evitarem a detecção. Os pesquisadores observaram

variantes tentando se instalar em compartilhamentos nulos (por exemplo,

\\127.0.0.1\admin$\system32\drivers\nome_do_driver.sys) e instalando o instalador

como um fluxo de dados alternativo (como System:lzx32.sys), entre outros. As versões

modernas do Rustock usam gancho de serviço de sistema para carregar esse componente de

forma discreta.

3. O componente driver rootkit é executado no modo kernel, como o instalador de driver. Esse

componente representa o lado do modo kernel da carga do Rustock. O cliente bot no modo

de usuário se comunica com o rootkit usando interrupções de INT 2Eh.

Figure 2. Win32/Rustock schematic diagram


Esse componente contém todo o código que gerencia a funcionalidade de backdoor, como a

comunicação com o servidor C&C e a execução de instruções enviadas pelos operadores do

Rustock (que, em geral, envolviam o envio de mensagens de spam).

Como ocorre com outros, esse componente começa se descriptografando e, em seguida, injeta em

si mesmo uma cópia de seu código descriptografado antes de transferir o controle para a cópia

recém-instanciada.

Para ocultar a sua presença, o componente rootkit captura uma variedade de funções na SSDT

(System Service Dispatch Table), incluindo ZwCreateEvent, ZwCreateKey e ZwOpenKey, para

se descartar de quaisquer solicitações que contenham o seu nome. Ele também oculta suas

operações de disco e de rede capturando funções em ntoskrnl.dll e ntdll.dll, bem como em

drivers de rede como tcpip.sys e wanarp.sys.

Além das técnicas de proteção descritas anteriormente (criptografia RC4, código não otimizado

e carregado em jump), o Rustock verifica a presença de depuradores de kernel como WinDBG,

Syser e SoftICE. Ele também tenta manter a integridade do código verificando constantemente

se há modificações em si mesmo, usando somas de verificação CRC32, e a existência de pontos

de extremidade de software (0xCC).

Spam

Depois que o Rustock é instalado e cuidadosamente disfarçado no computador do usuário, ele está

pronto para se conectar e se comunicar com seus servidores C&C. Antes da desativação, esses

servidores enviavam aos computadores infectados pelo Rustock informações e instruções para

enviar mensagens de spam sem o conhecimento, a aprovação e o envolvimento dos usuários.

A estrutura do componente de spam variava. Em alguns casos, ela se integrava ao componente

rootkit no modo kernel; em outros, os pesquisadores descobriram que o componente rootkit se

instalava em um disco separadamente, onde era executado em um contexto de usuário.

Versões antigas do Rustock usavam um mecanismo de cliente SMTP personalizado denominado

“botdll.dll” para enviar email de spam. Em 2008, o Rustock foi modificado para enviar spam pelo

Windows Live Hotmail usando credenciais fornecidas pelo servidor C&C. O envio de email

diretamente do computador do usuário, em geral, é um sinal que denuncia uma infecção por

malware e pode ser detectado como atividade mal-intencionada por firewalls e outras tecnologias

de monitoramento de rede. Ao usar um cliente de email Web, o Rustock tinha mais probabilidade

de evitar a detecção.

A mudança para o Hotmail também permitiu ao Rustock tirar proveito do SSL. Enquanto as

mensagens de email tradicionais são entregues em texto não criptografado, o Rustock agora era

capaz de criptografar seu tráfego constante usando DHTTPS, evitando ainda mais a detecção.


O spam enviado por computadores infectados se baseia em “modelos de spam” ou arquivos de

recurso, que os computadores do usuários recebiam dos servidores C&C. Os computadores

infectados usavam esses modelos, dos quais alguns continham, ilegalmente, marcas comerciais da

Microsoft, para gerar o spam enviado. Os operadores do Rustock podiam gerenciar a agressividade

com que um computador comprometido enviava spam, especificando o número de threads que o

computador usava para enviar mensagens, até o máximo de 100.

Algumas outras ameaças de malware em massa, como o Win32/Lethic, incluem vários endereços

na linha “Para”. Diferente dessas ameaças, o Rustock enviava mensagens de spam a um destinatário

por vez.

Figura 3. Comparação entre os modelos de distribuição de spam do Rustock e do Lethic

Implantação e carga

À medida que o Rustock evoluía, o mesmo ocorria com sua carga. Ele foi inicialmente desenvolvido

para enviar email de spam e foi originalmente associado à infraestrutura McColo e à Russian

Business Network (em que se observaram instaladores sendo hospedados). Em geral, as mensagens

de spam típicas enviadas se relacionavam a produtos farmacêuticos de sites falsos ou eram

vinculadas a páginas que ocasionalmente hospedavam malware adicional.


