Escolar Documentos
Profissional Documentos
Cultura Documentos
● Descentralizada
○ Randômica
● Híbrida
Topologias Centralizadas
● Características
● Vantagens
○ Simples implementação - IRC e HTTP
○ Baixa latência
○ Alta escalabilidade
● Desvantagens
○ Fácil detecção do Servidor C&C - análise do tráfego dos Bots
○ Descoberta do servidor compromete o funcionamento integral da
rede
○ Bastante comum - logo, muito conhecida
Topologias Descentralizadas
● Características
● Vantagens
○ Comunicação mais robusta - P2P
○ Maior dificuldade em descobrir e destruir a rede
○ Identificação do Botmaster torna-se mais difícil
● Desvantagens
○ Mais difícil de implementar - complexa
○ Maior latência na comunicação
○ Sem garantia de entrega na mensagem
Topologias Híbridas
● Combina a furtividade da arquitetura centralizada com a robustez de
topologias peer-to-peer.
Topologias Centralizadas
● Estrela
○ Único Servidor C&C centralizado
○ (+) Simplicidade
○ (+) Rapidez na comunicação
○ (+) Otimização na transmissão dos comandos
○ (-) Único ponto de falha
○ (-) Bloqueio do Servidor acarreta na desabilitação
da rede
Topologias Centralizadas
● Multi-Servidora
○ Extensão da Estrela
○ Múltiplos Servidores C&C
○ (+) Permite otimização geográfica -
distribuição inteligente dos servidores
○ (+) Inexistência de um ponto único de
falha - Redundância!
○ (-) Maior esforço de implementação
Topologias Centralizadas
● Hierárquica
○ Estrutura de Hierarquia
○ (+) Maior escalabilidade da rede
○ (+) Dificulta determinação do tamanho
da Botnet
○ (+) Diminui exposição do Botmaster -
provê uma ou mais camadas entre ele e
os Bots de borda
○ (-) Acrescenta considerável latência
Topologias Descentralizadas
● Randômica
○ Qualquer Bot pode assumir função de
administrador do canal de comunicação
○ Cada Bot mantém relação de máquinas
confiáveis pertencentes à rede
○ (+) Maior dificuldade de inviabilizar a
Botnet
○ (-) Permite identificação de diversos
Bots a partir do monitoramento de um
único Bot agente
○ (-) Latência introduzida na comunicação
Ataques
● DDoS
● Spam
● URL & DNS spoofing
● CryptoLocker Ransomware
● Click fraud
● Fraude bancária, web injection …
Spam
DDoS
Click Fraud
Exemplos
● Mirai
● Gameover Zeus
● Bredolab
● Conficker
● Mariposa
● Ramnit
● Storm
● Rustock
Mirai
● Tabela de endereços IP não
infectáveis
● Linux
● Faz login com usuário padrão de fábrica
● Código liberado após ataque
● DDos - Dyn, Out 2016
Gameover Zeus
● Peer-to-peer
● Fraude bancária - CryptoLocker ransomware
Principais ataques
Botnets do bem
Técnicas de Detecção
Inspeção de pacotes
● Blacklist de IP’s
● Análise de conexões em portas pouco utilizadas.
● SPI
○ Foco em headers (firewall).
● DPI.
○ Análise estatística.
○ Assinaturas e padrões.
○ IDS/IPS (Passivo/Ativo)
○ SNORT/Suricata/BRO
Monitoramento de tráfego DNS
● status: NXDOMAIN.
● Blacklist de domínios.
● Baixo TTL.
○ Falso positivo (Gmail, Google, etc).
● Tráfego DNS anormal.
Honeypots
● Informações falsas.
○ Sistema operacional.
○ Portas abertas.
● “Atrai” botmasters.
● Geram um log das tentativas de ataque.
● Podem ser perigosos.
Infiltração
● Literalmente, se infiltrar na botnet.
○ IRC Tracker (por exemplo).
● Replicar todos os comandos dos bots reais.
● Prevê ataques DDoS.
● Previne comportamentos dos bots.
● Estima o tamanho da rede.
Sumidouro
● Após identificar uma C&C:
○ Autoridade entra em contato com o administrador do DNS;
○ Redireciona os requests para uma máquina “especial”;
○ Coleta os dados dos bots que tentam se conectar.
● É facilmente detectada pelo botmaster.
● Auxilia na detecção da rede.
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Reversão
Nova Geração de Botnets
● Cloud Botnets
○ Atacam um CSP (Cloud Service Provider) e infectam todas as
máquinas conectadas.
○ Vantagens:
■ Sem risco de detecção pelo usuário, máximo uso de recursos.
■ Tempo de obtenção de acesso
■ Disponibilidade
Nova Geração de Botnets
● Mobile Botnets
○ Novos modelos de C&C baseados em mobile, como SMS e
Bluetooth.
○ Conexão à Internet atrai atacantes, além de ligações e senhas.
○ Dispositivos móveis são mais vulneráveis do que computadores.
■ Desatenção do usuário.
Desafios
● Mudanças de técnicas e ambiente
○ Técnicas de detecção possuem vida útil pequena, graças ao
dinamismo da tecnologia.
● Detecção em pequena escala
○ Foco em grandes ataques, poucas técnicas para eventos menores.
● Resposta, Prevenção e Mitigação
○ Grande parte do estudo é focada em detecção.
Dúvidas