Ботнет

Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карток та паролів доступу. Кожен комп'ютер в мережі діє як «бот» і управляється шахраєм для передачі шкідливих програм або шкідливого контенту для запуску атаки. Ботнет деколи називають «армією зомбі», так як комп'ютери контролюються кимось іншим, крім їх власника[1].

Технічний опис

Залучення комп'ютерів до ботнету

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

  • Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
  • Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під «корисне програмне забезпечення».
  • Використання санкціонованого доступу до комп'ютера (рідко).
  • Підбір адміністративного пароля до мережевих ресурсів зі спільним доступом (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) — переважно в локальних мережах.

Механізм маскування

Механізм захисту від видалення аналогічний більшості вірусів та руткітів, зокрема:

  • маскування під системний процес;
  • підміна системних файлів для самомаскування;
  • інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
  • перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
  • перехоплення системних процедур роботи з мережею для маскування трафіку ботнету під трафік користувача або системних утиліт.
  • використання поліморфного коду, що ускладнює сигнатурний аналіз
  • маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту

  • створення перешкод нормальній роботі антивірусного ПЗ
  • перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску

Для автозапуску найчастіше використовуються наступні технології:

  • використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
  • використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
  • підміна системних файлів, що автоматично завантажуються операційною системою;
  • реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через вебсайт або по принципу p2p-мереж[2].

Список найбільших ботнетів

Дата створення Ім'я Кількість ботів Потенціал для спаму Подібні ботнети
1999 !a 999,999,999 100000 !a
2009 (Травень) BredoLab 30,000,00030,000,000[3] 3.6 млрд./день Oficla
2008 (приблизно) Mariposa 12,000,000[4] ? Немає
0? Conficker 10,000,000+[5] 10 млрд./день DownUp, DownAndUp, DownAdUp, Kido
0? Zeus 3,600,000 (лише США)[6] -1Немає Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно) Cutwail 1,500,000[7] 74 млрд./день Pandex, Mutant
0? Grum 565,000[8] 39.9 млрд./день Tedroo
0? Kraken 495,000[9] 9 млрд./день Kracken
2007 (Березень) Srizbi 450,000[10] 60 млрд./день Cbeplay, Exchanger
0? Lethic 260,000[11] 2 млрд./день Немає
0? Mega-D 250,000[12] 10 млрд./день Ozdok
2004 (Початок) Bagle 230,000[11] 5.7 млрд./день Beagle, Mitglieder, Lodeight
0? Bobax 185,000 9 млрд./день Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0? Torpig 180,000[13] -1 Немає Sinowal, Anserin
0? Storm 160,000[14] 3 млрд./день Nuwar, Peacomm, Zhelatin
2006 (приблизно) Rustock 150,000[15] 30 млрд./день RKRustok, Costrat
0? Donbot 125,000[16] 0.8 млрд./день Buzus, Bachsoy
2008 (Листопад) Waledac 80,000[17] 1.5 млрд./день Waled, Waledpak
0? Maazben 50,000[11] 0.5 млрд./день Немає
0? Onewordsub 40,000[18] 1.8 млрд./день 0?
0? Gheg 30,000[11] 0.24 млрд./день Tofsee, Mondera
0? Nucrypt 20,000[18] 5 млрд./день Loosky, Locksky
0? Wopla 20,000[18] 0.6 млрд./день Pokier, Slogger, Cryptic
2008 (приблизно) Asprox 15,000[19] 0 ? Danmec, Hydraflux
0? Spamthru 12,000[18] 0.35 млрд./день Spam-DComServ, Covesmer, Xmiler
0? Xarvester 10,000[11] 0.15 млрд./день Rlsloup, Pixoliz
2009 (Серпень) Festi 0 ? 2.25 млрд./день Немає
2008 (приблизно) Gumblar 0 ? 0 ? Немає
0? Akbot 0 ? 0 ? Немає
2100 z! -100,000,000 -99999 z!

Інтернет речей

Докладніше: Інтернет речей

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, вебсайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку досягав 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (так званий інтернет речей). В жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками[20][21].

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього мав відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебирання[22]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай. Також дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак[23].

Боротьба з ботнетами

В період 27-29 травня 2024 року правоохоронці зі США, Франції, Нідерландів, Великої Британії, Ірландії, Данії, Німеччини, Португалії та України провели масштабну спецоперацію «EndGame», в ході якої було видалено та арештовано 91 сервер і заблоковано понад 1000 доменів, пов’язаних зі злочинною діяльністю та які дозволяли кіберзлочинцям виманювати гроші у своїх жертв. Спецоперація, координована зі штаб-квартири Європолу, була націлена на дроперів, зокрема таких, як IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee і Trickbot. Понад 100 серверів ліквідували у Болгарії, Канаді, Німеччині, Литві, Нідерландах, Румунії, Швейцарії, Великій Британії, США та Україні. Понад дві тисячі доменів правоохоронцям вдалося взяти під контроль. Як зазначили в Європолі, це найбільша в історії операція з ліквідації ботнетів — злочинних сервісів, що відіграють важливу роль у розгортанні програм-вимагачів[24][25][26].

Див. також

Примітки

  1. Ботнети і їх типи: що відомо в 2018 році - Blogchain. blogchain.com.ua. Архів оригіналу за 26 жовтня 2020. Процитовано 12 грудня 2018.
  2. Ботнеты. Kaspersky Lab. Архів оригіналу за 12 лютого 2012. Процитовано 3 липня 2007.
  3. Infosecurity (UK) — BredoLab downed botnet linked with Spamit.com. Архів оригіналу за 6 грудня 2010. Процитовано 25 листопада 2010.
  4. Suspected 'Mariposa Botnet' creator arrested. .canada.com. accessdate=2010-07-30. Архів оригіналу за 9 липня 2013. Процитовано 25 листопада 2010. [Архівовано 2011-05-11 у Wayback Machine.]
  5. Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com. 16 січня 2009. Архів оригіналу за 9 липня 2013. Процитовано 24 квітня 2010.
  6. America's 10 most wanted botnets. Архів оригіналу за 11 травня 2011. Процитовано 25 листопада 2010. [Архівовано 2011-05-11 у Wayback Machine.]
  7. Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com. 2 лютого 2010. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. [Архівовано 2010-08-16 у Wayback Machine.]
  8. Research: Small DIY botnets prevalent in enterprise networks. ZDNet. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010.
  9. New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010.
  10. Technology | Spam on rise after brief reprieve. BBC News. 26 листопада 2008. Архів оригіналу за 22 травня 2010. Процитовано 24 квітня 2010.
  11. а б в г д http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
  12. Fairfax Media Business Group (29 грудня 2009). | Computerworld NZ. Computerworld.co.nz. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010.
  13. Researchers hijack control of Torpig botnet - SC Magazine US. Архів оригіналу за 11 травня 2011. Процитовано 25 листопада 2010.
  14. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com. 21 жовтня 2007. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010.
  15. Chuck Miller (25 липня 2008). The Rustock botnet spams again. SC Magazine US. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010.
  16. Spam Botnets to Watch in 2009 — Research — SecureWorks. Архів оригіналу за 30 листопада 2010. Процитовано 25 листопада 2010. [Архівовано 2010-11-30 у Wayback Machine.]
  17. Архівована копія. Архів оригіналу за 4 березня 2016. Процитовано 25 листопада 2010.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  18. а б в г Архівована копія. Архів оригіналу за 13 серпня 2014. Процитовано 25 листопада 2010.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) [Архівовано 2014-08-13 у Wayback Machine.]
  19. Архівована копія. Архів оригіналу за 25 березня 2016. Процитовано 25 листопада 2010.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  20. Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. Архів оригіналу за 14 жовтня 2016. Процитовано 7 жовтня 2016.
  21. Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. Архів оригіналу за 6 жовтня 2016. Процитовано 7 жовтня 2016.
  22. Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. Архів оригіналу за 7 жовтня 2016. Процитовано 7 жовтня 2016. [Архівовано 7 жовтня 2016 у Wayback Machine.]
  23. Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. Архів оригіналу за 7 листопада 2016. Процитовано 7 жовтня 2016.
  24. Largest ever operation against botnets hits dropper malware ecosystem.
  25. Міжнародна спецоперація «EndGame» - правоохоронці кількох держав нанесли потужний удар по кіберзлочинності. May 30 at 13:00
  26. Правоохоронці кількох держав провели наймасштабнішу в історії операцію з ліквідації ботнетів. Трьох хакерів затримали в Україні. // Автор: Олександра Амру. 30.05.2024, 19:01

Посилання