Feeds de dados de C&C Botnet
Iniciativa sobre ataques Botnet e ameaças relacionadas
Hoje em dia, os ataques e infecções virtuais envolvem frequentemente botnets e sua infraestrutura. Os ataques realizados por meio de botnets podem ser direcionados contra usuários comuns da Internet e organizações específicas. Técnicas sofisticadas para escapar da detecção (como criptografia avançada e consciência sandbox) contribuem para o crescente número deste tipo de ataques. A maioria das vítimas de botnet nem sequer sabem que estão infectadas e continuam sua rotina normalmente, ajudando os botnets a persistir e facilitando o acesso dos criminosos a recursos valiosos.
Fatos sobre o botnet
- Primeira aparição pública: 2000
- Botnets famosos: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock, etc.
- O número de endpoints e organizações infectadas e cooptadas em botnets aumentou drasticamente
- Principal método de infecção: downloads conduzidos e e-mails
- Objetivo da infecção: distribuição de spam, ataques DDoS, roubo de dados e identidade, grandes recursos distribuídos de poder de computação, fraude financeira, fraude de cliques, etc.
- Os criadores do botnet alugam as máquinas no botnet para quem fizer o maior lance
Feeds de dados de C&C de Botnet da Kaspersky
Os feeds de dados de C&C de Botnet da Kaspersky Botnet são conjuntos de URLs e hashes com conteúdo acionável (nomes de ameaças, carimbos de data/hora, geolocações, IPs resolvidos de recursos da Web infectados, hashes de malware associados, e assim por diante) cobrindo servidores de botnet para computador e dispositivos móveis, além de objetos maliciosos relacionados. Ao contrário dos Feeds de Botnet tradicionais que fornecem informações brutas e dados não filtrados, oferecemos informações precisas e oportunas com base em atividades de botnet reais em tempo real. Os feeds de dados ajudam a detectar conexões com servidores de botnet (C&Cs) que são usadospor criminosos virtuais para controlar máquinas infectadas (bots).
Os Feeds de dados de C&C de Botnet da Kaspersky são adequados tanto para aplicações pequenas de rede quanto para gateways/servidores de missão crítica de alto desempenho, bem como para filtragem de conteúdo/fornecedores de segurança na Internet, IPS e empresas de hospedagem na Web. É completamente agnóstico ao design de software ou hardware e pode ser implementado com êxito em plataformas proprietárias (que não sejam x86/*NIX).
Coleta e processamento
Os Feeds de dados de C&C de Botnet da Kaspersky são agregados a partir de fontes fundidas, heterogêneas e altamente confiáveis, como a Kaspersky Security Network e os nossos próprios rastreadores, serviço de monitoramento de Botnet (uma plataforma proprietária exclusiva que monitora botnets e bots, seus alvos e atividades 24/7/365), armadilhas de spam, equipes de pesquisa e parceiros. Assim, os dados agregados são cuidadosamente inspecionados e refinados em tempo real usando várias técnicas de pré-processamento, como critérios estatísticos, Kaspersky Expert Systems (sandboxes, mecanismos heurísticos, multisscanners, ferramentas de similaridade, proficiência de comportamento, etc.) e verificação de listas de permissão:
Os feeds de dados de C&C de Botnet da Kaspersky contêm dados de indicadores de ameaças cuidadosamente pesquisados, obtidos do mundo real em tempo real.
Recursos
- Os feeds de dados repletos de falsos positivos não têm valor, por isso são aplicados testes e filtros extensivos antes de liberar feeds para garantir a entrega de dados 100% examinados.
- Os dados de inteligência são coletados continuamente da Kaspersky Security Network (uma enorme rede distribuída com mais de 100 milhões de usuários em todo o mundo) e atualizados em tempo real.
- Feeds atualizados de forma contínua com base em descobertas sobre botnets em todo o mundo.
- Centenas de milhares de máscaras para detectar botnet de C&Cs e recursos relacionados da Web.
- Enorme cobertura (dezenas de milhares de botnets e bots são rastreados em uma base diária).
- Formatos de distribuição leve simples (JSON, CSV, OpenIoC, STIX) por meio de FTP, HTTPS ou mecanismos de entrega ad-hoc suportam a integração fácil de feeds em soluções de segurança.
Benefícios
- Detecte os recursos da Web para os quais os bots transferem dados roubados (dropzones controladas pelo proprietário do botnet) e melhore a proteção dos usuários on-line (não expondo suas informações/dados pessoais ou protegendo os recursos computacionais contra o sequestro), além da reputação de sua organização (protegendo os dados confidenciais essenciais aos negócios contra vazamentos).
- Detecte recursos da Web a partir dos quais os bots recebem instruções de comando e controle, interrompendo proativamente os ataques virtuais dos botnets correspondentes em tempo real.
- Bloqueie o tráfego ruim entre nós de C&C na Internet e aprenda mais sobre máquinas comprometidas dentro de sua organização/rede.
- Filtre os endereços/URLs de origem e de destino em seu tráfego de rede para tomar as medidas adequadas de prevenção contra riscos.
- Aproveite a inteligência para combater grandes botnets globais sem ter que investir em complexos centros de análise de ameaças e tenha uma visão global em tempo real das atividades mal-intencionadas em botnets.
- Possibilite relatar o abuso a ISPs/MSSPs onde C&C de botnets são hospedados, deixando os provedores eliminar os recursos ofensivos e prejudicar, ou até mesmo bloquear completamente, a funcionalidade do botnet.
Casos de uso
- Reforce suas soluções de proteção de rede, incluindo Firewalls, IPS/IDS, Proxy de Segurança, soluções de DNS seguras com Indicadores de compromisso (IOCs) continuamente atualizados e contexto acionável para reforçar preventivamente as medidas de segurança e evitar vazamentos de dados.
- Desenvolva ou aprimore a proteção antimalware para dispositivos de rede periféricos (como roteadores, gateways, aparelhos UTM) e detecte objetos mal-intencionados analisando o tráfego da rede.
- Exponha infecções ativas verificando se máquinas infectadas ou nós estão sendo usadospara fins ilegítimos dentro de seu perímetro de segurança.
- Previna a perda e extração de informações sigilosas que possam ser usadas em roubo de identidade ou abuso de marca.
- Derrube os C&C ativos que emitem os comandos para atacar clientes específicos e informe esses clientes sobre novos ataques, nível de risco e ações para prevenir ataques semelhantes no futuro.
Não há indícios de que o número de ataques de botnet diminuirá no futuro. Aproveite a inteligência de ameaças sobre botnets para impedir criminosos de visar e explorar seus clientes ou negócios. Os Feeds de dados de C&C de Botnet da Kaspersky permitem que você atualize e fortaleça sua segurança de forma conveniente e econômica. Fortaleça-se com uma inteligência inigualável sobre a intenção, as capacidades e os alvos imediatos do submundo da criminalidade virtual, alimentando direta e integralmente suas soluções de segurança.
Fale conosco
Se desejar saber mais, preencha este formulário de contato e indique que precisa de mais informações sobre o Kaspersky Anti-Botnet Feeds, e nosso representante entrará em contato com você em breve.