Botnet
Uma botnet é um número de dispositivos conectados à Internet, cada um executando um ou mais bots. As redes de bots podem ser usadas para executar ataques DDoS, roubar dados,[1] enviar spam e permitir que o invasor acesse o dispositivo e sua conexão. O proprietário pode controlar a botnet usando um software de comando e controle (C&C).[2] A palavra "botnet" é uma palavra-valise das palavras inglesas robot (robô) e network (rede de computadores). O termo é geralmente usado com uma conotação negativa ou maliciosa, pois é associado ao uso de software malicioso
O termo também pode ser aplicado a uma rede de agentes de software ou bots que executam tarefas de maneira autônoma e automática. Pode se referir, ainda, a uma rede de computadores que utilizam software de computação distribuída.
Ademais, organizou-se uma verdadeira indústria, e muitos criadores de bots constroem botnets a fim de "alugá-las" pelo maior preço, independentemente da finalidade a que se destinem: envio de spam, adwares, spywares, vírus, worms ou qualquer tipo de ataque digital.[2]
Introdução
[editar | editar código-fonte]As principais motivações para levar alguém a criar e controlar botnets são o reconhecimento e o ganho financeiro. Quanto maior a botnet, mais admiração seu criador pode reivindicar entre a comunidade. Poderá ainda alugar os serviços da botnet para terceiros, usualmente mandando mensagens de spam ou praticando ataques de negação de serviço contra alvos remotos.[2] Devido ao grande número de computadores comprometidos, um volume grande de tráfego pode ser gerado.
Botnets tornaram-se uma parte significativa da internet, embora cada vez mais camuflados, como no caso do navegador Mozilla Firefox.[carece de fontes] Uma vez que a maior parte das redes convencionais de IRC tomou providências para bloquear o acesso de botnets anteriormente hospedados, os controladores precisam agora encontrar seus próprios servidores. Com frequência um botnet inclui uma grande variedade de conexões e tipos de redes. Um controlador pode esconder um instalador de um servidor IRC em um site educacional ou corporativo, onde conexões de alta velocidade suportam um grande número de bots.
Muitas botnets foram encontradas e removidas da Internet. A polícia neerlandesa encontrou uma botnet com 1,5 milhão de nós, e a operadora de telecomunicações norueguesa Telenor desmantelou uma botnet de dez mil nós. Em julho de 2010, o FBI prendeu um jovem esloveno de 23 anos responsável por um software malicioso que, segundo estimativas, integrava 12 milhões de computadores em uma botnet. Atualmente estima-se que até um quarto de todos os computadores pessoais conectados à Internet façam parte de uma botnet. [carece de fontes]
Botnets legais
[editar | editar código-fonte]O termo botnet é amplamente utilizado quando vários bots de IRC foram ligados e pode, eventualmente, configurar os modos do canal em outros bots e usuários, mantendo canais de IRC livres de usuários indesejados. Esta é a origem do termo. Os primeiros botnets ilegais assemelhavam-se aos botnets legais. Um bot bastante comum, usado para configurar botnets no IRC, é o eggdrop.
Botnets ilegais
[editar | editar código-fonte]Botnets, por vezes, comprometem os computadores, cuja segurança e defesas foram violadas e o controle concedido a um terceiro. Cada dispositivo comprometido tal, conhecido como um "bot", é criado quando um computador é penetrado por um software a partir de uma distribuição (software malicioso) malware. O controlador de uma botnet é capaz de dirigir as atividades desses computadores infectados através de canais de comunicação formados por protocolos baseados em padrões de rede, como IRC e Hypertext Transfer Protocol (HTTP)
Recrutamento
[editar | editar código-fonte]Os computadores podem ser cooptados para um botnet quando executam o software malicioso. Isso pode ser feito atraindo os usuários a fazer um drive-by download, explorando vulnerabilidades do navegador web, ou enganando o usuário a executar um programa cavalo de Tróia, que pode vir de um anexo de e-mail. Este malware tipicamente instala módulos que permitem que o computador possa ser comandado e controlado pelo operador da botnet. Muitos usuários de computador não sabem que o seu computador está infectado com bots. Dependendo da forma como está escrito, um cavalo de Tróia pode, então, apagar-se, ou pode permanecer presente para atualizar e manter os módulos. [Carece de fontes?]
A primeira botnet foi reconhecido e exposto pela Earthlink durante uma ação judicial com spammer notório Khan C. Smith em 2001 com a finalidade de volume de spam respondendo por quase 25% de todo o spam no momento em primeiro lugar.
https://www.microsoft.com/pt-br/security/resources/botnet-whatis.aspx
Organização
[editar | editar código-fonte]Em geral, as botnets recebem nomes derivados dos softwares maliciosos que utilizam, mas existem múltiplas botnets em operação as quais utilizam a mesma família de software malicioso, operadas por diferentes entidades criminosas.
Apesar do termo botnet ser usado em referência a qualquer grupo de bots, geralmente é usado para designar um conjunto de computadores comprometidos onde o software malicioso permanece em execução. Esse software é usualmente instalado por drive-by downloads que exploram vulnerabilidades do navegador web, via worms, cavalos de Troia ou backdoors, sob o comando de uma infraestrutura de controle.
Um botnet do originador, também conhecido por bot herder, pode controlar remotamente o grupo, geralmente através de um meio como o IRC. Muitas vezes o comando e controle é realizado através de um servidor de IRC ou um canal específico em uma rede pública IRC. Esse servidor é conhecido como o command-and-control server. Embora raro, operadores botnet mais experientes programam seus próprios protocolos de controle. Os constituintes desses protocolos incluem os programas servidor e cliente, além do programa que se instala na máquina da vítima. Os três comunicam-se uns com os outros em uma rede usando um esquema único de criptografia para não ser detectado e evitar intrusão na rede botnet.
Novos bots podem reconhecer seus ambientes automaticamente e se propagar usando vulnerabilidades e senhas fracas. Quanto mais vulnerabilidades um bot puder detectar e propagar, mais valioso se torna para a comunidade controladora da botnet. O roubo de recursos computacionais devido à inclusão do sistema em uma botnet é chamado de scrumping.
https://www.microsoft.com/pt-br/security/resources/botnet-whatis.aspx
Como funciona
[editar | editar código-fonte]Um operador de uma botnet envia vírus ou worms, infectando computadores de usuários comuns, cuja carga é um aplicativo malicioso do bot. O bot entra nos registros no PC infectado. Um spammer adquire os serviços da botnet do operador. O spammer fornece as mensagens de spam para o operador, que instrui as máquinas comprometidas através do painel de controle no servidor web, levando-os a enviar mensagens de spam. Os Botnets são exploradas para vários fins, incluindo a de negação de serviço-ataques, criação ou utilização indevida de relés de correio SMTP de spam (veja Spambot), a fraude do clique, bitcoins mineração, spamdexing, e o roubo de números de série de aplicativos, acessar IDs e financeira informações como números de cartão de crédito.
A comunidade controlador botnet possui uma luta constante e contínuo sobre quem tem a maioria dos bots, a maior largura de banda total, e os mais "de alta qualidade" máquinas infectadas, como universidades, empresas, e até mesmo máquinas do governo.
https://www.microsoft.com/pt-br/security/resources/botnet-whatis.aspx
Criação e exploração
[editar | editar código-fonte]O exemplo da figura mostra como uma botnet é criada e usada para mandar spam via e-mail.
- O operador da botnet envia virus e worms, infectando computadores de usuários comuns.
- O bot no computador infectado faz o login em uma botnet do operador.
- Um interessado em enviar spam compra os serviços da botnet.
- A mensagem fornecida pelo interessado é espalhada pelos computadores da rede botnet.