| Relatório de inteligência de...
Transcript of | Relatório de inteligência de...
Lutando contra a ameaça Rustock
| Relatório de inteligência
de segurança Edição especial
Janeiro de 2010 a maio de 2011
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 1
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição
especial
Este documento se destina apenas a fins informativos. A MICROSOFT NÃO FORNECE
GARANTIAS, SEJAM ELAS EXPRESSAS, IMPLÍCITAS OU LEGAIS, EM RELAÇÃO ÀS
INFORMAÇÕES NESTE DOCUMENTO.
Este documento é fornecido “no estado em que se encontra”. As informações e opiniões expressas
neste documento, incluindo URL e outras referências a sites da Internet, podem ser alteradas sem
aviso prévio. Você arca com o risco de usá-las.
Copyright © 2011 Microsoft Corporation. Todos os direitos reservados.
Os nomes de empresas e produtos reais mencionados neste documento podem ser marcas comerciais
de seus respectivos proprietários.
Autores David Anselmi – Unidade de Crimes Digitais da Microsoft
Richard Boscovich – Unidade de Crimes Digitais da Microsoft
T.J. Campana – Unidade de Crimes Digitais da Microsoft
Samantha Doerr – Unidade de Crimes Digitais da Microsoft
Marc Lauricella – Computação Confiável Microsoft
Tareq Saade – Centro de Proteção contra Malware da Microsoft
Holly Stewart – Centro de Proteção contra Malware da Microsoft
Oleg Petrovsky – Centro de Proteção contra Malware da Microsoft
Gerente de programas Frank Simorjay – Computação Confiável Microsoft
2 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
Introdução
Este documento fornece uma visão geral da família Win32/Rustock de cavalos de Troia backdoor
habilitados para rootkit. O documento examina o histórico do Win32/Rustock, sua funcionalidade,
como ele atua e fornece dados de telemetria da ameaça e análises de 2010 até maio de 2011. Além
disso, este documento detalha as medidas legais e técnicas executadas para desativar o botnet
Rustock e como detectar e remover a ameaça com produtos antimalware da Microsoft.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 3
Prefácio
A Microsoft e o botnet Rustock
Em 16 de março de 2011, a Microsoft anunciou que a Unidade de Crimes Digitais da Microsoft
(DCU), em cooperação com especialistas acadêmicos e do setor, detiveram com êxito o botnet
Win32/Rustock. Na época da desativação, estimava-se que o Rustock tivesse infectado cerca de
um milhão de computadores operados sob seu controle e sabia-se que ele era capaz de enviar
bilhões de mensagens de email de spam todos os dias, inclusive scams de loteria falsos da Microsoft e
ofertas de medicamentos de venda controlada falsificados – e potencialmente perigosos.
A desativação do Rustock foi a segunda destruição de botnet orquestrada pela Microsoft por meio
de um esforço conjunto entre a DCU, o Centro de Proteção contra Malware da Microsoft (MMPC) e a
Computação Confiável Microsoft, conhecido como Projeto MARS (Resposta Ativa de Segurança da
Microsoft). O Projeto MARS foi iniciado como uma forma de ter em vista e desestruturar botnets e a
infraestrutura criminosa que eles apoiam, bem como ajudar as vítimas a retomar o controle de seus
computadores infectados. A primeira desativação de botnet do Projeto MARS foi em 2010 - uma
interrupção denominada “Operação b49” que desabilitou o botnet Waledac. A Operação b49 foi
um caso de prova de conceito para a abordagem de desativação de botnets da Microsoft e foi
seguida pela desativação de um botnet maior e mais conhecido, o Rustock, no início de 2011. Da
mesma forma que o Waledac, a desativação do Rustock (Operação b107) baseou-se na moderna
aplicação de medidas legais e técnicas para desfazer a conexão entre o comando e a estrutura de
controle do botnet Rustock e os computadores infectados pelo malware em operação sob seu
controle, a fim de interromper a ameaça contínua causada pelo botnet.
Desativações de botnets em grande escala como essas não podem ser executadas de forma
autônoma. Elas requerem a colaboração de pesquisadores acadêmicos, do setor, de departamentos
de aplicação da lei e de governos no mundo todo. Neste caso específico, a Microsoft trabalhou com a
Pfizer, com o provedor de segurança de rede FireEye e com especialistas de segurança da
Universidade de Washington. A FireEye prestou assistência técnica significativa, com a análise
técnica do Rustock, e os três prestaram declarações no tribunal federal sobre os perigos causados
pelo botnet Rustock e seu impacto na comunidade da Internet. A Microsoft também trabalhou com a
Dutch High Tech Crime Unit no Departamento de Polícia da Holanda, para ajudar a desmantelar
parte da estrutura de comando do botnet em operação fora dos Estados Unidos. Além disso, a
Microsoft trabalhou com a CN-CERT no bloqueio do registro de domínios na China que o Rustock
poderia usar para futuros servidores de controle e comando.
4 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
A principal lição que aprendemos de todas as nossas iniciativas para combater botnets foi que a
união de esforços de interrupção proativos foi a chave para o sucesso.
Richard Boscovich
Advogado sênior, Unidade de Crimes Digitais da Microsoft
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 5
Como o Win32/Rustock atua
O Win32/Rustock é uma família composta de vários componentes de cavalos de Troia backdoor
habilitados para rootkit, que foram historicamente desenvolvidos para auxiliar na distribuição de
emails de spam. As primeiras detecções do Rustock foram feitas no início de 2006. Em 2008, o
Rustock começou a aparecer em quantidades significativas e, no meio de 2010, havia se
transformado em uma das ameaças mais presentes e invasivas do mundo - Figura 1. As variantes
recentes pareciam estar associadas a programas de segurança falsos.
Figura 1. Detecções do Win32/Rustock feitas por soluções antimalware da Microsoft, outubro de 2008 a maio de 2011
Componentes e instalação
O Rustock consiste em três componentes diferentes, criptografados com tecnologias personalizadas e
de terceiros. Embora o Rustock tenha evoluído nos últimos cinco anos, ele se baseia, em grande parte,
na compactação de códigos e em utilitários obscuros como o aPLib e o UPX, além do algoritmo de
criptografia RC4.
Os três componentes e seu envolvimento no processo de infecção do Rustock são descritos nos
parágrafos a seguir:
6 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
1. O componente dropper é executado no modo de
usuário e é responsável por descriptografar e
instalar o componente de driver rootkit. (O
componente dropper também era responsável por
entrar em contato com um servidor de comando e
controle do Rustock (C&C) para determinar se
havia atualizações disponíveis.)
Antes de tentar infectar o computador, o
componente dropper verifica o Registro para
determinar se o rootkit do Rustock já está
presente. Ele faz isso procurando determinadas
chaves de "eventos globais” que o Rustock
adiciona ao Registro de um computador quando
está totalmente instalado. Se o rootkit estiver
presente e ativo, o dropper não tentará infectar
novamente o computador.
O código do componente dropper é complexo; é deliberadamente confuso e não otimizado,
empregando jumps polimórficos e strings não estáticas. Ele é criptografado com o algoritmo
RC4 e, em seguida, empacotado com a biblioteca de compactação aPLib.
2. O componente instalador de driver é executado no modo kernel, camuflado como um
driver de sistema Windows. Esse componente tenta se ocultar substituindo um driver como
o beep.sys ou o null.sys por uma cópia de si mesmo e, em seguida, substituindo-a após a
inicialização. Se essa tentativa não der certo, o instalador presente no sistema, em geral, usa
um nome de arquivo embutido em código ou gerado aleatoriamente, dependendo da
variante do Rustock. glaide32.sys e lzx32.sys são exemplos de nomes de arquivo embutidos
em código; 7005d59.sys é um nome de arquivo aleatório típico observado pelos
pesquisadores.
