Ботнет (botnet)

Введение

Сегодня ботнеты стали одним из главных инструментов киберпреступников. ComputerBild расскажет, что такое ботнеты, как они работают и как спасти свой компьютер от попадания в зомби-сеть.

Ботнет, или зомби-сеть, – это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников. Неизменно низкие издержки и минимум знаний, необходимых для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов. На DDoS-атаках или спам-рассылках, осуществляемых с помощью зомби-сетей, злоумышленники и их заказчики зарабатывают тысячи долларов.

Что такое ботнет?

Слово ботнет (botnet) состоит из частей двух английских слов – robot и network, что означает компьютерная сеть. Такая сеть формируется из некоторого количества компьютеров, на которые злоумышленники тайно устанавливают вредоносное программное обеспечение (ПО). С помощью этого ПО производится удаленное управление компьютерами и всей сетью.

В частности, с такой сети киберпреступники могут:

  • осуществлять DDos-атаки на различные сайты;
  • рассылать спам, вирусы;
  • собирать конфиденциальную информацию;
  • накручивать клик-счетчики.

Для создания такой сети достаточно поставить на пользовательские компьютеры спецпрограмму – бот. Для заражения компьютеров преступники используют рассылки, форумы, социальные сети. Боты типа вирус или червь могут распространяться самостоятельно.

Небольшие затраты на приобретение ботнетов и минимальные знания для управления ими приводят к тому, что количество ботнетов в последнее время резко возросло.

Примечания

  1. Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnets — The Killer Web App. — M. : Syngress, 2007 — C. 29—77 — ISBN-10: 1-59749-135-7
  2. E. Cooke, F. Jahanian, and D. McPherson. The zombie roundup: Understanding, detecting and disrupting botnets. Cambridge, MA, July 2005
  3. Ping Wang, Baber Aslam, Cliff C. Zou. Handbook of Information and Communication Security. Peer-to-Peer Botnets — М. Springer — C. 335—350 — ISBN 978-3-642-04116-7
  4. Heron, Simon. Botnet command and control techniques. Network Security. April, 2007
  5. Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Your Botnet is My Botnet: Analysis of a Botnet Takeover. November 9—13, 2009, Chicago, Illinois, USA
  6. Paul Barford. An Inside Look at Botnets. University of Wisconsin, Madison
  7. A.C. Atluri, V. Tran. Botnets Threat Analysis and Detection. — M. : Springer, 2017 — C. 15—27

Крупнейшие атаки ботнетов

Наиболее заметной из всех видов деятельности ботнета являются DoS и DDoS-атаки. Самые крупные из них:

  • 21 октября 2016 года была совершена атака на DNS-провайдера Dyn. В результате атаки пострадали такие крупные компании как BBC, Fox News, GitHub, PayPal, Reddit и Visa;
  • В сентябре 2016 года произошла атака на хостинг-провайдера OVH. Это была крупнейшая известная на сегодняшний момент DDoS-атака. В ней были задействованы 150 000 IoT-устройств, в числе которых камеры и видеорегистраторы;
  • В 2016 году в новогоднюю ночь сайт BBC был недоступен несколько часов в результате мощной DDoS-атаки. Ответственность за случившееся взяла на себя группировка хакеров под названием «New World Hacking»;
  • 14-15 июня 2014 года была приостановлена работа PopVote, китайской интернет-платформы для проведения опросов среди населения. Злоумышленникам удалось попасть на сайт голосования, поэтому работу сайта пришлось экстренно приостановить;
  • 14 июня 2016 года от DDoS-атаки пострадало китайское игорное заведение. Атака длилась в течение четырёх часов. Примечательно, что злоумышленники использовали девять различных типов пакетов. На данный момент доля таких атак составляет меньше одного процента от общего количества DDoS-атак.

Ботнет = спам

 На втором месте – спам. Дело в том, что массовая рассылка писем – процесс затратный с точки зрения вычислительной мощности. А спамеры за это платить не хотят. Более того, ботнет – это прекрасная возможность скрыть свои настоящие данные, подставляя в списке отправителей письма другие обратные адреса.

 Сюда же можно добавить и новый тип спам-заработка – майнинг криптовалют (Биткойн, Изириэм, Лайткойн). Один из основных функционалов таких систем – децентрализованная система транзакций криптовалют. А для людей, способных организовывать многотысячные компьютерные сети втихаря – хороший способ нагреть руки. Не беда, что многие компьютеры просто физически не могут участвовать в этом процессе – электричества потребляется больше, чем заработка в итоге. А спамеру какое дело до вас?

Литература

  • Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnets — The Killer Web App. — M. : Syngress, 2007 — ISBN-10: 1-59749-135-7
  • E. Cooke, F. Jahanian, and D. McPherson. The zombie roundup: Understanding, detecting and disrupting botnets. Cambridge, MA, July 2005
  • Ping Wang, Baber Aslam, Cliff C. Zou. Handbook of Information and Communication Security. Peer-to-Peer Botnets — М. Springer — ISBN 978-3-642-04116-7
  • Heron, Simon. Botnet command and control techniques. Network Security. April, 2007
  • Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Your Botnet is My Botnet: Analysis of a Botnet Takeover. November 9—13, 2009, Chicago, Illinois, USA
  • Paul Barford. An Inside Look at Botnets. University of Wisconsin, Madison
  • Wenke Lee, Cliff Wang, David Dagon. Botnet Detection. Countering the Largest Security Threat — M. : Springer, 2008 — ISBN-13: 978-0-387-68766-7

Веб-майнинг в бот-сети

Интересное решение распространилось за последний год – майнинг криптовалют в веб-браузере. Есть некоторые эфириум-добытчики на JavaScript, которые устанавливаются на сайтах вместо рекламы (или в дополнение): в то время как вы смотрите какой-то фильм (который идеально декодируется в h.264 аппаратными средствами) и требует всего внимания зрителя, код на JavaScript в фоновом режиме добывает криптовалюту. Если закрыть вкладку, майнинг закончится.

С появлением высокопроизводительных компьютеров проблема только усугубляется. Некоторым находчивым веб-разработчикам удаётся открывать всплывающие окна, в которых добываются крипто-деньги, и размещать их под всеми другими окнами и часами в Windows.

Если вас беспокоит постоянно высокая загрузка системы после закрытия всех окон браузера, вам следует попробовать переместить панель задач в другое место.

Почему создаются ботнеты?

Многие атаки осуществляются просто для получения прибыли. Аренда услуг ботнета стоит относительно недорого, цена варьируется в зависимости от размера ущерба, который они могут нанести. Барьер для создания ботнета также достаточно низок, чтобы сделать его прибыльным бизнесом для некоторых разработчиков программного обеспечения, особенно в географических районах, где регулирование и правоохранительная деятельность ограничены. Это сочетание привело к распространению онлайн-сервисов, предлагающих атаки по найму.

Как контролируется ботнет?

Основной характеристикой ботнета является возможность получать обновленные инструкции от мастера ботов. Возможность общаться с каждым ботом в сети позволяет злоумышленнику чередовать векторы атаки, изменять целевой IP-адрес, прекращать атаку и другие настраиваемые действия. Конструкции ботнетов различаются, но структуры управления можно разделить на две общие категории:

Модель ботнета клиент-сервер

Модель «клиент-сервер» имитирует традиционный рабочий процесс удаленной рабочей станции, когда каждая отдельная машина подключается к централизованному серверу (или небольшому числу централизованных серверов) для доступа к информации. В этой модели каждый бот будет подключаться к ресурсу центра управления (ЧПУ), такому как веб-домен или IRC-канал, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин. Централизованным сервером, контролирующим ботнет, может быть устройство, принадлежащее злоумышленнику и управляемое им, или зараженное устройство.

Наблюдался ряд популярных централизованных топологий ботнетов, в том числе:

  1. Топология сети «Звезда»
  2. Топология сети с несколькими серверами
  3. Иерархическая топология сети

В любой из этих моделей клиент-сервер каждый бот будет подключаться к ресурсу центра управления, например, к веб-домену или IRC-каналу, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин.

