O que é botnet de DDoS?

Ataques de botnet são responsáveis pelos maiores ataques de DDoS registrados. Saiba como dispositivos ficam infectados com malware botnet, como bots são controlados remotamente e como proteger a rede contra uma infestação de botnet.

Share facebook icon linkedin icon twitter icon email icon

Botnet

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir ataque de DDoS
  • Explicar por que botnets são criados
  • Entender como botnets são controlados remotamente por invasores
  • Discutir estratégias para desabilitar um botnet e evitar a infecção

O que é botnet?

Um botnet refere-se a um grupo de computadores que foram infectados por malware e estão sob o controle de um ator mal-intencionado. O termo botnet é uma fusão das palavras "robot" (robô) e "network" (rede); cada dispositivo infectado é chamado de bot. Os botnets podem ser desenvolvidos para realizar tarefas ilegais ou mal-intencionadas, incluindo enviar spam, roubar dados, ransomware, cliques fraudulentos em anúncios ou ataques distribuídos de negação de serviço (DDoS).


Embora alguns tipos de malware, como o ransomware, causem impacto direto no proprietário do dispositivo, o malware botnet de DDoS pode ter diversos níveis de visibilidade. Alguns são desenvolvidos para assumir o controle total de um dispositivo; outros são executados silenciosamente em segundo plano e esperam por instruções do invasor, ou “bot herder”.


Alguns botnets de autopropagação recrutam bots adicionais por uma variedade de canais diferentes. Os caminhos de infecção incluem a exploração de vulnerabilidades do site, malware de cavalo de Troia e quebra de autenticação fraca para adquirir acesso remoto. Depois que o acesso é obtido, todos esses métodos para infecção resultam na instalação de malware no dispositivo-alvo, permitindo o controle remoto pelo operador do botnet. Um dispositivo infectado poderá tentar autopropagar o malware de botnet, recrutando outros dispositivos de hardware na rede circundante.


Embora seja inviável identificar com precisão o número exato de bots em um botnet específico, a estimativa do número total de bots em um botnet sofisticado varia de alguns milhares a mais de um milhão.

DDoS Botnet attack animation

Por que os botnets são criados?

Os motivos para usar um botnet vão desde ativismo até interrupção com patrocínio estatal. Muitos ataques são realizados simplesmente por lucro. A contratação de serviços de botnet online é relativamente barata, especialmente em relação à quantidade de danos que eles podem causar. A barreira para a criação de um botnet também é baixa o suficiente para torná-lo um negócio lucrativo para alguns desenvolvedores de software, especialmente em locais geográficos onde a aplicação de regulamentos e leis é limitada. Essa combinação causou a proliferação de serviços online que oferecem ataques à venda.

Como o botnet é controlado?

Uma das principais características de um botnet é a capacidade de receber instruções atualizadas do bot herder. A capacidade de se comunicar com cada bot na rede permite que o invasor alterne vetores de ataque, mude o endereço IP visado, encerre um ataque e outras ações personalizadas. Os designs de botnets variam. No entanto, as estruturas de controle podem ser divididas em duas categorias gerais:

O modelo de botnet cliente/servidor

O modelo cliente/servidor imita o fluxo de trabalho de uma estação remota tradicional, em que cada máquina individual se conecta a um servidor centralizado (ou a um pequeno número de servidores centralizados) para acessar informações. Nesse modelo, cada bot se conectará a um recurso de central de comando e controle (CnC), como um domínio Web ou um canal IRC, para receber instruções. Usando esses repositórios centralizados para fornecer novos comandos para o botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de uma central de comando para atualizar as instruções para as máquinas infectadas. O servidor centralizado que controla o botnet poderá ser um dispositivo pertencente ao invasor e operado por ele ou poderá ser um dispositivo infectado.


Diversas topologias de botnet centralizadas populares foram observadas, entre elas:

Topologia de rede em estrela

Star network topology animation

Topologia de rede com vários servidores

Multi server network topology animation

Topologia de rede hierárquica

Hierarchical network topology animation

Em qualquer modelo cliente/servidor, cada bot se conectará a um recurso de central de comando, como um domínio Web ou um canal IRC, para receber instruções. Usando esses repositórios centralizados para fornecer novos comandos para o botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de uma central de comando para atualizar as instruções para as máquinas infectadas.


Além da simplicidade de atualizar instruções para o botnet usando um número limitado de origens centralizadas, há a vulnerabilidade dessas máquinas. Para remover um botnet com servidor centralizado, apenas o servidor precisa ser interrompido. Em decorrência dessa vulnerabilidade, os criadores de malware de botnet evoluíram e migraram para um novo modelo que é menos suscetível a interrupções por apenas um ou poucos pontos de falha.

O modelo de botnet peer to peer (P2P)

Para contornar as vulnerabilidades do modelo cliente/servidor, os botnets mais recentes foram desenvolvidos usando componentes de compartilhamento de arquivos ponto a ponto centralizado. A incorporação da estrutura de controle dentro do botnet elimina o ponto de falha único presente em um botnet com servidor centralizado, tornando mais difíceis os esforços de mitigação. Os bots P2P podem ser clientes e centrais de comando, trabalhando lado a lado com os nós vizinhos para propagar dados.


Os botnets de ponto a ponto mantêm uma lista de computadores de confiança com os quais podem dar e receber comunicações, assim como atualizar o malware. Limitando o número de outras máquinas às quais o bot se conecta, cada bot é exposto apenas aos dispositivos adjacentes, dificultando o rastreamento e a mitigação. A falta de um servidor de comando centralizado torna um botnet de ponto a ponto mais vulnerável ao controle de alguém que não seja seu criador. A fim de proteger da perda de controle, os botnets descentralizados geralmente são criptografados, para que o acesso seja limitado.

Peer-to-peer network topology animation

Como dispositivos de IoT se tornam botnets?

Ninguém faz transações bancárias pela internet usando a câmera sem fio do CFTV que colocou no quintal para observar o alimentador de pássaros. No entanto, isso não significa que o dispositivo é incapaz de fazer as solicitações de rede necessárias. A eficiência dos dispositivos de IoT, somada a uma segurança fraca ou mal configurada, cria uma abertura para o malware de botnet recrutar novos bots para o coletivo. O aumento nos dispositivos de IoT resultou em um novo cenário para ataques de DDoS, pois muitos dispositivos são mal configurados e vulneráveis.


Se a vulnerabilidade de um dispositivo de IoT estiver codificada no firmware, as atualizações ficarão mais difíceis. Para mitigar o risco, os dispositivos de IoT com firmware desatualizado deverão ser atualizados, pois as credenciais padrão geralmente permanecem inalteradas desde a instalação inicial do dispositivo. Muitos fabricantes de hardware barato não são incentivados a aumentar a segurança de seus dispositivos. Por isso, a vulnerabilidade dos dispositivos de IoT ao malware de botnet continua sendo um risco não resolvido para a segurança.

Como um botnet existente é desabilitado?

Para desabilitar os centros de controle de um botnet:

Os botnets desenvolvidos usando um esquema de comando e controle poderão ser desativados com mais facilidade depois que as centrais de controle forem identificadas. Se a cabeça for cortada nos pontos de falha, o botnet inteiro poderá ficar offline. Portanto, os administradores de sistemas e agentes da lei se esforçam para fechar as centrais de controle dos botnets. Esse processo será mais difícil se a central de comando atuar em um país onde a aplicação da lei é menos capaz ou está menos disposta a intervir.

Para eliminar a infecção em cada dispositivo individualmente:

Em computadores individuais, as estratégias para recuperar o controle da máquina incluem executar software antivírus, reinstalar software usando um backup seguro ou reiniciar em uma máquina limpa depois de reformatar o sistema. Em dispositivos de IoT, as estratégias poderão incluir flash do firmware, executar uma reconfiguração de fábrica ou formatar o dispositivo. Se essas opções forem inviáveis, outras estratégias poderão estar disponíveis com o fabricante do dispositivo ou um administrador de sistemas.

Como proteger os dispositivos para que não se tornem parte de um bonet?

Criar senhas seguras:

Para muitos dispositivos vulneráveis, reduzir a exposição à vulnerabilidade a botnets pode ser simples, como mudar as credenciais administrativas para deixar de usar o nome de usuário e a senha padrão. A criação de uma senha segura dificulta a invasão por força bruta; a criação de uma senha muito segura torna a invasão por força bruta praticamente impossível. Por exemplo, um dispositivo infectado pelo malware Mirai examinará os endereços IP à procura dos dispositivos que respondem. Assim que um dispositivo responder a uma solicitação de ping, o bot tentará entrar no dispositivo encontrado com uma lista predefinida de credenciais padrão. Se a senha padrão tiver sido alterada e uma senha segura tiver sido implementada, o bot desistirá e seguirá em frente, procurando dispositivos mais vulneráveis.

Permitir apenas a execução confiável de código de terceiros:

Se o modelo de execução de software de telefone celular for adotado, apenas as aplicações na lista de desbloqueio poderão ser executadas, aumentando o controle para eliminar softwares considerados mal-intencionados, incluindo botnets. Somente uma exploração do software supervisor (ou seja, kernel) poderá resultar na exploração do dispositivo. Isso exige, primeiramente, um kernel seguro, o que a maioria dos dispositivos de IoT não tem, e é mais aplicável a máquinas que executam softwares de terceiros.

Limpeza/restauração periódica do sistema:

Ao restaurar para um bom estado conhecido depois de um tempo definido, todo o lixo coletado pelo sistema será removido, incluindo o software de botnet . Quando usada como medida preventiva, essa estratégia garante a eliminação até mesmo de malware de execução silenciosa.

Implantar práticas de filtragem de entradas e saídas seguras:

Outras estratégias mais avançadas incluem práticas de filtragem nos roteadores e firewalls da rede. Um princípio do design seguro de rede são as camadas: você tem a mínima restrição em torno dos recursos acessíveis ao público, enquanto intensifica continuamente a segurança para os itens que considera sensíveis. Além disso, tudo o que ultrapassa as barreiras precisa ser examinado: tráfego de rede, pen drives etc. Práticas de filtragem de qualidade aumentam a probabilidade de que malware de DDoS e seus métodos de propagação e comunicação sejam detectados antes de entrar na rede ou de sair dela.


Se você estiver sob ataque no momento, poderá adotar algumas medidas para parar de sofrer pressão. Caso já esteja na Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que implementamos na Cloudflare é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a Proteção contra DDoS da Cloudflare.