Variantes mais antigas do Rustock empregavam muitas técnicas alternativas para se
instalarem como drivers de sistema e evitarem a detecção. Os pesquisadores observaram
variantes tentando se instalar em compartilhamentos nulos (por exemplo,
\\127.0.0.1\admin$\system32\drivers\nome_do_driver.sys) e instalando o instalador
como um fluxo de dados alternativo (como System:lzx32.sys), entre outros. As versões
modernas do Rustock usam gancho de serviço de sistema para carregar esse componente de
forma discreta.
3. O componente driver rootkit é executado no modo kernel, como o instalador de driver. Esse
componente representa o lado do modo kernel da carga do Rustock. O cliente bot no modo
de usuário se comunica com o rootkit usando interrupções de INT 2Eh.
Figure 2. Win32/Rustock schematic diagram
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 7
Esse componente contém todo o código que gerencia a funcionalidade de backdoor, como a
comunicação com o servidor C&C e a execução de instruções enviadas pelos operadores do
Rustock (que, em geral, envolviam o envio de mensagens de spam).
Como ocorre com outros, esse componente começa se descriptografando e, em seguida, injeta em
si mesmo uma cópia de seu código descriptografado antes de transferir o controle para a cópia
recém-instanciada.
Para ocultar a sua presença, o componente rootkit captura uma variedade de funções na SSDT
(System Service Dispatch Table), incluindo ZwCreateEvent, ZwCreateKey e ZwOpenKey, para
se descartar de quaisquer solicitações que contenham o seu nome. Ele também oculta suas
operações de disco e de rede capturando funções em ntoskrnl.dll e ntdll.dll, bem como em
drivers de rede como tcpip.sys e wanarp.sys.
Além das técnicas de proteção descritas anteriormente (criptografia RC4, código não otimizado
e carregado em jump), o Rustock verifica a presença de depuradores de kernel como WinDBG,
Syser e SoftICE. Ele também tenta manter a integridade do código verificando constantemente
se há modificações em si mesmo, usando somas de verificação CRC32, e a existência de pontos
de extremidade de software (0xCC).
Spam
Depois que o Rustock é instalado e cuidadosamente disfarçado no computador do usuário, ele está
pronto para se conectar e se comunicar com seus servidores C&C. Antes da desativação, esses
servidores enviavam aos computadores infectados pelo Rustock informações e instruções para
enviar mensagens de spam sem o conhecimento, a aprovação e o envolvimento dos usuários.
A estrutura do componente de spam variava. Em alguns casos, ela se integrava ao componente
rootkit no modo kernel; em outros, os pesquisadores descobriram que o componente rootkit se
instalava em um disco separadamente, onde era executado em um contexto de usuário.
Versões antigas do Rustock usavam um mecanismo de cliente SMTP personalizado denominado
“botdll.dll” para enviar email de spam. Em 2008, o Rustock foi modificado para enviar spam pelo
Windows Live Hotmail usando credenciais fornecidas pelo servidor C&C. O envio de email
diretamente do computador do usuário, em geral, é um sinal que denuncia uma infecção por
malware e pode ser detectado como atividade mal-intencionada por firewalls e outras tecnologias
de monitoramento de rede. Ao usar um cliente de email Web, o Rustock tinha mais probabilidade
de evitar a detecção.
A mudança para o Hotmail também permitiu ao Rustock tirar proveito do SSL. Enquanto as
mensagens de email tradicionais são entregues em texto não criptografado, o Rustock agora era
capaz de criptografar seu tráfego constante usando DHTTPS, evitando ainda mais a detecção.