Связью с простотой обновления инструкций к ботнету, из ограниченного числа централизованных источников, является уязвимость этих машин. Для того, чтобы удалить ботнет с централизованного сервера, должен быть нарушен только сервер. В результате этой уязвимости создатели вредоносного ПО ботнета эволюционировали и перешли к новой модели, которая менее подвержена разрушению через одну или несколько точек отказа.

Модель однорангового ботнета

Чтобы обойти уязвимости клиент-серверной модели, ботнеты совсем недавно были разработаны с использованием компонентов децентрализованного однорангового обмена файлами. Внедрение структуры управления внутри ботнета устраняет единственную точку сбоя, присутствующую в ботнете с централизованным сервером, что затрудняет усилия по смягчению последствий. P2P-боты могут быть как клиентами, так и командными центрами, работающими в связке с соседними узлами для распространения данных.

Одноранговые ботнеты поддерживают список доверенных компьютеров, с которыми они могут передавать и получать сообщения и обновлять свои вредоносные программы. Ограничивая количество других машин, к которым подключается бот, каждый бот подвергается воздействию только соседних устройств, что затрудняет отслеживание и затрудняет смягчение. Отсутствие централизованного командного сервера делает одноранговую ботнет более уязвимой для управления кем-либо, кроме создателя ботнета. Для защиты от потери контроля децентрализованные ботнеты обычно шифруются, поэтому доступ к ним ограничен.

Спам и услуги по социальному инжинирингу

Чтобы заставить будущих ботов нажать на нужную гиперссылку и заразить свою машину, используются разнообразные средства социальной инженерии. Классический способ — «старый добрый» спам. Вы можете просто купить базу электронных почтовых адресов либо воспользоваться услугами другого ботнета, специализирующегося на спаме. Такие ботнеты более эффективны, поскольку они переориентировались на популярные социальные сети, а также рассылки SMS и MMS, причём оплата идёт не за размещённое сообщение, а за хит.

Для «бюджетного» ботнета спам остаётся лучшим выбором: это дёшево и всё ещё эффективно. Рассылка по случайному набору адресов стоит от 10 долларов за миллион писем, а по адресам, замеченным в интересе к определённой тематике, — около 50.

Цена — 50 долларов за первоначальную спам-рассылку

История возникновения

Первоначально боты создавались для того, чтобы помочь в управлении IRC-каналами. Администрирование каналов в сети IRC может занимать много времени, поэтому администраторы создавали специальных ботов, которые помогали управлять работой популярных каналов. Одним из первых таких ботов был Eggdrop, написанный в 1993 году.

Со временем IRC-боты стали использоваться для вредоносных целей. Их главной задачей стала атака IRC-серверов и других пользователей в IRC-сетях. Это позволило совершать DoS-атаки. Использование ботов помогало скрыть атакующего, так как пакеты отправлялись от бота, а не с компьютера злоумышленника. Также появилась возможность группировать несколько зараженных компьютеров для организации DDoS-атак. Для атаки крупных целей требовались большие сети ботов. Поэтому злоумышленники начали использовать троянские программы и другие скрытые методы, чтобы увеличить число зараженных компьютеров в сети.

Современные боты представляют собой различные гибриды угроз, интегрированных в систему управления и контроля. Они могут распространяться как черви, скрываться от операционной системы как большинство вирусов, а также включают в себя различные методы атак. Другая серьезная проблема заключается в том, что в создании современных ботов принимают участие сразу несколько человек. Таким образом, появляется несколько различных вариантов одного и того же бота, что затрудняет их распознавание антивирусными программами.

Зачем это делается?

Сегодня основная цель почти всех действий в сети – заработок. А значит владельцам таких сетей страсть как не хочется, чтобы вы принадлежность к этой сети обнаружили. Это значит, что ваш компьютер не превращается в зомби – наоборот, вы ничего замечать не будете. Владельцы сетей не будут стараться украсть ваши данные и размещать или использовать их в своё благо. Такие ботнеты имеют и свойство товара – они также создаются, а потом продаются и покупаются.

