Códigos Maliciosos (malwares) Bots e Botnets

Bots e BotNets

Introdução

Códigos maliciosos (malwares) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador, uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões dos mesmos.

Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes, a realização de ataques e a disseminação de spam. Um dos principais códigos maliciosos é o BOT e sua rede conhecida como BOTNET.

Definição

Da mesma forma como ocorre com os worms, o bot pode ser um programa independente, que age e se propaga por meio do seu computador. Desta forma, ele cria as suas redes e dissipa conteúdo de alta periculosidade, prejudicando o usuário, vale citar que o bot leva este nome por se assemelhar a um robô, podendo ser programado para efetuar tarefas especiais dentro do computador da pessoa afetada.

Já os botnets são redes de computadores prejudicados por bots similares. Para quem propaga esta ameaça, ter uma série de computadores conectados com bots sob o seu total controle é a forma mais eficaz de dissipar os perigos propostos no aplicativo, com a clara tentativa de fraudar e assim enganar os usuários. Portanto, é altamente recomendado se prevenir em todos os casos de ameaças para a sua máquina.

Histórico

1. Origem

Tudo começou em meados de fevereiro de 2000, um hacker solitário conseguiu colocar alguns sites da web de joelhos, usando apenas algumas dezenas de computadores e softwares para adulterar simultaneamente os sites da yahoo, ebay e alguns outros sites globais durantes horas.

Bots são programa malicioso que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente.

Botnet é uma rede formada por muitos computadores zumbis e que permite aumentar a capacidade de ações danosas executadas pelos bots.

É muito importante ressaltar que trata-se de uma ameaça multiplataforma, não é apenas o seu PC que corre o risco de virar um dos “zumbis”, mas também dispositivos móveis, como dispositivos de usam o S.O androide. Em 2012, pesquisadores descobriram o nascimento da botnet Androide que funcionava disfarçada como um jogo.

1. Evolução

Em 2003, McCarty [McCarty 2003b] apresentou um dos trabalhos pioneiros na detecção de computadores infectados (máquinas zumbis). O autor observou um conjunto de máquinas comprometidas ingressando em um servidor IRC (Internet Relay Chat, uma rede de servidores que hospedam canais de bate-papo, ou seja, as salas onde as conversas acontecem) bem como as atividades executadas por esse conjunto. McCarty define tais máquinas como bots e o conjunto de bots, controlados por um ou mais atacantes, como uma botnet.

Inicialmente, como proposta, a função de um bot era o gerenciamento e controle de canais IRC. No entanto, devido à flexibilidade e ao crescente número de computadores conectados à Internet, tais máquinas passaram a ser utilizadas para atividades ilegais como ataques de negação de serviços, envio de spam em massa, phishing, fraudes em sistemas de propaganda ou aluguel de botnets.

Tradicionalmente, os botnets eram controlados a partir de um único servidor C&C (comando e controle), e alguns ainda são. Nesse caso, os bots se conectam de volta a um único local predeterminado e aguardam comandos do servidor. O herdeiro de bot envia os comandos para o servidor, que os reencontra para a rede do bot. Os resultados ou as informações coletadas são enviadas de volta aos bots para este servidor centralizado.

As botnets evoluíram e passaram a ser descentralizadas, no entanto, ter um servidor centralizado torna a rede de bot mais vulnerável a quedas e tentativas de interrupção. Por esse motivo, muitos controladores de bot agora usam o modelo peer-to-peer (P2P) ao invés de centralizado.

Em um botnet peer-to-peer os bots interconectados compartilham informações sem a necessidade de devolvê-la para o servidor centralizado: os bots infectados enviam e recebem comandos. Esses bots sondam os endereços IP aleatórios para contatar outros computadores infectados. Uma vez contatado, o bot responde com informações como a versão do software e uma lista de bots conhecidos. Se o bot contatado tiver uma versão de software mais recente, o outro bot se atualizará automaticamente para essa versão. Este método permite que a botnet cresça e permaneça atualizada sem precisar estabelecer conexão com o servidor centralizado tornando muito mais difícil o combate aos bots.

Para reforçar a efetividade dos ataques contra alvos maiores, os botmasters necessitam aumentar o número de bots e, para isso, empregam diferentes técnicas para espalhar códigos maliciosos. No início, o procedimento para tornar uma máquina infectada não era completamente automatizado e necessitava de interação humana como clicar em um link, que conduzia ao download de códigos maliciosos, ou abrir um e-mail com um software malicioso anexado. Atualmente, este procedimento tornou-se cada vez mais automatizado. Por exemplo, SDBot [McFee 2003] pode se propagar usando técnicas como compartilhamento de arquivos, redes P2P, backdoors deixadas por worms ou ainda explorar vulnerabilidades comuns do sistema operacional Windows. Além disso, os ataques e a capacidade de comunicação do bots tem sido melhorado. Por exemplo, uma máquina infectada com o Agabot [Schiller and Binkley 2007] pode participar de ataques de negação de serviços distribuídos (DDoS), servir como proxy para difusão de spam, criar túneis para outras redes de dados (GRE tunneling) e capturar senhas.

1. Estado da Arte

Os malwares, em particular os bots, representam uma significante ameaça a segurança da internet atual. Os bots são responsáveis por uma série de atividades maliciosas, geralmente também observadas em worms, rootkits e cavalos de tróia. Infelizmente, a complexidade dos malwares mais recentes requer que novas ferramentas e abordagens sejam avaliadas com o objetivo de desenvolver soluções adequadas de defesa.

As atuais ferramentas de segurança possuem um papel fundamental para defender o usuário de um computador das ameaças de segurança da rede. A defesa mais importante e popular contra códigos maliciosos são os próprios sistemas de antivírus. Os antivírus, tipicamente, têm o seu funcionamento estabelecido numa base de dados de assinaturas previamente conhecida, a qual é determinada segundo características do conteúdo de arquivos maliciosos. Logo, a eficiência dos sistemas de antivírus está diretamente ligada a assinaturas de malwares presente na base de dados do sistema. Entretanto, desenvolver novas assinaturas especialmente para malwares mais recentes que empregam técnicas sofisticadas é uma tarefa complexa e suscetível a imprecisão.

...