Estado da arte das botnets

Embora a denição de botnets possa atender as principais tecnologias atuais, o termo bot-net pode ser renado para abranger novas tendências e arquiteturas computacionais. Por exemplo, pesquisadores de uma empresa de segurança detectaram que um ataque de spam em massa tinha origem em roteadores, televisores e um refrigerador [22] Tais dispositivos conectados fazem parte da Internet das Coisas (IoT - Internet of Things) e, portanto, uma vez infectados podem ser denidos como bot das coisas (ou thingbots). Além disso, a proliferação de aplicações maliciosas para ambiente móveis (p.ex. smartphones) mostra que qualquer dispositivo conectado à Internet pode ser considerado um bot em potencial.

Desta forma, esse trabalho dene uma botnet como um conjunto de dispositivos eletrôni-cos comprometidos que são controlados remotamente por um ou mais operadores de bots (botmasters) [12].

Neste sentido, as botnets vão evoluindo frente aos desaos que são apresentados pelas reguladores da internet, governos e os pesquisadores. Assim, estas redes podem ser cate-gorizados usando uma variedade de características. Para Sood et al. [74] o protocolo de comunicação e a motivação (i.e. utilização ou ataques desempenhados) são duas métricas importantes que podem ser usadas para classicar as botnets por gerações, descritas a seguir:

1a. Geração - Nesta geração as botnets eram controladas utilizando o protocolo de In-ternet Relay Chat (IRC) e foram usadas principalmente para desenvolver ataques de negação de serviço distribuídos (DDoS), phishing ou fraude ele-trônica e roubo de credenciais de acesso ou login nas máquinas das vítimas.

2a. Geração - As botnets baseadas em IRC eram suscetíveis a ataques contra a infraes-trutura de C&C. Assim, a segunda geração de botnets utilizava o protocolo Peer-to-Peer (P2P) para frustrar esta debilidade. As botnets P2P usam uma arquitetura de comunicação distribuída cliente-servidor para formar uma rede descentralizada, a qual é mais resiliente a diversos ataques e ras-treamento. Também começou a ser utilizado o protocolo HTTP, dado que o tráfego P2P era suscetível a bloqueios. Assim, cou impraticável o bloqueio ao tráfego das botnets.

3a. Geração - Também conhecida como TGBs (third-generation botnets), são carac-terizadas pela motivação econômica e projeto sosticado. Estas botnets permitem utilizar módulos de extensão ou plugins para fornecer novas fun-cionalidades de ataques e atualizar os componentes que as compõem. Tam-bém estão evoluindo na utilização de redes anônimas (i.e. Tor) para pro-teger suas comunicações entre os bots, C&C e o botmaster, descrito na Figura 2.7. Por último, estão fazendo uso de serviços ocultos ou hidden services, os quais permitem que cada componente da botnet funcione como um servidor oculto com extensão .onion para dicultar o rastreamento dos bots pelos pesquisadores e a polícia.

TOR

Botmaster

C&C

bot bot

Trafego em claro Tráfego cifrado

Figura 2.7: Utilização da rede Tor pelas botnets para proteger suas comunicações.

Não é de se surpreender que as fronteiras entre as gerações de botnets não são bem denidas, i.e. existem botnets híbridos que combinam características de múltiplas gera-ções [74]. A seguir descrevemos os artigos mais relevantes sobre a evolução das botnets.

Stone-Gross et al. [77], [76] relatam o esforço para assumir o controle da botnet de Torpig durante um período de 10 dias. Nesse tempo, os autores observam mais de 180 mil infecções, armazenando 70GB de dados recolhidos pelos bots.

Nicholas Hopper [35] analisa um ataque desenvolvido contra Tor em agosto de 2013.

Segundo o autor, o precursor da súbita redução drástica do desempenho na rede foi devido à botnet Mevade/Sefnit. A causa principal foi o incremento da carga de processamento nos roteadores Tor causado pela grande troca de chaves necessárias para construir os circuitos cifrados anônimos. Combinado com o aumento de 1 a 6 milhões de clientes, o tempo médio para fazer download de um arquivo de 50 KB passou de 1,5 a 3 segundos.

O autor também avalia quatro estratégias com o objetivo de assegurar a disponibilidade da rede Tor sob ameaças de botnets. Entre as abordagens consideradas estão: (1) a otimização baseada em recursos que descreve duas técnicas para controlar o consumo

de recursos por parte dos roteadores Tor, i.e. Proof of Work para analisar o tempo de utilização de recursos do processador e CAPTCHA para denegar o uso de Tor por parte de sistemas autônomos; (2) a otimização do roteador de entrada (entry guard) através da limitação das conexões EXTEND para um cliente/servidor; (3) a reutilização de circuitos com falhas parciais, com o objetivo de recuperar o circuito composto pelos roteadores que não apresentam problemas de conexão (p.ex. timeout), e por conseguinte reduzindo a carga da construção de novos circuitos; e (4) isolamento de circuitos de serviços ocultos através do reconhecimento de diversos padrões como Pontos de Encontro, entre outros.

Os autores em [74] descrevem o funcionamento da botnet SpyEye de 3a. geração.

O desenho modular, a utilização do Kit de desenvolvimento de bots (similar à botnet Zeus), a arquitetura de plugins, o servidor de armazenamento como backend, o sistema de administração C&C baseado em tecnologia Web, além das técnicas de ataque e roubo de informação são descritos neste artigo.

Casenove and Miraglia [17] analisam as botnets que utilizam P2P sob Tor. Segundo os autores, estas botnets são vulneráveis aos mesmos tipos de ataques próprios da rede Tor (p.ex. rastreamente e sinkholing⁷). A utilização de Tor pode causar perda de anonimato aos atacantes através de roteadores de saídas, entre outros.

Ying [85] utilizou o algoritmo de aprendizado de máquina Naïve Bayes para classicar e detectar o tráfego cifrado das botnets Zeus, Waled, Storm e Benig, comparando com outros tráfegos cifrados. As características utilizadas (p.ex. entropia, distribuição de frequências de bytes e características de uxo com relação à porta utilizada, o tamanho do payload e o tipo de protocolo da camada de aplicação) permitiram classicar o tráfego com 95% de precisão para todas as botnets, excluindo a botnet Zeus onde se conseguiu apenas 46%.

Os autores em [84] propõem um classicador para detectar o tráfego malicioso das botnets sob P2P em comparação com o tráfego normal P2P. Para isso, eles utilizam uma metodologia composta por duas fases. A primeira fase consiste de um classicador de tráfego P2P que trabalha em duas etapas. Na primeira etapa, um classicador baseado em assinaturas é combinado com a técnica denominada de heurística de conexão para reduzir a utilização de recursos computacionais e classicar rapidamente os pacotes. Já na segunda etapa, um classicador estatístico é compensado pela heurística do padrão do protocolo. O classicador estatístico foi construído através de REPTree, um algoritmo de árvores de decisão. Na segunda fase, os autores distinguem o tráfego P2P das botnets de outros tráfegos P2P através de técnicas de aprendizado de máquina, conseguindo 97% de detecção do tráfego malicioso.

Os autores em [36] apresentam uma visão abrangente de ataques de negação de serviço distribuídos ou DDoS (Distributed Denial of Service) por botnets, taxonomia e detalhes técnicos. Além disso, são descritas a arquitetura das botnets, as técnicas utilizadas e os desaos de pesquisa nesta área.

Por último, Sanatinia e Noubir em [66] desenvolvem uma botnet, denominada de oni-onbot que trabalha sob redes privadas, como Tor. Esta pesquisa pretende analisar a

7O ataque de Sinkholing é o redirecionamento de tráfego de seu destino original para um destino especicado pelos atacantes. O destino alterado é conhecido como escoadouro, porque toda a informação desaparece.

evolução das botnets de 3a. geração. A botnet utiliza uma infraestrutura privada para evitar sua detecção e posterior análise, evitando diversas técnicas de mitigação baseadas em reconhecimento por IP. Por último, os autores desenvolveram uma técnica denomi-nada SOAP, que neutraliza os roteadores dos bots sobre a rede privada, enfatizando a necessidade de desenvolver novas técnicas por parte da comunidade cientíca frente a esta ameaça em evolução constante.

Assim, nosso objetivo nesta pesquisa é monitorar e analisar técnicas passivas e dinâ-micas do tráfego da rede Tor, como também identicar padrões de comunicação suspeitos dos bots, C&C e botmasters destas redes. Existem diferentes técnicas de reconhecimento de padrões e IDS que podem ser aplicadas para identicar, capturar o tráfego e possíveis técnicas para bloqueá-los, as quais serão estudadas nesta pequisa.