O Rustock também foi observado direcionando tráfego a sites de software de segurança falsos, que

induziam usuários a, inadvertidamente, comprarem e instalarem produtos antivírus falsificados

usando técnicas de engenharia social. Além disso, sabia-se que o Rustock instalava softwares de

segurança falsos e outros tipos de malware em computadores infectados diretamente e através de

explorações "drive-by".

A DCU realizou um experimento em conjunto com o MMPC em que um host cuidadosamente

monitorado foi infectado por Win32/Harnig (um conhecido dropper Rustock) para determinar

qual malware adicional seria instalado. Em cinco minutos de infecção sem interação, uma grande

variedade de malware adicional e softwares possivelmente indesejáveis haviam sido baixados e

instalados no computador infectado, conforme mostrado na figura a seguir:

Figura 4. Ameaças instaladas pelo Win32/Harnig em cinco minutos de infecção

Nome da ameaça MD5

Adware:Win32/Zugo 5a77b40c7e9de96a4183f82da0836a19

Backdoor:Win32/Kelihos.A 1454b22c36f1427820b24b564efb2e39

TrojanDownloader:Win32/Stasky.A 19616154d6d63a279d77ae11f7b998e9

TrojanDownloader:Win32/Bubnix.A 8e159ff1bbd5a470f903d0e32979811c

Rogue:Win32/FakeSpypro 76f4c35d23b7363fcf6d1870f0169efe

Trojan:Win32/Malagent 7d6ead50862311242902df065c908840

Trojan:Win32/Harnig.gen!D d0556114e53bae781a5870ef4220e4fc

Trojan:Win32/Hiloti.gen!D 1c8cb08d2841f6c14f69d90e6c340370

Trojan:Win32/Hiloti.gen!D 444bcb3a3fcf8389296c49467f27e1d6

TrojanDownloader:Win32/Renos.MJ 5571a3959b3bd4ecc7ae7c21d500165f

TrojanDownloader:Win32/Renos.MJ 89f987bdf3358e896a56159c1341f518

TrojanDownloader:Win32/Small.SL ccd08d114242f75a8f033031ceeafb88

Trojan:Win32/Meredrop 23472a09a1d42dc109644b250db0ca1e

TrojanDownloader:Win32/Waledac.C b7030bdf24d6828c6a1547dc2eece47d

TrojanDownloader:Win32/Waledac.C de5bd40cb5414a5d03ffd64f015ffacc

Backdoor:Win32/Cycbot.B 86d308e7a03e9619dbf423e47ac39c50

TrojanDownloader:Win32/Small.SL 2664b0abf4578d0079e3ad59ab697554

Worm:Win32/Skopvel 331fe9a906208ce29ba88501d525356b

Rogue:Win32/Winwebsec e4a9504875c975b8053568120c56743b

Muitas das ameaças listadas na Figura 4 foram desenvolvidas para baixar ainda mais ameaças em

vários intervalos.


Várias camadas de trojan downloaders formam cadeias complexas de relacionamentos entre os

proprietários de diferentes redes de malware. O acesso a botnet, em geral, é citado como disponível

para aluguel, mas o mesmo ocorre com o acesso a locais de downloader. Esse acesso fica evidente

pelo fato de que os arquivos apontados por downloaders mudam constantemente; às vezes, eles são

trocados por versões mais recentes do malware ou versões obscurecidas de diferentes formas, e outras

vezes, eles são trocados por algo totalmente diferente.

Deve-se observar que o Rustock emprega uma arquitetura de carga modular: o cliente de bot no

modo de usuário, conhecido em versões mais antigas como botdll.dll, podia ser substituído, com

facilidade, por qualquer outra carga. Embora o Rustock passasse a maior parte do tempo enviando

spam, ele poderia facilmente ser usado para quase qualquer finalidade nefasta com muito poucas

modificações.

