Botnet

Uma botnet é um conjunto de dispositivos conectados à web, incluindo servidores, PCs, dispositivos móveis e dispositivos IoT, que estão infectados e controlados por malware partilhado.

Um sistema geralmente torna-se parte de uma botnet sem que o utilizador se aperceba. Estes dispositivos sequestrados podem ser usados para realizar ataques de negação de serviço distribuídos, roubar dados, enviar spam — ou até aceder remotamente à rede local de um dispositivo.

A arquitetura das redes de bots evoluiu ao longo do tempo, adaptando-se a sistemas de segurança mais recentes para evitar detecção ou interrupção. Tradicionalmente, programas de bots são construídos como clientes que comunicam através de servidores existentes. Mas muitas botnets recentes dependem de redes peer-to-peer existentes para comunicar. Estes programas de bots P2P têm as mesmas capacidades que botnets operadas dentro do modelo cliente-servidor, mas comunicam diretamente entre si, evitando a necessidade de um servidor central.

Como funcionam os botnets

Os botnets são usados para distribuir spam através de email, realizar ataques de fraude de cliques e iniciar ataques DDoS. O malware de botnet irá escanear repetidamente a internet à procura de sistemas expostos ou dispositivos IoT, em vez de visar indivíduos ou empresas, a fim de infectar o maior número possível de dispositivos. O poder computacional e os recursos de um grande botnet são aproveitados para automatizar tarefas enquanto permanecem ocultos do proprietário do dispositivo. O botnet mantém-se oculto através de várias táticas. Um método principal é aproveitar-se do navegador do dispositivo. Ao usar uma pequena parte dos recursos do dispositivo, o aumento no tráfego é demasiado pequeno para o utilizador notar.

Como é utilizada uma quantidade tão pequena de poder computacional de cada dispositivo sequestrado, as botnets requerem inúmeros dispositivos (por vezes na casa dos milhões) para produzir um efeito desejado num alvo pretendido.

Arquitetura de botnet

As infeções de botnet são regularmente espalhadas por malware de algum tipo. Este malware irá examinar sistemas ou dispositivos em busca de pontos comuns de vulnerabilidade, como um sistema operativo desatualizado ou uma firewall aberta, com o objetivo de invadir o máximo de sistemas possível.

Assim que a rede de botnet atinge o tamanho desejado, os atacantes controlam os bots usando uma de duas abordagens:

• Abordagem padrão cliente/servidor: Um servidor de comando e controlo envia instruções automáticas para todos os sistemas infetados na botnet. Existem várias formas de realizar esta comunicação: através de um canal IRC, através de HTML básico ou utilizando uma VPN. A deteção pode ser difícil porque os bots podem ser programados para permanecer inativos a fim de evitar suspeitas. Eles vão ouvir por comandos e depois ‘acordar’ para lançar quaisquer atividades maliciosas.
• Abordagem peer-to-peer: Uma abordagem mais moderna — usada para evitar suspeitas por parte das autoridades ou sistemas de segurança de rede — bots peer-to-peer resolvem o problema de domínios e servidores C&C sendo alvo ao comunicar através de uma rede descentralizada. Todos os bots conectam-se diretamente uns com os outros, evitando a necessidade de um sistema de comunicação central.

Ataques notáveis de botnets

• Zeus: Uma das principais formas de malware que existem atualmente. Zeus é construído em torno de um programa Trojan que infecta sistemas vulneráveis, fingindo ser um software inofensivo.
• Srizbi: Num certo ponto, a maior botnet de spam do mundo. Srizbi é frequentemente referida como a “botnet de spam de Ron Paul” e foi, num certo momento, responsável por quase 60 mil milhões de mensagens por dia. Durante o seu pico, representou quase metade de todo o spam de email em qualquer momento dado.
• Gameover Zeus: Esta botnet usou uma abordagem de rede peer-to-peer, tornando mais difícil para as autoridades e fornecedores de segurança localizar e terminar. Bots infetados usaram um algoritmo de geração de domínios para comunicar uns com os outros.
• Methbot: Executado em aproximadamente 800-1.200 servidores dedicados em centros de dados localizados tanto nos EUA como nos Países Baixos. Os servidores infectados produzem cliques e movimentos de rato falsos e forjam inícios de sessão em contas de redes sociais para parecerem utilizadores legítimos.
• Mirai: Criado para procurar na internet por dispositivos não seguros. Uma vez identificado um dispositivo aberto, o malware tenta iniciar sessão com uma série de senhas comuns. Se os logins não funcionarem, o Mirai usa técnicas de força bruta para adivinhar a senha.

A capacidade dos utilizadores para evitar ataques de botnet foi recentemente prejudicada pelo crescente aumento de malware criado para atacar routers e dispositivos IoT. Estes sistemas têm frequentemente palavras-passe fracas, se é que têm alguma — levando a um acesso fácil. Muitos dispositivos IoT nem sequer permitem que os utilizadores alterem diretamente as suas definições de segurança, tornando qualquer tentativa de dissuadir atacantes extremamente difícil. Quando os fabricantes não conseguem atualizar remotamente o firmware de um dispositivo para corrigir falhas de segurança conhecidas, a única opção que têm é emitir um recall de fábrica.

No passado, os ataques de botnets foram interrompidos ao focar na fonte de comando e controlo. As agências de aplicação da lei e os fornecedores de segurança rastreariam as comunicações dos bots até ao local onde os servidores de comando e controlo estavam alojados e, em seguida, forçariam o fornecedor de serviços a encerrá-los. À medida que as redes de botnets avançaram, também avançaram os métodos usados para encontrá-las. Isto inclui identificar e remover infeções de malware de botnets nos dispositivos de origem, identificar e replicar os métodos de comunicação peer-to-peer e, em casos de fraude publicitária, interromper os esquemas de monetização individuais em vez da infraestrutura criminosa subjacente.