Ботнет

Ботнет- это несколько подключенных к Интернету устройств, на каждом из которых работает один или несколько ботов. Ботнеты могут использоваться для выполнения распределенных атак типа "отказ в обслуживании" (DDoS), кражи данных, отправки спама и предоставления злоумышленнику доступа к устройству и его соединению. Владелец может управлять ботнетом с помощью программного обеспечения command and control (C&C). Слово "ботнет" представляет собой комбинацию слов "робот" и "сеть". Этот термин обычно используется с негативной или злонамеренной коннотацией.

Обзор[править]

Ботнет-это логическая совокупность подключенных к Интернету устройств, таких как компьютеры, смартфоны или устройства Интернета вещей, безопасность которых была нарушена, а контроль передан третьей стороне. Каждое скомпрометированное устройство, известное как" бот", создается, когда на устройство проникает программное обеспечение из дистрибутива вредоносных программ (Malware software). Контроллер ботнета способен направлять деятельность этих скомпрометированных компьютеров по каналам связи, сформированным стандартными сетевыми протоколами, такими как IRC и протокол передачи гипертекста (HTTP).

Ботнеты все чаще сдаются киберпреступниками в аренду в качестве товаров для различных целей.

Архитектура[править]

Архитектура ботнета эволюционировала с течением времени в попытке избежать обнаружения и разрушения. Традиционно бот-программы строятся как клиенты, которые общаются через существующие серверы. Это позволяет боту-пастуху (человеку, управляющему ботнетом) выполнять весь контроль из удаленного местоположения, что запутывает трафик. многие недавние ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти P2P-боты выполняют те же действия, что и модель клиент-сервер, но они не требуют центрального сервера для связи.

Модель клиент-сервер[править]

Первые ботнеты в интернете использовали клиент-серверную модель для выполнения своих задач. Как правило, эти ботнеты работают через Интернет-ретрансляционные чат-сети, домены или веб-сайты. Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд с сервера. Бот-пастух отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о своих результатах боту-пастуху.

В случае IRC-бот-сетей зараженные клиенты подключаются к зараженному IRC-серверу и присоединяются к каналу, предварительно назначенному для C&C пастухом ботов. Бот-пастух посылает команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно в IRC-канал с результатами своих действий.

Peer-to-peer[править]

В ответ на усилия по обнаружению и обезглавливанию IRC-ботнетов боты-пастухи начали развертывать вредоносные программы в одноранговых сетях. Эти боты могут использовать цифровые подписи, так что только тот, кто имеет доступ к закрытому ключу, может управлять ботнетом. см., например, Gameover ZeuS и ZeroAccess botnet.

Новые ботнеты полностью работают через P2P-сети. Вместо того чтобы взаимодействовать с централизованным сервером, P2P-боты выполняют функции как сервера распределения команд, так и клиента, который получает команды. это позволяет избежать наличия какой-либо одной точки отказа, что является проблемой для централизованных ботнетов.

Чтобы найти другие зараженные машины, бот незаметно исследует случайные IP-адреса, пока не свяжется с другой зараженной машиной. Связавшийся бот отвечает такой информацией, как версия его программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем у другого, они инициируют передачу файла для обновления.Таким образом, каждый бот увеличивает свой список зараженных машин и обновляет себя, периодически общаясь со всеми известными ботами.

Основные компоненты[править]

Создатель ботнета (известный как "bot herder" или "bot master") управляет ботнетом удаленно. Это известно как командование и управление (C&C). Программа для проведения операции должна связаться по тайному каналу с клиентом на машине жертвы (компьютер зомби).

Протоколы управления[править]

IRC является исторически предпочтительным средством C&C из-за своего коммуникационного протокола. Бот-пастух создает IRC-канал для присоединения зараженных клиентов. Сообщения, отправленные на канал, транслируются всем участникам канала. Например, сообщение от бота-пастуха :herder!herder@example.com TOPIC #channel DDoS www.victim.comпредупреждает всех зараженных клиентов, принадлежащих #channel, о начале DDoS-атаки на веб-сайт www.victim.com. Пример ответа :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.comклиента бота предупреждает владельца бота о том, что он начал атаку.

Некоторые ботнеты реализуют пользовательские версии известных протоколов. Различия в реализации могут быть использованы для обнаружения ботнетов. Например, Mega-D имеет слегка модифицированную реализацию SMTP для тестирования возможности спама. Вывод из строя SMTP-сервера Mega-D отключает весь пул ботов, которые полагаются на один и тот же SMTP-сервер.

