Botnet

Botnet ( eng.  botnet , IPA: [ˈbɒtnɛt] ; derivat din cuvintele ro bot și net work ) este o rețea de computere formată dintr-un număr de gazde care rulează boți - software  autonom . Cel mai adesea, un bot din cadrul unei rețele bot este un program care este instalat în secret pe dispozitivul victimei și permite atacatorului să efectueze anumite acțiuni folosind resursele computerului infectat . Utilizat de obicei pentru activități ilegale sau neaprobate - trimiterea de spam , parole de forță brută pe un sistem de la distanță, atacuri de denial of service ( atacuri DoS și DDoS ).

Boții, ca atare, nu sunt viruși. Acestea sunt un set de software care poate consta din viruși , firewall -uri , programe de control de la distanță a computerului și instrumente de ascunde de sistemul de operare [1] .

Origini

Boții au fost creați inițial pentru a ajuta la gestionarea canalelor IRC . Administrarea canalelor în rețeaua IRC poate consuma mult timp, astfel încât administratorii au creat boți speciali pentru a ajuta la gestionarea canalelor populare [2] . Unul dintre primii astfel de roboți a fost Eggdrop , scris în 1993 [3] .

De-a lungul timpului, roboții IRC au început să fie utilizați în scopuri rău intenționate. Sarcina lor principală era să atace serverele IRC și alți utilizatori din rețelele IRC. Acest lucru a permis să fie făcute atacuri DoS . Utilizarea roboților a ajutat la ascunderea atacatorului, deoarece pachetele au fost trimise de la bot și nu de pe computerul atacatorului. De asemenea, a devenit posibilă gruparea mai multor computere infectate pentru a organiza atacuri DDoS . Au fost necesare rețele mari de roboți pentru a ataca ținte mari. Prin urmare, atacatorii au început să folosească troieni și alte metode ascunse pentru a crește numărul de computere infectate din rețea [2] .

Boții moderni sunt diferiți hibrizi de amenințări integrate în sistemul de comandă și control. Ele se pot răspândi ca viermii , se pot ascunde de sistemul de operare ca majoritatea virușilor și includ diferite metode de atac. O altă problemă serioasă este că mai multe persoane iau parte la crearea de roboți moderni simultan. Astfel, apar mai multe variante diferite ale aceluiași bot, ceea ce face dificilă recunoașterea lor de către programele antivirus [2] .

Arhitectură

Model client-server

Primele botnet-uri au folosit un model client-server pentru a-și îndeplini sarcinile. În prezent, rețelele centralizate sunt încă utilizate pe scară largă. Dintre acestea, cele mai populare sunt rețelele de releu Internet, care folosesc IRC pentru a facilita schimbul de date între roboți și computerul gazdă. Rețelele cu această arhitectură sunt ușor de creat și întreținut și permit, de asemenea, distribuirea eficientă a comenzilor computerului de control între clienți [4] .

Într-o rețea centralizată, boții se conectează la unul sau mai multe servere și apoi așteaptă comenzi de control de la server. Calculatorul de control trimite comenzi către servere, care la rândul lor le trimit clienților. Clienții execută comenzi și trimit un mesaj despre rezultate către server [4] .

Acest model are un dezavantaj semnificativ. În cazul unei defecțiuni a serverului, computerul de control va pierde contactul cu roboții săi și nu îi va putea controla [4] .

Model descentralizat

Recent, au apărut tot mai multe botnet-uri peer-to-peer. Nu există un server centralizat în botnetul P2P , boții sunt conectați între ei și acționează atât ca server, cât și ca client [4] .

Pentru a găsi un alt computer infectat, botul verifică adrese IP aleatorii până când contactează un alt dispozitiv infectat. Botul găsit, la rândul său, trimite informații despre versiunea sa de software și o listă de roboți cunoscuți. Dacă una dintre versiunile de software este mai mică decât cealaltă, atunci va începe transferul de fișiere pentru actualizarea la o versiune de software mai nouă. Astfel, fiecare bot își completează lista de mașini infectate și actualizează software-ul la o versiune mai recentă [5] .

