UNIVERSIDADE ESTADUAL DO MARANHO - UEMA

CENTRO DE CINCIAS E TECNOLOGIA - CCT

ENGENHARIA DA COMPUTAO
ADRIANO CARVALHO DA COSTA
ALDENOR COSTA NASCIMENTO NETO
LUS ALBERTO PINTO ROCHA

ANLISE DE BOTNETS: Arquitetura, Mecanismos de Controle e de

Propagao.

So Lus
2014

ADRIANO CARVALHO DA COSTA (1309137)

ALDENOR COSTA NASCIMENTO NETO (1309134)
LUS ALBERTO PINTO ROCHA(1309111)

ANLISE DE BOTNETS: Arquitetura, Mecanismos de Controle e de

Propagao.

Projeto de pesquisa disciplina de Metodologia

do Trabalho Cientfico do Curso de Engenharia
da Computao da Universidade Estadual do
Maranho, como pr-requisito para elaborao
de Trabalho Cientfico Acadmico.

So Lus
2014

SUMRIO

1. INTRODUO ............................................................................................... 4
2. LEVANTAMENTO DA LITERATURA ............................................................. 5
3. PROBLEMA ................................................................................................... 7
4. HIPTESE ..................................................................................................... 7
5. OBJETIVOS ................................................................................................... 7
6. JUSTIFICATIVA ............................................................................................. 8
7. METODOLOGIA ............................................................................................ 8
8. ETAPAS DO TRABALHO ACADMICO CIENTFICO .................................. 9
9. CRONOGRAMA .......................................................................................... 10
REFERNCIAS ................................................................................................ 11

1. INTRODUO
O surgimento da Internet revolucionou os meios de comunicao e
conhecimento, possibilitando acesso rpido a diversos tipos de informao.
notvel o crescimento da Internet, que nos ltimos anos, dispe de
diversos servios e recursos on-line, o que tem motivado a prtica de
atividades ilegais, como roubo de senhas, pirataria e diversos outros crimes.
Nota-se tambm, segundo Sacchetin et al. (2007), o aumento das
transaes financeiras e do comrcio eletrnico atravs da rede mundial de
computadores, na qual os criminosos mudaram seus objetivos, passando a
utilizar a Internet para obter recursos financeiros ilicitamente.
As tcnicas de invaso a sistemas computacionais e mecanismos
para captura de informaes de computadores ligados Internet so cada vez
mais especializadas tornando a deteco ou preveno de prticas maliciosas,
cada vez mais difceis.
Dentro desse contexto, podem ser encontrados diversos tipos de
ameaas, como os bots, que so cdigos maliciosos destinados a explorar
falhas em sistema, alm de possuir mecanismos para controle remoto da
mquina infectada. Segundo Cert (2006), o bot um programa capaz se
propagar automaticamente, explorando vulnerabilidades existentes ou falhas
na configurao de softwares instalados em um computador, dispondo de
mecanismos de comunicao com o invasor, permitindo que o mesmo seja
controlado remotamente.
Uma rede infectada por bots denominada de botnet, que
geralmente composta por milhares de bots que ficam residentes nas
mquinas, aguardando o comando de um invasor.
Uma botnet (derivao de robot + network, e tambm conhecida
como rede zumbi) um grupo de computadores ligados internet, que so
criados, sem o conhecimento do proprietrio, para transmitir (spam, vrus e
trojans) para outros computadores na internet. (MXLOGIC, 2006).
Segundo Amaral e Peotta (2007), com o intuito de adquirir
capacidade computacional e com o conceito de computao distribuda, o uso
de botnet tem sido alvo de criminosos cibernticos, pois a possibilidade de ter

algumas centenas de computadores sob controle, e que respondam a nico

comando de maneira eficaz, torna-se extremamente atraente para a prtica de
atividades criminosas.
A disseminao de bots pela Internet tem crescido bastante, devido
s diversas possibilidades de prticas criminosas que elas possibilitam que
sero um dos motivos de estudo deste trabalho.
Para Baford e Yegneswaran (2006), uma razo para o aumento dos
botnets e que as atividades maliciosas mudaram de foco, passando de prticas
de vandalismos e demonstrao de proezas de programao de script kiddies,
para atividades com fins lucrativos, sendo esta tendncia um incentivo ao
aperfeioamento de cdigos dos bots, o que pode tornar sua deteco e
preveno muito mais difcil.
Diversos incidentes de segurana tm ocorrido devido a essas
pragas virtuais, o que tem motivado o estudo da identificao das tcnicas de
mecanismo e propagao utilizadas por botnets, o que ser alvo deste trabalho
acadmico cientfico.

2. LEVANTAMENTO DA LITERATURA
Diversas ameaas circulam pela Internet a cada segundo, o que tem
preocupado os analistas de segurana da informao e aos rgos que
fiscalizam as aes na rede mundial de computadores.
Tentativas de ataques a servidores web, novos cdigos maliciosos,
prtica de phishing, dentre outros, so atividades ilcitas que so presenciadas
a cada dia na Internet.
Dentre todas essas ameaas, destacada a ao dos bots, que
exploram vulnerabilidade em sistemas, transformando a mquina infectada em
rob, tambm chamada de mquina zumbi, possibilitando o controle remoto da
mesma.
Segundo Sacchetein et al. (2007), o termo botnet a juno da
contrao das palavras robot (bot) e network (net). A essncia dos botnets a
utilizao de servidores IRC(Internet Relay Chats) para disseminar os bots e
infectar as mquinas conectadas a Internet.

Os bots originalmente foram criados como forma de comandar ou

coordenar os channels (canais) de bate papo em redes IRC. Eles tinham a
finalidade de evitar abusos nas mesmas possibilitando banir usurios,
retirando-os do canal, restringir acessos, evitar inundao (flood) de
mensagens e outras caractersticas administrativas.
Segundo Overton (2005), no incio do ano de 1990 usurios de IRC
criavam ferramentas para automatizar certas tarefas e para se defender de
ataques, como o "net split". Outros grupos de usurio em redes IRC criavam
ferramentas de ataques para matar channels e remover usurios desses
canais, dando incio posteriormente aos bots para fins maliciosos.
Apesar do desuso de redes IRC como meio de comunicao, e a
troca deste, pelos mensageiros instantneos, como MSN, as redes IRC ainda
so muito utilizadas para a prtica de crimes cibernticos. Outro tipo de rede
utilizada para disseminao de bots so as P2P (Peer-to-Peer), que segundo
Steggink e Idziejczak (2008) uma nova forma sofisticada para emprego
desses elementos maliciosos em uma arquitetura descentralizada.
O objetivo do atacante ao aplicar esse tipo de tcnica, infectar o
mximo de hosts possveis, para assim realizar ataques de negao de servio
distribudo - DDOS (Distributed Denial of Services); utilizar botnets para o envio
de mensagens indesejadas em massa, tambm chamadas de spam; roubar
informaes das mquinas infectadas; utilizar as mquinas infectadas como
porta para infeco de outros cdigos maliciosos; e tentar garantir o anonimato
em suas aes.
A pesquisa em torno da arquitetura de botnet grande, sendo
motivos de estudo sobre esse tipo de ameaa. Muitos incidentes ocorreram
devido a essas pragas eletrnicas e o estudo dessa ameaa torna-se
imprescindvel para os analistas de segurana da informao.
De acordo com Sacchetein et al. (2007), existem vrios tipos de
bots, tais como, Agobot, SDBot, Spybot, GTBot and Eggdrop com diferentes
nveis de sofisticao relacionados para C&C (command and control), mas
geralmente consiste de um cliente (o bot) que se conecta para um IRC Server
em um determinado canal e espera por comandos de um atacante (bot
header).

Devido ao alto ndice de ataques de negao de servio distribudo

(DDOS) a servidores web e outras prticas maliciosas que so destinadas a
causar a paralisao de servios ou ao roubo de informaes, muitos ligados a
rede de botnets, a deteco e preveno destes tornam-se imprescindveis
para garantia da integridade e disponibilidade das informaes que trafegam
pelas redes corporativas.

3. PROBLEMA
A proteo contra os ataques de botnets o grande desafio
enfrentado pelos profissionais de TI, que buscam mecanismos para se proteger
dessas pragas virtuais, de maneira a garantir a continuidade e integridade de
seus servios na Internet.Os mecanismos de infeco e propagao cada vez
mais especializados dos bots, dificultam a anlise desses malwares, tendo-se
em vista a explorao das vulnerabilidades por estes em sistemas finais e no
ncleo da rede.

4. HIPTESE
A possibilidade de preveno contra ataques de botnets est na
implementao de mecanismos que iro auxiliar na deteco e proteo contra
os mesmos, como utilizao de honeypot ou ferramentas de anlise de trfego
da rede.
A atualizao dos sistemas finais, bem como a anlise de trafego no
ncleo da rede de extrema importncia para um efetivo combate a esse tipo
de ameaa.
Compreender os mecanismos de propagao e infeco dos botnets
um caminho para se resguardar dos ataques oriundos dessa ameaa.

5. OBJETIVOS
Realizar um estudo detalhado a respeito de ataques de botnets, com
o intuito de mostrar como detectar e se prevenir diante dessa ameaa.

Mostrar os mecanismos de propagao e infeco que as botnets

utilizam, apresentando tendncias futuras de evoluo desse cdigo malicioso.
O estudo de um tipo de bot atravs de uma engenharia reversa, a
fim de apresentar seus mecanismos de propagao e infeco, na tentativa de
entender melhor esse malware, contribuindo para pesquisas futuras.

6. JUSTIFICATIVA
Tendo-se em vista a ocorrncia de incidentes de segurana oriundos
de ataques de botnets na Internet e a possibilidade de diversos tipos de aes
que podem ser realizadas com esses elementos maliciosos, torna-se
importante a anlise dessa ameaa, a fim de esclarecer informaes
detalhadas dos mesmos, na tentativa de contribuir no combate a disseminao
dessa praga virtual.

7. METODOLOGIA
Realizar pesquisa bibliogrfica nacional e internacional (artigos
cientficos, livros, monografias e revistas especializadas), em torno do tema
principal da monografia, apresentando os conceitos, arquitetura, mecanismos
de controle e propagao dos botnets.
Ao longo da monografia, apresentar as famlias e variantes de bots,
mostrando estatsticas e incidentes de segurana envolvendo essas ameaas,
mostrando os mecanismos de C&C (command and control).
Apresentar mecanismos de segurana para deteco e proteo
contra botnets, que podem ser implementados em ambientes corporativos para
preveno dessa ameaa.
Realizar um estudo de caso, analisando a estrutura de um bot por
meio de uma engenharia reversa, estudando seus mecanismos de controle e
propagao e realizar um estudo da sua atuao na rede por meio de
ferramentas de anlise de trfego.

8. ETAPAS DO TRABALHO ACADMICO CIENTFICO

1. Introduo
2. Os botnets e sua evoluo
2.1 Conceito
2.2 Famlias e variantes principais
2.3 Estatsticas
2.4 Incidentes envolvendo Botnets
3 Arquitetura de Botnets
4. Mecanismos de controle dos botnets e hosts
4.1 - Mecanismos de controle dos Botnets
4.2 - Mecanismos de controle dos Hosts
5. Mecanismos de Propagao
6. Estratgias de Segurana para Proteo de Botnets
7. Estudo de Caso
7.1 Anlise de uma botnet
7.2 Anlise de trfego a procura de botnets
7.3 Famlia
7.4 Mecanismos de Controle e Propagao
7.5 Concluso
8. Consideraes Finais
9. Referncias Bibliogrficas

10

9. CRONOGRAMA
ATIVIDADES

Maio Junho/2014

Maio/2014
15

16

17

19

20

21

22/maio 17/junho

Escolha do tema

Levantamento

18

bibliogrfico
Elaborao do ante
projeto
Entrega do anteprojeto

Coleta de dados

Anlise dos dados

Elaborao do
trabalho acadmico
Reviso final
Entrega do trabalho
acadmico

X
X

11

REFERNCIAS

AMARAL, Dino; PEOTTA, Laerte. Honeypot de Baixa Interao como

Ferramenta para Deteco de Trfego com Propagao de Botnets. UNB,
2007.

BARFORD, Paul; YEGNESWARAN, Vinod. An Inside Look at Botnets, Special

Workshop on Malware Detection, Advances in Information Security, Springer
Verlag, 2006.

CERT. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana

no Brasil. Cartilha de Segurana para Internet. 2006. Disponvel em: <
http://cartilha.cert.br/malware/sec7.html>. Acesso em: 15 maio. 2014.

MXLOGIC. Malicious Intrusion Techniques. A Review of Rootkits, Bots, Trojan

Horses, and Remote Access Trojans (RATs). 2006. Disponvel em: <
http://www.telecomworx.com/Adobe/ Files39087.pdf >

OVERTON, Martin. Bots and Botnets: Risks, Issues and Prevention. Virus
Bulletin conference at the Burlington, Dublin, Ireland, 2005.

SACCHETIN, M. C.; GREGIO, A. R.; DUARTE, L. O.; MONTES, A. Botnet

Detection and Analysis Using Honeypot. CenPRA, 2007.

STEGGINK, Matthew; IDZIEJCZAK, Igor. Detection of peer-to-peer botnets.

University of Amsterdam. Faculty of Science System and Network Engineering.