Зомби-компьютер[править]

В компьютерных науках зомби-компьютер это компьютер, подключенный к Интернету, который был скомпрометирован хакером, компьютерным вирусом или троянским конем и может быть использован для выполнения вредоносных задач того или иного рода под удаленным руководством. Ботнеты зомби-компьютеров часто используются для распространения спама по электронной почте и запуска атак типа "отказ в обслуживании". Большинство владельцев зомби-компьютеров не знают, что их система используется таким образом. Поскольку владелец, как правило, не знает, эти компьютеры метафорически сравниваются с зомби. Скоординированная DDoS-атака нескольких ботнет-машин также напоминает атаку орды зомби. Многие пользователи компьютеров не знают, что их компьютер заражен ботами.

Процесс кражи вычислительных ресурсов в результате присоединения системы к " ботнету "иногда называют"scrumping".

Командование и управление[править]

Протоколы командования и управления ботнетами (C&C) были реализованы несколькими способами, от традиционных подходов IRC до более сложных версий.

Telnet[править]

Ботнеты Telnet используют простой протокол C&C botnet, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью скрипта сканирования, скрипт сканирования запускается на внешнем сервере и сканирует IP-диапазоны для входа в систему telnet и SSH-сервера по умолчанию. Как только логин найден, он добавляется в список зараженных и заражается вредоносной инфекционной линией через SSH on с сервера сканера. Когда команда SSH выполняется, она заражает сервер и командует серверу пинговать на сервер управления и становится его ведомым от заражающего его вредоносного кода. Как только серверы заражены на сервер, бот-контроллер может запускать DDoS-атаки большого объема с помощью панели C&C на хост-сервере.

IRC[править]

IRC-сети используют простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и с умеренным успехом используются для координации DDoS-атак и спам-кампаний, в то же время имея возможность постоянно переключать каналы, чтобы избежать сноса. Однако в некоторых случаях простая блокировка определенных ключевых слов доказала свою эффективность в остановке IRC-ботнетов. RFC 1459 (IRC) стандарт популярен среди ботнетов. Первый известный популярный скрипт контроллера ботнета, "MaXiTE Bot", использовал протокол IRC XDCC для частных команд управления.

Одна из проблем с использованием IRC заключается в том, что каждый клиент бота должен знать IRC-сервер, порт и канал, чтобы быть полезным для ботнета. Антивирусные организации могут обнаруживать и отключать эти серверы и каналы, эффективно останавливая атаку ботнетов. Если это происходит, клиенты все еще заражены, но они обычно лежат в спячке, так как у них нет возможности получать инструкции. Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаружить и нарушить работу дополнительных серверов или каналов ботнетов, вынюхивая IRC-трафик. Противник ботнета может даже потенциально получить знания о схеме управления и имитировать пастуха ботов, правильно выдавая команды.

P2P[править]

Поскольку большинство ботнетов, использующих IRC-сети и домены, могут быть уничтожены со временем, хакеры перешли на P2P-ботнеты с C&C, чтобы сделать их более трудными для уничтожения.

Некоторые также использовали шифрование как способ защиты или блокировки ботнета от других, в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом, и она представляет проблемы как в реализации, так и в взломе.

Домены[править]

Многие крупные ботнеты, как правило, используют домены, а не IRC в своей конструкции (см. Rustock botnet и srizbi botnet). Они обычно размещаются с пуленепробиваемыми услугами хостинга. Это один из самых ранних типов C&C. Компьютер-зомби получает доступ к специально разработанной веб-странице или домену (доменам), которые служат списком управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который легко обновляется.

Недостатки использования этого метода заключаются в том, что он использует значительный объем пропускной способности в больших масштабах, и домены могут быть быстро захвачены правительственными учреждениями без особых проблем или усилий. Если Домены, контролирующие ботнеты, не будут захвачены, они также станут легкой мишенью для атак типа "отказ в обслуживании".

Fast-flux DNS можно использовать как способ затруднить отслеживание управляющих серверов, которые могут меняться изо дня в день. Управляющие серверы также могут переходить из DNS-домена в DNS-домен, причем алгоритмы генерации доменов используются для создания новых DNS-имен для серверов контроллеров.

