logoCert_sugestao2.png

Incidentes de Segurança relacionados à Botnets

O CERT.Bahia monitora e notifica seus clientes sobre acessos a endereços de botnets através de fluxos coletados nos equipamentos do backbone da rede. Dessa forma, caso sua instituição possua máquina executando atividade maliciosa na rede ou comunicando-se com controladores de botnet, ela receberá uma notificação de incidente de segurança enviada pelo CERT.Bahia (e talvez outros CSIRTs que também realizam tais monitoramentos).

Abaixo relacionamos algumas informações que podem ajudar na compreensão e tratamento das notificações.

Bots/Botnets

Segundo Cartilha de Segurança para Internet (Parte VIII), do Cert.Br, bot é um programa malicioso capaz de se propagar automaticamente através da rede, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente, o bot possui mecanismos para se comunicar com o invasor e ser controlado remotamente (o invasor, ao se comunicar com o bot, pode orientá-lo a realizar ataques contra outros computadores, furtar dados, enviar spam, etc.). Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat), ou similares, para comunicação, comando e controle.

Botnets são redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de e-mails de phishing ou spam, desferir ataques de negação de serviço, etc. Por isso, é fundamental que os clientes do PoP-BA tratem as notificações enviadas pelo CERT.Bahia a fim de verificar se sua infra-estrutura computacional não está sendo utilizada para efetuar atividade maliciosa na rede.

Para maiores informações sobre Bots/Botnets, recomendamos a leitura das seguintes referências:

Das notificações

As notificações são compostas por uma relação das maquinas detectadas como possivelmente infectadas (horarios em GMT-3). Um exemplo é listado abaixo:

2011-07-21 08:38:54.105 | 200.128.X.Y | 20136 | udp | 1
2011-07-21 08:33:48.560 | 200.128.X.Y | 55234 | tcp | 5
2011-07-21 08:57:31.290 | 200.128.X.Y | 12381 | udp | 1
2011-07-21 08:50:27.004 | 200.128.X.Y | 51516 | udp | 3

Os campos têm o seguinte significado:
  • T-STAR: data e hora da primeira vez que o endereco IP possivelmente se conectou a botnet
  • SRC-IP: endereco IP identificado na conexao
  • SRC-PORT: porta de origem da conexao (fundamental no tratamento para clientes que usam NAT)
  • PROTO: protocolo de transporte da conexão (tcp / udp)
  • COUNT: quantidade de vezes que o fluxo foi encontrado nos logs

Do tratamento e resposta às notificações

TODO