Como um método comum e eficaz de ataque cibernético, os botnets representam uma grande ameaça à segurança da Internet de hoje. Este artigo apresenta o conceito e os métodos de controle dos botnets, bem como os 6 botnets notórios. Espero que, depois de ler este artigo, possa ter uma compreensão preliminar dos botnets.
Um botnet é uma rede que usa um ou mais meios de propagação para infectar um grande número de hosts com um vírus de programa de bot (zumbi), criando assim uma rede que pode ser controlada um-para-muitos entre o controlador e os hosts infectados.
Às vezes, eles são chamados de “exércitos de bots” e podem ser usados por cibercriminosos para uma variedade de atividades, incluindo o envio de spam e a condução de ataques distribuídos de negação de serviço (DDoS).
Qualquer dispositivo conectado à Internet pode ser adicionado a um botnet, incluindo laptops, desktops, smartphones, reprodutores DVR, roteadores sem fio e outros dispositivos da Internet das Coisas (IoT).
Os botnets são controlados por servidores de comando e controle (C&C), que são computadores controlados por hackers ou grupos de hackers que podem enviar comandos para botnets no botnet e também receber informações coletadas pelos botnets. O controlador do botnet é denominado Bot Botder ou Bot master.
O advento da IoT (Internet of Things) significa que mais dispositivos podem ser adicionados ao botnet. Além disso, é importante notar que muitos dispositivos IoT agora são insuficientemente protegidos e dependem principalmente de senhas padrão e firmware que são difíceis de atualizar. Isso significa que o tamanho dos botnets pode crescer facilmente no futuro.
Como o botnet controla seu computador
Um botnet pode ser controlado por um controlador botmaster de várias maneiras diferentes.
Tradicionalmente, um botnet pode ser controlado por um servidor C&C. Nesse caso, o dispositivo Bot retorna a um local predeterminado e aguarda um comando do servidor. o controlador do Bot envia o comando para o servidor, que então encaminha o comando para a rede do Bot e, em seguida, os resultados ou informações coletados são enviados de volta para esse servidor central pelo dispositivo do Bot.
No entanto, ter um servidor centralizado torna o botnet mais vulnerável a ataques e tentativas de sabotagem. Por esse motivo, muitos controladores de botnet agora usam principalmente o modelo ponto a ponto (P2P).
Em botnets P2P, os dispositivos bot interconectados compartilham informações sem se reportar a um servidor central, ou seja, os dispositivos bot infectados enviam e recebem comandos. Esses dispositivos bot então investigam endereços IP aleatórios para entrar em contato com outros dispositivos infectados. Uma vez contatado, o dispositivo Bot responde com informações como a versão do software e uma lista de dispositivos conhecidos. Se o Bot contatado tiver uma versão de software mais recente, o outro Bot se atualizará automaticamente para essa versão. Essa abordagem permite que o botnet cresça e se mantenha atualizado sem entrar em contato com um servidor central, tornando mais difícil para a aplicação da lei ou outras agências derrubar o botnet.
Os dois usos mais comuns de botnets são o envio de campanhas de spam e a realização de ataques distribuídos de negação de serviço (DDoS).
Dispositivos bot também podem ser usados para enviar malware por e-mail, e diferentes tipos de malware podem ter alvos diferentes, incluindo a coleta de informações de computadores infectados. Isso pode incluir senhas, informações de cartão de crédito e qualquer outra informação que possa ser vendida no mercado negro. As informações confidenciais da empresa também podem correr o risco de serem roubadas se os dispositivos na rede corporativa se tornarem dispositivos Bot.
Dispositivos bot também são comumente usados para fraude de cliques, visitando sites para criar tráfego falso e gerar receita para o proprietário do dispositivo Bot, e são frequentemente usados para mineração de bitcoin.
6 botnets infames
Muitos botnets surgiram ao longo da história, mas alguns deles foram mais influentes do que outros. Aqui estão 6 botnets muito famosos.
