Identificando e neutralizando uma Botnet - Histórico de revisão

Gondim em 04h06min de 11 de julho de 2023

2023-07-11T04:06:03Z

Gondim em 03h10min de 9 de julho de 2023

2023-07-09T03:10:57Z

Gondim em 18h14min de 8 de julho de 2023

2023-07-08T18:14:09Z

Gondim em 17h54min de 8 de julho de 2023

2023-07-08T17:54:12Z

Gondim em 17h41min de 8 de julho de 2023

2023-07-08T17:41:32Z

Gondim em 17h17min de 8 de julho de 2023

2023-07-08T17:17:34Z

Gondim em 17h15min de 8 de julho de 2023

2023-07-08T17:15:02Z

Gondim em 17h10min de 8 de julho de 2023

2023-07-08T17:10:24Z

Gondim em 17h07min de 8 de julho de 2023

2023-07-08T17:07:23Z

Gondim em 17h06min de 8 de julho de 2023

2023-07-08T17:06:54Z

@@ Linha 48: / Linha 48: @@
 Obs.: o exemplo acima está sendo feito com egrep para enxergarmos os pacotes encapsulados mas se quisesse ver os pacotes PPPoE por exemplo: '''tcpdump -i enp2s0f0 -n "pppoes and host 100.64.224.6"'''
-Nesse exemplo acima estamos monitorando a interface de 10GbE '''enp2s0f0''' , observando os pacotes com IP do dispositivo '''100.64.224.6''' e armazenando no arquivo '''botnet.txt'''. Quando perceber o pico sainte de ataque no flow da ferramenta de análise que comentei, por exemplo o Wanguard, teremos registrado os pacotes que precisamos e então podemos encerrar o comando acima e analisar nosso '''botnet.txt'''. Faremos o comando abaixo e observem meu nosso exemplo:<pre>
+Nesse exemplo acima estamos monitorando a interface de 10GbE '''enp2s0f0''' , observando os pacotes com IP do dispositivo '''100.64.224.6''' e armazenando no arquivo '''botnet.txt'''. Quando perceber o pico sainte de ataque no flow da ferramenta de análise que comentei, por exemplo o Wanguard, teremos registrado os pacotes que precisamos e então podemos encerrar o comando acima e analisar nosso '''botnet.txt'''. Faremos o comando abaixo e observem nosso exemplo:<pre>
 # egrep "100\.64\.224\.6\." botnet.txt |less
 </pre>[[Arquivo:Botnet4.png|semmoldura|1289x1289px]]

@@ Linha 53: / Linha 53: @@
 Dentro da janela '''2''' podemos ver o início do disparo do ataque para a vítima '''IP 103.216.154.99''', diversos pacotes '''ACK''' para a porta de destino '''88/TCP'''. Na janela 1 podemos perceber o início da comunicação entre o dispositivo infectado e o servidor C&C no '''IP 77.105.138.202 porta 35342/TCP'''. Logo após a comunicação entre eles, se inicia o ataque para a vítima.
-Podemos fazer uma busca via whois nesse IP e coletar dados para posterior contato com o ASN responsável pelo IP e também consultar o [https://www.peeringdb.com/ '''PeeringDB''']. Para cortar a comunicação com o C&C, a forma mais efetiva e sem gerar custos de CPU é criado uma '''blackhole''' na sua borda para esse IP do servidor C&C. Infelizmente esse trabalho não é tão rápido pois em uma Botnet pode haver mais de um servidor C&C e por isso precisamos continuar monitorando e bloqueando os IPs até que os ataques parem.
+Podemos fazer uma busca via whois nesse IP e coletar dados para posterior contato com o ASN responsável pelo IP e também consultar o [https://www.peeringdb.com/ '''PeeringDB''']. Para cortar a comunicação com o C&C, a forma mais efetiva e sem gerar custos de CPU é criando uma '''blackhole''' na sua borda para esse IP do servidor C&C. Infelizmente esse trabalho não é tão rápido pois em uma Botnet pode haver mais de um servidor C&C e por isso precisamos continuar monitorando e bloqueando os IPs até que os ataques parem.
 Depois de uma análise melhor percebemos que todos os servidores C&C estavam escutando na porta '''35342/TCP''' e então começamos a monitorar o IP e porta assim:

@@ Linha 36: / Linha 36: @@
 |Intel X520-SR2 (2 portas de 10GbE)
 |}
 == Analisando os pacotes ==

@@ Linha 51: / Linha 51: @@
 Dentro da janela '''2''' podemos ver o início do disparo do ataque para a vítima '''IP 103.216.154.99''', diversos pacotes '''ACK''' para a porta de destino '''88/TCP'''. Na janela 1 podemos perceber o início da comunicação entre o dispositivo infectado e o servidor C&C no '''IP 77.105.138.202 porta 35342/TCP'''. Logo após a comunicação entre eles, se inicia o ataque para a vítima.
-Podemos fazer uma busca via whois nesse IP e coletar dados para posterior contato com o ASN responsável pelo IP e também consultar o [https://www.peeringdb.com/ '''PeeringDB''']. Para cortar a comunicação com o C&C, a forma mais efetiva e sem gerar custos de CPU é criado uma '''blackhole''' na sua borda para esse IP do servidor C&C. Infelizmente esse trabalho não tão rápido pois em uma Botnet pode haver mais de um servidor C&C e por isso precisamos continuar monitorando e bloqueando os IPs até que os ataques parem.
+Podemos fazer uma busca via whois nesse IP e coletar dados para posterior contato com o ASN responsável pelo IP e também consultar o [https://www.peeringdb.com/ '''PeeringDB''']. Para cortar a comunicação com o C&C, a forma mais efetiva e sem gerar custos de CPU é criado uma '''blackhole''' na sua borda para esse IP do servidor C&C. Infelizmente esse trabalho não é tão rápido pois em uma Botnet pode haver mais de um servidor C&C e por isso precisamos continuar monitorando e bloqueando os IPs até que os ataques parem.
 Depois de uma análise melhor percebemos que todos os servidores C&C estavam escutando na porta '''35342/TCP''' e então começamos a monitorar o IP e porta assim:

@@ Linha 44: / Linha 44: @@
 Após eleger um dispositivo infectado, pegamos o IP dele para monitorarmos suas atividades em busca dos ataques quando ocorrem. Irei colocar aqui exemplos reais de uma recente Botnet descoberta e neutralizada. Colocamos nosso '''sniffer (tcpdump)''' monitorando conforme o exemplo abaixo:
   # tcpdump -i enp2s0f0 -n | egrep "100\.64\.224\.6\." | tee botnet.txt
 Nesse exemplo acima estamos monitorando a interface de 10GbE '''enp2s0f0''' , observando os pacotes com IP do dispositivo '''100.64.224.6''' e armazenando no arquivo '''botnet.txt'''. Quando perceber o pico sainte de ataque no flow da ferramenta de análise que comentei, por exemplo o Wanguard, teremos registrado os pacotes que precisamos e então podemos encerrar o comando acima e analisar nosso '''botnet.txt'''. Faremos o comando abaixo e observem meu nosso exemplo:<pre>
 # egrep "100\.64\.224\.6\." botnet.txt |less

← Edição anterior		Edição das 17h17min de 8 de julho de 2023
Linha 1:		Linha 1:
	__TOC__		__TOC__
		+	[[Arquivo:Botnet banner.png\|nenhum\|commoldura]]
		+
	Atualmente a maior preocupação de todo ISP (Internet Service Provider) e ITP (Internet Transit Provider) são os ataques '''DDoS (Distributed Denial of Service)''' recebidos em suas Redes e a indisponibilidade que eles podem causar derrubando sua infraestrutura e seus clientes. Criamos mecanismos de defesa como: sistemas de detecção de anomalias como por exemplo o Wanguard, anunciamos os prefixos atacados para nossas nuvens de mitigação e assim fazemos a limpeza do tráfego. Mas e quando sua rede também está fazendo parte dos ataques de DDoS e atacando outros ASNs na Internet? Poucas pessoas se preocupam com o que saem de suas Redes e isso pode estar impactando sua operação e causando insatisfação em seus clientes. As '''Portas de Amplificação''' '''abertas''' e '''Botnets''' são as principais causas para esses problemas. Como tratar Portas de Amplificação você pode ler nesse meu artigo [[Portas de Amplificação DDoS e Botnets\|'''Portas de Amplificação DDoS e Botnets''']] mas aqui vamos falar de algo um pouco mais trabalhoso, que seria como identificar e neutralizar uma '''Botnet''' que se instalou na sua Rede.		Atualmente a maior preocupação de todo ISP (Internet Service Provider) e ITP (Internet Transit Provider) são os ataques '''DDoS (Distributed Denial of Service)''' recebidos em suas Redes e a indisponibilidade que eles podem causar derrubando sua infraestrutura e seus clientes. Criamos mecanismos de defesa como: sistemas de detecção de anomalias como por exemplo o Wanguard, anunciamos os prefixos atacados para nossas nuvens de mitigação e assim fazemos a limpeza do tráfego. Mas e quando sua rede também está fazendo parte dos ataques de DDoS e atacando outros ASNs na Internet? Poucas pessoas se preocupam com o que saem de suas Redes e isso pode estar impactando sua operação e causando insatisfação em seus clientes. As '''Portas de Amplificação''' '''abertas''' e '''Botnets''' são as principais causas para esses problemas. Como tratar Portas de Amplificação você pode ler nesse meu artigo [[Portas de Amplificação DDoS e Botnets\|'''Portas de Amplificação DDoS e Botnets''']] mas aqui vamos falar de algo um pouco mais trabalhoso, que seria como identificar e neutralizar uma '''Botnet''' que se instalou na sua Rede.

