Botnets: o que são e como funcionam

Publicados: 2023-02-21

Como grandes redes de computadores comprometidos, as botnets existem há anos. A ideia de criar toda uma rede de máquinas infectadas que podem ser usadas para realizar ataques cibernéticos em larga escala e espalhar malware sem dúvida mudou a internet como a conhecemos hoje.

As botnets são a força motriz por trás da grande maioria dos ataques cibernéticos direcionados não apenas a sites e servidores WordPress, mas também a redes inteiras e sistemas de computador. Sem sombra de dúvida, o mundo moderno da segurança cibernética gira em torno de redes de bots como o coração de toda a economia que rege a dark web.

O ecossistema evoluiu tanto que a existência de botnets criou uma nova tendência na indústria de segurança cibernética, conhecida como ataque como serviço ou botnet como serviço. Os criadores de botnet alugavam o poder de computação e os recursos das máquinas comprometidas sob seu controle a terceiros para lançar ataques cibernéticos de diferentes tipos.

Os sites do WordPress são vítimas de ataques conduzidos por bots e são atraídos para botnets com mais frequência do que você pode imaginar. Na verdade, na grande maioria das vezes que um site WordPress é invadido, ele se torna parte de uma rede de outros sites e servidores comprometidos. O malware de botnet permanece inativo no sistema até que o mestre do bot decida usar seu site para lançar um ataque. Além das óbvias consequências negativas que as infecções por malware têm, fazer parte de uma botnet tornará seu site extremamente lento, pois o hacker agora usará os recursos do servidor para alimentar novos ataques.

Para piorar a situação, sair de uma botnet não é uma tarefa nada fácil. Um invasor se certificaria de deixar backdoors cuidadosamente elaborados para aproveitar seu site WordPress pelo maior tempo possível. É por isso que saber exatamente como os botnets funcionam e como proteger seu site WordPress é fundamental.

Neste guia abrangente sobre redes de bots, mergulhamos profundamente na história e na arquitetura das botnets, revelando o mistério por trás dos ataques cibernéticos modernos, altamente distribuídos e conduzidos por bots. Você aprenderá sobre alguns dos botnets mais proeminentes que existem hoje e como você pode proteger a si mesmo e a sua empresa da destruição que eles carregam.

botnets

O que é um botnet?

Uma botnet, que significa uma rede de bots, é um sistema distribuído de computadores comprometidos infectados com o mesmo tipo de malware que permite ao invasor usar o conjunto consolidado de recursos de computação para lançar ataques cibernéticos em larga escala. Além de realizar ataques cibernéticos, os proprietários de botnets podem usar os computadores infectados pela rede para realizar outras atividades, como minerar criptomoedas ou aumentar as visualizações de um anúncio ou vídeo.

A execução de uma botnet é ilegal e muitas redes conhecidas de bots acabaram sendo encerradas, com seus proprietários presos. Apesar de muitas vezes ser difícil identificar o proprietário de uma determinada botnet, isso não é impossível.

Qual é o tamanho dos botnets e que tipo de dispositivos os formam?

Quando se trata do tamanho da rede, as redes de bots variam drasticamente. O mesmo vale para os tipos de entidades infectadas que formam uma botnet. Pode haver desde apenas alguns sites infectados até centenas de milhares de sistemas de computação comprometidos. Isso depende de quais sistemas um invasor que opera uma botnet visa mais.

Aqui estão os principais tipos de dispositivos que formam botnets:

  • Computadores pessoais e dispositivos móveis . Computadores de mesa, laptops, smartphones e tablets executando diferentes sistemas operacionais.
  • Dispositivos da Internet das coisas (IoT) . Dispositivos domésticos inteligentes, rastreadores de fitness e smartwatches.
  • Dispositivos de núcleo de rede . Comutadores de pacotes, como roteadores.
  • Servidores e sites individuais .

Na maioria das vezes, os hackers visam computadores pessoais, dispositivos móveis e servidores para infectá-los com malware de botnet e conectá-los à rede existente de bots. No entanto, os sites do WordPress também podem ser entidades que formam uma botnet. Desta forma, o conteúdo do seu site não é alvo de hackers, mas os recursos do servidor do seu site são extremamente valiosos em uma botnet. A principal diferença entre essas situações é o nível de controle que um invasor obtém sobre o sistema comprometido.

Se um site WordPress for comprometido com o objetivo de adicionar recursos a uma botnet, na maioria dos casos, o invasor não conseguirá obter acesso root ou administrador ao servidor. Isso significa que eles serão limitados ao número de recursos do servidor e ao nível de acesso ao sistema do site comprometido, ou melhor, ao usuário do sistema que possui o site.

Como os botnets são criados?

Botnets são criados infectando sistemas de computador com software malicioso, que na maioria dos casos vem na forma de um vírus cavalo de Tróia que um usuário pode baixar inadvertidamente ou os hackers de carga maliciosa instalam em um servidor ou site já comprometido. Usando esse tipo especial de malware, também conhecido como botnet, um hacker mantém o controle sobre o sistema da vítima infectada e o utiliza para realizar atividades fraudulentas enviando instruções pela rede.

Uma vez instalado, o malware botnet faz com que o sistema comprometido o distribua ainda mais, infectando mais computadores que serão conectados à rede fraudulenta. Uma das principais razões pelas quais botnets dependem de expansão constante é a dificuldade de manter o acesso a sistemas comprometidos. O backdoor criado por um botnet pode ser descoberto e removido a qualquer momento, o que significa que o endpoint será desconectado da rede de bots e não será mais controlado pelo hacker.

Formas comuns de distribuição de malware de botnet

Como exatamente o malware de botnet é distribuído? O malware de botnet pode se espalhar usando uma ampla gama de técnicas, que geralmente incluem engenharia social, exploração de uma vulnerabilidade ou realização de um ataque de força bruta para obter acesso não autorizado ao sistema para carregar uma carga maliciosa.

Computadores pessoais e dispositivos móveis

Surpreendentemente, quando se trata de obter controle sobre computadores pessoais e dispositivos móveis, enviar anexos de e-mail maliciosos é o método número um que os hackers empregam. Arquivos como planilhas do Excel e documentos do Microsoft Word, bem como arquivos compactados, são as formas mais comuns de distribuição do malware de botnet. Acredita-se que um dos malwares de botnet mais notórios, o Emotet, seja distribuído por meio de anexos de e-mail maliciosos.

No entanto, mesmo que a vítima baixe o anexo, não é suficiente para que o malware botnet seja ativado em seu dispositivo. Um usuário precisa confirmar certas atividades aparentemente inofensivas, como executar macros ou habilitar a edição de arquivos, que desencadearão a infecção e concederão ao invasor acesso total ao sistema do computador de destino, incluindo todos os dados armazenados nele.

Além desse método, o malware de botnet também pode ser distribuído usando ataques de script entre sites ou disfarçado como software legítimo que um usuário é convidado a instalar. O comprometimento de sites de interesse dos usuários-alvo para infectar seus dispositivos pessoais é comumente conhecido como ataque watering hole e é amplamente usado por proprietários de botnets.

Servidores e sites

Servidores e sites normalmente não podem ser infectados com malware de botnet da mesma forma que computadores pessoais e dispositivos móveis. Um invasor geralmente explora uma vulnerabilidade para obter acesso no nível do sistema ou do site a um servidor vítima e, em seguida, carrega um software malicioso que permite que ele estabeleça controle sobre ele.

Os sites comprometidos pelo invasor serão usados ​​para distribuir malware de botnet ainda mais, injetando código malicioso neles. Os usuários que visitam sites infectados terão o malware baixado e ativado em seus dispositivos que se tornarão parte da mesma rede de bots. Garantir que seu site esteja adequadamente protegido por uma solução de segurança como o iThemes Security não apenas ajuda seu site a se defender contra esses ataques, mas também ajuda seu site a não infectar outras pessoas, interrompendo botnets em seu caminho.

Cliente-servidor e ponto a ponto: a arquitetura de uma botnet

As botnets são normalmente construídas em um dos dois principais modelos de aplicativos de rede: arquiteturas cliente-servidor e ponto a ponto (P2P). O modelo cliente-servidor continua sendo a arquitetura mais prevalente, não apenas para botnets, mas também para a maioria dos aplicativos da web.

A arquitetura cliente-servidor é usada para criar um modelo centralizado, onde a máquina do invasor, também conhecida como bot herder, envia instruções para zumbis, ou bots, que formam uma botnet. Os computadores zumbis, por sua vez, não se comunicam diretamente entre si. Grandes redes de bots podem ser controladas por vários criadores de bots – proxies – para ajudar a facilitar o processo de gerenciamento.

Em alguns casos, botnets podem usar o modelo descentralizado que emprega comunicação ponto a ponto. Botnets descentralizados podem ter as instruções passadas de um computador zumbi para outro, espalhando posteriormente os comandos por toda a rede de bots. A arquitetura P2P torna mais complicado identificar o pastor e descobrir a identidade do mestre do bot.

Junto com o bot herder iniciando uma conexão com um computador zumbi, os dispositivos infectados geralmente enviam solicitações ao bot master em intervalos regulares para verificar se há novas instruções. A maioria dos malwares de botnet é configurada para permanecer inativa por um longo período de tempo para escapar da detecção.

O servidor de comando e controle (C2) como o coração de uma botnet

O bot herder, que representa o computador do proprietário do bot usado para emitir comandos para máquinas zumbis, é conhecido como servidor de comando e controle, ou C2. O servidor de comando e controle está no centro de cada botnet e permite que o invasor se comunique com os sistemas comprometidos usando arquiteturas de aplicativos de rede cliente-servidor ou ponto a ponto.

Depois que um novo computador zumbi é adicionado a uma botnet, o centro de comando e controle o força a criar um canal de comunicação para que o invasor estabeleça uma presença ativa no teclado do dispositivo infectado. Isso é obtido por meio de ferramentas de acesso remoto.

Os servidores C2C geralmente recorrem ao uso de tráfego confiável e raramente monitorado, como DNS, para enviar instruções aos hosts infectados. Para evitar a descoberta pela aplicação da lei, os locais dos servidores de comando e controle são frequentemente alterados pelo mestre do bot, e técnicas maliciosas, como algoritmos de geração de domínio (DGA), são frequentemente empregadas.

Os 3 maiores e mais populares botnets criados

Acredita-se que as botnets surgiram no início dos anos 2000 e evoluíram desde então. Uma das primeiras botnets conhecidas foi descoberta em 2001. Uma enorme rede de bots foi criada para lançar campanhas de spam que representavam cerca de 25% de todos os e-mails não solicitados enviados na época.

Desde então, vários grandes botnets foram descobertos e desmantelados. No entanto, algumas redes de bots contendo centenas de milhares ou mesmo milhões de computadores comprometidos ainda existem hoje e são usadas ativamente para realizar ataques cibernéticos em larga escala.

As três maiores e mais populares botnets que existem hoje são as botnets Mantis, Srizbi e Emotet.

Botnet Mantis

Em 2022, a CloudFlare relatou que sua rede foi alvo de um ataque DDoS massivo, com 26 milhões de solicitações da web por segundo atingindo a infraestrutura. CloudFlare chamou de o maior ataque DDos que eles já haviam mitigado e revelou que o botnet Mantis usou apenas aproximadamente 5.000 bots, o que é apenas uma pequena fração do poder total de computação do botnet.

Para ir além, todas as solicitações foram enviadas via HTTPS, o que é significativamente mais caro e difícil de alcançar em termos de ataque DDoS. Isso tornou o botnet Mantis uma das mais poderosas redes de bots atualmente em operação.

Rede de bots Srizbi

O botnet Srizbi existe há mais de uma década e acredita-se que seja responsável por enviar mais da metade de todo o spam enviado por todas as outras grandes redes de bots combinadas. Estima-se que a botnet tenha cerca de meio milhão de endpoints infectados sob controle e está se expandindo rapidamente distribuindo o chamado trojan Srizbi.

Emotet botnet

Começando como um trojan bancário destinado a roubar informações de cartão de crédito de computadores infectados, o Emotet evoluiu rapidamente para uma enorme botnet com mais de meio milhão de endpoints comprometidos em todo o mundo. O malware Emotet é conhecido por ser distribuído por meio de anexos de e-mail maliciosos enviados de computadores infectados. O Emotet é um dos botnets mais populares da dark web que pode ser alugado para vários grupos hackeados, que discutiremos com mais detalhes no artigo.

5 tipos comuns de ataques realizados por botnets

Botnets são ferramentas versáteis que podem ser usadas para realizar várias atividades fraudulentas. Além de usar a rede de computadores comprometidos para atacar outros endpoints da rede e espalhar malware, o proprietário do bot pode roubar informações confidenciais de dispositivos zumbis. Isso torna as botnets a peça central do cibercrime.

Aqui estão os cinco principais tipos de ataques cibernéticos para os quais as botnets são usadas:

  • Negação de serviço distribuída (DDoS) e ataques de força bruta.
  • Ataques de phishing.
  • Campanhas de spam.
  • Distribuição de malware.
  • Roubo de dados e ataques de ransomware.

Ataques DDoS e Força Bruta

Ataques distribuídos de negação de serviço e força bruta são os ataques cibernéticos mais comuns realizados por botnets. Usando um conjunto de recursos de computação criados por uma rede de dispositivos zumbis, os invasores lançam ataques em larga escala que podem atingir centenas de milhares de servidores e sites, com milhões de solicitações da Web maliciosas enviadas por segundo.

Phishing

Uma rede de sites comprometidos é frequentemente usada para lançar ataques massivos de phishing. O servidor de comando e controle distribui uma série de páginas de phishing pela botnet que serão usadas para induzir os usuários a fornecer suas credenciais de login e outras informações confidenciais.

Spam

O lançamento de campanhas massivas de spam é um dos primeiros propósitos servidos pelas redes de bots. O proprietário do botnet criaria uma série de e-mails não solicitados contendo links para sites infectados ou anexos maliciosos para distribuir malware ou facilitar ataques de phishing.

Distribuição de malware

A distribuição de malware é fundamental para garantir que uma botnet possa sobreviver a longo prazo, comprometendo mais dispositivos. Os computadores zumbis verificam constantemente grandes redes em busca de vulnerabilidades, explorando-as posteriormente para distribuir malware de botnet. Sites e servidores infectados que formam uma botnet são usados ​​para hospedar páginas da Web maliciosas ou redirecionamentos maliciosos que acionarão o download de malware nos dispositivos do visitante com a mesma finalidade.

Ataques de roubo de dados e ransomware

Às vezes, os proprietários de botnet podem ter como alvo organizações específicas e suas redes para roubar informações confidenciais e instalar ransomware. Os dados obtidos podem ser usados ​​para extorquir dinheiro e arruinar a reputação e as operações da empresa vítima ou vendidos na dark web. Para obter acesso não autorizado a grandes redes de computadores, os invasores podem usar uma combinação de engenharia social e as atividades fraudulentas mencionadas acima.

Ataque como serviço: como os botnets são alugados na Dark Web

Os botnets vêm ganhando popularidade na dark web como um serviço criminoso gerenciado que pode ser comprado ou alugado de um proprietário de botnet. Em vez de criar uma nova rede de bots, os hackers podem acessar os recursos de computação de uma botnet já estabelecida para executar campanhas fraudulentas. Isso traz um novo termo para o mundo da segurança cibernética – ataque como serviço, que é de certa forma semelhante ao conceito bem estabelecido de infraestrutura como serviço (IaaS).

Hoje, a dark web é governada por toda uma economia que gira em torno de botnets e malwares de botnets. Além de alugar ou vender redes de bots, os hackers vendem acesso a sites e servidores comprometidos para expandir botnets existentes e propagar malware de botnet.

Como proteger seu site WordPress de se tornar parte de um botnet? 3 principais recomendações de segurança

Como o sistema de gerenciamento de conteúdo mais popular do mundo, o WordPress é um alvo de alta prioridade para botnets e ataques cibernéticos conduzidos por bots. Como os sites do WordPress são tão comuns, usá-los para distribuir malware de botnet e realizar ataques de rede continua a ser um método atraente para ataques maliciosos.

Muitos sites do WordPress são comprometidos como resultado de um ataque de bot bem-sucedido e, em seguida, tornam-se parte da botnet por trás dele. Os backdoors deixados pelos invasores podem ser extremamente difíceis de remover, o que pode deixar um site infectado sob o controle de um invasor por meses ou até anos.

