Códigos maliciosos e o (sub)mundo das botnets

Transcrição

1 Códigos maliciosos e o (sub)mundo das botnets Lucimara Desiderá lucimara@cert.br! Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br Comitê Gestor da Internet no Brasil

2 Tratamento de Incidentes Articulação Apoio à recuperação Estatísticas Treinamento e Conscientização Cursos Palestras Documentação Reuniões Análise de Tendências Honeypots Distribuídos SpamPots Criado em 1997 para: Ser um ponto de contato nacional para notificação de incidentes Prover a facilitação e o apoio necessários no processo de resposta a incidentes Estabelecer um trabalho colaborativo com outras entidades Aumentar a conscientização sobre a necessidade de segurança na Internet Auxiliar novos CSIRTs (Grupos de Tratamento de Incidentes de Segurança) a estabelecerem suas atividades

3 Estrutura do CGI.br e NIC.br 1 Ministério da Ciência e Tecnologia (Coordenação) 2 Ministério das Comunicações 3 Casa Civil da Presidência da República 4 Ministério da Defesa 5 Ministério do Desenvolvimento, Indústria e Comércio Exterior 6 Ministério do Planejamento, Orçamento e Gestão 7 Agência Nacional de Telecomunicações (Anatel) 8 Cons. Nacional de Desenvolvimento Científico e Tecnológico 9 Fórum Nac. de Secretários Estaduais para Assuntos de C&T 10 Representante de Notório Saber em assuntos de Internet 11 provedores de acesso e conteúdo 12 provedores de infra-estrutura de telecomunicações 13 indústria de bens de informática, telecomunicações e software 14 segmento das empresas usuárias de Internet representantes do terceiro setor representantes da comunidade científica e tecnológica

4 Comitê Gestor da Internet no Brasil CGI.br Dentre as atribuições definidas no Decreto Presidencial nº 4.829, de 03 de setembro de 2003, destacam-se: a proposição de normas e procedimentos relativos à regulamentação das atividades na internet; a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil; o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil; a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país; a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br>; a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas. ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet;

5 Agenda Códigos maliciosos Botnets Motivações Cenário de Incidentes de Segurança Combate a botnets Como se proteger Boas práticas

6 Códigos maliciosos (malware)

7 Códigos Maliciosos Programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador principais tipos: Vírus Worm Spyware Bot Backdoor Trojan Rootkit Botnet

8 Bot Programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador Dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente computador infectado = zumbi

9 Propagação Exploração de vulnerabilidades Ex: página Web com navegador vulnerável Ação direta de atacantes Execução de arquivos download na Web redes sociais links ou anexos de mensagens eletrônicas ( , IM) compartilhamento de recursos (ex: P2P, mídias removíveis) auto-execução de mídias removíveis infectadas

10 Resumo Comparativo (1/4) Códigos Maliciosos Vírus Worm Bot Trojan Spyware Backdoor Rootkit Como é obtido: Recebido automaticamente pela rede Recebido por Baixado de sites na Internet Compartilhamento de arquivos Uso de mídias removíveis infectadas Redes sociais Mensagens instantâneas Inserido por um invasor Ação de outro código malicioso

11 Resumo Comparativo (2/4) Códigos Maliciosos Vírus Worm Bot Trojan Spyware Backdoor Rootkit Como ocorre a instalação: Execução de um arquivo infectado Execução explícita do código malicioso Via execução de outro código malicioso Exploração de vulnerabilidades

12 Resumo Comparativo (3/4) Códigos Maliciosos Vírus Worm Bot Trojan Spyware Backdoor Rootkit Como se propaga: Insere cópia de próprio em arquivos Envia cópia de si próprio automaticamente pela rede Envia cópia de si próprio automaticamente por Não se propaga

13 Resumo Comparativo (4/4) Códigos Maliciosos Vírus Worm Bot Trojan Spyware Backdoor Rootkit Ações maliciosas mais comuns: Altera e/ou remove arquivos Consome grande quantidade de recursos Furta informações sensíveis Instala outros códigos maliciosos Possibilita o retorno do invasor Envia spam e phishing Desfere ataques na Internet Procura se manter escondido

14 Botnet

15 Botnet Rede formada por centenas/milhares de computadores zumbis permite potencializar as ações danosas dos bots quanto mais bots mais potente é a botnet controlador: Command and Control (C&C)