Aceste rețele sunt rezistente la șocuri dinamice, ceea ce înseamnă că roboții se pot alătura și părăsi rapid rețeaua. Mai mult, conexiunea nu se va întrerupe în cazul pierderii sau eșecului mai multor roboți. Spre deosebire de rețelele centralizate, botnet-urile P2P sunt mai fiabile și mai greu de detectat [4] .

Descriere tehnică

Preluarea controlului

Managementul se obține de obicei prin instalarea de software invizibil, nedetectabil în funcționarea zilnică pe un computer, fără știrea utilizatorului. Apare de obicei prin [1] :

• Infectarea unui computer cu un virus printr- o vulnerabilitate software (bucuri în browsere, clienți de e-mail, vizualizatoare de documente, imagini, videoclipuri);
• Utilizarea lipsei de experiență sau a neatenției utilizatorului - deghizarea în „conținut util”;
• Utilizarea accesului autorizat la un computer (rar);
• Enumerarea opțiunilor de parolă de administrator pentru resursele de rețea cu acces partajat (în special la ADMINS, care vă permite să executați un program de la distanță) - în principal în rețelele locale.

Mecanism de autoapărare și pornire automată

Mecanismul de protecție împotriva îndepărtarii este similar cu majoritatea virușilor și rootkit-urilor , în special [1] :

• deghizarea ca proces de sistem;
• utilizarea containerizării [6] [7] ;
• utilizarea metodelor de lansare non-standard (căi de rulare automată moștenite de la versiunile software vechi, înlocuirea depanatorului de proces);
• utilizarea a două procese cu auto-repornire care se repornesc unul pe celălalt (astfel de procese sunt aproape imposibil de terminat, deoarece apelează la procesul „următorul” și se termină înainte de a fi încheiate forțat);
• înlocuirea fișierelor de sistem cu automascarea;
• repornirea computerului la accesarea fișierelor executabile sau a cheilor de pornire în care sunt înregistrate fișierele.

Mecanism de gestionare a rețelelor botnet

Anterior, controlul se făcea fie „ascultând” o anumită comandă pe un anumit port, fie fiind într- un chat IRC . Până în momentul utilizării, programul „doarme” - (eventual) se înmulțește și așteaptă o comandă. După ce a primit comenzi de la „proprietarul” rețelei bot, începe să le execute (una dintre activități). În unele cazuri, un cod executabil este încărcat la comandă (astfel, este posibil să „actualizați” programul și să încărcați module cu funcționalitate arbitrară). Este posibil să controlați botul prin plasarea unei anumite comenzi la o adresă URL pre-preparată [8] [9] .

În prezent, botnet-urile controlate prin intermediul unui site web sau pe principiul rețelelor p2p au devenit larg răspândite [4] .

Combaterea botnet -urilor

Detectare botnet

Cel mai adesea, detectarea boților pe dispozitiv este dificilă, deoarece boții funcționează complet autonom, fără intervenția utilizatorului. Cu toate acestea, există mai multe semne care sunt dovezi ale prezenței unei infecții cu bot pe un computer [10] :

• Trafic IRC (deoarece botnet-urile folosesc canale IRC pentru a comunica);
• Conexiuni la servere văzute ca parte a rețelelor bot;
• Trafic SMTP de ieșire ridicat ;
• Mai multe computere dintr-o rețea care fac aceleași interogări DNS ;
• Performanță lentă a computerului;
• sarcină mare a procesorului;
• O creștere bruscă a traficului, în special pe porturile 6667 (utilizate pentru IRC ), 25 ( port SMTP ), 1080 (utilizate de serverele proxy );
• Mesaje suspecte trimise care nu au fost trimise de utilizator;
• Probleme cu accesul la internet.

Prevenirea infecției

Pentru a preveni infectarea, utilizatorii ar trebui să ia o serie de măsuri care vizează nu numai prevenirea infecției cu un virus botnet , ci și protejarea împotriva programelor malware în general. Practici recomandate pentru a preveni infectarea computerului [10] :