Некоторые ботнеты используют бесплатные услуги DNS хостинга, такие как DynDns.org, No-IP.com, и Afraid.org чтобы указать поддомен на IRC-сервер, который укрывает ботов. Хотя эти бесплатные DNS-сервисы сами по себе не размещают атаки, они предоставляют опорные точки (часто жестко закодированные в исполняемый файл ботнета). Удаление таких сервисов может вывести из строя весь ботнет.

Другие[править]

Перезвонили на большие сайты социальных медиа например, на GitHub, в Twitter, Реддите, Instagram, в XMPP с открытым исходным кодом мгновенных сообщений протокола и Тор скрытых сервисов несколько популярных способов избежать фильтрацию для связи с C&C сервера.

Строительство[править]

Традиционный[править]

Этот пример иллюстрирует, как ботнет создается и используется для злонамеренной выгоды.

• Хакер покупает или создает Троянский и/или эксплойт—набор и использует его для заражения компьютеров пользователей, полезной нагрузкой которых является вредоносное приложение-бот.
• Бот дает команду зараженному компьютеру подключиться к определенному серверу управления и управления (C&C). (Это позволяет ботмастеру вести журналы того, сколько ботов активно и онлайн.)
• Затем ботмастер может использовать ботов для сбора нажатий клавиш или использовать захват форм для кражи учетных данных в интернете, а также может сдавать ботнет в аренду в качестве DDoS и / или спама в качестве сервиса или продавать учетные данные в интернете с прибылью.
• В зависимости от качества и возможностей ботов, значение увеличивается или уменьшается.

Новые боты могут автоматически сканировать свою среду и распространять себя, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнетов.[22]

Компьютеры могут быть кооптированы в ботнет, когда они выполняют вредоносное программное обеспечение. Это может быть достигнуто путем заманивания пользователей в создание загрузки drive-by, использования уязвимостей веб-браузераили путем обмана пользователя в запуске программы троянского коня , которая может исходить из вложения электронной почты. Эта вредоносная программа обычно устанавливает модули, которые позволяют управлять компьютером и управлять им оператору ботнета. После загрузки программного обеспечения он позвонит домой (отправит пакет повторного подключения) на главный компьютер. При повторном подключении, в зависимости от того, как он записан, троянец может затем удалить себя или остаться присутствовать для обновления и обслуживания модулей.

Другие[править]

В некоторых случаях ботнет может быть временно создан добровольными хактивистами, например, с помощью низкоорбитальной ионной пушки, используемой членами 4chan во время проекта Chanology в 2010 году.

Великая Китайская пушка Китая позволяет модифицировать законный трафик просмотра веб-страниц в интернет-бэкбонах в Китае, чтобы создать большой эфемерный ботнет для атаки крупных целей, таких как GitHub в 2015 году.

Общие характеристики[править]

• Большинство ботнетов в настоящее время используют распределенные атаки типа "отказ в обслуживании", при которых несколько систем отправляют как можно больше запросов на один интернет-компьютер или сервис, перегружая его и препятствуя обслуживанию законных запросов. Примером может служить атака на сервер жертвы. Сервер жертвы бомбардируется запросами ботов, пытающихся подключиться к серверу, поэтому он перегружается.
• Шпионское ПО – это программное обеспечение, которое отправляет своим создателям информацию о действиях пользователя-обычно пароли, номера кредитных карт и другую информацию, которая может быть продана на черном рынке. Скомпрометированные машины, расположенные в корпоративной сети, могут стоить больше для бота-пастуха, поскольку они часто могут получить доступ к конфиденциальной корпоративной информации. Несколько целенаправленных атак на крупные корпорации были направлены на кражу конфиденциальной информации, такой как ботнет Aurora.]
• Спам по электронной почте-это сообщения электронной почты, замаскированные под сообщения от людей, но являющиеся либо рекламой, либо раздражающими, либо вредоносными.
• Мошенничество с кликами происходит, когда компьютер пользователя посещает веб-сайты без ведома пользователя, чтобы создать ложный веб-трафик для личной или коммерческой выгоды.
• Мошенничество с рекламой часто является следствием вредоносной активности бота, согласно CHEQ, Ad Fraud 2019, экономической стоимости плохих актеров в Интернете. коммерческие цели ботов включают в себя влиятельных людей, использующих их для повышения своей предполагаемой популярности, и онлайн-издателей, использующих ботов для увеличения количества кликов, получаемых рекламой, что позволяет сайтам получать больше комиссионных от рекламодателей.
• Биткойн-майнинг использовался в некоторых более поздних ботнетах, которые включают биткойн-майнинг в качестве функции для получения прибыли для оператора ботнета.