Bagle
Bagle é uma das primeiras redes de bots do mundo, que foi usada para uma campanha massiva de spam. Surgiu em 2004 e consistia principalmente em dispositivos de computador Microsoft Windows. Bagle é um worm que infectou mais de 200.000 computadores e estima-se que o vírus envie mais de 10% de todos os spams em todo o mundo.
Conficker
O Conficker é um worm de computador notório que apareceu pela primeira vez no final de 2008 e tem atormentado o pessoal de segurança de rede.
A primeira versão do Conficker apareceu em novembro de 2008 e rapidamente se espalhou por meio de compartilhamentos de rede e unidades USB infectadas. Por uma contagem, ele infectou até 11 milhões de computadores. Isso torna o Conficker um grande botnet que pode causar muitos danos por meio de enormes ataques DDoS se os invasores quiserem usá-lo para atacar. No entanto, ele não emitiu nenhum ataque, e mesmo agora as verdadeiras intenções dos criadores por trás do Conficker permanecem um mistério, e nunca ficou claro a que grupo foi atribuído.
O custo de limpar o Conficker é estimado em $9 bilhão e, surpreendentemente, os computadores infectados com o Conficker ainda existem, apesar do fato de ter sido lançado há quase uma década.
ZeroAccess
Um dos maiores botnets conhecidos, o botnet ZeroAccess surgiu em 2013 como um botnet do exército com quase 2 milhões de computadores. É um botnet difícil de resolver devido ao uso de um modelo de servidor P2P + C&C, mas os pesquisadores da Symantec investigaram o botnet em 2013 e descobriram que quase 500.000 dos dispositivos Bot tinham sandboxes (sandboxes de navegador).
O ZeroAccess é usado principalmente para cliques fraudulentos e mineração de bitcoins e, dado o tamanho do botnet, acredita-se que tenha gerado uma riqueza significativa para os controladores por trás dele no auge de sua atividade.
Gameover Zeus
Gameover Zeus é um grande botnet usado principalmente para roubar informações bancárias das pessoas. O botnet tem até 1 milhão de dispositivos de computador. Estima-se que o botnet tenha sido usado para roubar mais de $100 milhões.
Gameover Zeus é uma variante do malware Trojan.ZBot e ainda está ativo hoje. O Gameover Zeus é uma variante sofisticada do malware original que pode permitir a fraude financeira em grande escala ao sequestrar as sessões de banco online de milhares de vítimas. Como muitas campanhas atuais de malware por e-mail, ele normalmente é enviado por meio de e-mails de saída. Assim que um usuário infectado visita o site do seu banco, o malware intercepta a sessão, acessa as informações da vítima e rouba seu dinheiro.
Embora o Gameover Zeus tenha sido removido em 2014, muitas variantes do malware Zeus ainda estão ativas hoje.
Necurs
Necurs é um dos botnets mais ativos e conhecidos do momento. Foi um dos maiores distribuidores de e-mails maliciosos em 2016 e também promoveu campanhas de ransomware Locky em grande escala. No entanto, ele interrompeu misteriosamente as operações em 24 de dezembro de 2016 e permaneceu inativo por quase três meses. Durante esse período, a taxa de e-mails maliciosos detectados pela Symantec (uma agência de segurança cibernética) caiu drasticamente.
A atividade foi retomada em 20 de março e a Symantec bloqueou quase 2 milhões de e-mails maliciosos apenas naquele dia. No entanto, desde o seu retorno, a Necurs não tem se concentrado no envio de campanhas de e-mail maliciosas, mas sim no envio de campanhas de spam de estoque do tipo “bombar e despejar”. Ela começou a enviar esse tipo de campanha antes de desaparecer em dezembro e tem intensificado seus esforços para continuar a fazê-lo desde seu retorno.
