A ботнет - это количество подключенных к Интернету устройств, на каждом из которых работает одно или несколько боты. Ботнеты могут использоваться для выполнения атак распределенного отказа в обслуживании (DDoS), кражи данных, рассылки спама и предоставления злоумышленнику доступа к устройству и его подключению. Владелец может управлять ботнетом с помощью программного обеспечения для управления и контроля (CC). Слово «ботнет» представляет собой портманто слов «робот » и «сеть ». Этот термин обычно используется с негативным или злонамеренным подтекстом.
Ботнет - это логическая совокупность устройств, подключенных к Интернету, таких как компьютеры, смартфоны или устройства Интернета вещей, безопасность которых была нарушена и контроль передан третьей партия. Каждое скомпрометированное устройство, известное как «бот», создается, когда на устройство проникает программное обеспечение из распространения вредоносного ПО. Контроллер ботнета может направлять действия этих скомпрометированных компьютеров через каналы связи, сформированные основанными на стандартах сетевыми протоколами, такими как IRC и Протокол передачи гипертекста <141.>(HTTP).
Ботнеты все чаще сдают в аренду киберпреступники как товары для различных целей.
Архитектура ботнета со временем эволюционировала, чтобы избежать обнаружения и нарушения. Традиционно программы-боты строятся как клиенты, которые общаются через существующие серверы. Это позволяет пастуху (человеку, управляющему ботнетом) осуществлять все управление из удаленного места, что скрывает трафик. Многие недавние ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти программы-боты P2P выполняют те же действия, что и модель клиент-сервер, но им не требуется центральный сервер для связи.
Первые бот-сети в Интернете использовали модель клиент-сервер для выполнения свои задачи. Обычно эти бот-сети работают через сети, домены или веб-сайты ретрансляционного чата в Интернете. Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд от сервера. Бот-пастух отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о своих результатах бот-пастуху.
В случае ботнетов IRC зараженные клиенты подключаются к зараженному серверу IRC и присоединяются к каналу, предварительно назначенному для CC бот-пастырем. Бот-пастух отправляет команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно в канал IRC с результатами своих действий.
В ответ на попытки обнаружить и обезглавить IRC-ботнеты, бот-пастыри начали развертывать вредоносное ПО в одноранговых сетях. Эти боты могут использовать цифровые подписи, так что только тот, у кого есть доступ к закрытому ключу, может управлять ботнетом. См. Например Gameover ZeuS и Ботнет ZeroAccess.
Более новые ботнеты полностью работают в P2P-сетях. Вместо того, чтобы взаимодействовать с централизованным сервером, P2P-боты работают как сервер распределения команд и как клиент, который получает команды. Это позволяет избежать единой точки отказа, что является проблемой для централизованных ботнетов.
Чтобы найти другие зараженные машины, бот незаметно исследует случайные IP-адреса, пока не свяжется с другой зараженной машиной. Бот, с которым вы связались, отвечает с такой информацией, как версия его программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем версия другого, они инициируют передачу файла для обновления. Таким образом, каждый бот увеличивает свой список зараженных машин и обновляется, периодически связываясь со всеми известными ботами.
Создатель ботнета (известный как «бот-пастух » или «бот-мастер») управляет ботнетом удаленно. Это известно как командование и контроль (CC). Программа операции должна связываться через скрытый канал с клиентом на машине жертвы (компьютер-зомби).
IRC - это исторически излюбленное средство CC из-за его протокола связи. Бот-пастух создает канал IRC для подключения зараженных клиентов. Сообщения, отправленные на канал, транслируются всем участникам канала. Бот-пастырь может установить тему канала для управления ботнетом. Например. сообщение : herder! [email#160;protected] TOPIC #channel DDoS www.victim.com
от бот-пастуха предупреждает всех зараженных клиентов, принадлежащих #channel, о начале DDoS-атаки на веб-сайте www.victim.com. Пример ответа : bot1! [email#160;protected] PRIVMSG #channel Я использую DDoSing www.victim.com
бот-клиентом, который предупреждает бота-пастуха о начале атаки.
Некоторые ботнеты реализуют специальные версии известных протоколов. Различия в реализации могут быть использованы для обнаружения ботнетов. Например, Mega-D имеет слегка измененную реализацию SMTP для тестирования способности спама. Выключение Mega-D сервера SMTP отключает весь пул ботов, которые полагаются на один и тот же сервер SMTP.
