1. I Workshop em Segurança CSIRT POP-MG
Bots e Botnets
Conhecendo e Combatendo
Alison Carmo Arantes
alison@csirt.pop-mg.rnp.br

2. Sumário
Objetivo da apresentação
O que são bots e botnets
Como funcionam
O que podem causar
Como combater
Conclusões
2

3. Objetivo
Dar uma visão geral
(introdução) sobre bots e
botnets e meios para detecção
dos mesmos.
3

4. Malware e Worm
MALWARE: programas especificamente
desenvolvidos para executar ações
danosas em um computador.
exemplos: worm, bots, virus
WORM: Programa capaz de se
propagar automaticamente através de
redes, enviando cópias de si mesmo
de computador para computador.
4

5. O que é?
BOT: Robô. Programa residente em
alguma máquina.
bot é um worm com capacidade de
comunicação com um atacante.
5

6. Botnets
Uma coleção de bots sob o domínio de
um controlador (atacante)
Controlador: IRC (Internet Relay Chat)
6

7. Porque servidores IRC?
Servidores livres
fáceis de administrar
Atacantes com experiência em IRC
Updates
7

8. Histórico de bots
2004 - Ano dos bots!
50 variantes por semana
2005 – 4268 novas variantes de bots
8

9. Evolução na criação de malwares
Versões de código parcialmente
“distribuiído e livre”
Possibilidade de alterar o original
9

10. Criação de bots
Muitos arquivos de código fonte
Muitos arquivos de headers
Muitos arquivos de configuração
Muitos parâmetros de configuração
Muitos Mods
10

11. Mas....
FAQ
Compilação
Windows
Linux
Detalhamento dos módulos
Plataformas testadas
11

12. 12

13. Famílias de bots
Agotob/Phatbot/Forbot/Xtrembot
Escrito em C++
Estrutura modular permite expansão
(Mods)
Oferece funções de rootkit (hiding
process)
13

14. Agobot3
* Agobot3 - a modular IRC bot for Win32 / Linux
Copyright © 2003 Ago
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. */
14

15. 15

16. Famílias de bots
SDBot/RBot/UrBot/URXBot
Escrito em C
É popular entre atacantes
mIRC – bots, GT-Bots
clientes de chat mIRC com um conjunto
de scripts e outros binários
extensão .mrc
16

17. Famílias de Bots
DSNX bots
Escrito em C++
Q8 Bots
Pequenos – 926 linhas em C
Para linux/unix
17

18. 18

19. Mas eu uso Windows, estou seguro!
Bots em perl
Agobot: compila em linux
Vetores: PHP, SSH
19

20. Bot em perl
Brazil é um dos campeões
chdir("/");
$servidor="$ARGV[0]" if $ARGV[0];
$0="$processo"."0"x16;;
my $pid=fork;
exit if $pid;
die "Problema com o fork: $!" unless
defined($pid);
20

21. Botnets
IRC portas: 6665 – 6669
Padrão 6667
IRC portas: 6665 – 6669
Tamanho: 500 a 150k bots.
21

22. Botnets
Botnet exclusiva: ser o ponto focal dos
bots (UnrealIrc)
Botnet Compartilhada: Operam em
servidores legítimos de IRC (undernet)
22

23. Botnets: objetivos
Lucro (criadas para venda)
DdoS (lucro)
Spam (lucro)
23

24. Estratégia de ataque
Criação
Configuração
Infecção
Controle
Atividades Maliciosas
24

25. 25

26. Botnets: o que podem causar?
DDoS
Spam
Sniffing e Keylogging
Identity Theft
Pirataria
Use sua imaginação.
26

27. DDos
Principal forma de ataque de botnets
ICMP
TCP
UDP
HTTP
27

28. DDoS
Rxbot Comandos:
.tcpflood <type> <ip address> <port>
<seconds>
.pingflood <ip address> <packets> <size>
<timeout>
.udpflood <ip address> <packets> <size>
<timeout>
.icmpflood <ip address> <seconds>
28

29. Spam
29

30. Keylogging
.keylog on
Key logger active.
(Changed Windows: Inbox – Outlook Express)
(Changed Windows: Logon – 192.168.1.10)
john[TAB]john (Changed Window: Download Folder
(W.X.Y.Z)
(Changed Windows: Inbox – Outlook Express
30

31. Sniffing
.psniff on
Carnivore packet sniffer active.
Suspicious FTP packet from: 192.168.10.10:3912
to: 192.168.10.10:6667 – PASS servpass
Suspicious FTP packet from: 192.168.10.10:3912
to: 192.168.10.10:6667 – NICK URX|44177
Suspicious IRC packet from: 192.168.10.10:3912
to: 192.168.10.10:6667 – JOIN #rbotdev
Suspicious BOT packet from: 192.168.1.20:6667 to:
192.168.1.20:3912 -
:botheard!admin@staff.mybotnet.net
31

32. Prevenção e Combate
Identificar o bot
Seguir o rastro até a botnet
“Eliminar” o bot e PRINCIPALMENTE a
botnet.
32

33. Prevenção e Combate
Análise de bots (LURHQ)
exemplo: http://www.lurhq.com/phatbot
IDS (Snort)
Honeypots
Darknets
Análise tráfego na rede
33

34. IDS
Como funciona um IRC
Snort
chat.rules
Bleeding Snort Bot Rules
portas fora de 6666:7000
ShadowServer: http://www.shadowserver.org
34

35. Honeypots
Útil para detectar padrões e descobrir
novos bots.
Know your enemy: Tracking botnets
35

36. Network Flows
IRC (6660 – 7000)
Combo Scans (TCP 80, 139, 445,
1025, UDP 1434, etc)
Ferramentas: Argus, Nfsen
36

37. Darknets
Um espaço de endereços ip que não deve
ser utilizado por ninguém
Qualquer tráfego na darknet é aberrante.
http://www.cymru.com/Darknet
CAIDA (Network Telescope)
University of Michigan (Internet Motion
Sensor)
37

38. Darknets
38

39. 39

40. Verificação
Usando algum cliente IRC (mIRC,
xchat)
Não verifique de seu órgão
Alguns comandos podem ser retirados
(/list)
40

41. Conclusões
Conceitos errados sobre segurança
Detectar bots e botnets não é uma
tarefa simples
Antes
1 bot= $1 a $5 ou 3 contas shell
Hoje
botnets = $500
DdoS = $500 a $1500
Botnets = Crime organizado!
1000 ou 5000 botnets? 41

42. FIM
A equipe do
CSIRT POP-MG e POP-MG
agradecem a participação
de todos!!
até a próxima!!
42