Mecanismo de controle de backup

Quando não era possível acessar os servidores C&C, o Rustock contava com um mecanismo de

fallback para restabelecer comunicações. O malware inclui um algoritmo que gera 16 novos nomes

de domínio diariamente, consistindo em strings de caracteres sem sentido como jvwyqarglgwqvt.info

e hy38la8rwpaqlpiy.com. Os computadores infectados, então, tentam acessar cada um desses

domínios. Os operadores do Rustock usavam o mesmo algoritmo para gerar os nomes dos domínios

com antecedência e usá-los como pontos de comando e controle. Foi identificado que as variantes do

Rustock usavam seis algoritmos diferentes, que geravam, cada um, listas de nomes de domínios

diferentes, para um total de 96 novos nomes de domínios por dia. Conforme explicado na seção

“Estatísticas do Rustock” mais adiante neste relatório, os pesquisadores da Microsoft conseguiram

tirar proveito desse mecanismo para obter informações valiosas sobre a disseminação e o escopo do

botnet Rustock.


Derrotando o Rustock nos

tribunais

A desativação do Rustock foi a segunda maior desativação de botnet liderada pela Microsoft nos

últimos dois anos. Em 2010, a Microsoft solicitou e obteve uma liminar que fechou vários domínios

mal-intencionados usados pelo botnet Waledac. (Visite o site Relatório de inteligência de

segurança (a página pode estar em inglês) para obter mais informações.) Como parte desse esforço, a

Microsoft instaurou um processo contra os operadores anônimos do botnet Rustock, baseando-se, em

parte, no uso abusivo de suas marcas comerciais no spam do bot.

Figura 5. Ação cautelar temporária concedida contra os operadores do botnet Rustock.

No entanto, a infraestrutura do Rustock era muito mais complicada do que a do Waledac,

baseando-se em endereços IP embutidos em código em vez de em nomes de domínios e servidores de

http://www.microsoft.com/security/sir

http://www.microsoft.com/security/sir


comando e controle ponto a ponto (C&C). Em uma tentativa de impedir que o bot fosse

rapidamente alterado para uma nova infraestrutura, a Microsoft solicitou e obteve, em 9 de março

de 2011, uma liminar que incorporou uma ordem de apreensão. Essa ordem permitiu que a empresa,

escoltada pelo U.S. Marshals Service, obtivesse provas físicas nos locais e, em alguns casos, levasse

servidores afetados de provedores de hospedagem para análise. (Essa ordem e outros documentos

legais do caso estão publicados no site www.noticeofpleadings.com.)

Figura 6. Discos rígidos confiscados dos servidores C&C do Rustock

Em 16 de março de 2011, os servidores foram apreendidos de cinco provedores de hospedagem em

operação em sete cidades dos Estados Unidos, incluindo Kansas City, MO; Scranton, PA; Denver,

CO; Dallas, TX; Chicago, IL; Seattle, WA e Columbus, OH. Com a ajuda de provedores upstream, a

Microsoft interceptou, com êxito, os endereços IP que controlavam o botnet, interrompendo a

comunicação e desativando-a.

A Microsoft, em seguida, conduziu uma investigação forense em 20 das unidades de disco rígido

apreendidas, o que revelou algumas informações importantes sobre a operação do botnet:

As provas de disseminação de spam encontradas em uma das unidades incluíam software

personalizado relacionado à elaboração de mensagens de email de spam e arquivos de

texto contendo milhares de combinações de endereços de email e nomes de usuário e


senhas. Somente um arquivo de texto continha mais de 427.000 endereços de email. Vários

modelos de spam forneciam provas de uso abusivo de marcas comerciais pertencentes à

Microsoft e a empresas farmacêuticas.

Outra unidade incluía dados que indicavam que o servidor do qual a unidade foi retirada

foi usado como ponto inicial para ciberataques no espaço de IPs russo.

As outras 18 unidades exibiam características comuns que indicavam que os servidores

associados foram usados como nós em uma rede que fornece acesso anônimo à Internet.

Esses servidores provavelmente foram usados para fornecer aos operadores acesso anônimo

aos sistemas do Rustock, como o descrito anteriormente, que armazenava modelos de email,

marcas comerciais e endereços de email.

A análise forense das unidades também evidenciou vários endereços de email que provavelmente

foram usados pelos operadores durante o teste do sistema.

Por meio da investigação dos acordos de hospedagem feitos para os servidores, a Microsoft

determinou que os servidores C&C do Rustock eram pagos por meio de uma conta de serviço de

pagamento online associada a um endereço em Moscou, Rússia. De forma similar, vários dos

servidores C&C foram estabelecidos por um indivíduo ou indivíduos que usavam o apelido

“Cosma2k”, vinculado a vários nomes diferentes.

A Microsoft continua a investigar todos esses nomes, endereços de email e outras provas em um

esforço de localizar os indivíduos responsáveis pela implementação e operação do botnet Rustock,

de forma que seja possível tomar as ações legais apropriadas.