• Самораспространяющаяся функциональность, направленная на поиск предварительно настроенных командно-управляющих команд (ЧПУ), толкаемых инструкций содержит целевые устройства или сеть, чтобы стремиться к большему заражению, также обнаружена в нескольких ботнетах. Некоторые из ботнетов используют эту функцию для автоматизации своих инфекций.

Рынок[править]

Сообщество контроллеров ботнетов ведет постоянную и непрерывную борьбу за то, у кого больше ботов, самая высокая общая пропускная способность и самые "качественные" зараженные машины, такие как университетские, корпоративные и даже правительственные машины.

Хотя ботнеты часто называются в честь вредоносной программы, которая их создала, несколько ботнетов обычно используют одну и ту же вредоносную программу, но управляются разными сущностями.

Фишинг[править]

Ботнеты могут быть использованы для многих электронных мошенничеств. Эти ботнеты могут быть использованы для распространения вредоносных программ, таких как вирусы, чтобы взять под контроль компьютер/программное обеспечение обычных пользователей взяв под контроль чей-то персональный компьютер, они имеют неограниченный доступ к своей личной информации, включая пароли и регистрационные данные для учетных записей. Это называется фишингом. Фишинг - это получение регистрационной информации для учетных записей " жертвы "с помощью ссылки, по которой" жертва " нажимает, которая отправляется по электронной почте или тексту. опрос Verizon выяснилось, что около двух третей случаев электронного "шпионажа" происходит из-за фишинга.

Контрмеры[править]

Географическое распространение ботнетов означает, что каждый рекрут должен быть индивидуально идентифицирован/загнан в угол/отремонтирован и ограничивает преимущества фильтрации.

Эксперты по компьютерной безопасности удалось уничтожить или подорвать обеспечением управления и контроля сетей, путем, среди прочего, изъяты сервера или получать их отрезали от Интернета, запрет доступа к доменам, которые должны быть использованы вредоносными программами для контакта его C&C инфраструктуры, и, в некоторых случаях, поломка в С&C по Сети себя. в ответ на это, с&C операторы прибегают к использованию методов, таких как наложение их с&C сетями других имеющихся доброкачественных инфраструктуры, таких, как в IRC или Тор, через пиринговые сети системы, которые не зависят от каких-либо фиксированных серверов и используют шифрование с открытым ключом для предотвращения попыток взлома или подделки сети.]

Norton AntiBot был нацелен на потребителей, но большинство целевых предприятий и/или интернет-провайдеров. Методы, основанные на хосте, используют эвристику для идентификации поведения бота, который обошел обычное антивирусное программноеобеспечение . Сетевые подходы, как правило, используют методы, описанные выше: отключение серверов C&C, нулевая маршрутизация DNS-записей или полное отключение IRC-серверов. BotHunter-это программное обеспечение , разработанное при поддержке исследовательского управления армии США, которое обнаруживает активность ботнетов в сети путем анализа сетевого трафика и сравнения его с паттернами, характерными для вредоносных процессов.

Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно запуская миллион ядер Linux-аналогичного масштаба ботнету-в качестве виртуальных машин на высокопроизводительном компьютерном кластере с 480 узлами, чтобы эмулировать очень большую сеть, позволяя им наблюдать, как работают ботнеты, и экспериментировать с способами их остановки.]

Обнаружение автоматических атак ботов становится все более трудным с каждым днем, поскольку новые и более сложные поколения ботов запускаются злоумышленниками. Например, автоматизированная атака может развернуть большую армию ботов и применить методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегружать сайты десятками тысяч запросов от разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день.[40] В этих случаях многие инструменты пытаются использовать объемное обнаружение, но автоматизированные атаки ботов теперь имеют способы обойти триггеры объемного обнаружения.

Один из методов обнаружения этих атак ботов-это так называемые" сигнатурные системы", в которых программное обеспечение пытается обнаружить паттерны в пакете запросов. Но атаки постоянно развиваются, так что это может быть нецелесообразным вариантом, когда шаблоны не могут быть распознаны из тысяч запросов. Существует также поведенческий подход к противодействию ботам, который в конечном счете пытается отличить ботов от людей. Идентифицируя нечеловеческое поведение и распознавая известное поведение бота, этот процесс может быть применен на уровне пользователя, браузера и сети.

Наиболее эффективным методом использования программного обеспечения для борьбы с вирусом было использование программного обеспечения honeypot, чтобы убедить вредоносное ПО, что система уязвима. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.