16 Comando e Controle Comunicação IRC HTTP P2P Tendências de gerenciamento e defesa Novos mecanismos de troca de mensagens DNS covert channel ICMP Twitter / Facebook Criptografia Ofuscação Autenticação Fast-flux service networks Domain Generation Algorithms (DGA)

17 Usos Coleta de informações dados pessoais espionagem Ataques de negação de serviço (DDoS) ativismo político extorsão Envio de spam e phishing Propagação de código malicioso Pay per Install (PPI) Trojan, worm, spyware, adware Click Fraud

18 Motivações

19 Motivações Desejo de autopromoção Política / Ideológica FINANCEIRA mercado negro Fonte: Underground Economy Servers Goods and Services Available for Sale

20 Motivações - Mercado Negro (cont.) Fonte: Underground Economy Servers Goods and Services Available for Sale

21 re ate ing s ds. eal er ain e e of of a target site, which is consequently forced to expend all of its resources to keep track of the partially open connections made. In this attack, the hacker sends synchronization packets to a target. After receiving the first packet, a victim s computer sends a response (i.e., SYN ACK) and waits for an ACK packet that will never come, causing a DDoS. Motivações - Mercado Negro (cont.) Smurf attack: Involves sending ICMP ping requests to a target broadcast address using a fake source address SOCKS bot (to get around firewalls): $100 via IP address spoofing. spam: $10 per one million s ICMP flood: Similar to a Smurf attack minus the broadcasting spam part. (using a customer database): $50-$500 per one million s DDoS attacks usually require the use of specially crafted bots SMS and botnets. spam: To $3-$150 instigate a per DDoS ,000 attack, a hacker messages must first gain access to a target computer. He then installs ZeuS a daemon source in it code: using his $200-$500 DDoS bot kit. He then does the same thing to several other machines, turning Windows rootkit (for installing malicious drivers): $292 them all into zombies. The hacker then starts the master program, Hacking which Facebook also comes from or Twitter the DDoS account: bot kit, on his $130 own or on a remote system and orders it to launch an attack Hacking on a chosen Gmail IP address. account: The master $162 program then commands all of the daemons to attack the chosen victim Hacking corporate mailbox: $500 for purposes like taking down a particular website. Distributed Denial-of-Service Service Prices Offering 1-day DDoS service 1-hour DDoS service 1-week DDoS service 1-month DDoS service Table 5: DDoS service prices Price US$30 70 US$10 US$150 US$1,200 Fonte:Read Russian Underground Trend Micro Hackers PAY-PER-INSTALL who use compromised SERVICES computers for malicious purposes like distributing spam utilize ZeuS to install all of the necessary software in a bot as well. As such, even computers that do not have confidential information saved in In them pay-per-install can still prove (PPI) useful service for a variety [ ] of malicious activities, business hence, ZeuS s infamy. PAY-PER-INSTALL model, advertisers SERVICES pay publishers a commission every time a user installs usually free applications Botnet bundled with Prices adware. In a PPI attack, an install refers to downloading and launching a file on a victim s computer. Downloads In the pay-per-install can come (PPI) in the service form of [ ] an exploit bundle or business from a model, Offering botnet. advertisers In such an pay attack, publishers a user Price who a commission visits an exploit-hosting every Bots (i.e., time consistently a user site installs using online a usually vulnerable US$200 free applications browser for 2,000 downloads bots and bundled runs 40% with a of malicious the adware. time) script In a PPI and attack, gets his an computer install refers infected. to This downloading is one of DDoS and the most popular means to distribute botnet launching a file on a victim s US$700computer. malware Downloads (i.e., most often Trojans). DDoS botnet can come update in the form of US$100 an exploit per update bundle or from a botnet. In such an attack, a user who visits an Pay-per-Install exploit-hosting site Table using Service 7: a Botnet vulnerable Prices prices browser downloads and runs a malicious script and gets his computer infected. * This Note, is however, one of that the botnets most popular are rarely means sold in the to underground distribute Offering market. Hackers download normally services operate is their a widespread own botnets practice. because selling In malware (i.e., most often Trojans). this them business is less profitable. model, a customer provides the malicious file for a service provider to distribute. Download services are usually Pay-per-Install offered based Service on the target Prices country. Offering download Offeringservices is a Price widespread per 1,000 practice. Downloads In this business model, a customer provides US$ the malicious file for a service provider to distribute. Download services are US$ usually offered based on the target country. Italy (IT) US$ Australia (AU) PAGE 12 RUSSIAN UNDERGROUND 101 Great Britain (UK) New Zealand (NZ) Offering Spain (ES), Germany (DE), or Australia (AU) France (FR) Great Britain (UK) United States (US) Italy (IT) Global mix New European Zealand mix (NZ) Spain (ES), Russia Germany (RU) (DE), or France (FR) US$ Price per 1,000 Downloads US$ US$ US$ US$ US$ US$12 15 US$ US$80 US$ US$100 United States Table (US) 4: PPI service prices US$ Global mix US$12 15 Mixed-traffic download services (e.g., European, Asian, or European mix US$80 global mix) are also frequently sold. Russia (RU) US$100 In oth likelih opene cyberc inform root In otha likelih Two opene b servic cyberc downl inform offers root a downl Two b Traffic servic downl downl sold offers p requir downl Traffic into do Traffic visitor downl sold p To obt requir which Traffic action into d brows visitor exploi better To obt amoun which impos action from o brows to be p exploi Mainta better gener amoun hostin impos traffic from o obtain to be p (i.e., tr separa Mainta gener

22 Incidentes de Segurança Fonte: Estatísticas CERT.br

23 Incidentes reportados ao CERT.br

24 Tipos de ataque 2012

25 Tentativas de fraudes 2012

26 Combate a botnets

27 Combate Fonte: Estatísticas CERT.br Derrubada de botnets diminui drasticamente número de spams

28 Notificações repassadas pelo CERT.br

29 Notificações repassadas pelo CERT.br

30 Como se proteger (como não fazer parte de uma botnet)

31 Proteção O que torna as botnets tão potentes é a imensa quantidade de computadores infectados existentes quanto menos computadores infectados menos potentes elas serão e menores poderão ser os danos causados Faça a sua parte!!!!

32 Proteja seu Computador Mantenha seu computador seguro: com todas as atualizações aplicadas com todos os programas instalados com as versões mais recentes Use mecanismos de segurança firewall pessoal, antimalware, antiphishing, antispam complementos, extensões, plugins Use apenas programas originais Use as configurações de segurança já disponíveis Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros

33 Mantenha uma Postura Preventiva Não acesse sites ou siga links recebidos de mensagens eletrônicas em páginas sobre as quais não se saiba a procedência Não confie apenas no remetente da mensagem, pois ela pode ter sido enviada de: máquinas infectadas contas falsas ou invadidas Proteja sua privacidade, evite divulgar: dados pessoais ou de familiares e amigos informações sobre seu cotidiano informações sensíveis, como: senhas números de cartão de crédito

34 Proteja suas Contas e Senhas (1/2) Utilize senhas contendo: grande quantidade de caracteres diferentes tipos de caracteres números aleatórios Evite usar: sequências de teclado dados pessoais: nome, sobrenome, contas de usuário, números de documentos, placas de carros, números de telefones informações que possam ser coletadas em blogs e redes sociais palavras que façam parte de listas nomes de músicas, times de futebol, personagens de filmes, dicionários de diferentes idiomas, etc.

35 Proteja suas Contas e Senhas (2/2) Dicas de elaboração selecione caracteres de uma frase O Cravo brigou com a Rosa debaixo de uma sacada è?ocbcarddus utilize uma frase longa 1 dia ainda verei os aneis de Saturno!!! faça substituições de caracteres: Sol, astro-rei do Sistema Solar è SS0l, asstrr0-rrei d0 SSisstema SS0larr Procure trocar regularmente suas senhas Evite usar o usuário administrador

