O que são bots maliciosos e como eles funcionam

Share

Os bots (palavra que vem da redução de “robots”) são programas que executam tarefas pré-programas e muitas vezes repetitivas. Os bots maliciosos são programas que causam problemas a um computador, igual aos vírus, porém com uma diferença: eles podem ser reprogramados para realizarem várias tarefas. Dessa forma, os bots são vírus mais inteligentes e por isso mais valiosos para os hackers.

Os bots em geral

Um bot não é necessariamente um programa mal-intencionado. Por exemplo, suponhamos que eu queira uma cópia do site Under-Linux.org diretamente na minha máquina (assim eu terei acesso a todas informações mesmo sem acesso Internet). Eu posso usar um programa (que seria um exemplo de bot) para navegar por todas as páginas e armazená-las no meu computador.

Um outro exemplo de uso de bot seria para facilitar o uso de sites de leilões. Eu poderia usar um bot programado para monitorar um produto e aumentar automaticamente o lance caso surja um lance maior, até o meu limite de gasto. Assim eu não precisaria ficar acessando o site a todo momento.

Os bots maliciosos

Então, aonde entra má fé nos bots? Quando eles são programados para coisas como enviar spam, atacar outros sites ou roubar informações. Mas, neste caso, existe vírus que também realizam essas atividades, então aonde está a diferença?

Existe uma classe de bots criados para invadirem computadores e ficarem esperando uma ordem e, no momento apropriado, ser configurado para realizar uma tarefa. Ou seja, esses bots não vem programados com nenhuma atividade, eles apenas esperam, dormente, até serem acionados.

Neste caso surgem dois tipos de hackers: o criador do bot e o usuário desse bot (que não é necessariamente a mesma pessoa). Um hacker criar um bot e o espalha por vários computadores na Internet e depois “vende” esses computadores escravizados para outros hackers usarem em atividades maliciosas.

Vamos verificar analisar melhor como isso funciona. Um hacker (ou grupo de hackers) cria um vírus programável (o bot malicioso) e procura espalhar por vários computadores na Internet. Pode ser criado um site que engane o visitante, pode ser oferecendo um shareware que carrega o bot, pode ser através de uma brecha de segurança, etc. Depois esse hacker vende (existe grupos de discussão e comunidades para isso) o controle desses bots para quem deseja utilizá-los.

Segundo alguns relatos, um lote de 3.000 computadores de alta performance e boa banda sai por USD 200,00 nesse mercado negro. Como o hacker invasor sabe a performance e banda dos computadores infectados? O bot informa o hacker qual a sua situação (tipo de computador infectado, memória, tráfego, etc.) de forma que o hacker pode filtrar a sua oferta. Inclusive existe garantias nesse mercado: se o comprador não conseguir reprogramar os 3.000 computadores (por exemplo, porque muitos foram desinfectados), o vendedor fornece um lote complementar gratuitamente.

O vendedor também fornece o kit de programação (manual, documentação, exemplos, etc.) de forma que o comprador possa reprogramar os bots para fazerem a tarefa desejada.

O mais interessante (e preocupante) é que, ao contrário dos vírus, que possuem pouca motivação financeira, neste caso existe um volume de dinheiro significativo que ajuda a financiar as operações. Na verdade hoje existem grupos organizados criando esses bots, procurando maneiras de distribui-los e vendendo o controle dos computadores escravizados, cada um com sua tarefa, todos compartilhando os custos.

O desafio aos firewalls e antivírus

Um dos grandes problemas em se detectar os bots é que, ao contrário dos vírus, os hackers não precisam contaminar uma grande quantidade de computadores para conseguir lucro. Com 100.000 computadores escravos já conseguem realizar bons negócios, porém essa quantidade é pequena, o que dificulta os fabricantes de antivírus em detectarem a sua existência.

Um vírus que ataque milhões de computadores é mais rapidamente identificado e sua vacina criada do que um bot que infeste alguns poucos milhares.

Além disso os bots passam a maior parte do tempo dormente, apenas esperando a sua instruções, então não causam problemas ao usuário. Inclusive alguns bots são inteligentes a ponto de só trabalhar quando o computador não estiver sendo utilizado (assim o usuário não sente problemas de performance).

O processo de reprogramação desses bots também é bastante sofisticado. Ele usa protocolos padrões (como HTTP ou SMTP) para checar o seu servidor por alguma nova instrução, assim para os firewalls tudo se passa como se fosse um acesso convencional, inclusive respeitando o protocolo (por exemplo, transferindo os códigos como se fosse um arquivo .JPG, dentro de uma página HTML), o que dificulta a detecção por parte dos firewalls.

O problema crescente

É cada vez maior a sofisticação dos bots e sua motivação econômica está tornando os bots um problema tão grave como o spam. Esses grupos de hackers que criam os bots estão constantemente buscando novas maneiras de mascararem seus programas e enganarem os firewall, sem chamarem a atenção. Por outro lado sua ação baseada em pequenos grupos de vitimas dificulta o trabalho dos fabricante de antivirus de identificá-los.

Alguns firewalls, UTMs e anti-vírus já estão criando módulos de software ou modificações especiais para tentar identificar computadores contaminados por esses bots mais sofisticados, utilizando técnicas que vão muito além dos recursos dos anti-vírus tracionais.

Como qualquer guerra, existe uma escalonamento crescente entre ambos os lados (hackers e fabricantes de antivírus e firewalls) aonde uma inovação de um lado cria um contra-ataque do outro.

Inclusive já existem brigas entre grupos de hackers: estão se tornando comuns bots que, ao infectarem uma máquina, procura sinais de bots concorrentes e os elimina automaticamente.

Outros bots se apagam automaticamente quando baixam o código malicioso. Ou seja, se instalam, esperam serem vendidos, baixam o código malicioso, executam e se apagam. Assim, se o computador atacado for descoberto, saberão qual é o código malicioso que foi usado, mas ninguém saberá como esse código malicioso foi parar naquela máquina (o bot abaga seus rastros).

Exitem ainda técnicas de mascaramento do bot, aonde os hackers que o produzem utilizam técnicas que mudam um pouco o código, de maneira que um bot for descoberto e uma vacina criada, essa vacina só seja efetiva em uma parte pequena dos computadores atacados. Dessa forma os fabricantes de antivírus e firewall precisam criar dezenas de vacinas diferentes para o que é – basicamente – o mesmo tipo de bot.

De qualquer maneira os bots devem se tornar, em breve, um problema tão grande como o spam. No entanto – ao contrário do spam aonde já existem tecnologias boa de proteção e controle – os mecanisms de proteção contra bots não estão disponíveis em todas as tecnologias de antivírus e firewalls, o que significa que muitos clientes e usuários estão desprotegidos o que os torna potenciais candidatos a vitimas.

——————————————–
Fonte: mlrodrig em Under Linx

 

——————-
# [penelope_c]
# ;)