1 / 24

A indústria dos BotNets e os crimes cibernéticos

A indústria dos BotNets e os crimes cibernéticos. Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH , E|CSA , CompTIA Cloud Essentials Certified. Agenda.

licia
Download Presentation

A indústria dos BotNets e os crimes cibernéticos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. A indústria dos BotNets e os crimes cibernéticos Yuri Diogenes Senior Technical Writer Server and Cloud Division iX Solutions - Solutions Mestrando em Cybersecurity e Inteligência Forense (UTICA) CISSP, CASP, Security+, E|CEH, E|CSA, CompTIACloud Essentials Certified

  2. Agenda • O que é um BotNet? • Como o sistema é infectado • Estudo de caso: Win32/Zbot • Estudo de caso: Win32/Rustock • Crimes com uso de Botnets • Qual seu papel neste cenário? • Referências

  3. O que é um BotNet? • É uma rede de computadores comprometidos que pode ser usada de forma ilícita e secreta por um ou mais indivíduos para fins maliciosos • Os computadores que fazem parte de um botnet são também chamados de bots, robots, nós ou zumbis

  4. Como o sistema é infectado? • Geralmente a infecção do sistema ocorre através dos seguintes ataques: • Spam • Phishing • Drive by download attack • Um exemplo de um computador infectado e como a vítima ia ser extorquida pode ser encontrado em http://yuridiogenes.wordpress.com/2013/02/27/uma-ligao-no-meio-da-noite/

  5. Estudo de Caso 1Win32/Zbot

  6. Características • Win32/Zbot kit consiste de um componente construtor que é usado para criar o malware para distribuição • O Win32/Zbot tem uma arquitetura Cliente/Servidor que requer um Servidor de C&C (Command and Control) para onde o Bot se conecta para receber instruções • O kit de construção do Win32/Zbot pode ser obtido no Black Market

  7. Operação • Algoritmo gera uma lista de nome de domínios pseudo randômicos a qual o bot vai tentar se conectar em momentos diferentes • O operador do botnet usa o mesmo algoritmo para gerar a lista de nomes que serão registradas e o IP apontará para o C&C na data que o Bot está agendado para se conectar com o C&C

  8. Ataque • Entre os vários métodos (spam, phishing, etc) usados um outro muito comum é o de SQL Injection para realizar upload de exploitcode • Quando o sistema é comprometido e o Win32/Zbot é executado no destino ele faz uma cópia dele mesmo para %system% ou %appdata% • Após isso começa a se inserir em vários processos do sistema (geralmente winlogon.exe e explorer.exe), sendo executado assim no contexto destes processos • Depois de se proliferar no sistema ele contata o C&C para receber instruções do que fazer Microsoft Confidential

  9. O que foi comprometido? • Este bot é muito perigoso pois pode realizar as seguintes operações: • Retirar screenshot de sites de banco • Obter dados HTML do usuário • Redirecionar o usuário para sites falsos que parecem legítimos • Roubar credenciais • Modificar configurações do sistema e fazer download de binários comprometidos Microsoft Confidential

  10. Estatísticas • Detecção do Win32/Zbot por mês

  11. Estudo de Caso 2Win32/Rustock

  12. Características • Da família de rootkit que gera backdoortrojan • Rootkit inicialmente criado para ajudar na distribuição de SPAM • Os principais componentes são criptografados

  13. Componentes • Dropper é executado em Modo usuário e é responsável por descriptografar (RC4) e baixar o rootkitdriver • O dropper também é responsável por contatar o C&C • Antes de infectar o computador o dropper verifica uma chave de registro para saber se o Rustockrootkit já está instalado • O instalador do driver é executadoem modo kernel como um drivede sistema do Windows • Geralmente troca arquivos comobeep.sysornull.sys por copiascom Rustock

  14. Ataque • Os computadores infectados eram usados como bot para reenvio de spams com intuito de infectar outros computadores • Algumas versões do Rustock usavam um SMTP customizado (botdll.dll) para envio de emails • Diferente de outros malwares (como o Win32/Lethic), o Rustock enviava spam para um usuário por vez

  15. Evolução do Ataque • Microsoft DCU (Digital Crime Unit) em conjunto com o MMPC (Microsoft MalwareProtection Center) fez um teste com um sistema infectador por Win32/Harning (Dropper do Rustock) e em 5 minutos os seguintes malwares foram detectados

  16. Estatísticas • Detecção do Win32/Rustock (Outubro 2008 a Maio 2011)

  17. Takedown • Em 2010 Microsoft entrou com um processo contra os operadores do Rustock • Vários discos usados no C&C do Rustock foram confiscados para análise forense • Várias evidencias foram encontradas nos discos

  18. Crimes com uso de BotnetsWin32/Rustock

  19. Como botnets eram usados para crimes cibernéticos? • Venda de drogas (remédios) falsificados (como Pfizer e Viagra) • Email publicava anuncio da droga e infectava o computador de destino

  20. Além do Crime • O problema vai além do crime pois muitos botnets movimentam um mercado ilegal de falsificação de drogas • Não apenas as informações de cartão de crédito são roubadas, mas o indivíduo recebe a medicação falsa Exemplo de uma fábricaclandestina usada parafabricar drogas vendidasatravés dos SPAMSgerados pelo Rustock

  21. O que devo fazer? • Comece valorizando o básico: • Não use software pirata • Mantenha o sistema operacional sempre atualizado (use o Windows Update) • Mantenha o antivírus atualizado • Assegure que outros softwares instalados no seu computador (como o Adobe) também estejam atualizados • Não abra e-mail suspeito, não é por que o anti-spam deixou passar que o e-mail necessariamente é válido • Evangelize sua comunidade em tudo que foi recomendado acima

  22. Referências • Taking Down Botnets: Microsoft and the Rustock Botnet • Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets • Deactivating botnets to create a safer, more trusted Internet • Anatomy of a Botnet Report • Botnet Business Booming • Microsoft SIR Microsoft Confidential

  23. Perguntas

  24. Contato Twitter: @yuridiogenes Blog (ENG): blogs.technet.com/yuridiogenes Blog (PT-BR): yuridiogenes.wordpress.com

More Related