В информатике компьютер-зомби - это компьютер, подключенный к Интернету, который был взломан хакером, компьютерным вирусом или троянским конем и может использоваться для выполнения вредоносных задач одного вида. или другой под удаленным руководством. Бот-сети компьютеров-зомби часто используются для распространения спама в электронной почте и запуска атак типа «отказ в обслуживании». Большинство владельцев зомби-компьютеров не подозревают, что их система используется таким образом. Поскольку владелец обычно не подозревает, эти компьютеры образно сравнивают с зомби. Скоординированная DDoS-атака нескольких машин ботнета также напоминает атаку орды зомби. Многие пользователи компьютеров не знают, что их компьютер заражен ботами.
Процесс кражи вычислительных ресурсов в результате присоединения системы к «ботнету» иногда называют «скрампингом».
Протоколы управления и контроля (CC) ботнета были реализованы разными способами, от традиционных подходов IRC до более сложных версий.
Ботнеты Telnet используют простой протокол ботнета CC, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью сценария сканирования, сценарий сканирования запускается на внешнем сервере и сканирует диапазоны IP-адресов для входа в систему через Telnet и SSH-сервер по умолчанию. Как только логин обнаружен, он добавляется в список заражений и заражается вредоносной линией заражения через SSH с сервера сканера. Когда запускается команда SSH, она заражает сервер и дает ему команду проверить связь с управляющим сервером и становится его подчиненным из-за заражающего его вредоносного кода. После заражения серверов на сервере контроллер бота может запускать DDoS-атаки большого объема с помощью панели CC на главном сервере.
IRC-сети используют простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и используются с умеренным успехом для координации DDoS-атак и спам-кампаний, имея при этом возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 (IRC ) популярен среди ботнетов. Первый известный сценарий контроллера ботнета, MaXiTE Bot, использовал протокол IRC XDCC для частных команд управления.
Одна из проблем с использованием IRC заключается в том, что каждый бот-клиент должен знать IRC-сервер, порт и канал, чтобы быть полезными для ботнета. Организации, занимающиеся защитой от вредоносных программ, могут обнаруживать и отключать эти серверы и каналы, эффективно останавливая атаку ботнета. Если это происходит, клиенты по-прежнему заражены, но обычно бездействуют, поскольку не имеют возможности получать инструкции. Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаруживать и нарушать работу дополнительных серверов или каналов ботнета, отслеживая трафик IRC. Злоумышленник ботнета может даже потенциально получить информацию о схеме управления и имитировать бот-пастуха, правильно выполнив команды.
Поскольку большинство ботнетов, использующих IRC-сети и домены, со временем могут быть отключены, хакеры перешли на ботнеты P2P с CC, чтобы усложнить их уничтожение.
Некоторые также использовали шифрование как способ защитить или заблокировать ботнет от других, в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом, что создает проблемы как в реализовать его и сломать.
Многие крупные бот-сети обычно используют домены, а не IRC при построении (см. ботнет Rustock и ботнет Srizbi ). Обычно они размещаются на сервисах пуленепробиваемого хостинга. Это один из самых ранних типов CC. Компьютер зомби обращается к специально разработанной веб-странице или домену (доменам), который обслуживает список управляющих команд. Преимущества использования веб-страниц или доменов в качестве CC заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который можно легко обновлять.
Недостатки этого метода заключаются в том, что он использует значительную полосу пропускания в большом масштабе, а домены могут быть быстро захвачены государственными учреждениями без особых проблем и усилий. Если домены, управляющие ботнетами, не захвачены, их также легко взломать с помощью атак типа «отказ в обслуживании»..
Fast-flux DNS может быть использован как способ затруднить отслеживание управляющие серверы, которые могут меняться день ото дня. Управляющие серверы также могут переключаться из домена DNS в домен DNS, при этом алгоритмы генерации домена используются для создания новых имен DNS для серверов контроллеров.
Некоторые бот-сети используют бесплатные службы DNS хостинга, такие как DynDns.org, No-IP.com и Afraid.org, чтобы указать субдомен на IRC-сервер, который укрывает ботов. Хотя эти бесплатные службы DNS сами по себе не организуют атаки, они предоставляют ориентиры (часто жестко запрограммированные в исполняемый файл ботнета). Удаление таких сервисов может вывести из строя весь ботнет.
Обратный звонок на крупные социальные сети, такие как GitHub, Twitter, Reddit, Instagram, XMPP протокол обмена мгновенными сообщениями с открытым исходным кодом и Tor скрытые службы - популярные способы избежать исходящей фильтрации для связи с Сервер CC.
.
В этом примере показано, как ботнет создается и используется для злонамеренной выгоды.
Новые боты могут автоматически сканировать свою среду и распространяются, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнета.
