O que é botnet de DDoS?

Ataques de botnet são responsáveis pelos maiores ataques de DDoS registrados. Saiba como dispositivos ficam infectados com malware botnet, como bots são controlados remotamente e como proteger uma rede contra a infestação de botnet.

Share facebook icon linkedin icon twitter icon email icon

Botnet

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir ataque de DDoS
  • Explicar por que botnets são criados
  • Entender como botnets são controlados remotamente por invasores
  • Discutir estratégias para desabilitar um botnet e prevenir a infecção

O que é botnet?

Um botnet se refere a um grupo de computadores que foram infectados por malware e estão sob controle de um criminoso. O termo botnet é a combinação das palavras «robot» e «network» (robô e rede em inglês, respectivamente), e cada dispositivo infectado se chama bot. Os botnets podem ser desenvolvidos para realizar tarefas ilegais ou mal-intencionadas, inclusive envio de spam, furto de dados, ransomware, propagandas com cliques fraudulentos ou ataques de negação de serviço (DDoS).


Embora alguns tipos de malware, como o ransomware, causem impacto direto no proprietário do dispositivo, o malware botnet de DDoS pode ter diversos níveis de visibilidade; alguns são desenvolvidos para assumir o controle total de um dispositivo, e outros são executados silenciosamente em segundo plano e esperam em silêncio instruções do invasor ou “bot herder”.


Botnets com autopropagação recrutam outros bots por diversos canais diferentes. Vias de infecção incluem a exploração de vulnerabilidades de sites, malware Cavalo de Troia e decodificação de autenticações fracas para obter acesso remoto. Depois de obter o acesso, todos esses métodos de infecção resultam na instalação de malware no dispositivo alvo, permitindo o controle remoto pelo operador do botnet. Depois de infectado, o dispositivo pode tentar autopropagar o malware botnet e, para isso, recruta outros dispositivos de hardware ao redor da rede.


Embora seja inviável identificar com precisão o número exato de bots em um botnet específico, a estimativa do número total de bots em um botnet sofisticado varia em tamanho de alguns milhares a mais de um milhão.

Animação do ataque de botnet de DDoS

Por que os botnets são criados?

As razões para o uso de botnets variam de ativismo a interrupções patrocinadas por estados, com muitos ataques realizados simplesmente para a obtenção de lucros. A contratação de serviços de botnet é relativamente barata, especialmente no que se refere ao tamanho do prejuízo que eles podem causar. O obstáculo para a criação de um botnet também é pequeno o suficiente para tornar o negócio lucrativo para alguns desenvolvedores de software, especialmente em localizações geográficas com aplicações de leis e regulamentações limitadas. Essa combinação de fatores levou à proliferação de serviços on-line que oferecem a contratação de ataques.

Como o botnet é controlado?

Uma característica básica do botnet é a capacidade de receber instruções atualizadas do «bot herder». A capacidade de se comunicar com cada bot na rede permite que o invasor alterne vetores de ataque, altere o endereço IP do alvo, encerre um ataque e realize outras ações personalizadas. Os designs de botnets variam, mas as estruturas de controle podem ser divididas em duas categorias gerais:

O modelo de botnet cliente/servidor

O modelo cliente/servidor imita o fluxo de trabalho de uma estação de trabalho remota tradicional, no qual uma máquina individual se conecta a um servidor centralizado, ou a um pequeno número de servidores centralizados, para acessar informações. Nesse modelo, cada bot se conectará a um recurso de um centro de comando e controle (CnC), como um domínio da Web ou canal IRC, para receber instruções. Como usa repositórios centralizados para enviar novos comandos ao botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de um centro de comando para atualizar instruções nas máquinas infectadas. O servidor centralizado no controle do botnet pode ser um dispositivo que pertença ou seja operado pelo invasor, ou pode ser um dispositivo infectado.


Diversas topologias de botnet centralizas populares foram observadas, entre elas:

Topologia de rede em estrela

Animação da topologia de rede em estrela

Topologia de rede com vários servidores

Animação da topologia de rede com vários servidores

Topologia de rede hierárquica

Animação da topologia de rede hierárquica

Em todos esses modelos cliente/servidor, cada bot se conectará a um recurso de um centro de comando, como um domínio da Web ou canal IRC, para receber instruções. Como usa repositórios centralizados para enviar novos comandos ao botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de um centro de comando para atualizar instruções nas máquinas infectadas.


Junto à simplicidade de atualizar instruções no botnet a partir de um número limitado de origens centralizadas está a vulnerabilidade dessas máquinas; para remover um botnet com servidor centralizado, apenas o servidor precisa ser interrompido. Como resultado dessa vulnerabilidade, os desenvolvedores do malware botnet evoluíram e passaram a um novo modelo que está menos suscetível à interrupção por um único ou poucos pontos de falha.

O modelo de botnet peer to peer (P2P)

Para contornar as vulnerabilidades do modelo cliente/servidor, mais recentemente, os botnets foram desenvolvidos com o uso de componentes de compartilhamento de arquivos ponto a ponto descentralizado. Incorporar a estrutura de controle dentro do botnet elimina a presença de um único ponto de falha no botnet com servidor centralizado, tornando os esforços de mitigação mais difíceis. Bots P2P podem ser centros de comando e clientes, trabalhando junto aos seus nós vizinhos para propagar dados.


Os botnets peer to peer mantêm uma lista de computadores confiáveis com os quais podem enviar e receber comunicações e atualizar o malware. Ao limitar o número de outras máquinas com as quais o bot se conecta, cada bot estará exposto apenas aos dispositivos adjacentes, tornando mais difícil o seu rastreamento e a sua mitigação. Não ter um servidor de comando centralizado torna o bot peer to peer mais vulnerável ao controle de outra pessoa que não seja o seu criador. Para se proteger contra a perda de controle, botnets descentralizados, normalmente, são criptografados de forma que o acesso seja limitado.

Animação da topologia de rede peer to peer

Como dispositivos de IoT se tornam botnets?

Ninguém usa o Internet banking pela câmera do circuito fechado de TV sem fio posicionada no quintal para observar o comedouro dos pássaros, mas isso não quer dizer que o dispositivo seja incapaz de fazer as solicitações de rede necessárias. A capacidade dos dispositivos de IoT somada à vulnerabilidade ou segurança deficientemente configurada cria uma abertura para o malware botnet recrutar novos bots para o grupo. A pequena ascensão dos dispositivos de IoT resultou no novo panorama para os ataques de DDoS, pois muitos dispositivos são vulneráveis e estão configurados deficientemente.


Se a vulnerabilidade de um dispositivo de IoT for codificada no firmware, as atualizações serão mais difíceis. Para mitigar o risco, dispositivos de IoT com firmware desatualizado devem ser atualizados, pois credenciais padrão comumente permanecem inalteradas na instalação inicial do dispositivo. Muitos fabricantes de equipamentos não são incentivados a tornar os seus dispositivos mais seguros, e isso deixa a vulnerabilidade que o malware botnet causa nos dispositivos de IoT um risco de segurança não solucionado.

Como um botnet existente é desabilitado?

Desabilitar os centro de controle de um botnet:

Botnets desenvolvidos com o uso de um esquema de comando e controle poderão ser desabilitados mais facilmente, quando os centros de controle puderem ser identificados. Eliminar a origem dos pontos de falha pode colocar o botnet completamente off-line. Como resultado, administradores de sistema e a polícia mantêm o foco no fechamento dos centros de controle dos botnets. O processo será mais difícil, se o centro de comando operar em um país no qual a polícia for menos capaz ou estiver menos disposta a intervir.

Eliminar a infecção em cada dispositivo individualmente:

No caso de computadores específicos, estratégias de recuperarão do controle da máquina são: executar software antivírus, reinstalar o software de um backup de segurança ou recomeçar em uma máquina limpa depois de reformatar o sistema. No caso de dispositivos de IoT, as estratégias podem ser: alterar o firmware, executar uma redefinição de fábrica ou formatar de qualquer outra forma o dispositivo. Se essas opções forem inviáveis, outras estratégias podem estar disponíveis através do fabricante do dispositivo ou de um administrador de sistema.

Como você pode proteger dispositivos de se tornarem parte de um botnet?

Criar senhas seguras:

No caso de muitos dispositivos vulneráveis, para reduzir a vulnerabilidade a botnets pode bastar trocar as credenciais administrativas para valores diferentes do nome de usuário e senha padrões. Criar uma senha segura torna difícil a decodificação de força bruta, criar uma senha muito segura torna praticamente impossível a decodificação de força bruta. Por exemplo, um dispositivo infectado com malware Mirai examinará endereços IP na busca de dispositivos que respondam. Quando um dispositivo responde a uma solicitação de ping, o bot tenta fazer login no dispositivo localizado com uma lista predefinida de credenciais padrão. Se a senha padrão tiver sido alterada e uma senha segura tiver sido adotada, o bot desistirá e procurará dispositivos mais vulneráveis

Permitir apenas a execução confiável de código de terceiros:

Se você adotar o modelo de telefone móvel com execução de software, apenas aplicativos em uma lista de permissões deverão ser executados, isso dará mais controle para eliminar softwares considerados mal-intencionados, entre eles os botnets. O comprometimento do dispositivo ocorrerá apenas com o comprometimento do software de supervisão (ou seja, kernel). Em primeiro lugar, isso é válido no caso de haver um kernel seguro, o que não acontece na maioria de dispositivos de IoT, e se aplica a máquinas que executam softwares de terceiros.

Limpeza/restauração periódica do sistema:

Restaurar para um ponto conhecido de bom estado depois de um tempo definido removerá todo o lixo que o sistema tenha coletado, inclusive software botnet. Essa estratégia, quando usada como medida preventiva, garante que até mesmo o malware que é executado silenciosamente seja descartado na lixeira.

Implantar práticas de filtragem de entradas e saídas seguras:

Outras estratégias mais avançadas são as práticas de filtragem em roteadores e firewalls da rede. O princípio de modelo de rede segura é a disposição em camadas: usar a menor restrição em recursos publicamente acessíveis e reforçar a segurança no que é considerado confidencial. Além disso, tudo que atravessa esses limites deve ser examinado: tráfego de rede, unidades USB, etc. Práticas de filtragem de qualidade aumentam a probabilidade de o malware de DDoS e seus métodos de propagação e comunicação serem descobertos antes de entrarem ou saírem da rede.


Se, atualmente, estiver sob ataque, existirão medidas que podem ser tomadas para que você se livre da pressão. Se você já for assinante da Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que a Cloudflare implantará é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare.