O que são bots malíciosos e como eles funcionam
por
em 24-10-2011 às 00:13 (11140 Visualizações)
Os bots (palavra que vem da redução de "robots") são programas que executam tarefas pré-programadas e muitas vezes repetitivas. Os bots maliciosos são programas que causam problemas a um computador, iguais aos vírus, porém com uma diferença: eles podem ser reprogramados e realizarem diversos tipos de tarefas. Dessa forma, os bots são vírus mais inteligentes e por isso mais valiosos para os hackers maliciosos.
Os bots em geral
Um bot não é necessariamente um programa mal-intencionado. Por exemplo, suponhamos que eu queira uma cópia do site Under-Linux.org diretamente na minha máquina (assim eu terei acesso a todas informações do site mesmo sem acesso Internet). Eu posso usar um programa (que seria um exemplo de bot) para navegar por todas as páginas e armazená-las no meu computador.
Um outro exemplo de uso de bot seria para facilitar o uso de sites de leilões. Eu poderia usar um bot programado para monitorar um produto e aumentar automaticamente o lance caso surja um lance maior, até o meu limite de gasto. Assim eu não precisaria ficar acessando o site a todo momento. Aliás, o governo brasileiro proibiu o uso de bots em licitações eletrônicas e criou mecanismos para evitar seu uso, pois estavam causando problemas diminuindo a competitividade.
Os bots maliciosos
Então, aonde entra má fé nos bots? Quando eles são programados para atividades como enviar spam, atacar outros sites ou roubar informações. Mas, neste caso, já existem vírus que também realizam essas atividades, então aonde está a diferença?
Existe uma classe de bots criados para invadirem computadores e ficarem esperando uma ordem e, no momento apropriado, serem configurado para realizar uma tarefa. Ou seja, esses bots não vem programados com nenhuma atividade, eles apenas esperam, dormente, até serem acionados.
Neste caso surgem dois tipos de hackers: o criador do bot e o usuário desse bot (que não é necessariamente a mesma pessoa). O primeiro hacker cria um bot e o espalha por vários computadores na Internet e depois "vende" esses computadores escravizados para outros hackers usarem em atividades maliciosas.
Vamos analisar melhor como isso funciona. Um hacker (ou grupo de hackers) cria um vírus programável (o bot malicioso) e procura espalha-lo por vários computadores na Internet. Pode ser criando um site que engane o visitante, pode ser oferecendo um shareware que carrega o bot, pode ser através de uma brecha de segurança de um sistema operacional, etc. Depois esse hacker vende (existem grupos de discussão e comunidades para isso) o controle desses bots para quem deseja utilizá-los.
Segundo alguns relatos, um lote de 3.000 computadores de alta performance e boa banda sai por USD 200,00 nesse mercado negro. Como o hacker invasor sabe a performance e banda dos computadores infectados? O bot informa ao hacker qual a sua situação (tipo de computador infectado, memória, tráfego, etc.) de forma que o hacker pode filtrar a sua oferta. Inclusive existem garantias nesse mercado: se o comprador não conseguir reprogramar os 3.000 computadores (por exemplo, porque muitos foram desinfectados), o vendedor fornece um lote complementar gratuitamente.
O vendedor também fornece o kit de programação (manual, documentação, exemplos, etc.) de forma que o comprador possa reprogramar os bots para fazerem a tarefa desejada.
O mais interessante (e preocupante) é que, ao contrário dos vírus, que possuem pouca motivação financeira, neste caso existe um volume de dinheiro significativo que ajuda a financiar as operações. Na verdade hoje existem grupos organizados criando esses bots, procurando maneiras de distribui-los e vendendo o controle dos computadores escravizados, cada membro do grupo com sua tarefa, todos compartilhando os custos e lucros.
O desafio aos firewalls e antivírus
Um dos grandes problemas em se detectar os bots é que, ao contrário dos vírus, os hackers não precisam contaminar uma grande quantidade de computadores, nem tem interesse em fazer isso, para não chamarem a atenção. Com 100.000 computadores escravos já conseguem realizar bons negócios, porém essa quantidade é pequena quando comparada ao universo de computadores na Internet, o que dificulta os fabricantes de antivírus em detectarem a sua existência.
O dinheiro é tão bom que inclusive já existem brigas entre grupos de hackers: estão se tornando comuns bots que, ao infectarem uma máquina, procuram sinais de bots concorrentes e os eliminam automaticamente.
Voltando ao problema de detectar um novo bot, quando temos um vírus que ataca milhões de computadores, ele é rapidamente identificado e sua vacina criada, ao contrário de um bot que infeste alguns poucos milhares e não seja tão "visível".
Além disso os bots passam a maior parte do tempo dormente, apenas esperando as suas instruções, então não causam problemas ao usuário logo no começo. Inclusive alguns bots são inteligentes a ponto de só trabalhar quando o computador não estiver sendo utilizado (assim o usuário não sente problemas de performance).
O processo de reprogramação desses bots também é bastante sofisticado. O bot usa protocolos padrões (como HTTP ou SMTP) para checar o seu servidor por alguma nova instrução, assim para os firewalls tudo se passa como se fosse um acesso convencional válido, inclusive respeitando o protocolo (por exemplo, transferindo os códigos como se fosse um arquivo .JPG, dentro de uma página HTML), o que dificulta a detecção por parte dos firewalls.
O problema crescente
É cada vez maior a sofisticação dos bots e sua motivação econômica está tornando os bots um problema tão grave como o spam. Esses grupos de hackers que criam os bots estão constantemente buscando novas maneiras de mascararem seus programas e enganarem os firewalls, sem chamarem a atenção. Por outro lado sua ação baseada em pequenos grupos de vitimas dificulta o trabalho dos fabricante de antivirus de identificá-los.
Alguns firewalls, UTMs e anti-vírus já estão criando módulos de software ou modificações especiais para tentarem identificar computadores contaminados por esses bots mais sofisticados, utilizando técnicas que vão muito além dos recursos dos anti-vírus tradicionais.
Como qualquer guerra, existe um escalonamento crescente entre ambos os lados (hackers e fabricantes de antivírus e firewalls) aonde uma inovação de um lado cria um contra-ataque do outro.
Para dificultar ainda mais, alguns bots se apagam automaticamente quando baixam o código malicioso. Ou seja, se instalam, esperam serem vendidos, baixam o código malicioso, executam e se apagam. Assim, se o computador atacado for descoberto, saberão qual é o código malicioso que foi usado, mas ninguém saberá como esse código malicioso foi parar naquela máquina (o bot apagou seus rastros).
Exitem ainda estratégias de mascaramento do bot, aonde os hackers que o produzem utilizam técnicas que mudam um pouco o código a cada cópia, de maneira que se um bot for descoberto e uma vacina criada, essa vacina só seja efetiva em uma parte pequena dos computadores atacados. Dessa forma os fabricantes de antivírus e firewall precisam criar dezenas de vacinas diferentes para o que é - basicamente - o mesmo tipo de bot.
De qualquer maneira os bots devem se tornar, em breve, um problema tão grande como o spam. No entanto - ao contrário do spam aonde já existem tecnologias boa de proteção e controle - os mecanismos de proteção contra bots não estão disponíveis em todas as tecnologias de antivírus e firewalls, o que significa que muitos clientes e usuários estão desprotegidos o que os torna potenciais candidatos a vitimas.
Me acompanhe no Twitter: http://twitter.com/mlrodrig
.
Comentários
+ Enviar Comentário