Создаётся ботнет часто с одной целью – исполнять по команде “сверху” какое-то действие, направляя ресурсы процессора на некую задачу. А тысячи компьютеров, действующие воедино – это прекрасная вычислительная мощь, которая используется против других сетей или конкретных компьютеров, а также для другой цели, например, просто участия в сети. Вкратце о них.

Server

Command & control server with persistent database and console

  1. Console-Based User-Interface: streamlined console interface for controlling client host machines remotely via
    reverse TCP shells which provide direct terminal access to the client host machines
  2. Persistent SQLite Database: lightweight database that stores identifying information about client host machines,
    allowing reverse TCP shell sessions to persist through disconnections of arbitrary
    duration and enabling long-term reconnaissance
  3. Client-Server Architecture: all python packages/modules installed locally are automatically made available for clients
    to remotely import without writing them to the disk of the target machines, allowing clients to use modules which require
    packages not installed on the target machines

Архитектура

Клиент-серверная модель

Первые ботнеты использовали модель клиент-сервер для выполнения своих задач. В настоящее время централизованные сети по-прежнему широко используются. Среди них наиболее популярными являются сети на базе интернет-ретрансляции, которые используют IRC для того, чтобы облегчить обмен данными между ботами и управляющим компьютером. Сети с такой архитектурой легко создавать и поддерживать, также они позволяют эффективно распределять команды управляющего компьютера между клиентами.

В централизованной сети боты подключаются к одному или нескольким серверам, а затем ждут управляющих команд от сервера. Управляющий компьютер посылает команды на серверы, а те в свою очередь отправляют их клиентам. Клиенты выполняют команды и посылают на сервер сообщение о результатах.

Такая модель имеет один существенный недостаток. В случае отказа сервера управляющий компьютер потеряет связь со своими ботами и не сможет ими управлять.

Децентрализованная модель

В последнее время появляется все больше одноранговых бот-сетей. В ботнете P2P нет централизованного сервера, боты подключены друг к другу и действуют одновременно как сервер и как клиент.

Чтобы найти другой зараженный компьютер, бот проверяет случайные IP-адреса до тех пор, пока не свяжется с другим зараженным устройством. Найденный бот, в свою очередь, отправляет информацию о своей версии программного обеспечения и список известных ботов. Если одна из версий ПО ниже чем другая, то начнется передача файла для обновления на более новую версию ПО. Таким образом, каждый бот пополняет свой список зараженных машин и обновляет ПО до более свежей версии.

Эти сети являются устойчивыми к динамическому оттоку, то есть боты могут быстро присоединяться к сети и выходить из неё. Более того, связь не будет нарушена в случае потери или выхода из строя нескольких ботов. В отличие от централизованных сетей, ботнет P2P являются более надежными и сложными для обнаружения.

Как ботнет создаётся и работает?

Ваш компьютер должен быть заражён зловредом. Как он туда попадает – реально десятки способов. Всё зависит только от внимательности пользователя и уровня выстроенной на компьютере защиты. Причём профессионализм на уровне первого пункта может снизить до минимума требования второго. Ведь вирусы – мы будем называть их общё – попадают в систему не только через заражённые флешки и ворованные игры. Это и вредоносные ссылки и не пропатченные устаревшие версии программ, и дырявые плагины к браузерам и т.п.

Управляют ботнетами реальные или виртуальные (что дешевле и безопаснее) сервера, на которых суммируется необходимая информация и время от времени рассылаются с которых необходимые инструкции. Заражённый компьютер общается с сервером напрямую или получает инструкции от таких же как он ботов. Это часто выглядит так: каждый заражённый компьютер через каждые, скажем, полчаса и часа три, по адресу http://зараза.ru/для-ботов/ на командном сервере скачивает какой-то файл-скрипт. Этот скрипт и говорит системе, что ей нужно сделать: отправиться по адресу, обработать файл и т.д. С такими ботоводами справиться легко: достаточно зафиксировать с какими сайтами ваш компьютер регулярно связывается. Другой же принцип общения в бот-сети – пиринговый вариант ( по принципу пиринговых сетей). Боты связываются с близлежащими по сети другими ботами. Такие сети – настоящая головная боль правообладателей и Роскомнадзора: что и где находится узнать практически невозможно. Но вот когда сетевой принцип начинает работать уже против вас… Здесь поможет только детальный анализ на каждой машине за сетевыми протоколами и тонкая настройка брандмауэра по портам.

Наконец, анонимная сеть Tor. Да, средство анонимного и безопасного сёрфинга некоторыми ребятами стало использоваться в качестве бот-рассадника. Мне посчастливилось наблюдать как к зашифрованному Tor-соединению подключается злоумышленник. Простым пользователям вычленить его скрытую службу просто невозможно. Этим и пользуются ресурсы, например, откровенно нарушающие закон, продавая запрещённые препараты и товары.

Будьте аккуратны. Успехов.

Средства защиты от ботнетов

1. В первую очередь это анитивирусные программы и комплексные пакеты для защиты от интернет-угроз с регулярно обновляемыми базами. Они помогут не только вовремя обнаружить опасность, но и ликвидировать ее до того, как ваш превращенный в зомби верный «железный друг» начнет рассылать спам или «ронять» сайты. Комплексные пакеты, например Kaspersky Internet Security 2009, содержат полный комплект защитных функций, управлять которыми можно через общий командный центр.

— Антивирусный модуль в фоновом режиме выполняет сканирование важнейших системных областей и контролирует все возможные пути вторжения вирусов: вложения электронной почты и потенциально опасные веб-сайты.

— Брандмауэр следит за обменом данными между персональным компьютером и Интернетом. Он проверяет все пакеты данных, получаемые из Сети или отправляемые туда, и при необходимости блокирует сетевые атаки и препятствует тайной отправке личных данных в Интернет.

— Спам-фильтр защищает почтовый ящик от проникновения рекламных сообщений. В его задачи также входит выявление фишинговых писем, с помощью которых злоумышленники пытаются выудить у пользователя информацию о его данных для входа в онлайновые платежные или банковские системы.

2. Регулярное обновление операционной системы, веб-браузеров и других приложений, разработчики которых обнаруживают и ликвидируют многие бреши в их защите, а также слабые места, используемые злоумышленниками.

3. Специальные программы-шифровальщики защитят ваши персональные данные, даже если бот уже проник на компьютер, ведь для доступа к ним ему придется взломать пароль.

4

Здравый смысл и осторожность. Если вы хотите оградить свои данные от разного рода угроз, не стоит скачивать и устанавливать программы неизвестного происхождения, открывать архивы с файлами вопреки предупреждениям антивируса, заходить на сайты, которые браузер помечает как опасные, и т.д

Благодарим «Лабораторию Касперского» за помощь в подготовке материала

Торговля

DDoS как услуга

Для заказа DDoS-атаки обычно используется полноценный веб-сервис. Это сильно упрощает контакт между организатором и клиентом. Такие веб-сервисы представляют собой полноценные функциональные веб-приложения, которые позволяют своим пользователям управлять своим балансом, планировать бюджет атаки, просматривать отчеты о проделанной работе. Также некоторые сервисы имеют свои программы лояльности, которые заключаются в начислении бонусных баллов за атаки.

Тарифы на DDoS-атаки

Различные DDoS-сервисы предоставляют пользователям довольно широкий спектр особых функций в дополнение к основному функционалу, которые существенно влияют на цену атаки. Примеры таких «дополнений»:

Также киберпреступники предлагают различные тарифные планы с посекундной оплатой, но без возможности выбора каких-либо дополнительных функций. Например, DDoS-атака продолжительностью 10 800 секунд будет стоить клиенту примерно 20 долларов в час.