8 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
O spam enviado por computadores infectados se baseia em “modelos de spam” ou arquivos de
recurso, que os computadores do usuários recebiam dos servidores C&C. Os computadores
infectados usavam esses modelos, dos quais alguns continham, ilegalmente, marcas comerciais da
Microsoft, para gerar o spam enviado. Os operadores do Rustock podiam gerenciar a agressividade
com que um computador comprometido enviava spam, especificando o número de threads que o
computador usava para enviar mensagens, até o máximo de 100.
Algumas outras ameaças de malware em massa, como o Win32/Lethic, incluem vários endereços
na linha “Para”. Diferente dessas ameaças, o Rustock enviava mensagens de spam a um destinatário
por vez.
Figura 3. Comparação entre os modelos de distribuição de spam do Rustock e do Lethic
Implantação e carga
À medida que o Rustock evoluía, o mesmo ocorria com sua carga. Ele foi inicialmente desenvolvido
para enviar email de spam e foi originalmente associado à infraestrutura McColo e à Russian
Business Network (em que se observaram instaladores sendo hospedados). Em geral, as mensagens
de spam típicas enviadas se relacionavam a produtos farmacêuticos de sites falsos ou eram
vinculadas a páginas que ocasionalmente hospedavam malware adicional.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 9
O Rustock também foi observado direcionando tráfego a sites de software de segurança falsos, que
induziam usuários a, inadvertidamente, comprarem e instalarem produtos antivírus falsificados
usando técnicas de engenharia social. Além disso, sabia-se que o Rustock instalava softwares de
segurança falsos e outros tipos de malware em computadores infectados diretamente e através de
explorações "drive-by".
A DCU realizou um experimento em conjunto com o MMPC em que um host cuidadosamente
monitorado foi infectado por Win32/Harnig (um conhecido dropper Rustock) para determinar
qual malware adicional seria instalado. Em cinco minutos de infecção sem interação, uma grande
variedade de malware adicional e softwares possivelmente indesejáveis haviam sido baixados e
instalados no computador infectado, conforme mostrado na figura a seguir:
Figura 4. Ameaças instaladas pelo Win32/Harnig em cinco minutos de infecção
Nome da ameaça MD5
Adware:Win32/Zugo 5a77b40c7e9de96a4183f82da0836a19
Backdoor:Win32/Kelihos.A 1454b22c36f1427820b24b564efb2e39
TrojanDownloader:Win32/Stasky.A 19616154d6d63a279d77ae11f7b998e9
TrojanDownloader:Win32/Bubnix.A 8e159ff1bbd5a470f903d0e32979811c
Rogue:Win32/FakeSpypro 76f4c35d23b7363fcf6d1870f0169efe
Trojan:Win32/Malagent 7d6ead50862311242902df065c908840
Trojan:Win32/Harnig.gen!D d0556114e53bae781a5870ef4220e4fc
Trojan:Win32/Hiloti.gen!D 1c8cb08d2841f6c14f69d90e6c340370
Trojan:Win32/Hiloti.gen!D 444bcb3a3fcf8389296c49467f27e1d6
TrojanDownloader:Win32/Renos.MJ 5571a3959b3bd4ecc7ae7c21d500165f
TrojanDownloader:Win32/Renos.MJ 89f987bdf3358e896a56159c1341f518
TrojanDownloader:Win32/Small.SL ccd08d114242f75a8f033031ceeafb88
Trojan:Win32/Meredrop 23472a09a1d42dc109644b250db0ca1e
TrojanDownloader:Win32/Waledac.C b7030bdf24d6828c6a1547dc2eece47d
TrojanDownloader:Win32/Waledac.C de5bd40cb5414a5d03ffd64f015ffacc
Backdoor:Win32/Cycbot.B 86d308e7a03e9619dbf423e47ac39c50
TrojanDownloader:Win32/Small.SL 2664b0abf4578d0079e3ad59ab697554
Worm:Win32/Skopvel 331fe9a906208ce29ba88501d525356b
Rogue:Win32/Winwebsec e4a9504875c975b8053568120c56743b
Muitas das ameaças listadas na Figura 4 foram desenvolvidas para baixar ainda mais ameaças em
vários intervalos.
