I Workshop em Segurança                        CSIRT POP-MG         Bots e Botnets    Conhecendo e Combatendo             ...
Sumário  Objetivo da apresentação  O que são bots e botnets  Como funcionam  O que podem causar  Como combater  Conclusões...
Objetivo    Dar uma visão geral    (introdução) sobre bots e    botnets e meios para detecção    dos mesmos.              ...
Malware e Worm   MALWARE: programas especificamente   desenvolvidos para executar ações   danosas em um computador.   exem...
O que é?  BOT: Robô. Programa residente em  alguma máquina.  bot é um worm com capacidade de  comunicação com um atacante....
Botnets  Uma coleção de bots sob o domínio de  um controlador (atacante)  Controlador: IRC (Internet Relay Chat)          ...
Porque servidores IRC?   Servidores livres   fáceis de administrar   Atacantes com experiência em IRC   Updates           ...
Histórico de bots   2004 - Ano dos bots!   50 variantes por semana   2005 – 4268 novas variantes de bots                  ...
Evolução na criação de malwares   Versões de código parcialmente   “distribuiído e livre”   Possibilidade de alterar o ori...
Criação de bots   Muitos   arquivos de código fonte   Muitos   arquivos de headers   Muitos   arquivos de configuração   M...
Mas....   FAQ     Compilação          Windows          Linux     Detalhamento dos módulos     Plataformas testadas        ...
12
Famílias de bots   Agotob/Phatbot/Forbot/Xtrembot     Escrito em C++     Estrutura modular permite expansão     (Mods)    ...
Agobot3* Agobot3 - a modular IRC bot for Win32 / LinuxCopyright © 2003 AgoThis program is free software; you can redistrib...
15
Famílias de bots   SDBot/RBot/UrBot/URXBot     Escrito em C     É popular entre atacantes   mIRC – bots, GT-Bots     clien...
Famílias de Bots   DSNX bots     Escrito em C++   Q8 Bots     Pequenos – 926 linhas em C     Para linux/unix              ...
18
Mas eu uso Windows, estou seguro!   Bots em perl   Agobot: compila em linux   Vetores: PHP, SSH                           ...
Bot em perl   Brazil é um dos campeões   chdir("/");   $servidor="$ARGV[0]" if $ARGV[0];   $0="$processo"."0"x16;;   my $p...
Botnets   IRC portas: 6665 – 6669    Padrão 6667   IRC portas: 6665 – 6669   Tamanho: 500 a 150k bots.                    ...
Botnets   Botnet exclusiva: ser o ponto focal dos   bots (UnrealIrc)   Botnet Compartilhada: Operam em   servidores legíti...
Botnets: objetivos   Lucro (criadas para venda)   DdoS (lucro)   Spam (lucro)                                23
Estratégia de ataque   Criação   Configuração   Infecção   Controle   Atividades Maliciosas                           24
25
Botnets: o que podem causar?   DDoS   Spam   Sniffing e Keylogging   Identity Theft   Pirataria   Use sua imaginação.     ...
DDos  Principal forma de ataque de botnets  ICMP  TCP  UDP  HTTP                                    27
DDoS  Rxbot Comandos:    .tcpflood <type> <ip address> <port>    <seconds>    .pingflood <ip address> <packets> <size>    ...
Spam       29
Keylogging   .keylog on   Key logger active.   (Changed Windows: Inbox – Outlook Express)   (Changed Windows: Logon – 192....
Sniffing   .psniff on   Carnivore packet sniffer active.   Suspicious FTP packet from: 192.168.10.10:3912   to: 192.168.10...
Prevenção e Combate   Identificar o bot   Seguir o rastro até a botnet   “Eliminar” o bot e PRINCIPALMENTE a   botnet.    ...
Prevenção e Combate   Análise de bots (LURHQ)   exemplo: http://www.lurhq.com/phatbot   IDS (Snort)   Honeypots   Darknets...
