{"id":5484,"date":"2015-06-30T21:05:01","date_gmt":"2015-06-30T21:05:01","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=5484"},"modified":"2017-09-21T11:50:36","modified_gmt":"2017-09-21T14:50:36","slug":"ask-expert-kamluk-ddos-botnets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-kamluk-ddos-botnets\/5484\/","title":{"rendered":"Pergunte ao especialista: Vitaly Kamluk responde perguntas sobre DDoS e botnets"},"content":{"rendered":"<p><a href=\"https:\/\/twitter.com\/vkamluk\" target=\"_blank\" rel=\"noopener nofollow\">Vitaly Kamluk<\/a> tem mais de 10 anos de experi\u00eancia em seguran\u00e7a de TI e agora ele \u00e9 o pesquisador principal de seguran\u00e7a da Kaspersky Lab. Ele \u00e9 especialista em engenharia reversa, de software malicioso e em computa\u00e7\u00e3o forense e investiga delitos cibern\u00e9ticos. Atualmente, ele vive em Singapura e trabalha com a INTERPOL como membro da equipe Digital Forensics Lab, fazendo an\u00e1lise de malware e dando apoio \u00e0s investiga\u00e7\u00f5es sobre crimes cibern\u00e9ticos.<\/p>\n<p>https:\/\/instagram.com\/p\/1xKFAOv0I5\/<\/p>\n<p>Convidamos nossos leitores a fazerem perguntas a Vitaly. Como dissemos no \u00faltimo post, houveram tantas perguntas que decidimos dividir as respostas por\u00a0sess\u00f5es. Hoje, Vitaly vai responder a perguntas relacionadas com botnets e DDoS.<\/p>\n<p><strong>Na sua opini\u00e3o, quantas botnets afetaram mais de 50 mil computadores no mundo?\u00a0<\/strong><\/p>\n<p>Menos de 20, mas \u00e9 pura especula\u00e7\u00e3o, porque geralmente descobrimos o tamanho real da botnet somente ap\u00f3s sua captura. Enquanto os criminosos est\u00e3o interessados \u200b\u200bem ter o maior n\u00famero poss\u00edvel de infec\u00e7\u00f5es, eles conseguem manter o tamanho da botnet sob certo limiar para ficar abaixo do radar.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You can now check to see if your PC is part of the SIMDA botnet \u2013 <a href=\"http:\/\/t.co\/jB2RXKGGYI\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/jB2RXKGGYI<\/a> <a href=\"http:\/\/t.co\/Jgi74gCC87\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/Jgi74gCC87<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/590519203834290177?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>H\u00e1 suficientemente botnets sofisticadas que buscam criar ramifica\u00e7\u00f5es para smartphones, PCs e Macs?\u00a0<\/strong><\/p>\n<p>\u00c0s vezes acontece que uma mesma botnet infectar\u00a0PCs e smartphones. Um bom exemplo foi Zeus, que atacou ambos tipos de dispositivos. H\u00e1 tamb\u00e9m botnets para Macs, mas de acordo com a nossa experi\u00eancia costumam ser independentes.<\/p>\n<p><strong>Como voc\u00ea detecta uma botnet? Por onde come\u00e7am? Quais s\u00e3o as \u00faltimas tend\u00eancias em mat\u00e9ria de malware e botnets?<\/strong><\/p>\n<p>Em primeiro lugar, voc\u00ea deve detectar um processo suspeito ou arquivos suspeitos no disco. O passo seguinte \u00e9 analisar este objeto e localizar a lista de servidores de comando e controle (C&amp;C). Em seguida, voc\u00ea precisa conhecer\u00a0o protocolo de solicita\u00e7\u00e3o e fazer atualiza\u00e7\u00f5es periodicamente.\u00a0Algumas das recentes tend\u00eancias de malware e botnets incluem busca de mecanismos de controle confi\u00e1veis, tais como aqueles baseados em Tor e comunica\u00e7\u00f5es P2P. H\u00e1 muitos artigos e whitepapers sobre este tema, basta procurar por \u201cTor Botnet\u201d em algum buscador de Internet para saber mais detalhes.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Default credentials on home routers lead to massive DDoS-for-hire botnet \u2013 <a href=\"http:\/\/t.co\/2SbvLcwcvu\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/2SbvLcwcvu<\/a> <a href=\"http:\/\/t.co\/20O0GWwVOt\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/20O0GWwVOt<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/598462812961255424?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 13, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>O que voc\u00ea precisa fazer para desativar uma botnet?<\/strong><\/p>\n<p>A melhor maneira para prender os donos da botnet. Se voc\u00ea consegue prender os desenvolvedores do software bot e seus distribuidores, melhor ainda.<\/p>\n<p><strong>De qual regi\u00e3o do mundo surgem as\u00a0botnets? Qual a linguagem de programa\u00e7\u00e3o \u00e9 usada para desenvolv\u00ea-las? Como podemos ter certeza de que os sistemas nacionais n\u00e3o est\u00e3o infectados com botnets? Em circunst\u00e2ncias imprevistas, h\u00e1 alguma segunda linha de defesa no caso dos ciberataques n\u00e3o s\u00e3o neutralizados?\u00a0<\/strong><\/p>\n<p>As botnets est\u00e3o em todas as partes e sua linguagem de programa\u00e7\u00e3o \u00e9 apenas uma quest\u00e3o de escolha pessoal. Para voc\u00ea se certificar de que os seus sistemas n\u00e3o s\u00e3o parte de uma botnet voc\u00ea deve fazer um escaneamento do seu computador com um antiv\u00edrus e, em seguida, olhar para as comunica\u00e7\u00f5es de rede. Voc\u00ea precisa ter certeza de que n\u00e3o h\u00e1 nenhuma conex\u00e3o estranha\u00a0e inesperada.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Pergunte ao especialista: Vitaly Kamluk @vkamlukv responde perguntas sobre #DDoS e #botnets\u00a0<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F8RtJ&amp;text=Pergunte+ao+especialista%3A+Vitaly+Kamluk+%40vkamlukv+responde+perguntas+sobre+%23DDoS+e+%23botnets%C2%A0\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Quanto \u00e0 segunda linha de defesa, infelizmente, a atual arquitetura de sistemas inform\u00e1ticos est\u00e1 projeta por design. Cada propriet\u00e1rio de um sistema de computador \u00e9 respons\u00e1vel por ele. A neutraliza\u00e7\u00e3o de amea\u00e7as remotamente \u00e9 considerada uma intrus\u00e3o na rede, algo que seria ilegal na maioria dos casos. Afinal de contas, uma vez que voc\u00ea est\u00e1 comprometido voc\u00ea n\u00e3o pode confiar no sistema at\u00e9 a reinstala\u00e7\u00e3o total. Muitos dos propriet\u00e1rios n\u00e3o se preocupam com infec\u00e7\u00f5es do computador at\u00e9 que eles comecem a perder dinheiro.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Statistics on botnet-assisted DDoS attacks in Q1 2015 \u2013 <a href=\"http:\/\/t.co\/aTTLE1KQdq\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/aTTLE1KQdq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/605421173141319680?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00c9 importante\u00a0para as botnets modernas serem controladas via IRC? \u00c9 o suficiente para privar o controle do propriet\u00e1rio da botnet para elimin\u00e1-la?<\/strong><\/p>\n<p>Os criminosos podem usar diferentes abordagens para controlar a botnet. IRC \u00e9 apenas um dos muitos protocolos de aplica\u00e7\u00e3o, tem suas vantagens e desvantagens. Eu diria que \u00e9 m\u00e9todo ultrapassado \u2013 em geral, as botnets modernas s\u00e3o constru\u00eddas usando HTTP.<\/p>\n<p>Para eliminar uma botnet voc\u00ea\u00a0precisa encontrar e prender o propriet\u00e1rio. E isso \u00e9 exatamente o que fazemos em colabora\u00e7\u00e3o com a Interpol. As tentativas de privar a capacidade do propriet\u00e1rio para controlar a botnet n\u00e3o ajuda por muito tempo, pois a maioria dos bandidos est\u00e3o bem preparados.<\/p>\n<p><strong>Quais ferramentas e m\u00e9todos s\u00e3o mais adequadas quando se descobrem\u00a0tentativas de ataques DDoS, considerando cen\u00e1rios associados ao\u00a0cliente e ao provedor de Internet, ISP (regional, nacional e inclusive transnacional)?\u00a0<\/strong><\/p>\n<p>Bem, as ferramentas mais fortes tanto para clientes quanto para grandes ISPs \u00e9, sem d\u00favida, empregar filtros eficazes. Mas para implementar \u00a0isso, voc\u00ea tem que pesquisar a amea\u00e7a. \u00c9 por isso que \u00e9 importante capturar a bot respons\u00e1vel pelo ataque DDoS e analis\u00e1-lo cuidadosamente. A solu\u00e7\u00e3o final \u00e9 ter o controle do mecanismo da botnet e neutraliz\u00e1-la\u00a0partir do centro, mas isso \u00e9 outra\u00a0hist\u00f3ria.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como \u00e9 poss\u00edvel mitigar um ataque DDoS de amplifica\u00e7\u00e3o?