Борьба с ботнетами

Обнаружение ботнета

Чаще всего обнаружение ботов на устройстве затруднено тем, что боты работают абсолютно автономно без участия пользователя. Однако можно выделить несколько признаков, являющихся доказательством наличия бот-инфекции на компьютере:

  • IRC-трафик (так как ботнеты используют IRC-каналы для связи);
  • Соединения с серверами, замеченными в составе ботнетов;
  • Высокий исходящий SMTP трафик;
  • Несколько компьютеров в сети, выполняющие одинаковые DNS-запросы;
  • Медленная работа компьютера;
  • Большая нагрузка процессора;
  • Резкое увеличение трафика, особенно на портах 6667 (используется для IRC), 25 (SMTP-порт), 1080 (используется прокси-серверами);
  • Подозрительные исходящие сообщения, которые были отправлены не пользователем;
  • Проблемы с доступом в интернет.

Предотвращение заражения

Для предотвращения заражения пользователям следует предпринимать ряд мер, которые направлены не только на предотвращение заражения вирусом ботнет-сети, но и на защиту от вредоносных программ в целом. Рекомендуемые практики для предотвращения заражения компьютера:

  • Следует проводить мониторинг сети и регулярно отслеживать её активность, чтобы легко обнаружить неправильное поведение сети;
  • Все программное обеспечение должно регулярно обновляться, обновления следует скачивать только с проверенных источников;
  • Пользователям следует быть более бдительными, чтобы не подвергать свои устройства риску заражения ботами или вирусами. Это касается в первую очередь открытия электронных писем, подозрительных вложений, посещения ненадежных сайтов и перехода по непроверенным ссылкам;
  • Следует использовать средства для обнаружения бот-сетей, которые помогают предотвратить заражение, блокируя бот-вирусы. Большинство таких программ также обладают возможностью удаления бот-сетей. Примеры инструментов, помогающие обнаружить активность ботов на компьютере:
    • DE-Cleaner от Лаборатории Касперского;
    • DE-Cleaner от Avira;
    • RuBotted;
    • Mirage Anti-Bot;
    • Bot Revolt;
    • Norton Power Eraser.

Разрушение ботнет-сети

Как только бот обнаружен на компьютере, следует немедленно удалить его с помощью специального программного обеспечения. Это обезопасит отдельный компьютер, но для удаления ботнет-сетей необходимо отключить серверы, которые управляют ботами.

Бот в Телеграмме, Вк, Фейсбук, Вайбер, Скайпе, Инстаграм и Одноклассниках

Боты используются во всех соцсетях.

1.Телеграмм:

  • анализировать музыкальные вкусы пользователя и создавать плей-листы из базы в ВК;
  • получить аудиозапись любого видео с Ютуба;
  • отсортировать фильмы и сериалы по жанрам;
  • получить возможность скачать аудиокниги Флибусты.

2. Вконтакте:

  • анализировать предпочтения пользователей;
  • создавать подборки фото и видео;
  • организовывать рассылки;
  • обрабатывать обращения;
  • фильтровать заявки.

3. В Фейсбуке. Настроено 19 полезных программ, которые помогают в частности:

  • проводить опросы;
  • автоматизировать общение с клиентами;
  • делать заданную подборку новостей;
  • создавать план действий в области маркетинга;
  • налаживать отправку напоминаний на смартфон.

4. В Вайбере следует сначала создать, а уже после этого подключать его к платформе.

5. Чтобы начать общаться с ботом в Скайпе, следует щелкнуть на него и начинать вводить текст.

6. В Инстаграме, обычно, это незаполненные аккаунты, способные подписываться на страницы, лайкать и оставлять комментарии по указанным тегам.

7. В Одноклассниках они помогают сделать раскрутку страницы, сортируя пользователей по целевым аудиториям.

Торговля

DDoS как услуга

Для заказа DDoS-атаки обычно используется полноценный веб-сервис. Это сильно упрощает контакт между организатором и клиентом. Такие веб-сервисы представляют собой полноценные функциональные веб-приложения, которые позволяют своим пользователям управлять своим балансом, планировать бюджет атаки, просматривать отчеты о проделанной работе. Также некоторые сервисы имеют свои программы лояльности, которые заключаются в начислении бонусных баллов за атаки.

