A botnet is a network of computers infected with malware that are controlled by a bot herder. The bot herder is the person who operates the botnet infrastructure and uses the compromised computers to launch attacks designed to crash a target’s network, inject malware , harvest credentials or execute CPU-intensive tasks. Each individual device within the botnet network is called a bot.

How does a Botnet Work?

The stages of creating a botnet can be simplified into these steps: Expose Infect and Grow Activate In stage 1 , the hacker will find a vulnerability in either a website, application, or user behavior in order to expose users to malware. A bot herder intends for users to remain unaware of their exposure and eventual malware infection. They may exploit security issues in software or websites so that they can deliver malware through emails, drive-by downloads, or trojan horse downloads. In stage 2 , victims’ devices are infected with malware that can take control of their devices. The initial malware infection allows hackers to create zombie devices using techniques like web downloads, exploit kits, popup ads, and email attachments. If it’s a centralized botnet, the herder will direct the infected device to a C&C server. If it’s a P2P botnet, peer propagation begins and the zombie devices seek to connect with other infected devices. In stage 3 , when the bot herder has infected a sufficient amount of bots, they can then mobilize their attacks. The zombie devices will then download the latest update from the C&C channel to receive its order. The bot then proceeds with its orders and engages in malicious activities. The bot herder can continue to remotely manage and grow their botnet to carry out various malicious activities. Botnets do not target specific individuals since the bot herder’s goal is to infect as many devices as possible so they can carry out malicious attacks.

O que é botnet?

Bart Lenaerts-Bergmans - janeiro 11, 2022

O que é botnet?

Botnet é uma rede de computadores infectados com malware que são controlados por um gestor de bots. Gestores de bots são responsáveis por operar a infraestrutura da botnet. Eles usam computadores comprometidos para lançar ataques projetados para afetar a rede de um alvo, injetar malware, roubar credenciais ou executar tarefas com uso intensivo de CPU. Cada dispositivo individual dentro da rede botnet é chamado de bot.

Como os botnets são controlados?

Os controladores de bots controlam suas botnets por meio de uma de duas estruturas: um modelo centralizado com comunicação direta entre o controlador de bots e cada computador, e um sistema descentralizado com múltiplos links entre todos os dispositivos de botnet infectados.

Modelo centralizado, cliente-servidor

Representação visual de uma estrutura de botnet centralizada

A primeira geração de botnets operava em uma arquitetura cliente-servidor, onde um servidor de comando e controle (C&C) operava toda a botnet. Devido à sua simplicidade, a desvantagem de usar um modelo centralizado em vez de um modelo P2P é que ele é suscetível a um único ponto de falha.

Os dois canais de comunicação C&C mais comuns são IRC e HTTP:

Botnet de IRC (Internet Relay Chat)

Botnets de IRC estão entre os primeiros tipos de botnet e são controlados remotamente com um servidor e canal de IRC pré-configurados. Os bots se conectam ao servidor IRC e aguardam os comandos do controlador de bot.

Botnet de HTTP

Uma botnet de HTTP é uma botnet baseada na web por meio da qual o controlador de bots usa o protocolo HTTP para enviar comandos. Os bots visitarão periodicamente o servidor para obter atualizações e novos comandos. O uso do protocolo HTTP permite que o controlador mascare suas atividades como tráfego normal da web.

Modelo descentralizado, ponto a ponto

Representação visual de uma arquitetura de botnet de P2P

A nova geração de botnets é ponto a ponto, onde os bots compartilham comandos e informações entre si e não estão em contato direto com o servidor C&C.

Botnets de P2P são mais difíceis de implementar do que botnets de IRC ou de HTTP, mas também são mais resilientes porque não dependem de um servidor centralizado. Em vez disso, cada bot trabalha independentemente como cliente e servidor, atualizando e compartilhando informações de maneira coordenada entre dispositivos na botnet.

Como funciona uma botnet?