O objetivo do envio de spam de ações é aumentar o preço de uma ação nas mãos do remetente, incentivando a vítima a comprar ações da mesma empresa. Uma vez que o preço das ações é impulsionado pelas compras de ações da vítima, o spammer vende todas as ações. Isso faz com que o preço das ações caia drasticamente e torna menos provável que as vítimas vendam suas ações.
Mirai
A maioria das pessoas provavelmente está familiarizada com o Mirai, que devastou redes ao redor do mundo nos meses finais de 2016, usando uma variedade de dispositivos IoT para lançar ataques DDoS em vários alvos ao redor do mundo.
Os alvos iniciais dos ataques DDoS de Mirai em setembro foram os sites do provedor de hospedagem OVH, bem como o especialista em segurança Brian Krebs. Foram ataques DDoS massivos, que na época foram os maiores de todos os tempos, com 1 Tbps e 620 Gbps, respectivamente. no final de setembro, Mirai lançou uma atualização em sua comunidade de hackers online HackForums, e três semanas depois lançou um ataque DDoS massivo contra o provedor de DNS Dyn para bloquear o acesso do usuário a vários sites conhecidos, incluindo Netflix, Twitter e PayPal.
No final de novembro, uma variante da rede Mirai explorou uma vulnerabilidade nos roteadores na Alemanha para acesso à Internet, levando a um ataque a quase 1 milhão de usuários domésticos da Internet; a mesma vulnerabilidade também afetou os roteadores de usuários domésticos da Internet na Irlanda.
O botnet Mirai consiste principalmente em roteadores e câmeras de segurança infectados, e esse incidente destaca que os dispositivos IoT são muito frouxos no que diz respeito à segurança.
5. Visão geral
Os botnets existem há muito tempo e têm crescido à medida que a tecnologia continua a evoluir. Com o crescimento dos dispositivos IoT e o aumento no número de dispositivos associados à Internet, a história do desenvolvimento de botnet pode estar longe do fim.
Português 
English 
Français 
日本語 
Deutsch (Sie) 
Italiano 
Polski 
ไทย 
Bahasa Indonesia 
Español
O que é Botnet? Como funciona? Os 6 botnets mais notórios
Como um método comum e eficaz de ataque cibernético, os botnets representam uma grande ameaça à segurança da Internet de hoje. Este artigo apresenta o conceito e os métodos de controle dos botnets, bem como os 6 botnets notórios. Espero que, depois de ler este artigo, possa ter uma compreensão preliminar dos botnets.
O que é um botnet?
Um botnet é uma rede que usa um ou mais meios de propagação para infectar um grande número de hosts com um vírus de programa de bot (zumbi), criando assim uma rede que pode ser controlada um-para-muitos entre o controlador e os hosts infectados.
Às vezes, eles são chamados de “exércitos de bots” e podem ser usados por cibercriminosos para uma variedade de atividades, incluindo o envio de spam e a condução de ataques distribuídos de negação de serviço (DDoS).
Qualquer dispositivo conectado à Internet pode ser adicionado a um botnet, incluindo laptops, desktops, smartphones, reprodutores DVR, roteadores sem fio e outros dispositivos da Internet das Coisas (IoT).
Os botnets são controlados por servidores de comando e controle (C&C), que são computadores controlados por hackers ou grupos de hackers que podem enviar comandos para botnets no botnet e também receber informações coletadas pelos botnets. O controlador do botnet é denominado Bot Botder ou Bot master.
O advento da IoT (Internet of Things) significa que mais dispositivos podem ser adicionados ao botnet. Além disso, é importante notar que muitos dispositivos IoT agora são insuficientemente protegidos e dependem principalmente de senhas padrão e firmware que são difíceis de atualizar. Isso significa que o tamanho dos botnets pode crescer facilmente no futuro.
Como o botnet controla seu computador
Um botnet pode ser controlado por um controlador botmaster de várias maneiras diferentes.
Tradicionalmente, um botnet pode ser controlado por um servidor C&C. Nesse caso, o dispositivo Bot retorna a um local predeterminado e aguarda um comando do servidor. o controlador do Bot envia o comando para o servidor, que então encaminha o comando para a rede do Bot e, em seguida, os resultados ou informações coletados são enviados de volta para esse servidor central pelo dispositivo do Bot.
No entanto, ter um servidor centralizado torna o botnet mais vulnerável a ataques e tentativas de sabotagem. Por esse motivo, muitos controladores de botnet agora usam principalmente o modelo ponto a ponto (P2P).
Em botnets P2P, os dispositivos bot interconectados compartilham informações sem se reportar a um servidor central, ou seja, os dispositivos bot infectados enviam e recebem comandos. Esses dispositivos bot então investigam endereços IP aleatórios para entrar em contato com outros dispositivos infectados. Uma vez contatado, o dispositivo Bot responde com informações como a versão do software e uma lista de dispositivos conhecidos. Se o Bot contatado tiver uma versão de software mais recente, o outro Bot se atualizará automaticamente para essa versão. Essa abordagem permite que o botnet cresça e se mantenha atualizado sem entrar em contato com um servidor central, tornando mais difícil para a aplicação da lei ou outras agências derrubar o botnet.
Usos de botnets
Os dois usos mais comuns de botnets são o envio de campanhas de spam e a realização de ataques distribuídos de negação de serviço (DDoS).
Dispositivos bot também podem ser usados para enviar malware por e-mail, e diferentes tipos de malware podem ter alvos diferentes, incluindo a coleta de informações de computadores infectados. Isso pode incluir senhas, informações de cartão de crédito e qualquer outra informação que possa ser vendida no mercado negro. As informações confidenciais da empresa também podem correr o risco de serem roubadas se os dispositivos na rede corporativa se tornarem dispositivos Bot.
Dispositivos bot também são comumente usados para fraude de cliques, visitando sites para criar tráfego falso e gerar receita para o proprietário do dispositivo Bot, e são frequentemente usados para mineração de bitcoin.
6 botnets infames
Muitos botnets surgiram ao longo da história, mas alguns deles foram mais influentes do que outros. Aqui estão 6 botnets muito famosos.
Bagle
Bagle é uma das primeiras redes de bots do mundo, que foi usada para uma campanha massiva de spam. Surgiu em 2004 e consistia principalmente em dispositivos de computador Microsoft Windows. Bagle é um worm que infectou mais de 200.000 computadores e estima-se que o vírus envie mais de 10% de todos os spams em todo o mundo.
Conficker
O Conficker é um worm de computador notório que apareceu pela primeira vez no final de 2008 e tem atormentado o pessoal de segurança de rede.
A primeira versão do Conficker apareceu em novembro de 2008 e rapidamente se espalhou por meio de compartilhamentos de rede e unidades USB infectadas. Por uma contagem, ele infectou até 11 milhões de computadores. Isso torna o Conficker um grande botnet que pode causar muitos danos por meio de enormes ataques DDoS se os invasores quiserem usá-lo para atacar. No entanto, ele não emitiu nenhum ataque, e mesmo agora as verdadeiras intenções dos criadores por trás do Conficker permanecem um mistério, e nunca ficou claro a que grupo foi atribuído.
O custo de limpar o Conficker é estimado em $9 bilhão e, surpreendentemente, os computadores infectados com o Conficker ainda existem, apesar do fato de ter sido lançado há quase uma década.
ZeroAccess
Um dos maiores botnets conhecidos, o botnet ZeroAccess surgiu em 2013 como um botnet do exército com quase 2 milhões de computadores. É um botnet difícil de resolver devido ao uso de um modelo de servidor P2P + C&C, mas os pesquisadores da Symantec investigaram o botnet em 2013 e descobriram que quase 500.000 dos dispositivos Bot tinham sandboxes (sandboxes de navegador).
O ZeroAccess é usado principalmente para cliques fraudulentos e mineração de bitcoins e, dado o tamanho do botnet, acredita-se que tenha gerado uma riqueza significativa para os controladores por trás dele no auge de sua atividade.
Gameover Zeus
Gameover Zeus é um grande botnet usado principalmente para roubar informações bancárias das pessoas. O botnet tem até 1 milhão de dispositivos de computador. Estima-se que o botnet tenha sido usado para roubar mais de $100 milhões.
Gameover Zeus é uma variante do malware Trojan.ZBot e ainda está ativo hoje. O Gameover Zeus é uma variante sofisticada do malware original que pode permitir a fraude financeira em grande escala ao sequestrar as sessões de banco online de milhares de vítimas. Como muitas campanhas atuais de malware por e-mail, ele normalmente é enviado por meio de e-mails de saída. Assim que um usuário infectado visita o site do seu banco, o malware intercepta a sessão, acessa as informações da vítima e rouba seu dinheiro.
Embora o Gameover Zeus tenha sido removido em 2014, muitas variantes do malware Zeus ainda estão ativas hoje.
Necurs
Necurs é um dos botnets mais ativos e conhecidos do momento. Foi um dos maiores distribuidores de e-mails maliciosos em 2016 e também promoveu campanhas de ransomware Locky em grande escala. No entanto, ele interrompeu misteriosamente as operações em 24 de dezembro de 2016 e permaneceu inativo por quase três meses. Durante esse período, a taxa de e-mails maliciosos detectados pela Symantec (uma agência de segurança cibernética) caiu drasticamente.
A atividade foi retomada em 20 de março e a Symantec bloqueou quase 2 milhões de e-mails maliciosos apenas naquele dia. No entanto, desde o seu retorno, a Necurs não tem se concentrado no envio de campanhas de e-mail maliciosas, mas sim no envio de campanhas de spam de estoque do tipo “bombar e despejar”. Ela começou a enviar esse tipo de campanha antes de desaparecer em dezembro e tem intensificado seus esforços para continuar a fazê-lo desde seu retorno.
O objetivo do envio de spam de ações é aumentar o preço de uma ação nas mãos do remetente, incentivando a vítima a comprar ações da mesma empresa. Uma vez que o preço das ações é impulsionado pelas compras de ações da vítima, o spammer vende todas as ações. Isso faz com que o preço das ações caia drasticamente e torna menos provável que as vítimas vendam suas ações.
Mirai
A maioria das pessoas provavelmente está familiarizada com o Mirai, que devastou redes ao redor do mundo nos meses finais de 2016, usando uma variedade de dispositivos IoT para lançar ataques DDoS em vários alvos ao redor do mundo.
Os alvos iniciais dos ataques DDoS de Mirai em setembro foram os sites do provedor de hospedagem OVH, bem como o especialista em segurança Brian Krebs. Foram ataques DDoS massivos, que na época foram os maiores de todos os tempos, com 1 Tbps e 620 Gbps, respectivamente. no final de setembro, Mirai lançou uma atualização em sua comunidade de hackers online HackForums, e três semanas depois lançou um ataque DDoS massivo contra o provedor de DNS Dyn para bloquear o acesso do usuário a vários sites conhecidos, incluindo Netflix, Twitter e PayPal.
No final de novembro, uma variante da rede Mirai explorou uma vulnerabilidade nos roteadores na Alemanha para acesso à Internet, levando a um ataque a quase 1 milhão de usuários domésticos da Internet; a mesma vulnerabilidade também afetou os roteadores de usuários domésticos da Internet na Irlanda.
O botnet Mirai consiste principalmente em roteadores e câmeras de segurança infectados, e esse incidente destaca que os dispositivos IoT são muito frouxos no que diz respeito à segurança.
5. Visão geral
Os botnets existem há muito tempo e têm crescido à medida que a tecnologia continua a evoluir. Com o crescimento dos dispositivos IoT e o aumento no número de dispositivos associados à Internet, a história do desenvolvimento de botnet pode estar longe do fim.
Postagens relacionadas:
Relacionado