Estatísticas do Rustock

Entre 22 de janeiro de 2011 e 4 de fevereiro de 2011, a Microsoft determinou que o Rustock infectou

computadores conectados com a Internet a partir de mais de 1.300.000 endereços IP exclusivos no

mundo. A camada de infecção na arquitetura do Rustock é composta por um grande número de

computadores infectados pelo Rustock, como os encontrados em empresas, domicílios, escolas,

bibliotecas e cibercafés em todo o mundo.

A figura a seguir mostra o grande número de conexões de Internet estabelecidas em 24 minutos por

um único computador infectado pelo Rustock. Esse computador estabeleceu três conexões normais,

mas também executou 1.406 pesquisas exclusivas de vários hosts DNS A e 2.238 pesquisas

exclusivas de registros DNS MX para servidores de email na Internet. Além disso, tentou enviar

spam a 1.376 servidores de email na Internet, incluindo vários clientes de contas Hotmail e MSN, e

estabeleceu 22 conexões com servidores C&C ou outros servidores na Internet.


Figura 7. Representação visual da atividade de um único computador infectado pelo Rustock em 24 minutos.

Estatísticas da infecção

Conforme explicado na seção “Como o Win32/Rustock atua” anteriormente neste relatório, as

variantes do Rustock foram desenvolvidas para entrarem em contato com vários nomes de domínio

gerados de forma algorítmica a fim de obter instruções caso os servidores C&C principais não

estivessem disponíveis. Os pesquisadores da Microsoft fizeram engenharia reversa com êxito nos

algoritmos de geração de nomes de servidor do Rustock antes da desativação de 16 de março, o que

permitiu que eles mesmos registrassem os nomes dos domínios para impedir que os operadores do

Rustock os controlassem. Esses nomes de domínios foram atribuídos a sinkholes (complexos de

servidores desenvolvidos para absorver e analisar o tráfego de malware) operados pela Microsoft


para que fosse possível observar e estudar o tráfego do botnet. A telemetria gerada pelos servidores

sinkhole forneceu informações valiosas sobre o escopo geográfico do botnet Rustock.

Figura 8. Endereços IP exclusivos entrando em contato com o sinkhole do Rustock durante as oito primeiras semanas após a desativação, por semana

Como a maioria das famílias de malware, o Rustock não afeta todas as partes do mundo da mesma

forma. A figura a seguir mostra o número de ocorrências recebidas pelos servidores sinkhole dos

computadores infectados pelo Rustock durante a primeira semana após a desativação.


Figura 9. Distribuição mundial do tráfego do Rustock durante a primeira semana após a desativação

Os computadores infectados nos Estados Unidos geraram o maior tráfego de sinkhole durante a

primeira semana, com 55,8 milhões de ocorrências. Seguindo os Estados Unidos, vieram a França

(13,7 milhões de ocorrências), Turquia (13,4 milhões), Canadá (11,4 milhões), Índia (7,3 milhões) e

Brasil (7,1 milhões). No entanto, alguns locais com grandes números de computadores geraram

relativamente poucas ocorrências, incluindo a China (423.078 ocorrências na primeira semana),

Chile (500.925), Dinamarca (539.577) e Noruega (581.263).

O número de endereços IP que entraram em contato com o sinkhole diminuiu 44,2% entre a

primeira e a oitava semanas após a desativação, pois as variantes do Rustock foram removidas dos

computadores afetados por softwares antivírus e por outros meios, como scripts, ferramentas de

remoção e reinstalação do computador. Como com as infecções iniciais, essa diminuição não afetou

todas as partes do mundo da mesma forma. A Figura 10 e a Figura 11 mostram a diminuição em

porcentagem de endereços IP exclusivos que entraram em contato com o sinkhole do Rustock entre a

primeira e a oitava semanas após a desativação de 16 de março em diferentes locais no mundo e os

provedores de serviço de Internet mais afetados (ISPs).


Figura 10. As diminuições dos endereços IP que entraram em contato com o sinkhole do Rustock durante as primeiras oito primeiras semanas após a desativação, por local

Figura 11. Diminuição do tráfego do Rustock a partir dos 15 ASNs mais afetados entre 16 de março e 17 de maio

ASN Rank Continent Unique IPs – Week 1 Unique IPs – Week 9 Decreas

e

Affected ASN 1 Asia 117,480 42,109 64.2%



Affected ASN 4 North America 31,405 17,611 43.9%





Affected ASN 9 Europe 23,440 15,006 36.0%








Estatísticas de spam

Embora o seu comportamento flutuasse com o tempo, segundo relatos, o Rustock esteve entre os

maiores spambots do mundo, capaz, às vezes, de enviar 30 bilhões de mensagens de spam por dia. Os

pesquisadores da DCU observaram que um único computador infectado pelo Rustock enviava

7.500 mensagens de spam em apenas 45 minutos, ou seja, um índice de 240.000 mensagens de spam

por dia. Além disso, muito do spam originado do Rustock observado representava um perigo à saúde

pública, divulgando versões falsificadas ou não aprovadas de produtos farmacêuticos.

Conforme mencionado anteriormente, como o Rustock propagava um mercado para essas drogas

falsificadas, o fabricante de medicamentos Pfizer atuou como declarante nesse caso. A Pfizer efetuou

compras de teste dos medicamentos anunciados pelo Rustock e incluiu os resultados da análise na

sua declaração. A declaração da Pfizer forneceu provas de que o tipo de drogas anunciadas por esse

tipo de spam, em geral, continha princípios ativos e dosagens incorretos, ou pior, evidenciava as

condições inseguras em que elas normalmente são produzidas. Drogas falsificadas normalmente são

contaminadas com substâncias, incluindo pesticidas, tinta para rodovias com base de chumbo, cera

para piso, só para citar alguns exemplos.

Figura 12. Mensagem de spam enviada pelo botnet Rustock


Atividade de spam do Rustock detectada pela tecnologia

da Microsoft

Grandes volumes de spam do Rustock foram detectados com o Microsoft® Forefront® Online

Protection for Exchange (FOPE). O FOPE oferece tecnologias sobrepostas para ajudar, de forma

ativa, a proteger os emails de entrada e de saída das organizações contra spam, vírus e phishing

scams que violam a política de emails. A figura a seguir mostra a atividade de spam do botnet

Rustock de janeiro a abril de 2011 detectada pelo FOPE, por mensagens recebidas e endereços IP

distintos usados.

Figura 13. Atividade do botnet Rustock detectada pelo FOPE no primeiro trimestre de 2011, por mensagens recebidas e endereços IP usados

O botnet Rustock permaneceu quase completamente inativo entre 25 de dezembro de 2010 e 9 de

janeiro de 2011, por razões não inteiramente claras, mas que podem refletir uma pausa para as férias

de Natal. Após essa pausa, o botnet retomou a operação normal e, no início de fevereiro, exibia um

padrão estável típico de atividade. A atividade do botnet diminuiu de forma abrupta para quase

zero no meio de maio após a desativação.

Conclusão


Segundo relatos, o botnet Rustock esteve entre os maiores spambots do mundo, capaz, às vezes, de

enviar 30 bilhões de mensagens de spam por dia. Por meio de esforços combinados da Microsoft, do

sistema judiciário e do setor, o Rustock foi desativado com êxito em 16 de março de 2011.


As ações executadas contra botnets de grande escala como o Waledac e o Rustock podem ter sido as

primeiras do tipo, mas não serão as últimas. Como os cibercriminosos continuam a usar botnets como a parte central da atividade criminosa, a Microsoft, os parceiros do setor, os pesquisadores e órgãos de aplicação da lei no mundo permanecem comprometidos a lutar contra eles. Juntos, podemos impedir que criminosos usem botnets para causar destruições online, criando uma internet mais segura e confiável para todos.

http://www.microsoft.com/mscorp/twc/endtoendtrust/vision/botnet.aspx


Orientação: Defendendo-se contra

softwares maliciosos e

possivelmente

indesejáveis

A proteção efetiva de usuários contra malware requer um esforço ativo das organizações e das

pessoas. É importante manter as defesas antimalware atualizadas e se manter informado sobre os

desenvolvimentos mais recentes em técnicas de propagação de malware, incluindo engenharia

social.

Para obter uma orientação completa, consulte os recursos a seguir na seção “Mitigando o risco” do

site Relatório de inteligência de segurança da Microsoft:

Promovendo a navegação segura

Protegendo seu pessoal

Se você acredita que seu computador possa estar infectado pelo Rustock ou outro tipo de malware,

visite o site support.microsoft.com/botnets para obter informações e recursos gratuitos para limpá-

lo.

http://www.microsoft.com/security/sir/strategy/default.aspx#section_2_3

http://www.microsoft.com/security/sir/strategy/default.aspx#section_4

http://www.support.microsoft.com/botnets

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/security

| Relatório de inteligência de...

Documents

Transcript of | Relatório de inteligência de...