Тарифы на DDoS-атаки

Различные DDoS-сервисы предоставляют пользователям довольно широкий спектр особых функций в дополнение к основному функционалу, которые существенно влияют на цену атаки. Примеры таких «дополнений»:

Также киберпреступники предлагают различные тарифные планы с посекундной оплатой, но без возможности выбора каких-либо дополнительных функций. Например, DDoS-атака продолжительностью 10 800 секунд будет стоить клиенту примерно 20 долларов в час.

История возникновения

Первоначально боты создавались для того, чтобы помочь в управлении IRC-каналами. Администрирование каналов в сети IRC может занимать много времени, поэтому администраторы создавали специальных ботов, которые помогали управлять работой популярных каналов. Одним из первых таких ботов был Eggdrop, написанный в 1993 году.

Со временем IRC-боты стали использоваться для вредоносных целей. Их главной задачей стала атака IRC-серверов и других пользователей в IRC-сетях. Это позволило совершать DoS-атаки. Использование ботов помогало скрыть атакующего, так как пакеты отправлялись от бота, а не с компьютера злоумышленника. Также появилась возможность группировать несколько зараженных компьютеров для организации DDoS-атак. Для атаки крупных целей требовались большие сети ботов. Поэтому злоумышленники начали использовать троянские программы и другие скрытые методы, чтобы увеличить число зараженных компьютеров в сети.

Современные боты представляют собой различные гибриды угроз, интегрированных в систему управления и контроля. Они могут распространяться как черви, скрываться от операционной системы как большинство вирусов, а также включают в себя различные методы атак. Другая серьезная проблема заключается в том, что в создании современных ботов принимают участие сразу несколько человек. Таким образом, появляется несколько различных вариантов одного и того же бота, что затрудняет их распознавание антивирусными программами.

Классификация ботнетов

Ботнеты классифицируются по архитектуре и сетевым протоколам.

С точки зрения архитектуры можно выделить ботнеты с центром управления и децентрализованные. В первом случае все компьютеры объединены вокруг одного контрольного центра (Command & Control Centre, C&C). Это — самая распространенная разновидность. Центр ждет откликов от ботов, фиксирует их, раздает инструкции, которые определяет владелец. Иногда злоумышленник создает несколько центров, на случай их вывода из строя или блокировки. Зомби-сети такого типа легки в создании и управлении, более оперативно реагируют на команды, но и бороться с ними отчасти проще, чем с другими типами ботнетов: достаточно добиться уничтожения командного центра, и сеть рассыпается. Впрочем, задача может усложниться из-за миграции центров или шифрования трафика.

Децентрализованные вредоносные сети еще называют P2P-ботнетами — от английского термина «peer-to-peer», означающего соединение вида «точка-точка».  В таких системах бот-агенты соединяются не с центром управления, а с определенным числом других зараженных компьютеров. Получив команду, вредоносная программа передает ее следующей машине, и так происходит распространение инструкций по всей зомби-сети. Таким образом, киберпреступник может управлять всеми инфицированными компьютерами через любой узел ботнета. Сеть такого типа менее удобна в эксплуатации, но из-за отсутствия центра бороться с ней тоже труднее.

Классификация зомби-сетей по протоколам объясняется наличием взаимодействия между машиной, подающей команду, и компьютерами жертв. Оно строится на сетевых протоколах, которые определяют порядок коммуникации между узлами. По этому признаку ботнеты разделяют на четыре группы.

К первой группе относятся IRC-ориентированные зомби-сети. Они характеризуются соединением каждого зараженного устройства с IRC-сервером, перемещением на указанный канал и ожиданием команды владельца. Вторую группу составляют сети, использующие каналы IM-служб. Необходимость создания отдельного аккаунта для каждого узла снижает популярность таких ботнетов. Третья группа — веб-ориентированные ботнеты, где управление компьютерами осуществляется через Всемирную паутину. Они легко разрабатываются, в интернете много веб-серверов, управлять ими очень просто; по этим причинам подобные вредоносные сети пользуются спросом. К четвертой группе следует отнести другие виды систем с собственными, нестандартными протоколами.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий