A indústria dos BotNets e os crimes cibernéticos

Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions - SolutionsMestrando em Cybersecurity e Inteligência Forense (UTICA)CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified

2

Agenda• O que é um BotNet?• Como o sistema é infectado• Estudo de caso: Win32/Zbot• Estudo de caso: Win32/Rustock• Crimes com uso de Botnets• Qual seu papel neste cenário?• Referências

3

O que é um BotNet?• É uma rede de computadores comprometidos que

pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos

• Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis

4

Como o sistema é infectado?

• Geralmente a infecção do sistema ocorre através dos seguintes ataques:– Spam– Phishing– Drive by download attack

• Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/

5

Estudo de Caso 1

Win32/Zbot

6

Características• Win32/Zbot kit consiste de um componente

construtor que é usado para criar o malware para distribuição

• O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções

• O kit de construção do Win32/Zbot pode ser obtido no Black Market

7

Operação• Algoritmo gera uma lista de nome de domínios

pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes

• O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C

Microsoft Confidential 8

Ataque• Entre os vários métodos (spam, phishing, etc)

usados um outro muito comum é o de SQL Injection para realizar upload de exploit code

• Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata%

• Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos

• Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer

Microsoft Confidential 9

O que foi comprometido?• Este bot é muito perigoso pois pode realizar as

seguintes operações:– Retirar screenshot de sites de banco– Obter dados HTML do usuário– Redirecionar o usuário para sites falsos que

parecem legítimos– Roubar credenciais– Modificar configurações do sistema e fazer

download de binários comprometidos

10

Estatísticas• Detecção do Win32/Zbot por mês

11

Estudo de Caso 2

Win32/Rustock

12

Características• Da família de rootkit que gera backdoor trojan• Rootkit inicialmente criado para ajudar na

distribuição de SPAM• Os principais componentes são criptografados

13

Componentes• Dropper é executado em Modo usuário e é

responsável por descriptografar (RC4) e baixar o rootkit driver

• O dropper também é responsável por contatar o C&C

• Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado

• O instalador do driver é executadoem modo kernel como um drivede sistema do Windows

• Geralmente troca arquivos comobeep.sys or null.sys por copiascom Rustock

14

Ataque• Os computadores infectados eram usados como bot

para reenvio de spams com intuito de infectar outros computadores

• Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails

• Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez

15

Evolução do Ataque• Microsoft DCU (Digital Crime Unit) em conjunto

com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados

16

Estatísticas• Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)

17

Takedown• Em 2010 Microsoft entrou com um processo contra

os operadores do Rustock• Vários discos usados no C&C do

Rustock foram confiscados para análise forense– Várias evidencias foram

encontradas nos discos

18

Crimes com uso de Botnets

Win32/Rustock

19

Como botnets eram usados para crimes cibernéticos?

• Venda de drogas (remédios) falsificados (como Pfizer e Viagra)

• Email publicava anuncio da droga e infectava o computador de destino

20

Além do Crime• O problema vai além do crime pois muitos

botnets movimentam um mercado ilegal de falsificação de drogas

• Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa

Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock

21

O que devo fazer?• Comece valorizando o básico:– Não use software pirata– Mantenha o sistema operacional sempre

atualizado (use o Windows Update)– Mantenha o antivírus atualizado– Assegure que outros softwares instalados no

seu computador (como o Adobe) também estejam atualizados

• Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido

• Evangelize sua comunidade em tudo que foi recomendado acima

Microsoft Confidential 22

Referências• Taking Down Botnets: Microsoft and the Rustock

Botnet• Microsoft and Financial Services Industry Leaders

Target Cybercriminal Operations from Zeus Botnets

• Deactivating botnets to create a safer, more trusted Internet

• Anatomy of a Botnet Report• Botnet Business Booming• Microsoft SIR

Perguntas

Contato

Twitter: @yuridiogenesBlog (ENG): blogs.technet.com/yuridiogenesBlog (PT-BR): yuridiogenes.wordpress.com