UNIVERSIDADE ESTADUAL DO MARANHÃO - UEMA CENTRO DE CIÊNCIAS E TECNOLOGIA - CCT ENGENHARIA DA COMPUTAÇÃO
ADRIANO CARVALHO DA COSTA ALDENOR COSTA NASCIMENTO NETO LUÍS ALBERTO PINTO ROCHA
ANÁLISE DE BOTNETS: Arquitetura, Mecanismos de Controle e de Propagação.
São Luís 2014
ADRIANO CARVALHO DA COSTA (1309137) ALDENOR COSTA NASCIMENTO NETO (1309134) LUÍS ALBERTO PINTO ROCHA(1309111)
ANÁLISE DE BOTNETS: Arquitetura, Mecanismos de Controle e de Propagação.
Projeto de pesquisa à disciplina de Metodologia do Trabalho Científico do Curso de Engenharia da Computação da Universidade Estadual do Maranhão, como pré-requisito para elaboração de Trabalho Científico Acadêmico.
São Luís 2014
SUMÁRIO
1. INTRODUÇÃO ............................................................................................... 4 2. LEVANTAMENTO DA LITERATURA ............................................................. 5 3. PROBLEMA ................................................................................................... 7 4. HIPÓTESE ..................................................................................................... 7 5. OBJETIVOS ................................................................................................... 7 6. JUSTIFICATIVA ............................................................................................. 8 7. METODOLOGIA............................................................................................ 8 8. ETAPAS DO TRABALHO ACADÊMICO CIENTÍFICO .................................. 9 9. CRONOGRAMA .......................................................................................... 10 REFERÊNCIAS ................................................................................................ 11
4
1. INTRODUÇÃO O surgimento da Internet revolucionou os meios de comunicação e conhecimento, possibilitando acesso rápido a diversos tipos de informação. É notável o crescimento da Internet, que nos últimos anos, dispõe de diversos serviços e recursos on-line, o que tem motivado a prática de atividades ilegais, como roubo de senhas, pirataria e diversos outros crimes. Nota-se também, segundo Sacchetin et al. (2007), o aumento das transações financeiras e do comércio eletrônico através da rede mundial de computadores, na qual os criminosos mudaram seus objetivos, passando a utilizar a Internet para obter recursos financeiros ilicitamente. As técnicas de invasão a sistemas computacionais e mecanismos para captura de informações de computadores ligados à Internet são cada vez mais especializadas tornando a detecção ou prevenção de práticas maliciosas, cada vez mais difíceis. Dentro desse contexto, podem ser encontrados diversos tipos de ameaças, como os bots, que são códigos maliciosos destinados a explorar falhas em sistema, além de possuir mecanismos para controle remoto da máquina infectada. Segundo Cert (2006), o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador, dispondo de mecanismos de comunicação com o invasor, permitindo que o mesmo seja controlado remotamente. Uma rede infectada por bots é denominada de botnet, que geralmente é composta por milhares de bots que ficam residentes nas máquinas, aguardando o comando de um invasor. “Uma botnet (derivação de robot + network, e também conhecida
como rede zumbi) é um grupo de computadores ligados à internet, que são criados, sem o conhecimento do proprietário, para transmitir (spam, vírus e trojans) para outros computadores na internet.” (MXLOGIC, 2006).
Segundo Amaral e Peotta (2007), com o intuito de adquirir capacidade computacional e com o conceito de computação distribuída, o uso de botnet tem sido alvo de criminosos cibernéticos, pois a possibilidade de ter
5
algumas centenas de computadores sob controle, e que respondam a único comando de maneira eficaz, torna-se extremamente atraente para a prática de atividades criminosas. A disseminação de bots pela Internet tem crescido bastante, devido às diversas possibilidades de práticas criminosas que elas possibilitam que serão um dos motivos de estudo deste trabalho. Para Baford e Yegneswaran (2006), uma razão para o aumento dos botnets e que as atividades maliciosas mudaram de foco, passando de práticas de vandalismos e demonstração de proezas de programação de script kiddies, para atividades com fins lucrativos, sendo esta tendência um incentivo ao aperfeiçoamento de códigos dos bots, o que pode tornar sua detecção e prevenção muito mais difícil. Diversos incidentes de segurança têm ocorrido devido a essas pragas virtuais, o que tem motivado o estudo da identificação das técnicas de mecanismo e propagação utilizadas por botnets, o que será alvo deste trabalho acadêmico científico.
2. LEVANTAMENTO DA LITERATURA Diversas ameaças circulam pela Internet a cada segundo, o que tem preocupado os analistas de segurança da informação e aos órgãos que fiscalizam as ações na rede mundial de computadores. Tentativas de ataques a servidores web, novos códigos maliciosos, prática de phishing, dentre outros, são atividades ilícitas que são presenciadas a cada dia na Internet. Dentre todas essas ameaças, é destacada a ação dos bots, que exploram vulnerabilidade em sistemas, transformando a máquina infectada em robô, também chamada de máquina zumbi, possibilitando o controle remoto da mesma. Segundo Sacchetein et al. (2007), o termo botnet é a junção da contração das palavras robot (bot) e network (net). A essência dos botnets é a utilização de servidores IRC(Internet Relay Chats) para disseminar os bots e infectar as máquinas conectadas a Internet.
6
Os bots originalmente foram criados como forma de comandar ou coordenar os channels (canais) de bate papo em redes IRC. Eles tinham a finalidade de evitar abusos nas mesmas possibilitando banir usuários, retirando-os do canal, restringir acessos, evitar inundação (flood) de mensagens e outras características administrativas. Segundo Overton (2005), no início do ano de 1990 usuários de IRC criavam ferramentas para automatizar certas tarefas e para se defender de ataques, como o "net split". Outros grupos de usuário em redes IRC criavam ferramentas de ataques para matar channels e remover usuários desses canais, dando início posteriormente aos bots para fins maliciosos. Apesar do desuso de redes IRC como meio de comunicação, e a troca deste, pelos mensageiros instantâneos, como MSN, as redes IRC ainda são muito utilizadas para a prática de crimes cibernéticos. Outro tipo de rede utilizada para disseminação de bots são as P2P (Peer-to-Peer), que segundo Steggink e Idziejczak (2008) é uma nova forma sofisticada para emprego desses elementos maliciosos em uma arquitetura descentralizada. O objetivo do atacante ao aplicar esse tipo de técnica, é infectar o máximo de hosts possíveis, para assim realizar ataques de negação de serviço distribuído - DDOS (Distributed Denial of Services); utilizar botnets para o envio de mensagens indesejadas em massa, também chamadas de spam; roubar informações das máquinas infectadas; utilizar as máquinas infectadas como porta para infecção de outros códigos maliciosos; e tentar garantir o anonimato em suas ações. A pesquisa em torno da arquitetura de botnet é grande, sendo motivos de estudo sobre esse tipo de ameaça. Muitos incidentes ocorreram devido a essas pragas eletrônicas e o estudo dessa ameaça torna-se imprescindível para os analistas de segurança da informação. De acordo com Sacchetein et al. (2007), existem vários tipos de bots, tais como, Agobot, SDBot, Spybot, GTBot and Eggdrop com diferentes níveis de sofisticação relacionados para C&C (command and control), mas geralmente consiste de um cliente (o bot) que se conecta para um IRC Server em um determinado canal e espera por comandos de um atacante (bot header).
7
Devido ao alto índice de ataques de negação de serviço distribuído (DDOS) a servidores web e outras práticas maliciosas que são destinadas a causar a paralisação de serviços ou ao roubo de informações, muitos ligados a rede de botnets, a detecção e prevenção destes tornam-se imprescindíveis para garantia da integridade e disponibilidade das informações que trafegam pelas redes corporativas.
3. PROBLEMA A proteção contra os ataques de botnets é o grande desafio enfrentado pelos profissionais de TI, que buscam mecanismos para se proteger dessas pragas virtuais, de maneira a garantir a continuidade e integridade de seus serviços na Internet.Os mecanismos de infecção e propagação cada vez mais especializados dos bots, dificultam a análise desses malwares, tendo-se em vista a exploração das vulnerabilidades por estes em sistemas finais e no núcleo da rede.
4. HIPÓTESE A possibilidade de prevenção contra ataques de botnets está na implementação de mecanismos que irão auxiliar na detecção e proteção contra os mesmos, como utilização de honeypot ou ferramentas de análise de tráfego da rede. A atualização dos sistemas finais, bem como a análise de trafego no núcleo da rede é de extrema importância para um efetivo combate a esse tipo de ameaça. Compreender os mecanismos de propagação e infecção dos botnets é um caminho para se resguardar dos ataques oriundos dessa ameaça.
5. OBJETIVOS Realizar um estudo detalhado a respeito de ataques de botnets, com o intuito de mostrar como detectar e se prevenir diante dessa ameaça.
8
Mostrar os mecanismos de propagação e infecção que as botnets utilizam, apresentando tendências futuras de evolução desse código malicioso. O estudo de um tipo de bot através de uma engenharia reversa, a fim de apresentar seus mecanismos de propagação e infecção, na tentativa de entender melhor esse malware, contribuindo para pesquisas futuras.
6. JUSTIFICATIVA Tendo-se em vista a ocorrência de incidentes de segurança oriundos de ataques de botnets na Internet e a possibilidade de diversos tipos de ações que podem ser realizadas com esses elementos maliciosos, torna-se importante a análise dessa ameaça, a fim de esclarecer informações detalhadas dos mesmos, na tentativa de contribuir no combate a disseminação dessa praga virtual.
7. METODOLOGIA Realizar pesquisa bibliográfica nacional e internacional (artigos científicos, livros, monografias e revistas especializadas), em torno do tema principal da monografia, apresentando os conceitos, arquitetura, mecanismos de controle e propagação dos botnets. Ao longo da monografia, apresentar as famílias e variantes de bots, mostrando estatísticas e incidentes de segurança envolvendo essas ameaças, mostrando os mecanismos de C&C (command and control). Apresentar mecanismos de segurança para detecção e proteção contra botnets, que podem ser implementados em ambientes corporativos para prevenção dessa ameaça. Realizar um estudo de caso, analisando a estrutura de um bot por meio de uma engenharia reversa, estudando seus mecanismos de controle e propagação e realizar um estudo da sua atuação na rede por meio de ferramentas de análise de tráfego.
9
8. ETAPAS DO TRABALHO ACADÊMICO CIENTÍFICO 1. Introdução 2. Os botnets e sua evolução 2.1 Conceito 2.2 Famílias e variantes principais 2.3 Estatísticas 2.4 Incidentes envolvendo Botnets 3 Arquitetura de Botnets 4. Mecanismos de controle dos botnets e hosts 4.1 - Mecanismos de controle dos Botnets 4.2 - Mecanismos de controle dos Hosts 5. Mecanismos de Propagação 6. Estratégias de Segurança para Proteção de Botnets 7. Estudo de Caso 7.1 Análise de uma botnet 7.2 Análise de tráfego a procura de botnets 7.3 Família 7.4 Mecanismos de Controle e Propagação 7.5 Conclusão 8. Considerações Finais 9. Referências Bibliográficas
10
9. CRONOGRAMA ATIVIDADES
Maio/2014 15
Maio – Junho/2014
16
17
19
20
21
X
Escolha do tema
X
Levantamento
X
X
X
X
X
X
X
X
X
X
22/maio – 17/junho
X
X
X
X
18
bibliográfico Elaboração do ante projeto Entrega do anteprojeto
X
Coleta de dados
X
X
X
X
X
Análise dos dados
X
X
X
X
X
X
X
X
X
Elaboração do trabalho acadêmico Revisão final Entrega do trabalho acadêmico
X X
11
REFERÊNCIAS AMARAL, Dino; PEOTTA, Laerte. Honeypot de Baixa Interação como Ferramenta para Detecção de Tráfego com Propagação de Botnets. UNB, 2007. BARFORD, Paul; YEGNESWARAN, Vinod. An Inside Look at Botnets, Special Workshop on Malware Detection, Advances in Information Security, Springer Verlag, 2006. CERT. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de Segurança para Internet. 2006. Disponível em: < http://cartilha.cert.br/malware/sec7.html>. Acesso em: 15 maio. 2014. MXLOGIC. Malicious Intrusion Techniques. A Review of Rootkits, Bots, Trojan Horses, and Remote Access Trojans (RATs). 2006. Disponível em: < http://www.telecomworx.com/Adobe/ Files39087.pdf > OVERTON, Martin. Bots and Botnets: Risks, Issues and Prevention. Virus Bulletin conference at the Burlington, Dublin, Ireland, 2005. SACCHETIN, M. C.; GREGIO, A. R.; DUARTE, L. O.; MONTES, A. Botnet Detection and Analysis Using Honeypot. CenPRA, 2007. STEGGINK, Matthew; IDZIEJCZAK, Igor. Detection of peer-to-peer botnets. University of Amsterdam. Faculty of Science System and Network Engineering.