O que é botnet de DDoS?

Ataques de botnet são responsáveis pelos maiores ataques de DDoS registrados. Saiba como dispositivos ficam infectados com malware botnet, como bots são controlados remotamente e como proteger a rede contra uma infestação de botnet.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir ataque de DDoS
  • Explicar por que botnets são criados
  • Entender como botnets são controlados remotamente por invasores
  • Discutir estratégias para desabilitar um botnet e evitar a infecção

Copiar o link do artigo

O que é uma botnet?

Um botnet se refere a um grupo de computadores infectado por malware e sob controle de um indivíduo mal-intencionado. O termo botnet é a combinação das palavras “robot” e “network” (robô e rede em inglês, respectivamente), e cada dispositivo infectado se chama bot. Os botnets podem ser desenvolvidos para realizar tarefas ilegais ou mal-intencionadas, inclusive envio de spam, furto de dados, ransomware, anúncios com cliques fraudulentos ou ataques de negação de serviço distribuída (DDoS).

Embora alguns tipos de malware, como o ransomware, causem impacto direto no proprietário do dispositivo, o malware botnet de DDoS pode ter diversos níveis de visibilidade. Alguns são desenvolvidos para assumir o controle total de um dispositivo; outros são executados silenciosamente em segundo plano e esperam por instruções do invasor, ou “bot herder”.

Self-propagating botnets recruit additional bots through a variety of different channels. Pathways for infection include the exploitation of website vulnerabilities, Trojan horse malware, and cracking weak authentication to gain remote access. Once access has been obtained, all of these methods for infection result in the installation of malware on the target device, allowing remote control by the operator of the botnet. Once a device is infected, it may attempt to self-propagate the botnet malware by recruiting other hardware devices in the surrounding network.

Embora seja inviável identificar com precisão o número exato de bots em um botnet específico, a estimativa do número total de bots em um botnet sofisticado varia de alguns milhares a mais de um milhão.

Animação do ataque de botnet de DDoS

Por que os botnets são criados?

Os motivos para usar um botnet vão desde ativismo até interrupção com patrocínio estatal. Muitos ataques são realizados simplesmente por lucro. A contratação de serviços de botnet online é relativamente barata, especialmente em relação à quantidade de danos que eles podem causar. A barreira para a criação de um botnet também é baixa o suficiente para torná-lo um negócio lucrativo para alguns desenvolvedores de software, especialmente em locais geográficos onde a aplicação de regulamentos e leis é limitada. Essa combinação causou a proliferação de serviços online que oferecem ataques à venda.

Como o botnet é controlado?

Uma das principais características de um botnet é a capacidade de receber instruções atualizadas do bot herder. A capacidade de se comunicar com cada bot na rede permite que o invasor alterne vetores de ataque, mude o endereço IP visado, encerre um ataque e outras ações personalizadas. Os designs de botnets variam. No entanto, as estruturas de controle podem ser divididas em duas categorias gerais:

O modelo de botnet cliente/servidor

O modelo cliente/servidor imita o fluxo de trabalho de uma estação de trabalho remota tradicional, no qual uma máquina individual se conecta a um servidor centralizado (ou a um pequeno número de servidores centralizados) para acessar informações. Nesse modelo, cada bot se conectará a um recurso de um centro de comando e controle (CnC), como um domínio da Web ou canal IRC, para receber instruções. Ao usar esses repositórios centralizados para enviar novos comandos ao botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de um centro de comando para atualizar instruções nas máquinas infectadas. O servidor centralizado no controle do botnet pode ser um dispositivo que pertença ou seja operado pelo invasor, ou pode ser um dispositivo infectado.

Diversas topologias de botnet centralizadas populares foram observadas, entre elas:

Topologia de rede em estrela

Animação da topologia de rede em estrela

Topologia de rede com vários servidores

Animação da topologia de rede com vários servidores

Topologia de rede hierárquica

Animação da topologia de rede hierárquica

Em qualquer modelo cliente/servidor, cada bot se conectará a um recurso de central de comando, como um domínio Web ou um canal IRC, para receber instruções. Usando esses repositórios centralizados para fornecer novos comandos para o botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de uma central de comando para atualizar as instruções para as máquinas infectadas.

Além da simplicidade de atualizar instruções para o botnet usando um número limitado de origens centralizadas, há a vulnerabilidade dessas máquinas. Para remover um botnet com servidor centralizado, apenas o servidor precisa ser interrompido. Em decorrência dessa vulnerabilidade, os criadores de malware de botnet evoluíram e migraram para um novo modelo que é menos suscetível a interrupções por apenas um ou poucos pontos de falha.

O modelo de botnet peer to peer (P2P)

Para contornar as vulnerabilidades do modelo cliente/servidor, os botnets mais recentes foram desenvolvidos usando componentes de compartilhamento de arquivos ponto a ponto centralizado. A incorporação da estrutura de controle dentro do botnet elimina o ponto de falha único presente em um botnet com servidor centralizado, tornando mais difíceis os esforços de mitigação. Os bots P2P podem ser clientes e centrais de comando, trabalhando lado a lado com os nós vizinhos para propagar dados.