Fazer parte de uma botnet pode prejudicar significativamente a reputação do seu negócio e levar a grandes perdas financeiras e, em alguns casos, implicações legais como resultado de violações de dados. Reduzir a superfície de ataque é fundamental para garantir proteção suficiente contra vetores de ataque comuns.

Configurar atualizações automáticas e instalar software somente de fontes confiáveis

Os invasores estão constantemente verificando sites em busca de vulnerabilidades para explorar. Quando se trata do WordPress, a principal falha de segurança que expõe sites a comprometimentos é um software desatualizado e não confiável. Isso inclui o núcleo do WordPress, temas e plug-ins instalados, bem como a versão do PHP em uso.

Atualizações regulares são lançadas para todos os aspectos críticos do ecossistema WordPress, corrigindo rapidamente todas as vulnerabilidades críticas descobertas. As empresas confiáveis ​​de desenvolvimento de plugins e temas garantem um alto nível de segurança para seus produtos.

A configuração de atualizações automáticas de software é uma parte importante para garantir a segurança do seu site WordPress. O iThemes Security Pro pode acompanhar todas as atualizações de núcleo, plug-in e tema e instalar automaticamente novas versões de software lançadas. Se você possui mais de um blog ou site de negócios criado no WordPress, o iThemes Sync Pro fornece um único painel para trabalhar com atualizações e rastrear o tempo de atividade e as métricas de SEO em todos os sites que você gerencia.

Configurar a autenticação multifator

Os ataques de força bruta dirigidos por bots direcionados ao WordPress têm uma taxa de sucesso surpreendentemente alta. Obter acesso ao painel de administração do WordPress dá ao invasor controle total sobre o seu site. Usar apenas a autenticação baseada em senha significa que os hackers estão a apenas um passo de se passar por você como o legítimo proprietário do site.

As senhas são quebradas e os ataques de força bruta realizados por botnets podem quebrar sua conta de administrador do WordPress com bastante facilidade. O uso de autenticação multifator, como senhas com autenticação biométrica oferecida pelo iThemes Security Pro, elimina efetivamente o risco de assumir o controle de sua conta de administrador como resultado de um ataque de força bruta bem-sucedido.

Use um firewall de aplicativo da Web

Os firewalls de aplicativos da Web baseados em nuvem e baseados em host são uma forte primeira linha de defesa contra a grande maioria dos ataques cibernéticos distribuídos direcionados a bots direcionados a sites WordPress. Ao filtrar solicitações da Web maliciosas que correspondem a padrões conhecidos, os WAFs podem mitigar com sucesso ataques de negação de serviço e força bruta, bem como ataques de injeção de dados, como injeções de SQL.

Configure um firewall de aplicativo da Web robusto com vários conjuntos de regras gerenciados. Isso, combinado com o uso de autenticação multifator, reduzirá drasticamente a superfície de ataque e a probabilidade de seu site WordPress se tornar parte de uma rede de bots.

Deixe o iThemes Security Pro proteger seu site WordPress

Botnets estão por trás da maioria dos ataques cibernéticos em larga escala lançados na internet. Usando uma rede altamente distribuída de bots, os hackers executam uma ampla gama de atividades fraudulentas, desde ataques de negação de serviço até roubo de dados. As botnets estão constantemente expandindo sua infraestrutura, distribuindo um tipo especial de malware destinado a obter controle total sobre os dispositivos das vítimas.

Os computadores zumbis estabelecem um canal de combinação com o dispositivo do mestre do bot, conhecido como servidor de comando e controle, que será usado para enviar e receber instruções adicionais. Para evitar processos, os proprietários de botnets empregam uma variedade de técnicas sofisticadas que permitem que eles permaneçam anônimos.

Sites WordPress são o alvo número um para botnets. Reduzir a superfície de ataque por meio de patches de vulnerabilidade regulares, usando um firewall de aplicativo da web e configurando a autenticação multifator é o padrão de segurança para defender o WordPress contra ataques conduzidos por bots.

Com trinta maneiras de proteger áreas críticas do seu site WordPress, o iThemes Security Pro pode se tornar seu assistente de segurança pessoal. Combinar o poder do plug-in de segurança com uma forte estratégia de backup que o BackupBuddy pode ajudá-lo a criar ajudará você a obter um ótimo nível de segurança para sua empresa e seus clientes.