Organização

Introdução

As principais motivações para levar alguém a criar e controlar botnets são o reconhecimento e o ganho financeiro. Quanto maior a botnet, mais admiração seu criador pode reivindicar entre a comunidade underground. Poderá ainda alugar os serviços da botnet para terceiros, usualmente mandando mensagens de spam ou praticando ataques de negação de serviço contra alvos remotos. Devido ao grande número de computadores comprometidos, um volume grande de tráfego pode ser gerado.

Botnets se tornaram uma parte significativa da internet, embora cada vez mais camuflados. Uma vez que a maior parte das redes convencionais de IRC tomou providências para bloquear o acesso de botnets anteriormente hospedados, os controladores precisam agora encontrar seus próprios servidores. Com frequência um botnet inclui uma grande variedade de conexões e tipos de redes. Um controlador pode esconder um instalador de um servidor IRC em um site educacional ou corporativo, onde conexões de alta velocidade suportam um grande número de bots.

Muitas botnets foram encontradas e removidas da internet. A polícia holandesa encontrou uma botnet com 1,5 milhão de nós e a operadora de telecomunicações norueguesa Telenor acabou com uma botnet de dez mil nós. Em julho de 2010, o FBI prendeu um jovem eslovênio de 23 anos responsável por um software malicioso que, segundo uma estimativa, integrava 12 milhões de computadores em uma botnet. Atualmente estima-se que até um quarto de todos os computadores pessoais conectados à internet façam parte de uma botnet.

Organização

Em geral, as botnets recebem nomes derivados dos softwares maliciosos que utilizam, mas existem múltiplas botnets em operação as quais utilizam a mesma família de software malicioso, operadas por diferentes entidades criminosas.

Apesar do termo botnet ser usado em referência a qualquer grupo de bots, geralmente é usado para designar um conjunto de computadores comprometidos onde o software malicioso permanece em execução. Esse software é usualmente instalado por drive-by downloads que exploram vulnerabilidades do navegador web, via worms, cavalos de Troia ou backdoors, sob o comando de uma infraestrutura de controle.

Um botnet do originador, também conhecido por bot herder, pode controlar remotamente o grupo, geralmente através de um meio como o IRC. Muitas vezes o comando e controle é realizado através de um servidor de IRC ou um canal específico em uma rede pública IRC. Esse servidor é conhecido como o command-and-control server. Embora raro, operadores botnet mais experientes programam seus próprios protocolos de controle. Os constituintes desses protocolos incluem os programas servidor e cliente, além do programa que se instala na máquina da vítima. Os três comunicam-se uns com os outros em uma rede usando um esquema único de criptografia para não ser detectado e evitar intrusão na rede botnet.

Novos bots podem reconhecer seus ambientes automaticamente e se propagar usando vulnerabilidades e senhas fracas. Quanto mais vulnerabilidades um bot puder detectar e propagar, mais valioso se torna para a comunidade controladora da botnet. O roubo de recursos computacionais devido à inclusão do sistema em uma botnet é chamado de scrumping.

Criação

...