Компьютеры могут быть включены в ботнет, когда они запускают вредоносное ПО. Этого можно добиться, соблазнив пользователей выполнить загрузку на машине, используя уязвимости веб-браузера или заставив пользователя запустить программу троянский конь, который может быть получен из вложения электронной почты. Эта вредоносная программа обычно устанавливает модули, которые позволяют оператору ботнета управлять компьютером и управлять им. После загрузки программное обеспечение позвонит домой (отправит пакет повторного подключения ) на главный компьютер. При повторном подключении, в зависимости от того, как оно написано, троянец может затем удалить себя или может оставаться при обновлении и обслуживании модулей.
В некоторых случаях ботнет может быть временно создан добровольцами хактивистами, например, при реализации низкоорбитальной ионной пушки как используется участниками 4chan во время Project Chanology в 2010 году.
Китай Great Cannon of China позволяет изменять законный трафик просмотра веб-страниц на магистральные сети Интернет в Китай для создания большого эфемерного ботнета для атаки крупных целей, таких как GitHub, в 2015 году.
Сообщество контроллеров ботнета ведет постоянную и непрерывную борьбу за то, у кого больше всего ботов, самая высокая общая пропускная способность и самая высокая -quality "зараженные машины, такие как университетские, корпоративные и даже правительственные машины.
Хотя ботнеты часто называют в честь создавшего их вредоносного ПО, несколько ботнетов обычно используют одно и то же вредоносное ПО, но управляются разными организациями.
Ботнеты могут использоваться для многих электронных мошенников. Эти ботнеты могут использоваться для распространения вредоносных программ, таких как вирусы, для получения контроля над компьютером / программным обеспечением обычных пользователей. Взяв под контроль чей-то персональный компьютер, они получают неограниченный доступ к своей личной информации, включая пароли и данные для входа в учетные записи. Это называется фишингом. Фишинг - это получение информации для входа в учетные записи «жертвы» с помощью ссылки, по которой «жертва» нажимает, которая отправляется по электронной почте или в текстовом виде. Опрос Verizon показал, что около двух третей случаев электронного «шпионажа» связаны с фишингом.
Географическое распространение ботнетов означает, что каждый новобранец должен быть индивидуально идентифицирован / загонен / отремонтирован и ограничивает преимущества фильтрации.
Эксперты по компьютерной безопасности преуспели в разрушении или подрыве сетей управления и контроля вредоносных программ, в том числе путем захвата серверов или их отключения от Интернета, отказ в доступе к доменам, которые должны были использоваться вредоносными программами для связи с его инфраструктурой CC, а в некоторых случаях взлом самой сети CC. В ответ на это операторы CC прибегли к использованию таких методов, как наложение своих сетей CC на другую существующую безопасную инфраструктуру, такую как IRC или Tor, с использованием одноранговой сети. сетевые системы, не зависящие от каких-либо фиксированных серверов, и использующие шифрование с открытым ключом для предотвращения попыток взлома или подделки сети.
Norton AntiBot был нацелен на потребителей, но большинство нацелено на предприятия и / или интернет-провайдеров. Методы, основанные на хосте, используют эвристику для определения поведения бота, обходящего обычное антивирусное программное обеспечение. Сетевые подходы, как правило, используют методы, описанные выше; выключение CC серверов, нулевые записи DNS-маршрутизации или полное выключение серверов IRC. BotHunter - это программное обеспечение, разработанное при поддержке США. Army Research Office, которая обнаруживает активность ботнета в сети, анализируя сетевой трафик и сравнивая его с шаблонами, характерными для вредоносных процессов.
Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно выполняя один миллион ядер Linux - аналогичный масштабам ботнета - как виртуальные машины на 4480- высокопроизводительный узел компьютерный кластер для имитации очень большой сети, что позволяет им наблюдать, как работают бот-сети, и экспериментировать с способами их остановки.
Обнаружение автоматических атак ботов с каждым днем становится все труднее по мере того, как злоумышленники запускают новые и более сложные поколения ботов. Например, автоматическая атака может развернуть большую армию ботов и применить методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегружать сайты десятками тысяч запросов с разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день. В этих случаях многие инструменты пытаются использовать объемное обнаружение, но автоматические атаки ботов теперь имеют способы обойти триггеры объемного обнаружения.
Один из методов обнаружения этих атак ботов - это так называемые «системы на основе сигнатур», в которых программное обеспечение пытается обнаружить шаблоны в пакете запроса. Но атаки постоянно развиваются, поэтому этот вариант может оказаться нежизнеспособным, если шаблоны невозможно выделить из тысяч запросов. Существует также поведенческий подход к противодействию ботам, который в конечном итоге пытается отличить ботов от людей. Выявляя нечеловеческое поведение и распознавая известное поведение ботов, этот процесс может применяться на уровне пользователя, браузера и сети.
Самым эффективным методом использования программного обеспечения для борьбы с вирусом было использование программного обеспечения honeypot, чтобы убедить вредоносное ПО в уязвимости системы. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.
15 июля 2014 года Подкомитет по преступности и терроризму Комитета судебной власти Сената США провел слушания по угрозам, исходящим от бот-сетей и государственные и частные попытки разрушить и уничтожить их.
Первый ботнет был впервые обнаружен и разоблачен EarthLink во время судебного процесса с известным спаммером Khan C. Смит в 2001 году для целей массового спама, на который приходилось почти 25% всего спама в то время.
Примерно в 2006 году, чтобы помешать обнаружению, размер некоторых ботнетов уменьшился.
Дата создания | Дата демонтажа | Имя | Расчетное количество ботов | Объем спама (млрд / день) | Псевдонимы |
---|---|---|---|---|---|
1999 | !a | 999,999,999 | 100000 | ! a | |
2003 | MaXiTE | 500-1000 серверов | 0 | MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ | |
2004 (ранний) | Bagle | 230,000 | 5,7 | Бигль, Митглидер, Лодейт | |
Ботнет Апа Иту? | 6,215,000 | 92 | Pengertian Botnet dan care kerjanya | ||
Torpig | 180,000 | Sinowal, Anserin | |||
Storm | 160,000 | 3 | Нувар, Пикомм, Желатин | ||
2006 (около) | 2011 (март) | Русток | 150,000 | 30 | РКРусток, Кострат |
Донбот | 125,000 | 0,8 | Buzus, Bachsoy | ||
2007 (около) | Cutwail | 1,500,000 | 74 | Pandex, Мутант (родственник: Вигон, Пушдо) | |
2007 | Акбот | 1,300,000 | |||
2007 (март) | 2008 (ноябрь) | Сризби | 450,000 | 60 | Cbeplay, Exchanger |
Lethic | 260,000 | 2 | нет | ||
Xarvester | 10,000 | 0,15 | Rlsloup, Pixoliz | ||
2008 (около) | Sality | 1000000 | Сектор, Куку | ||
2008 (около) | 2009-декабрь | Марипоса | 12000000 | ||
2008 (ноябрь) | Conficker | 10,500,000+ | 10 | DownUp, DownAndUp, DownAdUp, Kido | |
2008 (ноябрь) | 2010 (март) | Waledac | 80,000 | 1,5 | Вт алед, Валедпак |
Маазбен | 50,000 | 0,5 | Нет | ||
Onewordsub | 40,000 | 1,8 | |||
Gheg | 30,000 | 0,24 | Тофзее, Мондера | ||
Нукрипт | 20,000 | 5 | Лооски, Локски | ||
Вопла | 20,000 | 0,6 | Pokier, Slogger, Cryptic | ||
2008 (около) | Asprox | 15,000 | Danmec, Hydraflux | ||
0 | Spamthru | 12,000 | 0,35 | Spam-DComServ, Covesmer, Xmiler | |
2008 (около) | Gumblar | ||||
2009 (май) | ноябрь 2010 (не полностью) | BredoLab | 30,000,000 | 3,6 | Oficla |
2009 (около) | 19.07.2012 | Грум | 560,000 | 39.9 | Тедру |
Mega-D | 509,000 | 10 | Ozdok | ||
Kraken | 495,000 | 9 | Kracken | ||
2009 (Август) | Festi | 250,000 | 2,25 | Spamnost | |
2010 (март) | Vulcanbot | ||||
2010 (январь) | LowSec | 11,000+ | 0,5 | LowSecurity, FreeMoney, Ring0.Tools | |
2010 (около) | TDL4 | 4,500,000 | TDSS, Alureon | ||
Zeus | 3,600,000 (только для США) | Zbot, PRG, Wsnpoem, Gorhax, Kneber | |||
2010 | (Несколько: 2011, 2012) | Kelihos | 300,000+ | 4 | Hlux |
2011 г. или ранее | 2015-02 | Ramnit | 3,000,000 | ||
2013 (ранний) | 2013 | Zer0n3t | 200+ серверных компьютеров | 4 | Fib3rl0g1c, Zer0n3t, Zer0Log1x |
2012 (Around) | Chameleon | 120,000 | Нет | ||
2016 ( Август) | Mirai | 380,000 | Нет | ||
2014 | Necurs | 6,000,000 | |||
2015 | |||||
2018 | Smominru |