Pergunte ao especialista: Vitaly Kamluk responde perguntas sobre DDoS e botnets

Vitaly Kamluk tem mais de 10 anos de experiência em segurança de TI e agora ele é o pesquisador principal de segurança da Kaspersky Lab. Ele é especialista em engenharia

Vitaly Kamluk tem mais de 10 anos de experiência em segurança de TI e agora ele é o pesquisador principal de segurança da Kaspersky Lab. Ele é especialista em engenharia reversa, de software malicioso e em computação forense e investiga delitos cibernéticos. Atualmente, ele vive em Singapura e trabalha com a INTERPOL como membro da equipe Digital Forensics Lab, fazendo análise de malware e dando apoio às investigações sobre crimes cibernéticos.

Convidamos nossos leitores a fazerem perguntas a Vitaly. Como dissemos no último post, houveram tantas perguntas que decidimos dividir as respostas por sessões. Hoje, Vitaly vai responder a perguntas relacionadas com botnets e DDoS.

Na sua opinião, quantas botnets afetaram mais de 50 mil computadores no mundo? 

Menos de 20, mas é pura especulação, porque geralmente descobrimos o tamanho real da botnet somente após sua captura. Enquanto os criminosos estão interessados ​​em ter o maior número possível de infecções, eles conseguem manter o tamanho da botnet sob certo limiar para ficar abaixo do radar.

Há suficientemente botnets sofisticadas que buscam criar ramificações para smartphones, PCs e Macs? 

Às vezes acontece que uma mesma botnet infectar PCs e smartphones. Um bom exemplo foi Zeus, que atacou ambos tipos de dispositivos. Há também botnets para Macs, mas de acordo com a nossa experiência costumam ser independentes.

Como você detecta uma botnet? Por onde começam? Quais são as últimas tendências em matéria de malware e botnets?

Em primeiro lugar, você deve detectar um processo suspeito ou arquivos suspeitos no disco. O passo seguinte é analisar este objeto e localizar a lista de servidores de comando e controle (C&C). Em seguida, você precisa conhecer o protocolo de solicitação e fazer atualizações periodicamente. Algumas das recentes tendências de malware e botnets incluem busca de mecanismos de controle confiáveis, tais como aqueles baseados em Tor e comunicações P2P. Há muitos artigos e whitepapers sobre este tema, basta procurar por “Tor Botnet” em algum buscador de Internet para saber mais detalhes.

O que você precisa fazer para desativar uma botnet?

A melhor maneira para prender os donos da botnet. Se você consegue prender os desenvolvedores do software bot e seus distribuidores, melhor ainda.

De qual região do mundo surgem as botnets? Qual a linguagem de programação é usada para desenvolvê-las? Como podemos ter certeza de que os sistemas nacionais não estão infectados com botnets? Em circunstâncias imprevistas, há alguma segunda linha de defesa no caso dos ciberataques não são neutralizados? 

As botnets estão em todas as partes e sua linguagem de programação é apenas uma questão de escolha pessoal. Para você se certificar de que os seus sistemas não são parte de uma botnet você deve fazer um escaneamento do seu computador com um antivírus e, em seguida, olhar para as comunicações de rede. Você precisa ter certeza de que não há nenhuma conexão estranha e inesperada.

Quanto à segunda linha de defesa, infelizmente, a atual arquitetura de sistemas informáticos está projeta por design. Cada proprietário de um sistema de computador é responsável por ele. A neutralização de ameaças remotamente é considerada uma intrusão na rede, algo que seria ilegal na maioria dos casos. Afinal de contas, uma vez que você está comprometido você não pode confiar no sistema até a reinstalação total. Muitos dos proprietários não se preocupam com infecções do computador até que eles comecem a perder dinheiro.

É importante para as botnets modernas serem controladas via IRC? É o suficiente para privar o controle do proprietário da botnet para eliminá-la?

Os criminosos podem usar diferentes abordagens para controlar a botnet. IRC é apenas um dos muitos protocolos de aplicação, tem suas vantagens e desvantagens. Eu diria que é método ultrapassado – em geral, as botnets modernas são construídas usando HTTP.

Para eliminar uma botnet você precisa encontrar e prender o proprietário. E isso é exatamente o que fazemos em colaboração com a Interpol. As tentativas de privar a capacidade do proprietário para controlar a botnet não ajuda por muito tempo, pois a maioria dos bandidos estão bem preparados.

Quais ferramentas e métodos são mais adequadas quando se descobrem tentativas de ataques DDoS, considerando cenários associados ao cliente e ao provedor de Internet, ISP (regional, nacional e inclusive transnacional)? 

Bem, as ferramentas mais fortes tanto para clientes quanto para grandes ISPs é, sem dúvida, empregar filtros eficazes. Mas para implementar  isso, você tem que pesquisar a ameaça. É por isso que é importante capturar a bot responsável pelo ataque DDoS e analisá-lo cuidadosamente. A solução final é ter o controle do mecanismo da botnet e neutralizá-la partir do centro, mas isso é outra história.

 

Como é possível mitigar um ataque DDoS de amplificação? 

Dispersando o alvo do ataque geograficamente e implementando várias camadas de filtragem.

 

Como posso saber se sou parte de uma botnet ou de uma mina de Bitcoin? 

Verifique se o seu sistema tem malware, porque é o malware que realiza a mineração de Bitcoins sem o seu consentimento ou fazer que seu PC forme parte de uma botnet.

Algumas das maneiras mais eficazes para verificar se você tem o malware incluem:

1. Analise o seu sistema com uma solução de antivírus confiável, que pode economizar um monte de tempo, mas na minha opinião não é a única coisa que você deve fazer.

2. Verifique a sua lista de processos para os clientes suspeitos. Eu acho que os usuários deveriam saber todos os processos em execução nos seus sistemas.

3. Revise a sua lista de programas que começam automaticamente com o Windows. Há um app gratuito do Windows com este objetivo que se chama Sysinternals Autoruns Tool.

4. Finalmente, faça um controle avançado que inclua conectar o seu computador a outro (conectado à Internet) e grave todo o tráfego de rede que passa. Isso deve revelar qualquer atividade suspeita, inclusive se não é visível.

Tradução: Juliana Costa Santos Dias

Dicas
Inscreva-se para receber nossos destaques em seu e-mail