O que é uma botnet?

Para que servem as botnets?

As botnets são usadas em vários tipos de ataques que se beneficiam de alguma forma do uso de um grande número de dispositivos operados remotamente. Alguns exemplos de tipos comuns de ataques de botnet são:

• Negação de serviço distribuída: em um ataque DDoS, os invasores enviam tráfego de vários dispositivos ao mesmo tempo para sobrecarregar os recursos de processamento ou largura de banda dos servidores, ou a infraestrutura de destino, e impedir o fornecimento normal do serviço.
• Phishing e outras fraudes por e-mail: as botnets podem enviar grandes volumes de spam ou mensagens de phishing de diferentes contas e endereços IP como parte de tentativas de phishing de credenciais, golpes financeiros, campanhas de malware e muito mais.
• Mineração de criptomoedas: usando o poder de processamento coletivo de uma botnet em conjunto com malware de criptomineração, um invasor pode minerar moedas digitais sem o conhecimento ou consentimento dos proprietários do dispositivo (também conhecido como cryptojacking).
• Ataques de força bruta: as botnets podem realizar rapidamente tentativas de login sucessivas para acessar as contas on-line das vítimas ou usar credenciais expostas em vazamentos para tentar realizar ataques de preenchimento de credenciais em vários sites ao mesmo tempo.
• Ofuscação baseada em proxy: invasores podem transformar dispositivos de botnet em proxies de encaminhamento para redirecionar tráfego malicioso, ocultando sua identidade e localização. Eles podem até vender acesso de proxy a outros invasores pela dark web.
• Trojans, keylogging e sniffing de pacotes: um malware de botnet pode ser usado para monitorar e registrar dados que o bot envia e recebe, bem como para capturar informações que os usuários inserem em seus dispositivos, como credenciais de login.

Como funcionam as botnets?

As botnets começam com o malware de botnet, distribuído como outros tipos de malware por meio de métodos como e-mails de phishing ou exploração de vulnerabilidades, que transformam dispositivos infectados em “bots”. Esses bots então se comunicam com um servidor central controlado por hackers, chamado de servidor de comando e controle (C2 ou C&C), que o hacker usa para emitir instruções aos bots.

Além de instruir os bots a realizar vários ataques, o servidor de C2 pode emitir atualizações para o software malicioso para melhorar ou alterar as funções e capacidades da botnet, tornando mais difícil detectar e evitar seus ataques. Além disso, uma única botnet pode consistir em centenas ou até milhares de dispositivos amplamente distribuídos, cujos proprietários podem nunca saber que seus dispositivos fazem parte de uma botnet.

Como as botnets evitam a detecção?

O malware de botnet é projetado para passar despercebido, operando secretamente em segundo plano com técnicas avançadas, como uso de código polimórfico, algoritmos de geração de domínio (DGAs) e criptografia. Esses métodos permitem que o malware mude sua aparência e altere ou oculte suas vias de comunicação, dificultando a detecção, a interceptação ou a análise de tráfego malicioso vinculado a operações de botnet por medidas convencionais de cibersegurança, como antivírus baseados em assinaturas ou hardware de segurança de rede tradicional.

Como as botnets são controladas?

Operadores de botnet (às vezes chamados de bot herders) podem controlar dispositivos de bot de duas maneiras principais:

• Controle centralizado, onde o servidor de C2 envia instruções para cada bot, que não se comunicam diretamente entre si
• Controle descentralizado ou ponto a ponto, em que o servidor de C2 envia instruções para apenas um bot, que por sua vez se comunica com os outros bots

As botnets centralizadas são mais fáceis de configurar do que as botnets P2P, mas também são mais fáceis de desativar, pois os caçadores podem simplesmente localizar e desabilitar o servidor central. Por outro lado, as botnets P2P têm uma sobrecarga consideravelmente maior, mas são mais difíceis de desativar, pois é muito mais difícil localizar o servidor de C2 entre todos os dispositivos intercomunicadores.

Que tipos de dispositivos podem ser afetados?

Praticamente qualquer dispositivo conectado à internet pode se tornar parte de uma botnet, desde que um invasor consiga executar malware nele. Esses dispositivos incluem:

• Computadores, smartphones e outros dispositivos móveis que executam os sistemas operacionais comuns
• Servidores, roteadores e outros hardwares de rede que podem facilitar ainda mais a disseminação de ataques
• Dispositivos de Internet das Coisas (IoT) e tecnologia operacional (OT), que muitas vezes carecem de segurança robusta e, no caso de sistemas de OT tradicionalmente “isolados”, não foram projetados com a hiperconectividade em mente. Ao explorar vulnerabilidades em dispositivos de IoT, os invasores podem montar enormes botnets capazes de lançar poderosos ataques DDoS.

Exemplos de ataques de botnet

O uso de botnets continua popular em ataques cibernéticos generalizados devido à dificuldade de desativá-los definitivamente. Dê uma olhada em algumas botnets de alto perfil que estiveram ativas nos últimos anos:

1. O malware Mirai usa técnicas de força bruta e execução remota de código para infectar dispositivos IoT com malware botnet. Uma das famílias de malware de IoT mais prolíficas por anos, o Mirai realizou o maior ataque DDoS da história em 2016.
2. O malware Gafgyt e suas variantes infectam sistemas Linux para lançar ataques DDoS, tendo infectado milhões de dispositivos de IoT desde 2014. Botnets afiliadas ao Gafgyt são responsáveis por ataques DDoS de até 400 Gbps de intensidade.
3. O BotenaGo usa algumas das mesmas técnicas do Mirai, incluindo autenticação de força bruta, para infectar roteadores e dispositivos IoT. Escrita na linguagem de código aberto Go e disponível no GitHub, qualquer invasor pode modificá-lo ou liberá-lo.
4. O malware Mozi, descoberto em 2019, explora principalmente dispositivos de IoT com credenciais de login fracas ou padrão e os infecta com malware de botnet. O Mozi foi responsável por mais de 5% dos malwares de IoT no primeiro semestre de 2023.
5. O VPNFilter tem como alvo roteadores e dispositivos de armazenamento, especializando-se em atacar dispositivos ICS/SCADA. Supostamente uma criação do grupo russo de espionagem cibernética Fancy Bear, ele pode exfiltrar dados, bloquear dispositivos e persistir durante reinicializações de roteadores.

Como proteger sua organização contra botnets

Com seu vasto alcance global, táticas avançadas de evasão e comunicações criptografadas, os ataques de botnet continuam sendo uma ameaça generalizada e acessível, especialmente à medida que variantes de código aberto se proliferam e o número de alvos vulneráveis continua crescendo. Para manter os dispositivos da sua organização protegidos, sua segurança deve ser capaz de detectar e mitigar consistentemente a atividade de botnet.

Zscaler Internet Access™ (ZIA™) é uma solução de Security Service Edge (SSE) nativa da nuvem. Oferecido como uma plataforma SaaS dimensionável na maior nuvem de segurança do mundo, ele substitui as soluções de segurança de rede legadas para impedir ataques avançados e evitar a perda de dados com uma abordagem zero trust abrangente. O ZIA permite que você detecte atividades de botnets e C2 e interrompa botnets de forma eficaz com:

• Sistema de prevenção de intrusões (IPS): obtenha proteção completa contra botnets, ameaças avançadas e ameaças de dia zero, além de inteligência contextual de usuários, aplicativos e ameaças.
• Proteção avançada contra ameaças (ATP): aproveite a proteção integrada contra botnets, tráfego de comando e controle, compartilhamento P2P arriscado, conteúdo ativo malicioso, cross-site scripting, sites fraudulentos e mais.

A Zscaler Zero Trust SD-WAN intermedia com segurança o tráfego de dispositivos de IoT de filiais para aplicativos privados e a internet por meio da Zscaler Zero Trust Exchange™, que restringe a motimentação lateral de malware baseado em IoT e controla a comunicação com servidores de C2.

A Zscaler IoT Device Visibility fornece uma visão completa de todos os dispositivos de IoT, servidores e dispositivos de usuários não gerenciados em sua organização, sem a necessidade de agentes em terminais.