O modo de operação das botnets consiste em cinco passos simples:
1. As botnets entram automaticamente em canais específicos de IRC e ficam à escuta de comandos;
2. O bot herder envia mensagens ao servidor de IRC para os clientes;
3. Os clientes recebem os comandos através do canal de IRC e actuam de acordo com o que lhes é comandado;
4. Os clientes realizam ataques DDoS contra alvos específicos;
5. Os clientes retornam os resultados dos ataques para que o bot herder tenha conhecimento.
77
As botnets estão organizadas como exércitos reais, possuindo diferentes servidores de IRC para que, quando um canal de IRC estiver comprometido, o bot herder continue na posse de outros clientes, tendo sempre vantagem sobre quem tenta por termo aos ataques e retaliar ou continuar a fazer negócio. Fala-se aqui de negócio pois o bot herder também aluga computadores infectados para que quem paga também possa fazer ataques em grande escala a alvos específicos de acordo com as necessidades.
Não querendo entrar em grande detalhes sobre os protocolos de IRC, vai-se falar de conceitos que são importantes relacionados com as botnets:
− JOINS: São usados pelos clientes de IRC para entrar num certo canal num servidor de IRC. Aqui temos em uso o nome do canal e a senha;
− PINGS: São enviados a partir de um servidor para um cliente para confirmar se este continua ligado ao servidor de IRC pois o cliente pode ter desligado a ligação, crashado ou pode ter ocorrido algum erro. Normalmente os PINGS são enviados em períodos múltiplos de 30 segundos;
− PONGS: Se o Ping é enviado pelo servidor de IRC, este é o oposto, sendo enviado pelo cliente de IRC em resposta ao Ping a dizer que ainda está activo;
− PRIVMSG: Contém o nome do canal e os dados enviados ao canal, de forma a serem enviados a todos os hosts no canal lógico de IRC.
Os JOINS e PRIVMSG contêm os nomes dos canais e existe software específico de monitorização e de detecção de anomalias que usa ambos os JOINS e PRIVMSG em conjunto com uma lista de endereços IP de forma a criar uma lista de canais associados aos hosts de IP, mantendo também registo de PINGS e PONGS pois quando estes ocorrem em grande número é possível que exista algum canal de IRC muito grande cheio de computadores comprometidos e usados com a finalidade das botnets.
Por vezes os crackers são maus a escolher os nomes dos canais de IRC onde irão manter os clientes da botnet. Esse mau gosto em escolher os nomes de canais, por exemplo: “#xploit” torna mais fácil a um analista investigar e descobrir botnets. Este é um ponto fraco por parte dos criminosos e que pode ser usado como uma vantagem para os investigadores.
78
A arquitectura das botnets evoluiu ao longo dos tempos e nem todas apresentam a mesma topologia para C&C o que limita o potencial de aluguer e de venda das botnets. As topologias típicas (OLLMANN, 2009) são:
− Estrela: Nesta topologia existe um ponto de C&C centralizado, a partir do qual se comunica directamente novas instruções para todos os bots. Quando os criminosos conseguem comprometer o sistema informático de uma vítima, este normalmente é pré configurado para ligar-se a este ponto central de C&C, onde é registado como membro da botnet e fica a aguardar instruções. A grande vantagem para os criminosos é uma mais rápida transferência de instruções e de dados roubados. A desvantagem é que se o ponto de C&C central é atingido, a botnet fica desactivada. − Multiservidor: Esta é uma topologia de extensão lógica à anterior, em que existem
múltiplos servidores para enviar instruções aos bots. Esses sistemas múltiplos de comando comunicam entre si conforme gerem a botnet. Caso um dos servidores falhe, os restantes continuam a controlar a botnet. Este tipo de topologia é mais complexa e requer planeamento e esforços acrescidos da parte do bot herder que tentará colocar os servidores em locais geograficamente afastados para ser mais difícil acabar com a botnet. As grandes vantagens para os criminosos são o facto de se algum ponto de C&C for desactivado, continuam com controlo da botnet a partir dos outros pontos e os locais geográficos distintos podem optimizar a comunicação entre os bots. A grande desvantagem é que requer um planeamento avançado que nem todos os criminosos têm.
− Hierárquica: Este tipo de topologia reflecte a dinâmica dos métodos usados para a propagação e comprometimento dos bots pois facilita a mistura de tácticas de propagação. Contudo, as instruções de comando mais recentes sofrem de alguma latência dificultando os criminosos a utilizarem a botnet para actividades em tempo real. Este tipo de topologia significa que nenhum bot está ciente da ligação de toda a botnet e também facilita a divisão de grandes botnets em mais pequenas para venda ou aluguer. As vantagens são que a intercepção de bots não denuncia todos os membros da botnet nem revela o servidor de C&C. Outra vantagem é que pode subdividir a botnet e depois vender ou alugar a outros criminosos. A grande desvantagem é a latência nos comandos devido ao facto destes terem de percorrer mais canais dentro da botnet o que dificulta alguns tipos de ataques e operações.
79
− Aleatória: Neste tipo de topologia existe uma relação dinâmica entre master-slave e peer-to-peer, não existindo um servidor C&C centralizado. Os comandos são assinados como tendo autoridade e enviados à botnet a partir de quaisquer bots. Este tipo de botnets é mais difícil serem encerradas devido ao facto de não possuírem um ponto de C&C centralizado e devido ao facto de existir várias vias de comunicação entre os bots. Contudo, é fácil identificar membros da botnet ao monitorizar a comunicação de um certo bot com os outros. Neste tipo de topologia também existe um problema de latência de comandos. A grande vantagem nesta topologia para os criminosos é que, devido ao facto dos bots enviarem os comandos entre eles, torna-se mais difícil encerrar a botnet. As grandes desvantagens são a grande latência na distribuição de comandos por parte dos criminosos e o facto de ser fácil a partir de um bot, descobrir as suas ligações aos outros.