10 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
Várias camadas de trojan downloaders formam cadeias complexas de relacionamentos entre os
proprietários de diferentes redes de malware. O acesso a botnet, em geral, é citado como disponível
para aluguel, mas o mesmo ocorre com o acesso a locais de downloader. Esse acesso fica evidente
pelo fato de que os arquivos apontados por downloaders mudam constantemente; às vezes, eles são
trocados por versões mais recentes do malware ou versões obscurecidas de diferentes formas, e outras
vezes, eles são trocados por algo totalmente diferente.
Deve-se observar que o Rustock emprega uma arquitetura de carga modular: o cliente de bot no
modo de usuário, conhecido em versões mais antigas como botdll.dll, podia ser substituído, com
facilidade, por qualquer outra carga. Embora o Rustock passasse a maior parte do tempo enviando
spam, ele poderia facilmente ser usado para quase qualquer finalidade nefasta com muito poucas
modificações.
Mecanismo de controle de backup
Quando não era possível acessar os servidores C&C, o Rustock contava com um mecanismo de
fallback para restabelecer comunicações. O malware inclui um algoritmo que gera 16 novos nomes
de domínio diariamente, consistindo em strings de caracteres sem sentido como jvwyqarglgwqvt.info
e hy38la8rwpaqlpiy.com. Os computadores infectados, então, tentam acessar cada um desses
domínios. Os operadores do Rustock usavam o mesmo algoritmo para gerar os nomes dos domínios
com antecedência e usá-los como pontos de comando e controle. Foi identificado que as variantes do
Rustock usavam seis algoritmos diferentes, que geravam, cada um, listas de nomes de domínios
diferentes, para um total de 96 novos nomes de domínios por dia. Conforme explicado na seção
“Estatísticas do Rustock” mais adiante neste relatório, os pesquisadores da Microsoft conseguiram
tirar proveito desse mecanismo para obter informações valiosas sobre a disseminação e o escopo do
botnet Rustock.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 11
Derrotando o Rustock nos
tribunais
A desativação do Rustock foi a segunda maior desativação de botnet liderada pela Microsoft nos
últimos dois anos. Em 2010, a Microsoft solicitou e obteve uma liminar que fechou vários domínios
mal-intencionados usados pelo botnet Waledac. (Visite o site Relatório de inteligência de
segurança (a página pode estar em inglês) para obter mais informações.) Como parte desse esforço, a
Microsoft instaurou um processo contra os operadores anônimos do botnet Rustock, baseando-se, em
parte, no uso abusivo de suas marcas comerciais no spam do bot.
Figura 5. Ação cautelar temporária concedida contra os operadores do botnet Rustock.
No entanto, a infraestrutura do Rustock era muito mais complicada do que a do Waledac,
baseando-se em endereços IP embutidos em código em vez de em nomes de domínios e servidores de
12 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
comando e controle ponto a ponto (C&C). Em uma tentativa de impedir que o bot fosse
rapidamente alterado para uma nova infraestrutura, a Microsoft solicitou e obteve, em 9 de março
de 2011, uma liminar que incorporou uma ordem de apreensão. Essa ordem permitiu que a empresa,
escoltada pelo U.S. Marshals Service, obtivesse provas físicas nos locais e, em alguns casos, levasse
servidores afetados de provedores de hospedagem para análise. (Essa ordem e outros documentos
legais do caso estão publicados no site www.noticeofpleadings.com.)
Figura 6. Discos rígidos confiscados dos servidores C&C do Rustock
Em 16 de março de 2011, os servidores foram apreendidos de cinco provedores de hospedagem em
operação em sete cidades dos Estados Unidos, incluindo Kansas City, MO; Scranton, PA; Denver,
CO; Dallas, TX; Chicago, IL; Seattle, WA e Columbus, OH. Com a ajuda de provedores upstream, a
Microsoft interceptou, com êxito, os endereços IP que controlavam o botnet, interrompendo a
comunicação e desativando-a.