Os botnets de ponto a ponto mantêm uma lista de computadores de confiança com os quais podem dar e receber comunicações, assim como atualizar o malware. Limitando o número de outras máquinas às quais o bot se conecta, cada bot é exposto apenas aos dispositivos adjacentes, dificultando o rastreamento e a mitigação. A falta de um servidor de comando centralizado torna um botnet de ponto a ponto mais vulnerável ao controle de alguém que não seja seu criador. A fim de proteger da perda de controle, os botnets descentralizados geralmente são criptografados, para que o acesso seja limitado.

Animação da topologia de rede peer to peer

Como dispositivos de IoT se tornam botnets?

Ninguém faz transações bancárias pela internet usando a câmera sem fio do CFTV que colocou no quintal para observar o alimentador de pássaros. No entanto, isso não significa que o dispositivo é incapaz de fazer as solicitações de rede necessárias. A eficiência dos dispositivos de IoT, somada a uma segurança fraca ou mal configurada, cria uma abertura para o malware de botnet recrutar novos bots para o coletivo. O aumento nos dispositivos de IoT resultou em um novo cenário para ataques de DDoS, pois muitos dispositivos são mal configurados e vulneráveis.

Se a vulnerabilidade de um dispositivo de IoT estiver codificada no firmware, as atualizações ficarão mais difíceis. Para mitigar o risco, os dispositivos de IoT com firmware desatualizado deverão ser atualizados, pois as credenciais padrão geralmente permanecem inalteradas desde a instalação inicial do dispositivo. Muitos fabricantes de hardware barato não são incentivados a aumentar a segurança de seus dispositivos. Por isso, a vulnerabilidade dos dispositivos de IoT ao malware de botnet continua sendo um risco não resolvido para a segurança.

Como um botnet existente é desabilitado?

Para desabilitar os centros de controle de um botnet:

Os botnets desenvolvidos usando um esquema de comando e controle poderão ser desativados com mais facilidade depois que as centrais de controle forem identificadas. Se a cabeça for cortada nos pontos de falha, o botnet inteiro poderá ficar offline. Portanto, os administradores de sistemas e agentes da lei se esforçam para fechar as centrais de controle dos botnets. Esse processo será mais difícil se a central de comando atuar em um país onde a aplicação da lei é menos capaz ou está menos disposta a intervir.

Para eliminar a infecção em cada dispositivo individualmente:

No caso de computadores específicos, as estratégias de recuperarão do controle da máquina são: executar software antivírus, reinstalar o software de um backup de segurança ou recomeçar em uma máquina limpa depois de reformatar o sistema. No caso de dispositivos de IoT, as estratégias podem ser: alterar o firmware, executar uma redefinição de fábrica ou formatar o dispositivo. Caso essas opções sejam inviáveis, talvez o fabricante do dispositivo ou um administrador de sistema possa ter outras estratégias.

Como proteger os dispositivos para que não se tornem parte de um bonet?

Criar senhas seguras:

For many vulnerable devices, reducing exposure to botnet vulnerability can be as simple as changing the administrative credentials to something other than the default username and password. Creating a secure password makes brute force cracking difficult, creating a very secure password makes brute force cracking virtually impossible. For example, a device infected with the Mirai malware will scan IP addresses looking for responding devices. Once a device responds to a ping request, the bot will attempt to login to that found device with a preset list of default credentials. If the default password has been changed and a secure password has been implemented, the bot will give up and move on, looking for more vulnerable devices.

Permitir apenas a execução confiável de código de terceiros:

Se o modelo de execução de software de telefone celular for adotado, apenas as aplicações na lista de desbloqueio poderão ser executadas, aumentando o controle para eliminar softwares considerados mal-intencionados, incluindo botnets. Somente uma exploração do software supervisor (ou seja, kernel) poderá resultar na exploração do dispositivo. Isso exige, primeiramente, um kernel seguro, o que a maioria dos dispositivos de IoT não tem, e é mais aplicável a máquinas que executam softwares de terceiros.

Limpeza/restauração periódica do sistema:

Ao restaurar para um bom estado conhecido depois de um tempo definido, todo o lixo coletado pelo sistema será removido, incluindo o software de botnet . Quando usada como medida preventiva, essa estratégia garante a eliminação até mesmo de malware de execução silenciosa.

Implantar práticas de filtragem de entradas e saídas seguras:

Other more advanced strategies include filtering practices at network routers and firewalls. A principle of secure network design is layering: you have the least restriction around publicly accessible resources, while continually beefing up security for things you deem sensitive. Additionally, anything that crosses these boundaries has to be scrutinized: network traffic, usb drives, etc. Quality filtering practices increase the likelihood that DDoS malware and their methods of propagation and communication will be caught before entering or leaving the network.

Se você estiver sob ataque, poderá tomar certas medidas para aliviar o impacto. Se você já for assinante da Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que a Cloudflare implanta é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare.