O uso de botnets, redes formadas por dispositivos infectados por malware, para atividades maliciosas como ataques de negação de serviço e phishing gera prejuízos da ordem de bilhões de dólares todo ano. O crescimento da Internet das Coisas, combinado aos baixos níveis de segurança de seus dispositivos, tem proporcionado a invasores um ambiente favorável à criação de botnets. Entender o comportamento dessas redes é essencial para combatêlas. Neste trabalho, monitoramos várias redes Bashlite executando em dispositivos IoT utilizando uma rede de honeypots de baixa interatividade. Analisamos tanto o processo de ataque e infecção de dispositivos vulneráveis quanto o fluxo de comandos enviados a dispositivos infectados pelos seus controladores. Nossos resultados sugerem que botnets usam serviços de provedores de infraestrutura, que a maioria dos ataques de infecção utilizam ferramentas com código publicamente acessível sem modificações significativas, e que existe uma concentração de ataques em alvos específicos.
A Internet das Coisas apresenta uma grande quantidade de dispositivos distribuídos ao redor do mundo, e o baixo padrão de segurança de parte desses dispositivos tem sido explorado por agentes maliciosos para compor botnets. O impacto dessas botnets pode ser reduzido por operadores de rede bem informados, bloqueando o acesso aos servidores de Comando e Controle e criando defesas contra novos mecanismos de ataque e disseminação. Neste artigo, estendemos ferramentas existentes em um arcabouço para a detecção de servidores CeC e classificação de malwares em grupos similares. Utilizamos análises estáticas e dinâmicas em combinação com heurísticas para a indicação de endereços CeC, e teoria de grafos para o agrupamento de binários por similaridade. Em nossos resultados, o algoritmo de agrupamento consegue concentrar os binários em poucos grupos, direcionando os esforços dos operadores de rede, enquanto as análises e heurísticas propostas ampliam a identificação de CeCs ao mitigar contramedidas implementadas pelos desenvolvedores de malware.
scite is a Brooklyn-based organization that helps researchers better discover and understand research articles through Smart Citations–citations that display the context of the citation and describe whether the article provides supporting or contrasting evidence. scite is used by students and researchers from around the world and is funded in part by the National Science Foundation and the National Institute on Drug Abuse of the National Institutes of Health.