A Microsoft, em seguida, conduziu uma investigação forense em 20 das unidades de disco rígido
apreendidas, o que revelou algumas informações importantes sobre a operação do botnet:
As provas de disseminação de spam encontradas em uma das unidades incluíam software
personalizado relacionado à elaboração de mensagens de email de spam e arquivos de
texto contendo milhares de combinações de endereços de email e nomes de usuário e
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 13
senhas. Somente um arquivo de texto continha mais de 427.000 endereços de email. Vários
modelos de spam forneciam provas de uso abusivo de marcas comerciais pertencentes à
Microsoft e a empresas farmacêuticas.
Outra unidade incluía dados que indicavam que o servidor do qual a unidade foi retirada
foi usado como ponto inicial para ciberataques no espaço de IPs russo.
As outras 18 unidades exibiam características comuns que indicavam que os servidores
associados foram usados como nós em uma rede que fornece acesso anônimo à Internet.
Esses servidores provavelmente foram usados para fornecer aos operadores acesso anônimo
aos sistemas do Rustock, como o descrito anteriormente, que armazenava modelos de email,
marcas comerciais e endereços de email.
A análise forense das unidades também evidenciou vários endereços de email que provavelmente
foram usados pelos operadores durante o teste do sistema.
Por meio da investigação dos acordos de hospedagem feitos para os servidores, a Microsoft
determinou que os servidores C&C do Rustock eram pagos por meio de uma conta de serviço de
pagamento online associada a um endereço em Moscou, Rússia. De forma similar, vários dos
servidores C&C foram estabelecidos por um indivíduo ou indivíduos que usavam o apelido
“Cosma2k”, vinculado a vários nomes diferentes.
A Microsoft continua a investigar todos esses nomes, endereços de email e outras provas em um
esforço de localizar os indivíduos responsáveis pela implementação e operação do botnet Rustock,
de forma que seja possível tomar as ações legais apropriadas.
14 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
Estatísticas do Rustock
Entre 22 de janeiro de 2011 e 4 de fevereiro de 2011, a Microsoft determinou que o Rustock infectou
computadores conectados com a Internet a partir de mais de 1.300.000 endereços IP exclusivos no
mundo. A camada de infecção na arquitetura do Rustock é composta por um grande número de
computadores infectados pelo Rustock, como os encontrados em empresas, domicílios, escolas,
bibliotecas e cibercafés em todo o mundo.
A figura a seguir mostra o grande número de conexões de Internet estabelecidas em 24 minutos por
um único computador infectado pelo Rustock. Esse computador estabeleceu três conexões normais,
mas também executou 1.406 pesquisas exclusivas de vários hosts DNS A e 2.238 pesquisas
exclusivas de registros DNS MX para servidores de email na Internet. Além disso, tentou enviar
spam a 1.376 servidores de email na Internet, incluindo vários clientes de contas Hotmail e MSN, e
estabeleceu 22 conexões com servidores C&C ou outros servidores na Internet.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 15
Figura 7. Representação visual da atividade de um único computador infectado pelo Rustock em 24 minutos.
Estatísticas da infecção
Conforme explicado na seção “Como o Win32/Rustock atua” anteriormente neste relatório, as
variantes do Rustock foram desenvolvidas para entrarem em contato com vários nomes de domínio
gerados de forma algorítmica a fim de obter instruções caso os servidores C&C principais não
estivessem disponíveis. Os pesquisadores da Microsoft fizeram engenharia reversa com êxito nos
algoritmos de geração de nomes de servidor do Rustock antes da desativação de 16 de março, o que
permitiu que eles mesmos registrassem os nomes dos domínios para impedir que os operadores do
Rustock os controlassem. Esses nomes de domínios foram atribuídos a sinkholes (complexos de
servidores desenvolvidos para absorver e analisar o tráfego de malware) operados pela Microsoft
16 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
para que fosse possível observar e estudar o tráfego do botnet. A telemetria gerada pelos servidores
sinkhole forneceu informações valiosas sobre o escopo geográfico do botnet Rustock.