\u00a0<\/strong><\/p>\n<p>Dispersando o alvo do ataque geograficamente e implementando v\u00e1rias camadas de filtragem.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You asked, <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> answered in this Q&amp;A. Including how <a href=\"https:\/\/twitter.com\/INTERPOL_Cyber?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@INTERPOL_Cyber<\/a> catches the bad guys <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"http:\/\/t.co\/OdmEjOA0ZG\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/OdmEjOA0ZG<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/614068810837065728?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Como posso saber se sou parte de uma botnet ou de uma mina de Bitcoin?\u00a0<\/strong><\/p>\n<p>Verifique se o seu sistema tem malware, porque \u00e9 o malware que realiza a minera\u00e7\u00e3o de Bitcoins sem o seu consentimento ou fazer que\u00a0seu PC forme parte de uma botnet.<\/p>\n<p>Algumas das maneiras mais eficazes para verificar se voc\u00ea tem o malware incluem:<\/p>\n<p><strong>1.<\/strong>\u00a0Analise o seu sistema com uma solu\u00e7\u00e3o de antiv\u00edrus\u00a0confi\u00e1vel, que pode economizar um monte de tempo, mas na minha opini\u00e3o n\u00e3o \u00e9 a \u00fanica coisa que voc\u00ea deve fazer.<\/p>\n<p><strong>2.<\/strong> Verifique a sua lista de processos para os clientes suspeitos. Eu acho que os usu\u00e1rios deveriam saber todos os processos em execu\u00e7\u00e3o nos seus sistemas.<\/p>\n<p><strong>3.<\/strong>\u00a0Revise a sua lista de programas que come\u00e7am automaticamente com o Windows. H\u00e1 um app gratuito do Windows com este objetivo que se chama Sysinternals Autoruns Tool.<\/p>\n<p><strong>4.<\/strong> Finalmente, fa\u00e7a um controle avan\u00e7ado que inclua conectar o seu computador a outro (conectado\u00a0\u00e0 Internet) e grave todo o tr\u00e1fego de rede que passa. Isso deve revelar qualquer atividade suspeita, inclusive se n\u00e3o \u00e9\u00a0vis\u00edvel.<\/p>\n<p style=\"text-align: right\"><em>Tradu\u00e7\u00e3o: Juliana Costa Santos Dias<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vitaly Kamluk tem mais de 10 anos de experi\u00eancia em seguran\u00e7a de TI e agora ele \u00e9 o pesquisador principal de seguran\u00e7a da Kaspersky Lab. Ele \u00e9 especialista em engenharia<\/p>\n","protected":false},"author":40,"featured_media":5474,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[793,791,790,830,415,391,35,789,792],"class_list":{"0":"post-5484","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-a-interpol","10":"tag-botnets","11":"tag-ddos","12":"tag-tips","13":"tag-great","14":"tag-kaspersky-lab","15":"tag-malware-2","16":"tag-pergunte-especialista","17":"tag-vitaly-kamluk"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-kamluk-ddos-botnets\/5484\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/4983\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/5540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ask-expert-kamluk-ddos-botnets\/5937\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ask-expert-kamluk-ddos-botnets\/6371\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ask-expert-kamluk-ddos-botnets\/6265\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ask-expert-kamluk-ddos-botnets\/5711\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ask-expert-kamluk-ddos-botnets\/8087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/a-interpol\/","name":"a Interpol"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5484","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5484"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5484\/revisions"}],"predecessor-version":[{"id":9653,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5484\/revisions\/9653"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/5474"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5484"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5484"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5484"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}