As etapas de criação de uma botnet podem ser simplificadas nestas etapas:

Expor
Infectar e crescer
Ativar

Na etapa 1, o hacker encontrará uma vulnerabilidade em um site, aplicação ou comportamento do usuário para expor a vítima a malware. Um controlador de bots pretende que os usuários permaneçam alheios à sua exposição e eventual infecção por malware. Eles podem explorar problemas de segurança em softwares ou sites para distribuir malware por e-mail, baixar drive-bys ou baixar cavalos de Troia.

Na etapa 2, os dispositivos das vítimas são infectados com malware que pode assumir o controle deles. A infecção inicial por malware permite que hackers criem dispositivos zumbis usando técnicas como downloads da web, kits exploit , anúncios pop-up e anexos de e-mail. Se for uma botnet centralizada, o controlador direcionará o dispositivo infectado para um servidor C&C. Se for uma botnet de P2P, a propagação entre pares começa e o dispositivo zumbi tenta se conectar com outros dispositivos infectados.

Na etapa 3, quando o controlador de bot infectou uma quantidade suficiente de bots, ele pode então mobilizar seus ataques. O dispositivo zumbi então baixará a atualização mais recente do canal C&C para receber seu pedido. O bot então prossegue com suas ordens e se envolve em atividades maliciosas. O controlador de bot pode continuar a gerenciar e expandir remotamente sua botnet para realizar diversas atividades maliciosas. As botnets não têm como alvo indivíduos específicos, pois o objetivo do criador de bots é infectar o máximo de dispositivos possível para que possam realizar ataques maliciosos.

Tipos de ataques de botnet

Quando um adversário assume o controle de uma botnet, as possibilidades maliciosas são extensas. Uma botnet pode ser usada para conduzir muitos tipos de ataque, incluindo:

1. Phishing

Botnets podem ser usadas para distribuir malware via e-mail de phishing. Como as botnets são automatizadas e consistem em muitos bots, encerrar uma campanha de phishing é como jogar Whack-A-Mole.

2. Ataque de negação de serviço distribuído (DDoS)

Durante um ataque de DDoS, a botnet envia um número enorme de solicitações para um servidor ou aplicação alvo, causando sua falha. Ataques DDoS na camada de rede usam inundações SYN, inundações UDP, amplificação de DNS e outras técnicas projetadas para consumir a largura de banda do alvo e impedir que solicitações legítimas sejam atendidas. Os ataques de DDoS da camada de aplicação usam inundações HTTP, Slowloris ou ataques RUDY, ataques de dia zero e outros ataques que visam a vulnerabilidade em um sistema operacional, aplicação ou protocolo para travar uma aplicação específica.

Muitos se lembrarão do enorme ataque de DDoS na botnet Mirai. Mirai é uma botnet de IoT composta por centenas de milhares de dispositivos IoT comprometidos que em 2016 derrubou serviços como OVH, DYN e Krebs on Security.

3. Spambots

Os spambots coletam e-mails de sites, fóruns, livros de visitas, salas de bate-papo e qualquer outro lugar onde usuários inserem seus endereços de e-mail. Uma vez adquiridos, os e-mails são usados para criar contas e enviar mensagens de spam. Acredita-se que mais de 80% do spam vem de botnets.

Como se proteger contra botnets

Para evitar que seu dispositivo se torne parte de uma botnet, recomendamos que sua organização considere as seguintes práticas recomendadas:

Um programa regular de treinamento de conscientização de segurança que ensina usuários/funcionário a identificar links maliciosos.
Mantenha sempre seu software atualizado para diminuir as chances de uma botnet atacar explorando fraquezas no sistema.
Use a autenticação de dois fatores para evitar uma invasão de botnet a dispositivos e contas caso uma senha tenha sido comprometida.
Atualize as senhas em todos os dispositivos, especialmente a opção de privacidade e segurança naqueles que se conectam entre dispositivos ou à internet.
Uma solução antivírus de qualidade que é mantida atualizada e verifica a rede regularmente.
Implemente um sistema de detecção de intrusão (IDS) na sua rede.
Uma solução de proteção de endpoint que inclui capacidades de detecção de rootkit e que pode detectar e bloquear tráfego malicioso na rede.

Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.

O que é botnet?

O que é botnet?