Figura 8. Endereços IP exclusivos entrando em contato com o sinkhole do Rustock durante as oito primeiras semanas após a desativação, por semana
Como a maioria das famílias de malware, o Rustock não afeta todas as partes do mundo da mesma
forma. A figura a seguir mostra o número de ocorrências recebidas pelos servidores sinkhole dos
computadores infectados pelo Rustock durante a primeira semana após a desativação.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 17
Figura 9. Distribuição mundial do tráfego do Rustock durante a primeira semana após a desativação
Os computadores infectados nos Estados Unidos geraram o maior tráfego de sinkhole durante a
primeira semana, com 55,8 milhões de ocorrências. Seguindo os Estados Unidos, vieram a França
(13,7 milhões de ocorrências), Turquia (13,4 milhões), Canadá (11,4 milhões), Índia (7,3 milhões) e
Brasil (7,1 milhões). No entanto, alguns locais com grandes números de computadores geraram
relativamente poucas ocorrências, incluindo a China (423.078 ocorrências na primeira semana),
Chile (500.925), Dinamarca (539.577) e Noruega (581.263).
O número de endereços IP que entraram em contato com o sinkhole diminuiu 44,2% entre a
primeira e a oitava semanas após a desativação, pois as variantes do Rustock foram removidas dos
computadores afetados por softwares antivírus e por outros meios, como scripts, ferramentas de
remoção e reinstalação do computador. Como com as infecções iniciais, essa diminuição não afetou
todas as partes do mundo da mesma forma. A Figura 10 e a Figura 11 mostram a diminuição em
porcentagem de endereços IP exclusivos que entraram em contato com o sinkhole do Rustock entre a
primeira e a oitava semanas após a desativação de 16 de março em diferentes locais no mundo e os
provedores de serviço de Internet mais afetados (ISPs).
18 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
Figura 10. As diminuições dos endereços IP que entraram em contato com o sinkhole do Rustock durante as primeiras oito primeiras semanas após a desativação, por local
Figura 11. Diminuição do tráfego do Rustock a partir dos 15 ASNs mais afetados entre 16 de março e 17 de maio
ASN Rank Continent Unique IPs – Week 1 Unique IPs – Week 9 Decreas
e
Affected ASN 1 Asia 117,480 42,109 64.2%
Affected ASN 2 Asia 73,751 43,745 40.7%
Affected ASN 3 Asia 33,303 12,015 63.9%
Affected ASN 4 North America 31,405 17,611 43.9%
Affected ASN 5 Asia 28,890 11,785 59.2%
Affected ASN 6 Asia 28,829 11,646 59.6%
Affected ASN 7 Asia 28,738 13,472 53.1%
Affected ASN 8 Asia 24,709 13,480 45.4%
Affected ASN 9 Europe 23,440 15,006 36.0%
Affected ASN 10 Asia 22,723 7,839 65.5%
Affected ASN 11 Asia 21,680 6,242 71.2%
Affected ASN 12 Europe 21,543 9,982 53.7%
Affected ASN 13 Europe 20,239 13,551 33.0%
Affected ASN 14 Asia 18,955 11,632 38.6%
Affected ASN 15 Europe 17,878 9,974 44.2%
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 19
Estatísticas de spam
Embora o seu comportamento flutuasse com o tempo, segundo relatos, o Rustock esteve entre os
maiores spambots do mundo, capaz, às vezes, de enviar 30 bilhões de mensagens de spam por dia. Os
pesquisadores da DCU observaram que um único computador infectado pelo Rustock enviava
7.500 mensagens de spam em apenas 45 minutos, ou seja, um índice de 240.000 mensagens de spam
por dia. Além disso, muito do spam originado do Rustock observado representava um perigo à saúde
pública, divulgando versões falsificadas ou não aprovadas de produtos farmacêuticos.
