Ботнет: Краткое руководство по ботнетам - что это такое, как они работают и какой вред они могут причинить | Indite — Медиахостинг

Ботнет: Краткое руководство по ботнетам - что это такое, как они работают и какой вред они могут причинить

Net Insider

visibility
28 Апр 2020
Ботнет - это совокупность устройств, зараженных программой-ботом, которая позволяет злоумышленнику управлять ими.
Размер ботнетов может варьироваться от нескольких сотен до миллионов зараженных устройств. Злоумышленники обычно используют коллективные ресурсы ботнета для выполнения различных разрушительных или преступных действий, таких как отправка огромного количества спам-писем, распространение вредоносных программ и запуск атак типа "отказ в обслуживании".


334


Как создается ботнет
В отличие от других угроз, крипто-вымогатели не являются ни тонкими, ни скрытыми. Вместо этого он явно отображает зловещие сообщения, чтобы привлечь к себе внимание, и явно использует шок и страх, чтобы заставить вас заплатить выкуп.
Некоторые так называемые крипто-вымогатели вообще не выполняют шифрование, а просто используют угрозу этого для вымогательства денег. Однако в большинстве случаев угроза действительно осуществляется.
Устройство может быть непроизвольно подключено к ботнету только в том случае, если злоумышленник может получить к нему доступ - сначала посадить бота, а затем выдавать ему команды. Практически это означает устройство, которое подключено к интернету.
Настольные компьютеры традиционно были наиболее распространенным типом устройств, предназначенных для взлома ботнетов. Однако в последние годы, когда другие типы устройств стали подключаться к Интернету, мы видели ботнеты, созданные из таких устройств, как:

  • IP-камеры (persirai botnet)
  • Маршрутизаторы (Mirai botnet)
  • Linux-серверы (ботнет Ebury)
  • Мобильные устройства Android (Wirex botnet)
Злоумышленники могут установить программы-боты на устройство многими способами. Один из распространенных методов заключается в использовании набора эксплойтов, размещенного на веб-сайте, чтобы проверить устройство каждого посетителя сайта на наличие уязвимого недостатка; если таковой обнаружен, набор автоматически загружает и устанавливает бота.
Другие популярные способы включают распространение бота в виде файла, прикрепленного к спам-письмам, или как часть полезной нагрузки другой вредоносной программы.
Устройства, которые были заражены ботом, иногда сами называются ботамиили, реже, зомби.


Командование ботами
Как только бот-программа будет установлена, она обычно попытается связаться с удаленным веб-сайтом или сервером, где она может получить инструкции. Этот сайт или сервер известен как командно-контрольный сервер или сервер C&C.
Злоумышленник, контролирующий ботнет через свой сервер C&C, может быть назван его ботердером, ботмастером, оператором или контроллером. Это может быть либо лицо, ответственное за создание и поддержание самого ботнета, либо просто другая сторона, которая арендует контроль над ботнетом на некоторое время.
Оператор ботнета использует клиентскую программу для отправки инструкций зараженным устройствам. Команды могут быть выданы одной машине или всем устройствам в ботнете. В зависимости от того, насколько сложна программа бота, устройство может быть использовано для:

  • Отправляйте электронные письма или файлы
  • Сбор и пересылка данных
  • Контролируйте действия пользователя
  • Зондируйте другие подключенные устройства
  • Скачивайте и запускайте другие программы
Что могут сделать злоумышленники
Ботнеты могут влиять на пользователей как прямо, так и косвенно. Самое прямое воздействие заключается в том, что зараженная машина больше не находится под контролем законного пользователя. Большинство людей сегодня хранят высокочувствительный контент (например, финансовые или юридические данные) на своих персональных устройствах; такая информация становится уязвимой, как только устройство заражено.
Если устройство принадлежит компании или правительственной организации, потеря контроля над ним может поставить под угрозу важные бизнес-функции или социальные службы.
Более косвенно, ботнеты могут быть использованы их контроллерами для выполнения других вредных действий, таких как:

  • Запуск распределенных атак типа "отказ в обслуживании" (DDoS) на конкурирующие веб-сайты или сервисы
  • Распространение спама или вредоносных программ
  • Майнинг цифровых валют
Если у них нет соответствующих защитных мер, цели DDoS-атак или получатели спама могут испытывать значительные сбои в своей нормальной деловой деятельности.
Операторы ботнетов также могут запускать их как коммерческую операцию, предлагая коллективные ресурсы "своего" ботнета другим сторонам в качестве услуги. Это позволяет другим преступникам осуществлять гнусную деятельность с минимальной суетой.


Размер имеет значение
Потенциал ботнета для причинения хаоса увеличивается с увеличением размера, так как наличие большего количества машин в ботнете дает злоумышленникам больше ресурсов для их деятельности.
Ботнеты раньше были довольно мелкими, с несколькими сотнями зараженных машин. Однако за последние 10 лет стало обычным видеть сотни тысяч устройств под управлением одного ботнета, и ботнеты размером более миллиона не являются редкостью.
Рост размера ботнетов часто связывают с резким ростом числа пользователей Интернета за последние 15 лет, поскольку все больше развивающихся стран становятся все более открытыми для Интернета.


Ботнет Conficker 2009 года
Ботнет, созданный червем Conficker (также известным как Downadup), включал в себя не только персональные домашние компьютеры, но и крупные корпоративные серверы и военные ресурсы в Соединенных Штатах, Великобритании и Франции. Пострадавшие организации были вынуждены принять значительные меры по исправлению положения из соображений безопасности.
Агрессивное распространение Conficker также оказало непропорционально большое влияние на интернет-инфраструктуру целых развивающихся стран, во многих случаях серьезно нарушив работу предприятий и домашних пользователей в пострадавших странах.
В период своего расцвета Conficker, как считалось, заразил от 9 до 15 миллионов машин по всему миру, хотя только около 4 миллионов из них находились под непосредственным контролем операторов ботнета. Это сделало Conficker крупнейшим известным ботнетом в мире до тех пор.
Ботнет-тейкдауны
Учитывая широкий спектр вреда, который они могут причинить, неудивительно, что правоохранительные органы и правительственные команды компьютерного реагирования на чрезвычайные ситуации (CERTs) во многих странах активно работают над закрытием ботнетов, а также выслеживают и преследуют их операторов.
На международном уровне, пожалуй, самый эффективный способ нейтрализовать ботнет - это найти и уничтожить сервер C&C. Это лишает операторов ботнетов прямого контроля над порабощенными машинами. Некоторые из наиболее заметных демонтажей в последние годы включают в себя:

  • Лавина
  • Дридекс
  • Зевс
Однако глобальные демонтажи - это крупные операции, требующие значительного международного сотрудничества. Более того, пользователи и администраторы могут немедленно поместить в карантин любые зараженные устройства так, чтобы они были вне прямой связи с оператором ботнета, а затем продезинфицировать их.
После того, как устройства были очищены, рекомендуется, чтобы пользователи и администраторы также оценили и укрепили свою защиту, чтобы предотвратить любую возможность повторного заражения, которое может связать устройства обратно в тиски ботнета.