a indústria dos botnets e os crimes cibernéticos
TRANSCRIPT
![Page 1: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/1.jpg)
A indústria dos BotNets e os crimes cibernéticos
Yuri DiogenesSenior Technical WriterServer and Cloud Division iX Solutions - SolutionsMestrando em Cybersecurity e Inteligência Forense (UTICA)CISSP, CASP, Security+, E|CEH, E|CSA, CompTIA Cloud Essentials Certified
![Page 2: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/2.jpg)
2
Agenda• O que é um BotNet?• Como o sistema é infectado• Estudo de caso: Win32/Zbot• Estudo de caso: Win32/Rustock• Crimes com uso de Botnets• Qual seu papel neste cenário?• Referências
![Page 3: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/3.jpg)
3
O que é um BotNet?• É uma rede de computadores comprometidos que
pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos
• Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis
![Page 4: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/4.jpg)
4
Como o sistema é infectado?
• Geralmente a infecção do sistema ocorre através dos seguintes ataques:– Spam– Phishing– Drive by download attack
• Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/
![Page 5: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/5.jpg)
5
Estudo de Caso 1
Win32/Zbot
![Page 6: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/6.jpg)
6
Características• Win32/Zbot kit consiste de um componente
construtor que é usado para criar o malware para distribuição
• O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções
• O kit de construção do Win32/Zbot pode ser obtido no Black Market
![Page 7: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/7.jpg)
7
Operação• Algoritmo gera uma lista de nome de domínios
pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes
• O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C
![Page 8: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/8.jpg)
Microsoft Confidential 8
Ataque• Entre os vários métodos (spam, phishing, etc)
usados um outro muito comum é o de SQL Injection para realizar upload de exploit code
• Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata%
• Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos
• Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer
![Page 9: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/9.jpg)
Microsoft Confidential 9
O que foi comprometido?• Este bot é muito perigoso pois pode realizar as
seguintes operações:– Retirar screenshot de sites de banco– Obter dados HTML do usuário– Redirecionar o usuário para sites falsos que
parecem legítimos– Roubar credenciais– Modificar configurações do sistema e fazer
download de binários comprometidos
![Page 10: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/10.jpg)
10
Estatísticas• Detecção do Win32/Zbot por mês
![Page 11: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/11.jpg)
11
Estudo de Caso 2
Win32/Rustock
![Page 12: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/12.jpg)
12
Características• Da família de rootkit que gera backdoor trojan• Rootkit inicialmente criado para ajudar na
distribuição de SPAM• Os principais componentes são criptografados
![Page 13: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/13.jpg)
13
Componentes• Dropper é executado em Modo usuário e é
responsável por descriptografar (RC4) e baixar o rootkit driver
• O dropper também é responsável por contatar o C&C
• Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustock rootkit já está instalado
• O instalador do driver é executadoem modo kernel como um drivede sistema do Windows
• Geralmente troca arquivos comobeep.sys or null.sys por copiascom Rustock
![Page 14: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/14.jpg)
14
Ataque• Os computadores infectados eram usados como bot
para reenvio de spams com intuito de infectar outros computadores
• Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails
• Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez
![Page 15: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/15.jpg)
15
Evolução do Ataque• Microsoft DCU (Digital Crime Unit) em conjunto
com o MMPC (Microsoft Malware Protection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados
![Page 16: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/16.jpg)
16
Estatísticas• Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)
![Page 17: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/17.jpg)
17
Takedown• Em 2010 Microsoft entrou com um processo contra
os operadores do Rustock• Vários discos usados no C&C do
Rustock foram confiscados para análise forense– Várias evidencias foram
encontradas nos discos
![Page 18: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/18.jpg)
18
Crimes com uso de Botnets
Win32/Rustock
![Page 19: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/19.jpg)
19
Como botnets eram usados para crimes cibernéticos?
• Venda de drogas (remédios) falsificados (como Pfizer e Viagra)
• Email publicava anuncio da droga e infectava o computador de destino
![Page 20: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/20.jpg)
20
Além do Crime• O problema vai além do crime pois muitos
botnets movimentam um mercado ilegal de falsificação de drogas
• Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa
Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock
![Page 21: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/21.jpg)
21
O que devo fazer?• Comece valorizando o básico:– Não use software pirata– Mantenha o sistema operacional sempre
atualizado (use o Windows Update)– Mantenha o antivírus atualizado– Assegure que outros softwares instalados no
seu computador (como o Adobe) também estejam atualizados
• Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido
• Evangelize sua comunidade em tudo que foi recomendado acima
![Page 22: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/22.jpg)
Microsoft Confidential 22
Referências• Taking Down Botnets: Microsoft and the Rustock
Botnet• Microsoft and Financial Services Industry Leaders
Target Cybercriminal Operations from Zeus Botnets
• Deactivating botnets to create a safer, more trusted Internet
• Anatomy of a Botnet Report• Botnet Business Booming• Microsoft SIR
![Page 23: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/23.jpg)
Perguntas
![Page 24: A indústria dos BotNets e os crimes cibernéticos](https://reader035.vdocuments.net/reader035/viewer/2022062319/552fc170497959413d8edb0a/html5/thumbnails/24.jpg)
Contato
Twitter: @yuridiogenesBlog (ENG): blogs.technet.com/yuridiogenesBlog (PT-BR): yuridiogenes.wordpress.com