← Edição anterior		Edição das 17h15min de 8 de julho de 2023
Linha 1:		Linha 1:
		+	__TOC__
	Atualmente a maior preocupação de todo ISP (Internet Service Provider) e ITP (Internet Transit Provider) são os ataques '''DDoS (Distributed Denial of Service)''' recebidos em suas Redes e a indisponibilidade que eles podem causar derrubando sua infraestrutura e seus clientes. Criamos mecanismos de defesa como: sistemas de detecção de anomalias como por exemplo o Wanguard, anunciamos os prefixos atacados para nossas nuvens de mitigação e assim fazemos a limpeza do tráfego. Mas e quando sua rede também está fazendo parte dos ataques de DDoS e atacando outros ASNs na Internet? Poucas pessoas se preocupam com o que saem de suas Redes e isso pode estar impactando sua operação e causando insatisfação em seus clientes. As '''Portas de Amplificação''' '''abertas''' e '''Botnets''' são as principais causas para esses problemas. Como tratar Portas de Amplificação você pode ler nesse meu artigo [[Portas de Amplificação DDoS e Botnets\|'''Portas de Amplificação DDoS e Botnets''']] mas aqui vamos falar de algo um pouco mais trabalhoso, que seria como identificar e neutralizar uma '''Botnet''' que se instalou na sua Rede.		Atualmente a maior preocupação de todo ISP (Internet Service Provider) e ITP (Internet Transit Provider) são os ataques '''DDoS (Distributed Denial of Service)''' recebidos em suas Redes e a indisponibilidade que eles podem causar derrubando sua infraestrutura e seus clientes. Criamos mecanismos de defesa como: sistemas de detecção de anomalias como por exemplo o Wanguard, anunciamos os prefixos atacados para nossas nuvens de mitigação e assim fazemos a limpeza do tráfego. Mas e quando sua rede também está fazendo parte dos ataques de DDoS e atacando outros ASNs na Internet? Poucas pessoas se preocupam com o que saem de suas Redes e isso pode estar impactando sua operação e causando insatisfação em seus clientes. As '''Portas de Amplificação''' '''abertas''' e '''Botnets''' são as principais causas para esses problemas. Como tratar Portas de Amplificação você pode ler nesse meu artigo [[Portas de Amplificação DDoS e Botnets\|'''Portas de Amplificação DDoS e Botnets''']] mas aqui vamos falar de algo um pouco mais trabalhoso, que seria como identificar e neutralizar uma '''Botnet''' que se instalou na sua Rede.

@@ Linha 58: / Linha 58: @@
 == Conclusão ==
-Precisamos manter nossa Infraestrutura de Redes sempre segura e principalmente os ativos na ponta do cliente como é o caso das CPEs. Escolham equipamentos corretamente, onde os fornecedores tenham preocupação com segurança, que suportem corretamente o IPv6. Equipamentos com usuário e senha padrão de fábrica são alvos fáceis para formação de Botnets. Procurem equipamentos que sigam a [https://www.lacnog.net/docs/lac-bcop-1 '''BCOP de CPEs'''] Trocar equipamentos de core, pode ser mais simples que trocar milhares de CPEs infectadas nos clientes. Pensem sempre nisso.
+Precisamos manter nossa Infraestrutura de Redes sempre segura e principalmente os ativos na ponta do cliente como é o caso das CPEs. Escolham equipamentos corretamente, onde os fornecedores tenham preocupação com segurança, que suportem corretamente o IPv6. Equipamentos configurados com usuário e senha padrão de fábrica são alvos fáceis para formação de Botnets. Procurem equipamentos que sigam a [https://www.lacnog.net/docs/lac-bcop-1 '''BCOP de CPEs'''] Trocar equipamentos de core, pode ser mais simples que trocar milhares de CPEs infectadas nos clientes. Pensem sempre nisso.
 Essa documentação foi útil? Compartilhe, divulgue e ajude outras pessoas.