Conforme mencionado anteriormente, como o Rustock propagava um mercado para essas drogas
falsificadas, o fabricante de medicamentos Pfizer atuou como declarante nesse caso. A Pfizer efetuou
compras de teste dos medicamentos anunciados pelo Rustock e incluiu os resultados da análise na
sua declaração. A declaração da Pfizer forneceu provas de que o tipo de drogas anunciadas por esse
tipo de spam, em geral, continha princípios ativos e dosagens incorretos, ou pior, evidenciava as
condições inseguras em que elas normalmente são produzidas. Drogas falsificadas normalmente são
contaminadas com substâncias, incluindo pesticidas, tinta para rodovias com base de chumbo, cera
para piso, só para citar alguns exemplos.
Figura 12. Mensagem de spam enviada pelo botnet Rustock
20 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
Atividade de spam do Rustock detectada pela tecnologia
da Microsoft
Grandes volumes de spam do Rustock foram detectados com o Microsoft® Forefront® Online
Protection for Exchange (FOPE). O FOPE oferece tecnologias sobrepostas para ajudar, de forma
ativa, a proteger os emails de entrada e de saída das organizações contra spam, vírus e phishing
scams que violam a política de emails. A figura a seguir mostra a atividade de spam do botnet
Rustock de janeiro a abril de 2011 detectada pelo FOPE, por mensagens recebidas e endereços IP
distintos usados.
Figura 13. Atividade do botnet Rustock detectada pelo FOPE no primeiro trimestre de 2011, por mensagens recebidas e endereços IP usados
O botnet Rustock permaneceu quase completamente inativo entre 25 de dezembro de 2010 e 9 de
janeiro de 2011, por razões não inteiramente claras, mas que podem refletir uma pausa para as férias
de Natal. Após essa pausa, o botnet retomou a operação normal e, no início de fevereiro, exibia um
padrão estável típico de atividade. A atividade do botnet diminuiu de forma abrupta para quase
zero no meio de maio após a desativação.
Conclusão
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 21
Segundo relatos, o botnet Rustock esteve entre os maiores spambots do mundo, capaz, às vezes, de
enviar 30 bilhões de mensagens de spam por dia. Por meio de esforços combinados da Microsoft, do
sistema judiciário e do setor, o Rustock foi desativado com êxito em 16 de março de 2011.
22 Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial
As ações executadas contra botnets de grande escala como o Waledac e o Rustock podem ter sido as
primeiras do tipo, mas não serão as últimas. Como os cibercriminosos continuam a usar botnets como a parte central da atividade criminosa, a Microsoft, os parceiros do setor, os pesquisadores e órgãos de aplicação da lei no mundo permanecem comprometidos a lutar contra eles. Juntos, podemos impedir que criminosos usem botnets para causar destruições online, criando uma internet mais segura e confiável para todos.
Lutando contra a ameaça Rustock – Relatório de inteligência de segurança: Edição especial 23
Orientação: Defendendo-se contra
softwares maliciosos e
possivelmente
indesejáveis
A proteção efetiva de usuários contra malware requer um esforço ativo das organizações e das
pessoas. É importante manter as defesas antimalware atualizadas e se manter informado sobre os
desenvolvimentos mais recentes em técnicas de propagação de malware, incluindo engenharia
social.
Para obter uma orientação completa, consulte os recursos a seguir na seção “Mitigando o risco” do
site Relatório de inteligência de segurança da Microsoft:
Promovendo a navegação segura
Protegendo seu pessoal
Se você acredita que seu computador possa estar infectado pelo Rustock ou outro tipo de malware,
visite o site support.microsoft.com/botnets para obter informações e recursos gratuitos para limpá-
lo.