BOTNET

1º Ten Tadeu Asp R2 João Mattos

1º Ten Leonardo Melo Asp R2 Victor Milaré
1º Ten Moore Asp R2 Tarik Bauer
Aps R2 Matheus Bortolini 23 MAIO 2019
Sumário
1. Definição
2. Funcionamento
3. Topologias
4. Ataques e Exemplos
5. Técnicas de Detecção
6. Nova geração de Botnets
7. Desafios
Definição
Botnet (“robot network”)
● Rede (Net) de robôs (robot)
● Rede de computadores infectada por um malware que está sob
controle de um único atacante
○ Infectados: bots, zumbis, cordeiros.
○ Atacante: mestre, pastor
● Objetivo: aumentar escala
Funcionamento
Topologias
● Centralizada
○ Estrela
○ Multi-Servidora
○ Hierárquica

● Descentralizada
○ Randômica

● Híbrida
Topologias Centralizadas

● Características

○ Ponto central de comunicação

○ Servidor C&C dedicado
○ Comunicação simples
Topologias Centralizadas

● Vantagens
○ Simples implementação - IRC e HTTP
○ Baixa latência
○ Alta escalabilidade

● Desvantagens
○ Fácil detecção do Servidor C&C - análise do tráfego dos Bots
○ Descoberta do servidor compromete o funcionamento integral da
rede
○ Bastante comum - logo, muito conhecida
Topologias Descentralizadas

● Características

○ Inexistência de um ponto central de comunicação

○ Compartilhamento do gerenciamento do canal por diversas
máquinas distribuídas pela rede
○ Ausência da lógica de Mestre-Escravo na transmissão de
comandos - Bots assumem função de ambos no ataque
○ Baseada na comunicação Peer-To-Peer
Topologias Descentralizadas

● Vantagens
○ Comunicação mais robusta - P2P
○ Maior dificuldade em descobrir e destruir a rede
○ Identificação do Botmaster torna-se mais difícil

● Desvantagens
○ Mais difícil de implementar - complexa
○ Maior latência na comunicação
○ Sem garantia de entrega na mensagem
Topologias Híbridas
● Combina a furtividade da arquitetura centralizada com a robustez de
topologias peer-to-peer.
Topologias Centralizadas
● Estrela
○ Único Servidor C&C centralizado
○ (+) Simplicidade
○ (+) Rapidez na comunicação
○ (+) Otimização na transmissão dos comandos
○ (-) Único ponto de falha
○ (-) Bloqueio do Servidor acarreta na desabilitação
da rede
Topologias Centralizadas
● Multi-Servidora
○ Extensão da Estrela
○ Múltiplos Servidores C&C
○ (+) Permite otimização geográfica -
distribuição inteligente dos servidores
○ (+) Inexistência de um ponto único de
falha - Redundância!
○ (-) Maior esforço de implementação
Topologias Centralizadas
● Hierárquica
○ Estrutura de Hierarquia
○ (+) Maior escalabilidade da rede
○ (+) Dificulta determinação do tamanho
da Botnet
○ (+) Diminui exposição do Botmaster -
provê uma ou mais camadas entre ele e
os Bots de borda
○ (-) Acrescenta considerável latência
Topologias Descentralizadas
● Randômica
○ Qualquer Bot pode assumir função de
administrador do canal de comunicação
○ Cada Bot mantém relação de máquinas
confiáveis pertencentes à rede
○ (+) Maior dificuldade de inviabilizar a
Botnet
○ (-) Permite identificação de diversos
Bots a partir do monitoramento de um
único Bot agente
○ (-) Latência introduzida na comunicação
Ataques
● DDoS
● Spam
● URL & DNS spoofing
● CryptoLocker Ransomware
● Click fraud
● Fraude bancária, web injection …
Spam
DDoS
Click Fraud
Exemplos
● Mirai
● Gameover Zeus
● Bredolab
● Conficker
● Mariposa
● Ramnit
● Storm
● Rustock
Mirai
● Tabela de endereços IP não

infectáveis

● Linux
● Faz login com usuário padrão de fábrica
● Código liberado após ataque
● DDos - Dyn, Out 2016
Gameover Zeus

● Peer-to-peer
● Fraude bancária - CryptoLocker ransomware
Principais ataques
Botnets do bem
Técnicas de Detecção
Inspeção de pacotes
● Blacklist de IP’s
● Análise de conexões em portas pouco utilizadas.
● SPI
○ Foco em headers (firewall).
● DPI.
○ Análise estatística.
○ Assinaturas e padrões.
○ IDS/IPS (Passivo/Ativo)
○ SNORT/Suricata/BRO
Monitoramento de tráfego DNS
● status: NXDOMAIN.
● Blacklist de domínios.
● Baixo TTL.
○ Falso positivo (Gmail, Google, etc).
● Tráfego DNS anormal.
Honeypots
● Informações falsas.
○ Sistema operacional.
○ Portas abertas.
● “Atrai” botmasters.
● Geram um log das tentativas de ataque.
● Podem ser perigosos.
Infiltração
● Literalmente, se infiltrar na botnet.
○ IRC Tracker (por exemplo).
● Replicar todos os comandos dos bots reais.
● Prevê ataques DDoS.
● Previne comportamentos dos bots.
● Estima o tamanho da rede.
Sumidouro
● Após identificar uma C&C:
○ Autoridade entra em contato com o administrador do DNS;
○ Redireciona os requests para uma máquina “especial”;
○ Coleta os dados dos bots que tentam se conectar.
● É facilmente detectada pelo botmaster.
● Auxilia na detecção da rede.
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Nova Geração de Botnets
● Cloud Botnets
○ Atacam um CSP (Cloud Service Provider) e infectam todas as
máquinas conectadas.
○ Vantagens:
■ Sem risco de detecção pelo usuário, máximo uso de recursos.
■ Tempo de obtenção de acesso
■ Disponibilidade
Nova Geração de Botnets
● Mobile Botnets
○ Novos modelos de C&C baseados em mobile, como SMS e
Bluetooth.
○ Conexão à Internet atrai atacantes, além de ligações e senhas.
○ Dispositivos móveis são mais vulneráveis do que computadores.
■ Desatenção do usuário.
Desafios
● Mudanças de técnicas e ambiente
○ Técnicas de detecção possuem vida útil pequena, graças ao
dinamismo da tecnologia.
● Detecção em pequena escala
○ Foco em grandes ataques, poucas técnicas para eventos menores.
● Resposta, Prevenção e Mitigação
○ Grande parte do estudo é focada em detecção.
Dúvidas