Ботнет - это совокупность устройств, зараженных программой-ботом, которая позволяет злоумышленнику управлять ими.
Размер ботнетов может варьироваться от нескольких сотен до миллионов зараженных устройств. Злоумышленники обычно используют коллективные ресурсы ботнета для выполнения различных разрушительных или преступных действий, таких как отправка огромного количества спам-писем, распространение вредоносных программ и запуск атак типа "отказ в обслуживании".
Как создается ботнет
В отличие от других угроз, крипто-вымогатели не являются ни тонкими, ни скрытыми. Вместо этого он явно отображает зловещие сообщения, чтобы привлечь к себе внимание, и явно использует шок и страх, чтобы заставить вас заплатить выкуп.
Некоторые так называемые крипто-вымогатели вообще не выполняют шифрование, а просто используют угрозу этого для вымогательства денег. Однако в большинстве случаев угроза действительно осуществляется.
Устройство может быть непроизвольно подключено к ботнету только в том случае, если злоумышленник может получить к нему доступ - сначала посадить бота, а затем выдавать ему команды. Практически это означает устройство, которое подключено к интернету.
Настольные компьютеры традиционно были наиболее распространенным типом устройств, предназначенных для взлома ботнетов. Однако в последние годы, когда другие типы устройств стали подключаться к Интернету, мы видели ботнеты, созданные из таких устройств, как:
Другие популярные способы включают распространение бота в виде файла, прикрепленного к спам-письмам, или как часть полезной нагрузки другой вредоносной программы.
Устройства, которые были заражены ботом, иногда сами называются ботамиили, реже, зомби.
Командование ботами
Как только бот-программа будет установлена, она обычно попытается связаться с удаленным веб-сайтом или сервером, где она может получить инструкции. Этот сайт или сервер известен как командно-контрольный сервер или сервер C&C.
Злоумышленник, контролирующий ботнет через свой сервер C&C, может быть назван его ботердером, ботмастером, оператором или контроллером. Это может быть либо лицо, ответственное за создание и поддержание самого ботнета, либо просто другая сторона, которая арендует контроль над ботнетом на некоторое время.
Оператор ботнета использует клиентскую программу для отправки инструкций зараженным устройствам. Команды могут быть выданы одной машине или всем устройствам в ботнете. В зависимости от того, насколько сложна программа бота, устройство может быть использовано для:
Ботнеты могут влиять на пользователей как прямо, так и косвенно. Самое прямое воздействие заключается в том, что зараженная машина больше не находится под контролем законного пользователя. Большинство людей сегодня хранят высокочувствительный контент (например, финансовые или юридические данные) на своих персональных устройствах; такая информация становится уязвимой, как только устройство заражено.
Если устройство принадлежит компании или правительственной организации, потеря контроля над ним может поставить под угрозу важные бизнес-функции или социальные службы.
Более косвенно, ботнеты могут быть использованы их контроллерами для выполнения других вредных действий, таких как:
Операторы ботнетов также могут запускать их как коммерческую операцию, предлагая коллективные ресурсы "своего" ботнета другим сторонам в качестве услуги. Это позволяет другим преступникам осуществлять гнусную деятельность с минимальной суетой.
Размер имеет значение
Потенциал ботнета для причинения хаоса увеличивается с увеличением размера, так как наличие большего количества машин в ботнете дает злоумышленникам больше ресурсов для их деятельности.
Ботнеты раньше были довольно мелкими, с несколькими сотнями зараженных машин. Однако за последние 10 лет стало обычным видеть сотни тысяч устройств под управлением одного ботнета, и ботнеты размером более миллиона не являются редкостью.
Рост размера ботнетов часто связывают с резким ростом числа пользователей Интернета за последние 15 лет, поскольку все больше развивающихся стран становятся все более открытыми для Интернета.
Ботнет Conficker 2009 года
Ботнет, созданный червем Conficker (также известным как Downadup), включал в себя не только персональные домашние компьютеры, но и крупные корпоративные серверы и военные ресурсы в Соединенных Штатах, Великобритании и Франции. Пострадавшие организации были вынуждены принять значительные меры по исправлению положения из соображений безопасности.
Агрессивное распространение Conficker также оказало непропорционально большое влияние на интернет-инфраструктуру целых развивающихся стран, во многих случаях серьезно нарушив работу предприятий и домашних пользователей в пострадавших странах.
В период своего расцвета Conficker, как считалось, заразил от 9 до 15 миллионов машин по всему миру, хотя только около 4 миллионов из них находились под непосредственным контролем операторов ботнета. Это сделало Conficker крупнейшим известным ботнетом в мире до тех пор.
Ботнет-тейкдауны
Учитывая широкий спектр вреда, который они могут причинить, неудивительно, что правоохранительные органы и правительственные команды компьютерного реагирования на чрезвычайные ситуации (CERTs) во многих странах активно работают над закрытием ботнетов, а также выслеживают и преследуют их операторов.
На международном уровне, пожалуй, самый эффективный способ нейтрализовать ботнет - это найти и уничтожить сервер C&C. Это лишает операторов ботнетов прямого контроля над порабощенными машинами. Некоторые из наиболее заметных демонтажей в последние годы включают в себя:
После того, как устройства были очищены, рекомендуется, чтобы пользователи и администраторы также оценили и укрепили свою защиту, чтобы предотвратить любую возможность повторного заражения, которое может связать устройства обратно в тиски ботнета.
Размер ботнетов может варьироваться от нескольких сотен до миллионов зараженных устройств. Злоумышленники обычно используют коллективные ресурсы ботнета для выполнения различных разрушительных или преступных действий, таких как отправка огромного количества спам-писем, распространение вредоносных программ и запуск атак типа "отказ в обслуживании".