IDS      Como funciona um IRC      Snort      chat.rules      Bleeding Snort Bot Rules      portas fora de 6666:7000      ...
Honeypots   Útil para detectar padrões e descobrir   novos bots.   Know your enemy: Tracking botnets                      ...
Network Flows   IRC (6660 – 7000)   Combo Scans (TCP 80, 139, 445,   1025, UDP 1434, etc)   Ferramentas: Argus, Nfsen     ...
Darknets Um espaço de endereços ip que não deve ser utilizado por ninguém Qualquer tráfego na darknet é aberrante. http://...
Darknets           38
39
Verificação   Usando algum cliente IRC (mIRC,   xchat)     Não verifique de seu órgão     Alguns comandos podem ser retira...
Conclusões Conceitos errados sobre segurança Detectar bots e botnets não é uma tarefa simples Antes   1 bot= $1 a $5 ou 3 ...
FIM      A equipe doCSIRT POP-MG e POP-MGagradecem a participação       de todos!!    até a próxima!!                     ...
Upcoming SlideShare
Loading in...5
×

Botnets

707

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
707
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Botnets

  1. 1. I Workshop em Segurança CSIRT POP-MG Bots e Botnets Conhecendo e Combatendo Alison Carmo Arantes alison@csirt.pop-mg.rnp.br
  2. 2. Sumário Objetivo da apresentação O que são bots e botnets Como funcionam O que podem causar Como combater Conclusões 2
  3. 3. Objetivo Dar uma visão geral (introdução) sobre bots e botnets e meios para detecção dos mesmos. 3
  4. 4. Malware e Worm MALWARE: programas especificamente desenvolvidos para executar ações danosas em um computador. exemplos: worm, bots, virus WORM: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. 4
  5. 5. O que é? BOT: Robô. Programa residente em alguma máquina. bot é um worm com capacidade de comunicação com um atacante. 5
  6. 6. Botnets Uma coleção de bots sob o domínio de um controlador (atacante) Controlador: IRC (Internet Relay Chat) 6
  7. 7. Porque servidores IRC? Servidores livres fáceis de administrar Atacantes com experiência em IRC Updates 7
  8. 8. Histórico de bots 2004 - Ano dos bots! 50 variantes por semana 2005 – 4268 novas variantes de bots 8
  9. 9. Evolução na criação de malwares Versões de código parcialmente “distribuiído e livre” Possibilidade de alterar o original 9
  10. 10. Criação de bots Muitos arquivos de código fonte Muitos arquivos de headers Muitos arquivos de configuração Muitos parâmetros de configuração Muitos Mods 10
  11. 11. Mas.... FAQ Compilação Windows Linux Detalhamento dos módulos Plataformas testadas 11
  12. 12. 12
  13. 13. Famílias de bots Agotob/Phatbot/Forbot/Xtrembot Escrito em C++ Estrutura modular permite expansão (Mods) Oferece funções de rootkit (hiding process) 13
  14. 14. Agobot3* Agobot3 - a modular IRC bot for Win32 / LinuxCopyright © 2003 AgoThis program is free software; you can redistribute it and/ormodify it under the terms of the GNU General Public Licenseas published by the Free Software Foundation; either version 2of the License, or (at your option) any later version.This program is distributed in the hope that it will be useful,but WITHOUT ANY WARRANTY; without even the implied warranty ofMERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See theGNU General Public License for more details.You should have received a copy of the GNU General Public Licensealong with this program; if not, write to the Free SoftwareFoundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. */ 14
  15. 15. 15
