Mitigação de Botnets

Publicado em por _SDinfo

As botnets são consideradas uma das maiores ameaças de segurança da internet. Essas ameaças caracterizam-se por serem dinâmicas, além disso frequentemente incorporam a sua estrutura novas técnicas que buscam diminuir a efetividade de sistemas como IDS’s. Uma botnet é composta por máquinas comprometidas (bots) que consequentemente recebem ordens (comandos) remotos enviados por uma entidade chamada botmaster.

Neste contexto, a comunidade científico de segurança da informação estuda meios para detecção e prevenção de botnets, mas, estes guerreiros que buscam formas para minimizar ou neutralizar os riscos gerados por botnets enfrentam um grave problema as metodologias e técnicas atuais estão relacionadas a tipos especificísticos de botnets, por exemplo, aquelas que utilizam estrutura centralizada e um protocolo especifico para comunicação.

Considerando este cenário, é importante possui meios para gerar assinaturas de botnets tendo como base a análise de arquivos maliciosos. Isso pode ser feito utilizando-se de dados coletados por meio de honeynet e analisados em ferramentas como sandboxes.

As pragas virtuais classificadas de bots possuem uma caraterística singular. Os bots após serem executados em um sistema vulnerável, abrem um canal de comunicação com a entidade botmaster, que consequente passa a enviar por meio de recursos da rede e protocolos desta comandos para serem executados na máquina comprometida. No inicio deste artigo falei que as botnets são consideradas uma das maiores ameaças de segurança da internet, isso pode ser facilmente provado ao mencionar o seguinte fragmento de texto:

“Uma botnet pode ser responsável pelo lançamento de um ataque distribuído de negação de serviço (DDoS). O maior agravante neste cenário é que não existem formas automatizadas ou eficientes de prever ou reagir a este tipo de ataque, já que cada requisição realizada em diração máquina alvo parece ter partido de um usuário real.”

É possível realizar a detecção de botnets por meio de assinaturas. Para tal analise é necessário possuir um ambiente controlado (sandbox), que será utilizado para analisar um conjunto de malwares e suas respectivas atividades. Como resultado desta investigação é possível encontrar padrões utilizados pelos bots e consequentemente criar assinaturas que permita identificá-los.

Referência: http://migre.me/a9F4T