1. I Workshop em Segurança CSIRT POP-MG
Bots e Botnets
Conhecendo e Combatendo
Alison Carmo Arantes
alison@csirt.pop-mg.rnp.br
2. Sumário
Objetivo da apresentação
O que são bots e botnets
Como funcionam
O que podem causar
Como combater
Conclusões
2
3. Objetivo
Dar uma visão geral
(introdução) sobre bots e
botnets e meios para detecção
dos mesmos.
3
4. Malware e Worm
MALWARE: programas especificamente
desenvolvidos para executar ações
danosas em um computador.
exemplos: worm, bots, virus
WORM: Programa capaz de se
propagar automaticamente através de
redes, enviando cópias de si mesmo
de computador para computador.
4
5. O que é?
BOT: Robô. Programa residente em
alguma máquina.
bot é um worm com capacidade de
comunicação com um atacante.
5
6. Botnets
Uma coleção de bots sob o domínio de
um controlador (atacante)
Controlador: IRC (Internet Relay Chat)
6
7. Porque servidores IRC?
Servidores livres
fáceis de administrar
Atacantes com experiência em IRC
Updates
7
8. Histórico de bots
2004 - Ano dos bots!
50 variantes por semana
2005 – 4268 novas variantes de bots
8
9. Evolução na criação de malwares
Versões de código parcialmente
“distribuiído e livre”
Possibilidade de alterar o original
9
10. Criação de bots
Muitos arquivos de código fonte
Muitos arquivos de headers
Muitos arquivos de configuração
Muitos parâmetros de configuração
Muitos Mods
10
11. Mas....
FAQ
Compilação
Windows
Linux
Detalhamento dos módulos
Plataformas testadas
11
13. Famílias de bots
Agotob/Phatbot/Forbot/Xtrembot
Escrito em C++
Estrutura modular permite expansão
(Mods)
Oferece funções de rootkit (hiding
process)
13
16. Famílias de bots
SDBot/RBot/UrBot/URXBot
Escrito em C
É popular entre atacantes
mIRC – bots, GT-Bots
clientes de chat mIRC com um conjunto
de scripts e outros binários
extensão .mrc
16
17. Famílias de Bots
DSNX bots
Escrito em C++
Q8 Bots
Pequenos – 926 linhas em C
Para linux/unix
17
19. Mas eu uso Windows, estou seguro!
Bots em perl
Agobot: compila em linux
Vetores: PHP, SSH
19
20. Bot em perl
Brazil é um dos campeões
chdir("/");
$servidor="$ARGV[0]" if $ARGV[0];
$0="$processo"."0"x16;;
my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless
defined($pid);
20
37. Darknets
Um espaço de endereços ip que não deve
ser utilizado por ninguém
Qualquer tráfego na darknet é aberrante.
http://www.cymru.com/Darknet
CAIDA (Network Telescope)
University of Michigan (Internet Motion
Sensor)
37
40. Verificação
Usando algum cliente IRC (mIRC,
xchat)
Não verifique de seu órgão
Alguns comandos podem ser retirados
(/list)
40
41. Conclusões
Conceitos errados sobre segurança
Detectar bots e botnets não é uma
tarefa simples
Antes
1 bot= $1 a $5 ou 3 contas shell
Hoje
botnets = $500
DdoS = $500 a $1500
Botnets = Crime organizado!
1000 ou 5000 botnets? 41
42. FIM
A equipe do
CSIRT POP-MG e POP-MG
agradecem a participação
de todos!!
até a próxima!!
42