Как создается ботнет
В отличие от других угроз, крипто-вымогатели не являются ни тонкими, ни скрытыми. Вместо этого он явно отображает зловещие сообщения, чтобы привлечь к себе внимание, и явно использует шок и страх, чтобы заставить вас заплатить выкуп.
Некоторые так называемые крипто-вымогатели вообще не выполняют шифрование, а просто используют угрозу этого для вымогательства денег. Однако в большинстве случаев угроза действительно осуществляется.
Устройство может быть непроизвольно подключено к ботнету только в том случае, если злоумышленник может получить к нему доступ - сначала посадить бота, а затем выдавать ему команды. Практически это означает устройство, которое подключено к интернету.
Настольные компьютеры традиционно были наиболее распространенным типом устройств, предназначенных для взлома ботнетов. Однако в последние годы, когда другие типы устройств стали подключаться к Интернету, мы видели ботнеты, созданные из таких устройств, как:
- IP-камеры (persirai botnet)
- Маршрутизаторы (Mirai botnet)
- Linux-серверы (ботнет Ebury)
- Мобильные устройства Android (Wirex botnet)
Другие популярные способы включают распространение бота в виде файла, прикрепленного к спам-письмам, или как часть полезной нагрузки другой вредоносной программы.
Устройства, которые были заражены ботом, иногда сами называются ботамиили, реже, зомби.
Командование ботами
Как только бот-программа будет установлена, она обычно попытается связаться с удаленным веб-сайтом или сервером, где она может получить инструкции. Этот сайт или сервер известен как командно-контрольный сервер или сервер C&C.
Злоумышленник, контролирующий ботнет через свой сервер C&C, может быть назван его ботердером, ботмастером, оператором или контроллером. Это может быть либо лицо, ответственное за создание и поддержание самого ботнета, либо просто другая сторона, которая арендует контроль над ботнетом на некоторое время.
Оператор ботнета использует клиентскую программу для отправки инструкций зараженным устройствам. Команды могут быть выданы одной машине или всем устройствам в ботнете. В зависимости от того, насколько сложна программа бота, устройство может быть использовано для:
- Отправляйте электронные письма или файлы
- Сбор и пересылка данных
- Контролируйте действия пользователя
- Зондируйте другие подключенные устройства
- Скачивайте и запускайте другие программы
Ботнеты могут влиять на пользователей как прямо, так и косвенно. Самое прямое воздействие заключается в том, что зараженная машина больше не находится под контролем законного пользователя. Большинство людей сегодня хранят высокочувствительный контент (например, финансовые или юридические данные) на своих персональных устройствах; такая информация становится уязвимой, как только устройство заражено.
Если устройство принадлежит компании или правительственной организации, потеря контроля над ним может поставить под угрозу важные бизнес-функции или социальные службы.
Более косвенно, ботнеты могут быть использованы их контроллерами для выполнения других вредных действий, таких как:
- Запуск распределенных атак типа "отказ в обслуживании" (DDoS) на конкурирующие веб-сайты или сервисы
- Распространение спама или вредоносных программ
- Майнинг цифровых валют
Операторы ботнетов также могут запускать их как коммерческую операцию, предлагая коллективные ресурсы "своего" ботнета другим сторонам в качестве услуги. Это позволяет другим преступникам осуществлять гнусную деятельность с минимальной суетой.
Размер имеет значение
Потенциал ботнета для причинения хаоса увеличивается с увеличением размера, так как наличие большего количества машин в ботнете дает злоумышленникам больше ресурсов для их деятельности.
Ботнеты раньше были довольно мелкими, с несколькими сотнями зараженных машин. Однако за последние 10 лет стало обычным видеть сотни тысяч устройств под управлением одного ботнета, и ботнеты размером более миллиона не являются редкостью.
Рост размера ботнетов часто связывают с резким ростом числа пользователей Интернета за последние 15 лет, поскольку все больше развивающихся стран становятся все более открытыми для Интернета.
Ботнет Conficker 2009 года
Ботнет, созданный червем Conficker (также известным как Downadup), включал в себя не только персональные домашние компьютеры, но и крупные корпоративные серверы и военные ресурсы в Соединенных Штатах, Великобритании и Франции. Пострадавшие организации были вынуждены принять значительные меры по исправлению положения из соображений безопасности.
Агрессивное распространение Conficker также оказало непропорционально большое влияние на интернет-инфраструктуру целых развивающихся стран, во многих случаях серьезно нарушив работу предприятий и домашних пользователей в пострадавших странах.
В период своего расцвета Conficker, как считалось, заразил от 9 до 15 миллионов машин по всему миру, хотя только около 4 миллионов из них находились под непосредственным контролем операторов ботнета. Это сделало Conficker крупнейшим известным ботнетом в мире до тех пор.
Ботнет-тейкдауны
Учитывая широкий спектр вреда, который они могут причинить, неудивительно, что правоохранительные органы и правительственные команды компьютерного реагирования на чрезвычайные ситуации (CERTs) во многих странах активно работают над закрытием ботнетов, а также выслеживают и преследуют их операторов.
На международном уровне, пожалуй, самый эффективный способ нейтрализовать ботнет - это найти и уничтожить сервер C&C. Это лишает операторов ботнетов прямого контроля над порабощенными машинами. Некоторые из наиболее заметных демонтажей в последние годы включают в себя:
- Лавина
- Дридекс
- Зевс
После того, как устройства были очищены, рекомендуется, чтобы пользователи и администраторы также оценили и укрепили свою защиту, чтобы предотвратить любую возможность повторного заражения, которое может связать устройства обратно в тиски ботнета.