Your SlideShare is downloading. ×
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Botnets
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Botnets

687

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
687
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. I Workshop em Segurança CSIRT POP-MG Bots e Botnets Conhecendo e Combatendo Alison Carmo Arantes alison@csirt.pop-mg.rnp.br
  • 2. Sumário Objetivo da apresentação O que são bots e botnets Como funcionam O que podem causar Como combater Conclusões 2
  • 3. Objetivo Dar uma visão geral (introdução) sobre bots e botnets e meios para detecção dos mesmos. 3
  • 4. Malware e Worm MALWARE: programas especificamente desenvolvidos para executar ações danosas em um computador. exemplos: worm, bots, virus WORM: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. 4
  • 5. O que é? BOT: Robô. Programa residente em alguma máquina. bot é um worm com capacidade de comunicação com um atacante. 5
  • 6. Botnets Uma coleção de bots sob o domínio de um controlador (atacante) Controlador: IRC (Internet Relay Chat) 6
  • 7. Porque servidores IRC? Servidores livres fáceis de administrar Atacantes com experiência em IRC Updates 7
  • 8. Histórico de bots 2004 - Ano dos bots! 50 variantes por semana 2005 – 4268 novas variantes de bots 8
  • 9. Evolução na criação de malwares Versões de código parcialmente “distribuiído e livre” Possibilidade de alterar o original 9
  • 10. Criação de bots Muitos arquivos de código fonte Muitos arquivos de headers Muitos arquivos de configuração Muitos parâmetros de configuração Muitos Mods 10
  • 11. Mas.... FAQ Compilação Windows Linux Detalhamento dos módulos Plataformas testadas 11
  • 12. 12
  • 13. Famílias de bots Agotob/Phatbot/Forbot/Xtrembot Escrito em C++ Estrutura modular permite expansão (Mods) Oferece funções de rootkit (hiding process) 13
  • 14. Agobot3* Agobot3 - a modular IRC bot for Win32 / LinuxCopyright © 2003 AgoThis program is free software; you can redistribute it and/ormodify it under the terms of the GNU General Public Licenseas published by the Free Software Foundation; either version 2of the License, or (at your option) any later version.This program is distributed in the hope that it will be useful,but WITHOUT ANY WARRANTY; without even the implied warranty ofMERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See theGNU General Public License for more details.You should have received a copy of the GNU General Public Licensealong with this program; if not, write to the Free SoftwareFoundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. */ 14
  • 15. 15
  • 16. Famílias de bots SDBot/RBot/UrBot/URXBot Escrito em C É popular entre atacantes mIRC – bots, GT-Bots clientes de chat mIRC com um conjunto de scripts e outros binários extensão .mrc 16
  • 17. Famílias de Bots DSNX bots Escrito em C++ Q8 Bots Pequenos – 926 linhas em C Para linux/unix 17
  • 18. 18
  • 19. Mas eu uso Windows, estou seguro! Bots em perl Agobot: compila em linux Vetores: PHP, SSH 19
  • 20. Bot em perl Brazil é um dos campeões chdir("/"); $servidor="$ARGV[0]" if $ARGV[0]; $0="$processo"."0"x16;; my $pid=fork; exit if $pid; die "Problema com o fork: $!" unless defined($pid); 20
  • 21. Botnets IRC portas: 6665 – 6669 Padrão 6667 IRC portas: 6665 – 6669 Tamanho: 500 a 150k bots. 21
  • 22. Botnets Botnet exclusiva: ser o ponto focal dos bots (UnrealIrc) Botnet Compartilhada: Operam em servidores legítimos de IRC (undernet) 22
  • 23. Botnets: objetivos Lucro (criadas para venda) DdoS (lucro) Spam (lucro) 23
  • 24. Estratégia de ataque Criação Configuração Infecção Controle Atividades Maliciosas 24
  • 25. 25
  • 26. Botnets: o que podem causar? DDoS Spam Sniffing e Keylogging Identity Theft Pirataria Use sua imaginação. 26
  • 27. DDos Principal forma de ataque de botnets ICMP TCP UDP HTTP 27
  • 28. DDoS Rxbot Comandos: .tcpflood <type> <ip address> <port> <seconds> .pingflood <ip address> <packets> <size> <timeout> .udpflood <ip address> <packets> <size> <timeout> .icmpflood <ip address> <seconds> 28
  • 29. Spam 29
  • 30. Keylogging .keylog on Key logger active. (Changed Windows: Inbox – Outlook Express) (Changed Windows: Logon – 192.168.1.10) john[TAB]john (Changed Window: Download Folder (W.X.Y.Z) (Changed Windows: Inbox – Outlook Express 30
  • 31. Sniffing .psniff on Carnivore packet sniffer active. Suspicious FTP packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – PASS servpass Suspicious FTP packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – NICK URX|44177 Suspicious IRC packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – JOIN #rbotdev Suspicious BOT packet from: 192.168.1.20:6667 to: 192.168.1.20:3912 - :botheard!admin@staff.mybotnet.net 31
  • 32. Prevenção e Combate Identificar o bot Seguir o rastro até a botnet “Eliminar” o bot e PRINCIPALMENTE a botnet. 32
  • 33. Prevenção e Combate Análise de bots (LURHQ) exemplo: http://www.lurhq.com/phatbot IDS (Snort) Honeypots Darknets Análise tráfego na rede 33
  • 34. IDS Como funciona um IRC Snort chat.rules Bleeding Snort Bot Rules portas fora de 6666:7000 ShadowServer: http://www.shadowserver.org 34
  • 35. Honeypots Útil para detectar padrões e descobrir novos bots. Know your enemy: Tracking botnets 35
  • 36. Network Flows IRC (6660 – 7000) Combo Scans (TCP 80, 139, 445, 1025, UDP 1434, etc) Ferramentas: Argus, Nfsen 36
  • 37. Darknets Um espaço de endereços ip que não deve ser utilizado por ninguém Qualquer tráfego na darknet é aberrante. http://www.cymru.com/Darknet CAIDA (Network Telescope) University of Michigan (Internet Motion Sensor) 37
  • 38. Darknets 38
  • 39. 39
  • 40. Verificação Usando algum cliente IRC (mIRC, xchat) Não verifique de seu órgão Alguns comandos podem ser retirados (/list) 40
  • 41. Conclusões Conceitos errados sobre segurança Detectar bots e botnets não é uma tarefa simples Antes 1 bot= $1 a $5 ou 3 contas shell Hoje botnets = $500 DdoS = $500 a $1500 Botnets = Crime organizado! 1000 ou 5000 botnets? 41
  • 42. FIM A equipe doCSIRT POP-MG e POP-MGagradecem a participação de todos!! até a próxima!! 42

×