Novo modelo de BOTNETS, agora baseados no TOR

A batalhar contra as BOTNETS esta ficando cada vez mais complicada. Depois de conseguir alguma vitórias sobre os "donos" das BOTNETS tradicionais, onde se escondiam os C&C em servidores "fantasmas", as Agências dos Governos estão vendo surgir no horizonte um novo desafio. 

O grande segredo por traz das BOTNETS é manter o controle de todas as máquinas infectadas e para isso, devem manter o servidor C&C operando e ativo. Existem várias formas de fazer isso tais como colocando mais de um servidor, trabalhando com redundância, ou usando o protocolo do P2P para manter o controle sobre a rede de forma distribuída. No entanto, o grande trunfo das BOTNETs hoje é esconder os seus servidores de C&C dentro de uma rede TOR, eis o novo desafio dos Governos, derrubas estas BOTNETs, escondidas dentro destas redes.

Para os que ainda não estão familiarizados com o termo, BOTNET são redes de computadores formadas por máquinas, geralmente, por máquinas de usuários comuns que foram infectados pelos programas client das BOTNETS, tornando-se assim um "zumbi" aguardando apenas os comandos para entrar em ação. Tais comando são geralmente enviar spam, praticar um DOS ou DDOS, o que é mais provável ou ainda servir de local de armazenamento de arquivos que vão ser usados em invasões ou arquivos que foram roubados, tudo sem que o usuário saiba que esta acontecendo em sua máquina. As BOTNETS mais tradicionais são aquelas comandadas por servidores IRC mas, também são as mais "faceis" de serem derrubadas.

Neste mundo de BOTNETS, dois motivos são claros para a criação destas redes. O primeiro e o mais antigos de todos para os usuários e "donos" de BOTNETS é despertar a admiração e o respeito da comunidade underground. Este conceito ficou pra traz, a muito tempo a fama de "hacker", termo usado errôneamente hoje em dia, foi trocada por questões puramente financeiras, o segundo grande motivo. Hoje é possível alugar uma BOTNET para executar algumas atividades, e a mais comum é SPAM, e neste mercado quanto mais BOTs mais valiosa é a BOTNET. Em 2010 foi encontrada e derrubada uma das maiores BOTNETS que se tem notícia, uma BOTNET com 12 milhões de computadores infectados mas, a coisa pode ser ainda pior, acredita-se que hoje 1/4 dos computadores pessoais conectados à Internet esteja infectados e participando de alguma BOTNET.

Para os mais desavisados, se você tem o péssimo costume de não atualizar seus softwares, principalmente os navegadores(browsers), tenho quase certeza de que você faz parte de uma BOTNET e nem sabe disso, pois mais de 90% dos clientes ou BOTs são infectados por vulnerabilidades nos navegadores.

Nesta próxima imagem, podemos ver um log da BOTNET Citadel. Neste log podem ser vistos vários logins e senhas para serviços de bancos, principalmente do UK mas, não quer dizer que esteja restrito ao UK e sim que neste log estão os registros que serão vendidos de usuários de bancos do UK.

Bom agora que falamos um pouco sobre o que são e como se monta uma BOTNET, vamos volta para nosso assunto principal. 

Como mencionado antes, as BOTNETs estão se sofisticando e passando a usar a rede TOR como ponto de controle. Esta característica é particularmente importante pelo grau de dificuldade que a rede TOR apresenta, pois é possível com ela esconder o tráfego e o computador de origem, o que torna muito mais complicado derrubar um servidor C&C montado sobre uma rede TOR.

Atualmente os exemplos de redes de BOTNETs usando TOR ainda são poucas, e alguns centros de pesquisa já realizam testes para melhorar os processos de detecção e "derrubada" de servidores C&C mas, uma coisa é clara, todos esperam a aparição de mais redes de BOTNETs com servidores "escondidos" dentro da rede TOR.

Um exemplo recente é o uso de um antigo Trojam, que só recentemente recebeu a capacidade de se comunicar com a rede TOR. No entanto, o que vem chamando mais atenção é um Trojam chamado Atrax.A que vem sendo usado para roudo de informações, e download de arquivos e plugins, inclusive os que permitem a criação de BOTNETs usando o TOR.

Na primeira oportunidade de conexão, o Atrax.A envia ao seu C&C informações sobre a máquina infectada, juntamente com informações roubadas da máquina, essa conexão é direcionada a um endereço dentro da rede TOR e ainda não foi identificada pelos pesquisadores mas, o endereço gerado pela rede TOR é usada como meio de análise.

Assim que foi seguido, o endereço leva a um painel de login com o logo do Atrax.A, que permite o gerenciamento da BOTNET. Para os mais desavisados, isso poderia ser a origem do C&C mas, pela característica da rede TOR, ninguém sabe onde esta esta máquina que é o C&C, seu IP e nem por onde o tráfego passar para gerenciar as máquinas infectadas.

O Win32/Atrax.A é um exemplo muito interessante de uso do TOR como meio de gerenciamento de uma rede de BOTNETs. Este malware ainda traz como uma de suas armas o uso do EAS como algorítimo de criptografia, garantindo assim ainda mias uma camada de dificuldade aos pesquisadores, gerando uma chave única dependendo de alguns parâmetros retirados do hardware da própria máquina infectada.

Como um pequeno exemplo de como as BOTNETs estão espalhadas, e aqui falo das BOTNETs de modo geral, podemos ver um vídeo onde são mostrados tráfegos de BOTNETs em "tempo real".

Bom, até agora, o maior trabalho de proteção contas as BOTNETs são dos ISP(Provedores de Acesso) ou a nível de servidores, para o usuário, que não quer fazer parte deste mundo de "zumbis" tenha sempre em mente que deve manter o seu sistema operacional atualizado e junto a ele seus aplicativos e um bom antivírus. Para quem quer entender um pouquinho mais sobre os termos usados para identificar as várias ameaças no mundo virtual, o CERT.br tem uma cartilha bem interessante, que pode ser usada para passar mais informações para seus usuários. Nesta parte da cartilha, podemos aprender um pouco mais sobre os termos dos Códigos Maliciosos.

Para os que querem continuar a leitura, dois links interessantes:

1.The rise of TOR-Based BOTNETs.

2.Researchers uncover Tor-powred Skynet botnet.