• Ar trebui să monitorizați rețeaua și să îi monitorizați activitatea în mod regulat pentru a detecta cu ușurință comportamentul incorect al rețelei;
• Toate programele ar trebui actualizate în mod regulat, actualizările ar trebui să fie descărcate numai din surse de încredere;
• Utilizatorii ar trebui să fie mai vigilenți pentru a nu-și expune dispozitivele la riscul de infectare cu roboți sau viruși. Acest lucru se aplică în primul rând deschiderii de e-mailuri, atașamentelor suspecte, vizitelor de site-uri nede încredere și făcând clic pe linkuri neverificate;
• Instrumentele de detectare a rețelelor bot ar trebui utilizate pentru a ajuta la prevenirea infecției prin blocarea virușilor bot. Majoritatea acestor programe au și capacitatea de a elimina botnet-urile. [10] Exemple de instrumente care ajută la detectarea activității botului pe un computer [11] :
  • DE-Cleaner de la Kaspersky Lab ;
  • DE-Cleaner de la Avira ;
  • Rubotted;
  • Mirage Anti-Bot;
  • Bot Revolt;
  • Norton Power Eraser.

Distrugerea rețelei bot

De îndată ce un bot este găsit pe un computer, acesta ar trebui eliminat imediat folosind un software special . Acest lucru va securiza un singur computer, dar pentru a elimina rețelele bot, trebuie să dezactivați serverele care controlează roboții [10] .

Comerț

DDoS ca serviciu

Pentru a comanda un atac DDoS , se folosește de obicei un serviciu web cu drepturi depline . Acest lucru simplifică foarte mult contactul dintre organizator și client. Astfel de servicii web sunt aplicații web funcționale cu drepturi depline, care permit utilizatorilor să-și gestioneze soldul, să planifice un buget de atac și să vadă rapoarte de progres. De asemenea, unele servicii au propriile programe de loialitate, care constau în acumularea de puncte bonus pentru atacuri [12] .

Rate de atac DDoS

Diverse servicii DDoS oferă utilizatorilor o gamă destul de largă de caracteristici speciale în plus față de funcționalitatea de bază, care afectează semnificativ prețul unui atac. Exemple de astfel de „adăugiri” [12] :

• Obiective dificile. Nu toți infractorii cibernetici sunt de acord să atace resursele guvernamentale, deoarece astfel de site-uri sunt controlate de agențiile de aplicare a legii. Serviciile care sunt de acord cu un astfel de atac necesită mai mulți bani decât pentru un atac la un magazin online .
• Sursele de atac și caracteristicile acestora. Această setare depinde de dispozitivele din rețea și de cât de dificil este să infectați dispozitivele. Deci un botnet de camere CCTV poate fi mai ieftin decât un botnet de servere. Acest lucru se datorează faptului că dispozitivele IoT sunt mult mai ușor de piratat.
• Scenarii de atac. Cu cât clientul necesită un atac mai neobișnuit, cu atât va costa mai scump.

De asemenea, infractorii cibernetici oferă diverse planuri tarifare cu plată pe secundă, dar fără posibilitatea de a alege vreo caracteristică suplimentară. De exemplu, un atac DDoS care durează 10.800 de secunde ar costa clientul aproximativ 20 USD pe oră [12] .

Scala

Potrivit creatorului protocolului TCP/IP , Vint Cerf , aproximativ un sfert din cele 600 de milioane de calculatoare conectate la Internet pot fi în rețele bot [13] . Experții SecureWorks, după ce au studiat statisticile interne ale rețelei bot bazate pe troianul SpamThru, au descoperit că aproximativ jumătate dintre computerele infectate rulează sistemul de operare Windows XP cu Service Pack 2 instalat [13] .

Potrivit specialistului în securitate McAfee Michael DeCesare , numai în  Statele Unite există aproximativ 5 milioane de computere infectate în rețele bot, ceea ce reprezintă aproximativ 10% din parcul național de calculatoare [14] .

Țările cu cel mai mare număr de computere infectate [15] :

Cele mai mari atacuri botnet

Cele mai vizibile dintre toate activitățile botnetului sunt atacurile DoS și DDoS . Cel mai mare dintre ei:

• Pe 21 octombrie 2016 a fost făcut un atac asupra furnizorului de DNS Dyn [16] . Companiile mari precum BBC [17] , Fox News [18] , GitHub [19] , PayPal [20] , Reddit [21] și Visa [22] au fost afectate în urma atacului ;
• În septembrie 2016, a avut loc un atac la adresa furnizorului de hosting OVH . A fost cel mai mare atac DDoS cunoscut până în prezent . A implicat 150.000 de dispozitive IoT , inclusiv camere și videorecordere [23] ;
• Pe 20 septembrie 2016, a fost făcut un atac DDoS pe site- ul web KrebsOnSecurity . Atacatorii au folosit servere DNS neadministrate pentru a genera trafic de ieșire uriaș [24] ;
• În 2016, în ajunul Anului Nou, site-ul BBC a fost oprit timp de câteva ore, ca urmare a unui puternic atac DDoS . Un grup de hackeri numit „New World Hacking” [25] și- a revendicat responsabilitatea pentru ceea ce s-a întâmplat ;
• În perioada 14-15 iunie 2014, PopVote, o platformă chineză de sondaje online, a fost suspendată. Atacatorii au reușit să ajungă la locul de votare, așa că site-ul a trebuit să fie suspendat de urgență [26] ;
• Pe 14 iunie 2016, o unitate de jocuri de noroc din China a suferit un atac DDoS . Atacul a durat patru ore. În special, atacatorii au folosit nouă tipuri diferite de pachete. În prezent, ponderea unor astfel de atacuri este mai mică de unu la sută din numărul total de atacuri DDoS [27] .

Note

1. ↑ 1 2 3 Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Rețele bot - The Killer Web App. - M. : Syngress, 2007 - C. 29-77 - ISBN-10: 1-59749-135-7
2. ↑ 1 2 3 E. Cooke, F. Jahanian și D. McPherson. Rezumatul zombi: înțelegerea, detectarea și perturbarea rețelelor botnet. Cambridge, MA iulie 2005
3. ↑ Eggdrop: Open Source IRC bot (downlink) . Consultat la 10 decembrie 2017. Arhivat din original la 30 decembrie 2008. (nedefinit) 
4. ↑ 1 2 3 4 5 6 Ping Wang, Baber Aslam, Cliff C. Zou. Manual de securitate a informației și comunicațiilor. Rețele bot peer-to-Peer - M. Springer - C. 335-350 - ISBN 978-3-642-04116-7
5. ↑ Heron, Simon. Tehnici de comandă și control botnet. securitatea retelei. aprilie 2007
6. ↑ Agențiile de informații din SUA și Marea Britanie acuză Rusia de campanie globală de hacking Arhivat 15 iulie 2021 la Wayback Machine , BBC, 2.07.2021
7. ↑ Caviglione Luca , Mazurczyk Wojciech , Wendzel Steffen. Tehnici avansate de ascundere a informațiilor pentru rețelele bot moderne   // rețelele bot . - 2019. - 26 septembrie. - P. 165-188 . — ISBN 9780429329913 . - doi : 10.1201/9780429329913-4 .
8. ↑ Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Botnet-ul dvs. este My Botnet: Analiza unei preluari de Botnet. 9—13 noiembrie 2009, Chicago, Illinois, SUA
9. ↑ Paul Barford. O privire interioară asupra rețelelor bot. Universitatea din Wisconsin Madison
10. ↑ 1 2 3 4 A.C. Atluri, V. Tran. Analiza și detectarea amenințărilor botnet. - M. : Springer, 2017 - C. 15-27
11. ↑ 6 instrumente pentru a detecta infecția cu malware zombie bot pe computer Windows . Consultat la 12 decembrie 2017. Arhivat din original la 13 decembrie 2017. (nedefinit)
12. ↑ 1 2 3 Costul lansării unui atac DDoS . Consultat la 16 decembrie 2017. Arhivat din original la 16 decembrie 2017. (nedefinit)
13. ↑ 1 2 Botnet Great and Terrible (link inaccesibil) . // Computerra Online. Preluat la 3 iulie 2007. Arhivat din original la 10 mai 2007. (nedefinit) 
14. ^ „ Botnets : probleme de unde nu se așteptau” Nr. 584, iulie 2012 . // upgrade . Consultat la 12 octombrie 2012. Arhivat din original pe 17 octombrie 2012. (nedefinit)
15. ↑ Proiectul Spamhaus . Consultat la 11 decembrie 2017. Arhivat din original la 12 decembrie 2017. (nedefinit)
16. ↑ Cum a ajutat dispozitivul tău inteligent să distrugă internetul pentru o zi . Consultat la 14 decembrie 2017. Arhivat din original la 14 decembrie 2017. (nedefinit)
17. ↑ Chiel, Ethan Iată site-urile pe care nu le poți accesa deoarece cineva a dărâmat internetul . Fuziune . Consultat la 21 octombrie 2016. Arhivat din original pe 22 octombrie 2016. (nedefinit)
18. ↑ Thielman, Sam; Atacul cibernetic Johnston, Chris Major perturbă serviciul de internet în Europa și SUA . The Guardian (21 octombrie 2016). Consultat la 21 octombrie 2016. Arhivat din original pe 21 octombrie 2016. (nedefinit)
19. ↑ Heine, Christopher Un atac cibernetic major afectează Twitter, Spotify, Pinterest, Etsy și alte site-uri . săptămâna . Consultat la 21 octombrie 2016. Arhivat din original pe 22 octombrie 2016. (nedefinit)
20. ↑ Atacurile web masive eliminând pentru scurt timp site-urile de top . BBC News (21 octombrie 2016). Consultat la 14 decembrie 2017. Arhivat din original la 24 octombrie 2016. (nedefinit)
21. ↑ Turton, William . Acesta este, probabil, motivul pentru care jumătate de internet s-a închis astăzi [Actualizare: Se întâmplă din nou  (ing.) . Arhivat din original pe 23 octombrie 2016. Preluat la 14 decembrie 2017.
22. ↑ Internetul din SUA a fost perturbat ca fiind ferm lovit de atacuri cibernetice . Știri CBS . Consultat la 21 octombrie 2016. Arhivat din original pe 22 octombrie 2016. (nedefinit)
23. ↑ 150.000 de dispozitive IoT în spatele atacului DDoS de 1 Tbps asupra OVH . Consultat la 14 decembrie 2017. Arhivat din original la 14 decembrie 2017. (nedefinit)
24. ↑ KrebsOnSecurity Hit cu record DDoS . Consultat la 14 decembrie 2017. Arhivat din original la 15 noiembrie 2016. (nedefinit)
25. ↑ „Grupul anti-IS” susține atacul site-ului BBC . Consultat la 14 decembrie 2017. Arhivat din original la 21 decembrie 2017. (nedefinit)
26. ↑ Cel mai mare atac DDoS a lovit PopVote, site-ul de votare Hong Kong Democracy . Consultat la 14 decembrie 2017. Arhivat din original la 14 decembrie 2017. (nedefinit)
27. ↑ Firma chineză de jocuri lovită de cel mai mare atac DDoS . Consultat la 14 decembrie 2017. Arhivat din original la 14 decembrie 2017. (nedefinit)

Literatură

• Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Rețele bot - The Killer Web App. - M. : Syngress, 2007 - ISBN-10: 1-59749-135-7
• E. Cooke, F. Jahanian și D. McPherson. Rezumatul zombi: înțelegerea, detectarea și perturbarea rețelelor botnet. Cambridge, MA iulie 2005
• Ping Wang, Baber Aslam, Cliff C. Zou. Manual de securitate a informației și comunicațiilor. Rețele bot peer-to-Peer - M. Springer - ISBN 978-3-642-04116-7
• Stârc, Simon. Tehnici de comandă și control botnet. securitatea retelei. aprilie 2007
• Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Botnet-ul dvs. este My Botnet: Analiza unei preluari de Botnet. 9—13 noiembrie 2009, Chicago, Illinois, SUA
• Paul Barford. O privire interioară asupra rețelelor bot. Universitatea din Wisconsin Madison
• Wenke Lee, Cliff Wang, David Dagon. Detectare botnet. Contracararea celei mai mari amenințări de securitate - M. : Springer, 2008 - ISBN-13: 978-0-387-68766-7

Link -uri

• Vitaly Kamluk. Botnets  - articol detaliat pe viruslist.com
• Botnets așa cum sunt  - un articol despre botnets
• Autorul rețelei de bot Bredolab blocat timp de patru ani
• Scurt chestionar analitic privind rețelele bot în Rusia 2009
• Știri despre botnet-uri
• „Bots-II. Despre un nou val de „dezvăluiri” de publicitate ascunsă în Livejournal”  - un articol detaliat despre „cercuri bot” în Livejournal

Dicționare și enciclopedii	Britannica (online)
În cataloagele bibliografice	NKC : ph1108781