36 Informe-se e Mantenha-se Atualizado Portal Internet Segura Campanha Antispam.br

37 Cartilha de Segurança para Internet Linha do Tempo 3.0 Cartilha de Segurança para Internet 16 de outubro de 2000 Resumo Esta cartilha destina-se aos usuários finais com pouco ou nenhum conhecimento a respeito da utilização da Internet. Como tais usuários não possuem conhecimentos dos termos técnicos normalmente empregados pelos profissionais da área de informática, usou-se uma linguagem não-técnica neste texto. A idéia desta cartilha é dar ao usuário iniciante uma visão geral dos conceitos mais básicos de segurança. Sumário 1 Introdução 3 2 Senhas 2.1 Como escolher uma boa senha? Com que freqüência devo mudar minha senha? Quantas senhas diferentes devo usar? Problemas Usuais de Segurança 3.1 Engenharia Social Cavalos de Tróia Como meu computador pode ser infectado por um Cavalo de Tróia? O que um Cavalo de Tróia pode fazer em meu computador? O hacker poderá me invadir se o computador não estiver conectado à Internet? O computador pode ser infectado por um Cavalo de Tróia sem que se perceba? Como posso saber se o computador está infectado? Como proteger o computador dos Cavalos de Tróia? Backdoors Como se prevenir dos Backdoors? Vírus páginas conceitos básicos dúvidas frequentes 6 MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES KEYLOGGER PATCHES R INCIDENTE TECNOLOGIA SPAM INTERNET MA Cartilha de Segurança para Internet WORM BLUETOOTH SCAM PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES KEYLOGGER PATCHES R INCIDENTE SEGURANÇA FRAUDE INTERNET Parte I: Conceitos de Segurança MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS incluída parte sobre códigos maliciosos folder de dicas CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL Versão 3.0 ilustrada ebook (epub) novos temas: redes sociais e disposievos móveis Setembro de 2005 COOKIES BACKDOOR KEYLOGGER PATCHES R INCIDENTE SEGURANÇA FRAUDE TECNOLOGIA 1 organizada em partes incluído o tema de fraudes na Internet SEGURANÇA FRAUDE TECNOLOGIA SPAM INT SPYWARE ANTIVÍRUS WORM BLUETOOTH SC NIC BR Security Office nbso@nic.br Versa o de marc o de 2003 Comitê Gestor da Internet no Brasil Resumo Esta parte da Cartilha apresenta conceitos de seguranc a de computadores, onde sa o abordados temas relacionados a s senhas, certificados digitais, engenharia social, vı rus e worm, vulnerabilidade, backdoor, cavalo de tro ia e ataques de negac a o de servic o. Os conceitos aqui apresentados sa o importantes para o entendimento de partes subsequ entes desta Cartilha. Como Obter este Documento Cartilha de Segurança para Internet Este documento pode ser obtido em Como ele e periodicamente atualizado, certifique-se de ter sempre a versa o mais recente. Caso voce tenha alguma sugesta o para este documento ou encontre algum erro, entre em contato atrave s do enderec o doc@nic.br. Nota de Copyright e Distribuic a o Este documento e Copyright c 2003 NBSO. Ele pode ser livremente copiado desde que sejam respeitadas as seguintes condic o es: 1. E permitido fazer e distribuir co pias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribuic a o seja mantida em todas as co pias, e que a distribuic a o na o tenha fins comerciais. 2. Se este documento for distribuı do apenas em partes, instruc o es de como obte -lo por completo devem ser incluı das. 3. E vedada a distribuic a o de verso es modificadas deste documento, bem como a comercializac a o de co pias, sem a permissa o expressa do NBSO. Embora todos os cuidados tenham sido tomados na preparac a o deste documento, o NBSO na o garante a correc a o absoluta das informac o es nele contidas, nem se responsabiliza por eventuais consequ e ncias que possam advir do seu uso lançada como livro Cartilha de Seguranc a para Internet Parte I: Conceitos de Seguranc a Versão Publicação 1.0 fascículos e slides

38 Cartilha de Segurança para Internet 4.0 2ª Edição do Livro Novas recomendações, em especial sobre: segurança e privacidade em redes sociais segurança no uso de dispositivos móveis Reestruturada ilustrada em HTML5 formato EPub Nova licença Creative Commons (CC BY-NC-ND 3.0)

39 Cartilha de Segurança para Internet Fascículos Organizados e diagramados de forma a facilitar a difusão de conteúdos específicos Slides de uso livre para: ministrar palestras e treinamentos complementar conteúdos de aulas licença CC BY-NC-SA 3.0 Brasil Redes Sociais 08/2012 Senhas 10/2012 Comércio Eletrônico 11/2012 Privacidade 02/2013 em ança Segur ociais S Redes e> <Nom ição> u it t s <In il> <e-ma

40 Cartilha de Segurança para Internet Dica do Dia RSS Twitter Site

41 Perguntas? Lucimara Desiderá - lucimara@cert.br Miriam von Zuben - miriam@cert.br CGI.br - Comitê Gestor da Internet no Brasil NIC.br - Núcleo de Informação e Coordenação do.br CERT.br -Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil