Como já sabemos o que é uma botnet, vamos explicar alguns aspectos que nos ajudarão a entender melhor como é o funcionamento desse código malicioso. Apesar dos diversos sintomas que um computador zumbi pode apresentar, a principal característica de uma botnet é tentar passar despercebida pelo usuário, ao contrário de outras ameaças como o ransomware.
6 possíveis ações de um botmaster
Depois que o computador ou dispositivo móvel é infectado, o botmaster pode realizar diversas ações:
Ataques DDoS
Um ataque de negação de serviço (DDoS), tenta deixar um serviço inacessível para os usuários, por meio de uma sobrecarga dos recursos informáticos ou da rede a qual estão conectados. Quando se fala de um ataque DDoS ou de negação de serviço distribuído, os atacantes que realizam essa sobrecarga são diversos computadores, em diferentes lugares e com um único objetivo, que pode ser alcançado por um botmaster.
Controle remoto
Tendo em conta que uma botnet pode estar formada por milhares de dispositivos, os cibercriminosos têm encontrado diversas formas de tirar algum proveito econômico desse tipo de situação, utilizando recursos dos equipamentos infectados para operações de computação distribuídas.
Roubo de credenciais
Os atacantes conseguem obter dados como nomes de usuários, senhas e até informações bancárias ou de cartões de crédito. Como? Por meio da intercepção de formulários web, de informações guardadas de forma automática por alguns serviços ou aplicativos e, inclusive, através de aplicativos de keylogging.
Golpe online
Aproveitando a grande quantidade de máquinas infectadas, um atacante pode se beneficiar de forma ilícita de serviços como AdSense, WordAds ou BidVertiser, que pagam pela quantidade de cliques em anúncios publicados na Internet. Dessa forma, os cibercriminosos geram tráfego fraudulento através dos computadores zumbis com o objetivo de obter lucro econômico.
Execução remota de aplicativos
Depois que um cibercriminoso consegue ter acesso a um dispositivo, pode utilizar esse controle para instalar ou atualizar aplicativos maliciosos dentro do sistema buscando ações mais específicas.
Ciberespionagem
Apesar desse termo poder gerar bastante ruído, é possível encontrar à venda códigos maliciosos para que pessoas sem escrúpulos extraíam informações de empresas e, em seguida, a coloquem à venda para os concorrentes ou para gerar vazamentos de informações que afetem a reputação de uma empresa.
É claro que os atacantes não irão apenas atrás das informações sensíveis, a crescente capacidade informática e a rapidez dos canais de comunicação são tomados pelos atacantes como uma oportunidade de conseguir dinheiro. Apesar das características serem bastante variadas em termos de capacidades ou funcionalidades, existem três passos que podem identificar a forma com a qual os cibercriminosos propagam e aproveitam esses códigos maliciosos.
Como um cibercriminoso atua por trás de uma botnet?
Generalizar a forma de atuação dos códigos maliciosos talvez seja uma tarefa impossível. No entanto, existem três características particulares que podem ser associadas com a forma na qual um cibercriminoso consegue chegar às suas vítimas, deixando a ameaça completamente funcional.
- Encontrar as possíveis vítimas através de redes P2P, email, redes sociais e sites de download de arquivos para que o atacante possa compartilhar binários infectados ou links que possam baixar códigos maliciosos.
- Infectar os equipamentos alvos através da execução de códigos maliciosos com características de trojans ou worms apoiados em técnicas de Engenharia Social que sejam bastante ofensivas, aproveitando a inexperiência de alguns usuários ou a credulidade de muitos outros.
- Propagar a botnet para outros equipamentos que estejam associados às vítimas, utilizando redes Peer To Peer ou, inclusive, através de interações nas redes sociais ou outros tipos de serviços que estejam associados com o equipamento infectado.
Com essa forma de atuar, um atacante pode chegar a comprometer muitas máquinas em pouco tempo. A seleção da estrutura utilizada para administrar os equipamentos infectados depende do tipo de código malicioso utilizado e do alvo perseguido.
As 3 estruturas mais comuns das botnets
Um dos problemas mais complexos no momento de combater uma botnet é o fato de um atacante ter uma grande quantidade de computadores infectados à disposição, podendo utilizá-los de diversas formas. Desde o uso do protocolo IRC até o desenvolvimento de técnicas mais complexas com servidores de terceiros ou redes distribuídas, um atacante pode utilizar diferentes estruturas para controlar as ações dos equipamentos vítimas.
Veja as três principais:
Centralizada
É a topologia menos complexa, já que toda a comunicação com os equipamentos infectados é realizada desde um servidor central ao qual o botmaster se conecta. Apesar disso, pode ser uma opção bastante ágil para os cibercriminosos, na qual costumam utilizar protocolos como IRC, HTTP ou, inclusive, HTTPS, ao ter um único ponto crítico pode ser desmontada caso o servidor fique offline ou se alguém conseguir detectar a conexão desde um ponto, o que tornaria possível encontra todas as informações roubadas.
Por isso, no momento de analisar essas ameaças, é possível encontrar diferentes servidores, os quais são trocados pelos cibercriminosos para que seja muito mais difícil desmontá-las.
Descentralizada
Se existe uma topologia centralizada, existe uma contrapartida. As não estruturadas geram um aplicativo adicional no momento de desmontá-las, relacionada com o fato de que um botmaster pode enviar comandos para os equipamentos zumbis a partir de diferentes máquinas que cumprem a função de servidores.
Com esse tipo de projeto, um atacante tenta minimizar a possibilidade de que o tráfego malicioso seja detectado, enviando os comandos geralmente encriptados, e esperando que outros bots se conectem e recebam as informações. Dessa forma, ao detectar um equipamento infectado é mais complexo determinar a distribuição de toda a rede.
Ponto a ponto
As topologias do tipo P2P aproveitam o fato de que todos os computadores zumbis possam atuar como clientes ou servidores. No momento da análise desses tipos de projetos está o problema da dispersão das conexões em diversos equipamentos, resultando em botnets mais complexas de desarticular, já que não contam com uma base única desde a qual seja possível controlar os equipamentos da rede. No entanto, grandes operações, como a que a ESET participou recentemente, conseguem interromper o funcionamento de botnets como a Dorkbot.
Se compreendermos a grande variedade desse tipo de código malicioso, poderemos ter uma ideia dos motivos que fazem com que sejam tão utilizados pelos atacantes, e a diversidade de opções para administrar o comportamento de uma botnet.
Confira o vídeo a seguir e saiba mais sobre o funcionamento dessa ameaça:
https://www.youtube.com/watch?v=s0sgiY93w9c