15 июля 2014 года подкомитет по преступности и терроризму Комитета по судебной системе Сената Соединенных Штатов провел слушания по вопросу об угрозах, создаваемых ботнетами, а также о государственных и частных усилиях по их разрушению и демонтажу.]

Исторический список ботнетов[править]

Первый ботнет был впервые признан и разоблачен EarthLink во время судебного процесса с печально известным спамером Khan C. Smith в 2001 году с целью массового спама, составляющего почти 25% всего спама в то время.

Примерно в 2006 году, чтобы помешать обнаружению, некоторые ботнеты стали уменьшаться в размерах.

Дата создания	Дата демонтажа	Имя	Расчетное количество ботов	Емкость спама (млрд/день)	Псевдонимы
2003		Максит	500-1000 серверов	0	MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004 (начало)		Багл	230,000	5.7	Beagle, Mitglieder, Lodeight
		Марина Ботнет	6,215,000	92	Деймон Бриант, Боб. dc, Котмонгер, Хактул. спамер, Кракен
		Торпеда	180,000		Синовал, Ансерин
		Шторм	160,000	3	Нувар, Пикомм, Желатин
2006 (около)	2011 (март)	Русток	150,000	30	Ркрусток, Кострат
		Донбот	125,000	0.8	Бузус, Бачсой
2007 (около)		Cutwail	1,500,000	74	Пандекс, мутант (родственник: Вигон, Пушдо)
2007		Акбот	1,300,000		-
2007 (март)	2008 (ноябрь)	Шризби	450,000	60	Cbeplay, Обменник
		Летальный исход	260,000	2	Нет
		Ксарвестер	10,000	0.15	Rlsloup, Pixoliz
2008 (около)		Салли	1,000,000		Сектор, Куку
2008 (около)	2009-декабрь	Марипоса	12,000,000
2008 (ноябрь)		Конфикер	10,500,000+	10	Даун-Ап, Даун-Ап, Даун-Ап, Кидо
2008 (ноябрь)	2010 (март)	Валедак	80,000	1.5	Валед, Валедпак
		Маазбен	50,000	0.5	Нет
		Onewordsub	40,000	1.8
		Гег	30,000	0.24	Тофзее, Мондера
		Nucrypt	20,000	5	Лоски, Локски
		Уопла	20,000	0.6	Покерист, Лозунгист, Загадочник
2008 (около)		Аспрокс	15,000		Danmec, Hydraflux
		Spamthru	12,000	0.35	Спам-DComServ, Covesmer, Xmiler
2008 (около)		Гумблар			-
2009 (май)	Ноябрь 2010 года (не завершен)	Бредолаб	30,000,000	3.6	Офикла
2009 (около)	2012-07-19	Ворчание	560,000	39.9	Тедру
		Мега-Д	509,000	10	Оздок
		Kraken	495,000	9	Крэкен
2009 (август)		Festi	250,000	2.25	Спамность
2010 (март)		Вулкан-бот			-
2010 (январь)		LowSec	11,000+	0.5	LowSecurity, FreeMoney, Ring0.Инструменты
2010 (около)		TDL4	4,500,000		ТДСС, Алюрон
		Зевс	3,600,000 (только США)		Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010	(Несколько: 2011, 2012)	Келихос	300,000+	4	Хлюкс
2011 или раньше	2015-02	Рамнит	3,000,000		-
2012 (около)		Хамелеон	120,000		Нет
2016 (Август)		Мирай	380,000		Нет
2014		Некурс	6,000,000		-

• Исследователи из Калифорнийского университета в Санта-Барбаре взяли под контроль ботнет, который оказался в шесть раз меньше, чем ожидалось. В некоторых странах, как правило, пользователи меняют свой IP-адрес несколько раз в течение одного дня. Оценка размера ботнета по количеству IP-адресов часто используется исследователями, что, возможно, приводит к неточным оценкам.[69]

См. также[править]

• Компьютерный червь
• Спамбот
• Временная шкала компьютерных вирусов и червей
• Расширенная Постоянная Угроза

Видео[править]

storedigital.ru/2021/02/07/ataka-botov-na-sajt-priznaki-

Пруф[править]

h.fbi.gov/news/stories/spyeye-malware-mastermind-pleads-guilty

• .eweek.com/security/is-the-botnet-battle-already-lost
• .shadowserver.org/
• /web.archive.org/web/20190930030243/http://www.honeynet.org/papers/bots/
• /youtu.be/ODW4-hrSy-w