Todos os posts tagados botnet

Botnet Beebone derrubada por uma equipa internacional

police

Uma operação conjunta entre agências Americanas e Europeias derrubaram o que se considera uma Botnet altamente sofisticada que infectou mais de 12 mil de computadores por todo o mundo, permitindo aos piratas roubar dados bancários e outro tipo de informações sensíveis.

Foi em conjunto que agências Norte Americanas, Inglesas e da União Europeia trabalharam para confiscar o servidor que operava o Beebone (também conhecido como AAEH)

Apesar do método de operação ser semelhante a outros, o Beebone tinha características únicas que o tornavam muito difícil de detectar, quando acedia ao computador das vítimas descarregava diverso malware como ransmwares e rootkits sem o consentimento das mesmas.

O tamanho da rede não é era relevante, o problema consistia na forma como conseguia manter-se activo e o método usado para angariar cada vez mais vítimas para a sua rede, sendo um sofware polimórfico tornava muito difícil a sua detecção por antivírus.

Um facto curioso era a quantidade de vezes que se actualizava, chegando a ser 19 vezes por dia, tornando esta Botnet única neste aspecto.

Apesar do numero reduzido de infecções comparando com outras segundo a Europol existiam mais de 5 milhões de amostras num total de 23 mil computadores infectados retiradas entre os anos 2013 e 2014 espalhados por 195 países.

Até ao momento não foram encontrados os responsáveis.

O mundo dos Booters

booter_capa

Sabia que por alguns euros um utilizador pode colocar offline maioria dos sites que conhece?
Este facilitismo na contratação de serviços como Booters veio criar uma nova oportunidade a qualquer utilizador colocar sites em baixo.

Mas afinal o que é um Booter [também conhecido por Stresser]?
Um Booter é um serviço web que efetua DDoS com preços bastante baixos e de difícil deteção.
Os serviços de Booter têm um frontend web onde o cliente, após o devido pagamento, escolhe o site ou IP atacar. Basicamente um painel de controlo de aparente fácil utilização [exemplo].
No backend estão presentes os hosts, na grande maioria servidores dedicados com ligações superiores a 1Gbps, que executam o ataque, que por sua vez estão localizados noutro local.
Não existe qualquer tráfego DDoS feito diretamente pelo ISP do site. Todo o tráfego do ataque DDoS vem de uma infraestrutura separada que inclui muitos servidores espalhados [e computadores pessoais infetados] pela Internet, em que o Booter se coneta via proxies. Ou seja, temos uma aplicação web que se conecta a API preparada para lançar ataques de negação de serviço distribuído.
Pelo meio ainda existe um serviço que protege os sites de Booters com uma segurança web chave-na-mão. Basicamente, é necessário muita papelada, ordens do tribunal e muitas investigações para colocar estes serviços fora do ar.
Praticamente todos os Booters estão com conta no Cloudflare porque é muito recorrente os ataques DDoS à concorrência.
De referir que os Booters por vezes são suportados por botnets [conjunto de máquinas infetadas (bots) que recebem instruções do seu operador para ataques remotos] de grandes dimensões mas estes são muito dificeis de encontrar e de alugar.

Para ter uma ideia da capacidade de um Booter, segue as caracteristicas de um dos Booters mais utilizados no HackForums.net:

Métodos Layer 4 [ou SYN Flood] e Layer 7 [ou HTTP DoS]
Total capacidade – 216Gbps
Ligação garantida – 10 a 50Gbps usando SSDP e 20-70Gbps com NTP
Pode escolher o método de ataque: SSDP, SUDP, NTP, XML_RPC, POST, GET
Preços que começam em $17.99/mês [cerca de 15€] por 1200s (boot time)
Utilização de versões vulneráveis do CMS Joomla como amplificador de ataque

booter01

De referir que, segundo comentários e alguns contatos que fiz no HF, o método preferido neste momento é o SSDP porque amplifica o ataque em quase 30x. Já no passado muitos investigadores de segurança tinham alertado para o fato de haver muitos scanners à porta 1900/UDP – Simple Service Discovery Protocol (SSDP) que faz parte do Universal Plug and Play (UPnP). Routers vulneráveis a falhas UPnP estão a servir para lançar este tipo de ataques devastadores.

Como podemos ver pelo SSDPScan, em Portugal também temos bastantes portas abertas para lançar ataques indoor.

booter02

Pessoalmente acho estranho, quando o protocolo Network Time Protocol (NTP) tem um fator de amplificação maior. No entanto, nos exemplos de Booters que tenho visto, podem sempre escolher ambas as opções – SSDP ou NTP.

O mais grave é que os routers dos utilizadores estão a servir de arma de DDoS sem terem o conhecimento disso. Passwords default e serviços vulneráveis ativos são a porta de entrada para que os Booters tenham tanto sucesso.

Para ter noção da dimensão e o dano causa por este mercado, os Lizard Squad colocaram offline os serviços online da PSN e da XBOX na época natalícia para alegadamente promoverem o seu serviço de Booter – o Lizard Stresser [já encerrado pelas autoridades]. Esse ataque já foi explicado no blogue do Brian Krebs e confirmado por uma divulgação anónima feita no Pastebin. Os Lizard Squad para além de utilizarem routers domésticos para lançarem DDoS, utilizaram diversos IPs do Google – ou o grupo identificou uma falha em algum serviço do Google [não parece muito provável] ou então aproveitou-se de vouchers para o serviço VPS do Google.

Muitos dos últimos ataques DDoS que tem havido e tem sido divulgados nos media são resultado de Booters.

http://www.websegura.net/videos-no-youtube-anunciam-venda-de-ataques-ddos/
http://www.websegura.net/bancos-estao-a-ser-atingidos-por-ataques-ddos/
http://pplware.sapo.pt/informacao/depois-da-psn-e-do-xbox-live-o-alvo-do-ataque-e-a-rede-tor/
http://www.techworld.com/news/security/attackers-install-ddos-bots-on-amazon-cloud-exploiting-elasticsearch-weakness-3533164/
http://www.computerworld.com/article/2862652/garden-variety-ddos-attack-knocks-north-korea-off-the-internet.html
http://www.theregister.co.uk/2014/12/24/rackspace_restored_after_ddos_takes_out_dns/

É claro que este lado negro não é de confiar. A maioria dos Booters têm sempre uma validade bastante curta porque dependem muitas das máquinas comprometidas e do próprio suporte técnico do serviço. Em pesquisas pela web é possível ler várias queixas de utilizadores que no ínicio tinham ligações de ataques DDoS com 15 a 20Gbps e alguns dias depois tinha 3 a 1 Gbps. Afinal, estão a contratar um serviço ilegal, estão à espera de que?

Grande parte dos Booters que foram encerrados foi devido aos pagamentos. Os responsáveis dos sites de Booters preferem ter alternativas de pagamentos ao Bitcoin, como o PayPal e por vezes as autoridades apenas têm de seguir o dinheiro.

Tentei questionar alguns grupos portugueses que efetuam regularmente DDoS mas até à data não obtive qualquer resposta.
No entanto contatei um administrador de uma reputada empresa de hosting portuguesa sobre DDoS:

Penso que nenhum operador em Portugal tem capacidade para “gerir um ataque” bem realizado e bem direcionado de 20Gbps constantes de chegada sem grande impacto ou quebras no serviço. Não me refiro a “kiddies” mas sim de alguém ou de algum grupo com experiência que tenha conhecimento e recursos para iniciar um ataque elaborado e previamente estudado.

Claro que irá depender muito da origem, da estrutura, da evolução e do destino do ataque mas não existem muitos service providers nacionais com backbone internacional de 20gbps o que por si só tem algum significado. É também necessário ter equipamento com capacidade suficiente para gerir os 20gbps e como podem confirmar com uma pesquisa rápida não existem muitas opções com throughtput suficiente para tal, os que existem são ainda de valor bastante elevado. Quando falamos de um ataque estamos ainda a considerar tráfego adicional às normais operações do serviço o que pode significar a necessidade de um backbone e de uma capacidade de gestão global muito superior à força do ataque.

Mas tudo isto é muito subjectivo, “20gbps” pode ter realmente muitos significados, no entanto a nível geral teria com certeza grande impacto nos serviços de qualquer dos operadores nacionais. Prevejo mesmo um cenário bastante negro, a grande maioria ficaria offline por completo pelo menos por longos períodos de dezenas de minutos.

A nível nacional os services providers não estão preparados para acontecimentos desta magnitude. Os grandes operadores dispõe de algumas condições e capacidade mas se olharmos por exemplo para as empresas no hosting, 90% não dispõem sequer de equipamento de rede próprio o que significa que estão sempre dependentes de terceiros e nesse sentido também mais vulneráveis e incapacitadas nestas situações.

Na verdade não seria algo inédito, existem alguns reports não confirmados de DDoS com destino a Portugal nos 20gbps. Os resultados foram devastadores, com períodos elevados de total indisponibilidade do provider, desvalorização e queda da reputação do serviço e da empresa, perda elevada de clientes, etc…

São situações bastante complicadas, existem cada vez mais afectados mas também mais estudo, melhor preparação, mais compreensão e colaboração. Acredito que num futuro bastante próximo as forças estejam mais equilibradas a nível global.

Espero ter contribuído para um melhor entendimento sobre este assunto.
Fica a dica, estejam atentos à segurança do vosso router.

Cibercriminosos gastaram 250 mil dólares para expandir nova botnet

No TeK:

Cerca de 250 mil dólares – ou 177 mil euros à taxa de câmbio actual – é quanto terá custado aos cibercriminosos a disseminação, nos Estados Unidos, do malware usado para criar aquela que vem sendo apontada como a botnet mais sofisticada até à data, a TDL-4.

O valor é avançado pelos especialistas da Kaspersky. De acordo com a empresa de segurança informática, o número é calculado com base no total de infecções registadas só nos primeiros três meses do ano, onde os EUA figuram como o território maioritariamente afectado.

(…)

Botnets já movimentam 10 bilhões de dólares por ano

No IDG Now!:

Agência europeia alerta para a necessidade de ações mais coordenadas entre governos e empresas.

A batalha contra os grupos de computadores “hackeados”, conhecidos como botnets, sofre com a falta de coordenação, resultando em uma indústria do cibercrime avaliada anualmente em mais de 10 bilhões de dólares em todo o mundo, segundo o relatório de uma agência de segurança da União Europeia.

Apesar de muitos investigadores, empresas de segurança e governos estarem investigando ativamente as botnets, há ainda deficiências na cooperação internacional, nas leis nacionais e na partilha de informações que permitam construir redes robustas, de acordo com o relatório “Botnets: Measurement, Detection, Disinfection and Defence“, da Agência Europeia para as Redes e Segurança da Informação (European Network and Information Security Agency ou ENISA).

“A mudança na motivação para a criação de softwares maliciosos levou a uma economia subterrânea, financeiramente orientada”, escreve a ENISA, que estuda questões europeia de segurança da informação.

Os computadores estão sendo infectados com código de botnets através de vulnerabilidades no software ou por outros métodos de ataque, como anexos maliciosos em e-mails. Quando uma máquina é infectada, ela pode ser usada sem conhecimento do seu proprietário para disseminar spam, ataques distribuídos de negação de serviço (DDoS) ou ainda para outros propósitos nefastos.

O código usado para infectar as máquinas é frequentemente muito robusto e escapa à detecção de software antivírus. Aqueles que controlam as máquinas infectadas usam muitos métodos para se manterem no anonimato, dificultando a sua detecção por parte dos analistas de segurança e das autoridades.

A ENISA recomenda a criação de incentivos para responsáveis que possam intervir, como os fornecedores de serviço à Internet (ISPs). Na Alemanha, um programa financiado pelo governo ajuda a colocar tecnologia para identificar os utilizadores cujos computadores parecem estar contaminados e tomar medidas para que sejam desinfectados, disse Giles Hogben, gestor especializado em programas para aplicações e serviços de segurança na ENISA.

“No final, não é apenas o seu computador que sofre”, diz Hogben. “Há uma espécie de responsabilidade social para manter os computadores limpos porque afetam também outras pessoas”. O negócio dos ISP tem tipicamente uma margem baixa, por isso muitos não gastam dinheiro em sistemas para remediar os computadores infectados.

A ENISA também defende leis uniformes para o combate ao cibercrime, que beneficiem as nações que procuram cooperar e entregar casos a outras jurisdições. O único tratado internacional que abrange estas questões é a Convenção sobre o Cibercrime de 2001, que está gradualmente recebendo mais ratificações. O tratado exige mudanças nas leis nacionais e oferece orientação sobre como os países podem se adaptar.

A escala do problema das botnets também tem sido difícil de quantificar devido à tendência da indústria de segurança para diminuir ou aumentar o número de máquinas infectadas. Contar os endereços de IP (Internet Protocol) também não é necessariamente confiável devido à atribuição de endereços IP dinâmicos.

Uma botnet ser pequena ou grande não dita necessariamente a sua eficácia. Uma botnet razoavelmente pequena pode ser bastaante eficaz. O ataque executado contra a Visa pelo grupo Anonymous no início deste ano envolveu menos de mil computadores, de acordo com uma estimativa, revela Hogben.

“O tamanho não é tudo”, diz. “Mesmo se se souber o número, isso não diz muito”.

Descoberto outro botnet que utiliza o Twitter como C&C

Especialistas de segurança descobriram outro botnet que usa o Twitter como C&C (command and control).

Tal como aconteceu no Facebook, onde alguns perfis de utilizadores serviam como canais de comando, este novo botnet, intitulado de Mehika, utiliza uma conta controlada por um grupo de utilizadores maliciosos para enviar instruções para os seus drones.