  16. 16. Famílias de bots SDBot/RBot/UrBot/URXBot Escrito em C É popular entre atacantes mIRC – bots, GT-Bots clientes de chat mIRC com um conjunto de scripts e outros binários extensão .mrc 16
  17. 17. Famílias de Bots DSNX bots Escrito em C++ Q8 Bots Pequenos – 926 linhas em C Para linux/unix 17
  18. 18. 18
  19. 19. Mas eu uso Windows, estou seguro! Bots em perl Agobot: compila em linux Vetores: PHP, SSH 19
  20. 20. Bot em perl Brazil é um dos campeões chdir("/"); $servidor="$ARGV[0]" if $ARGV[0]; $0="$processo"."0"x16;; my $pid=fork; exit if $pid; die "Problema com o fork: $!" unless defined($pid); 20
  21. 21. Botnets IRC portas: 6665 – 6669 Padrão 6667 IRC portas: 6665 – 6669 Tamanho: 500 a 150k bots. 21
  22. 22. Botnets Botnet exclusiva: ser o ponto focal dos bots (UnrealIrc) Botnet Compartilhada: Operam em servidores legítimos de IRC (undernet) 22
  23. 23. Botnets: objetivos Lucro (criadas para venda) DdoS (lucro) Spam (lucro) 23
  24. 24. Estratégia de ataque Criação Configuração Infecção Controle Atividades Maliciosas 24
  25. 25. 25
  26. 26. Botnets: o que podem causar? DDoS Spam Sniffing e Keylogging Identity Theft Pirataria Use sua imaginação. 26
  27. 27. DDos Principal forma de ataque de botnets ICMP TCP UDP HTTP 27
  28. 28. DDoS Rxbot Comandos: .tcpflood <type> <ip address> <port> <seconds> .pingflood <ip address> <packets> <size> <timeout> .udpflood <ip address> <packets> <size> <timeout> .icmpflood <ip address> <seconds> 28
  29. 29. Spam 29
  30. 30. Keylogging .keylog on Key logger active. (Changed Windows: Inbox – Outlook Express) (Changed Windows: Logon – 192.168.1.10) john[TAB]john (Changed Window: Download Folder (W.X.Y.Z) (Changed Windows: Inbox – Outlook Express 30
  31. 31. Sniffing .psniff on Carnivore packet sniffer active. Suspicious FTP packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – PASS servpass Suspicious FTP packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – NICK URX|44177 Suspicious IRC packet from: 192.168.10.10:3912 to: 192.168.10.10:6667 – JOIN #rbotdev Suspicious BOT packet from: 192.168.1.20:6667 to: 192.168.1.20:3912 - :botheard!admin@staff.mybotnet.net 31
  32. 32. Prevenção e Combate Identificar o bot Seguir o rastro até a botnet “Eliminar” o bot e PRINCIPALMENTE a botnet. 32
  33. 33. Prevenção e Combate Análise de bots (LURHQ) exemplo: http://www.lurhq.com/phatbot IDS (Snort) Honeypots Darknets Análise tráfego na rede 33
  34. 34. IDS Como funciona um IRC Snort chat.rules Bleeding Snort Bot Rules portas fora de 6666:7000 ShadowServer: http://www.shadowserver.org 34
  35. 35. Honeypots Útil para detectar padrões e descobrir novos bots. Know your enemy: Tracking botnets 35
  36. 36. Network Flows IRC (6660 – 7000) Combo Scans (TCP 80, 139, 445, 1025, UDP 1434, etc) Ferramentas: Argus, Nfsen 36
  37. 37. Darknets Um espaço de endereços ip que não deve ser utilizado por ninguém Qualquer tráfego na darknet é aberrante. http://www.cymru.com/Darknet CAIDA (Network Telescope) University of Michigan (Internet Motion Sensor) 37
  38. 38. Darknets 38
  39. 39. 39
  40. 40. Verificação Usando algum cliente IRC (mIRC, xchat) Não verifique de seu órgão Alguns comandos podem ser retirados (/list) 40
  41. 41. Conclusões Conceitos errados sobre segurança Detectar bots e botnets não é uma tarefa simples Antes 1 bot= $1 a $5 ou 3 contas shell Hoje botnets = $500 DdoS = $500 a $1500 Botnets = Crime organizado! 1000 ou 5000 botnets? 41
  42. 42. FIM A equipe doCSIRT POP-MG e POP-MGagradecem a participação de todos!! até a próxima!! 42
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×