Botnät

Botnet ( eng.  botnet , IPA: [ˈbɒtnɛt] ; härlett från orden robot och nätverk ) är ett datornätverk som består av ett antal värdar som kör bots  - autonom programvara . Oftast är en bot inom ett botnät ett program som är hemligt installerat på offrets enhet och låter angriparen utföra vissa åtgärder med hjälp av resurserna på den infekterade datorn . Används vanligtvis för olagliga eller ej godkända aktiviteter - spam , brute-force lösenordpå ett fjärrsystem, överbelastningsattacker ( DoS- och DDoS- attacker).

Bots, som sådana, är inte virus. De är en uppsättning mjukvara som kan bestå av virus , brandväggar , fjärrkontrollprogram för datorer och verktyg för att dölja från operativsystemet [1] .

Origins

Bots skapades ursprungligen för att hjälpa till att hantera IRC-kanaler . Att administrera kanaler på IRC-nätverket kan vara tidskrävande, så administratörer skapade speciella bots för att hjälpa till att hantera populära kanaler [2] . En av de första sådana robotarna var Eggdrop , skriven 1993 [3] .

Med tiden började IRC-robotar användas i skadliga syften. Deras huvudsakliga uppgift var att attackera IRC-servrar och andra användare på IRC-nätverk. Detta gjorde att DoS-attacker kunde göras . Användningen av botar hjälpte till att dölja angriparen, eftersom paketen skickades från boten och inte från angriparens dator. Det blev också möjligt att gruppera flera infekterade datorer för att organisera DDoS-attacker . Det krävdes stora nätverk av bots för att attackera stora mål. Därför har angripare börjat använda trojaner och andra dolda metoder för att öka antalet infekterade datorer i nätverket [2] .

Moderna bots är olika hybrider av hot integrerade i kommando- och kontrollsystemet. De kan spridas som maskar , gömma sig från operativsystemet som de flesta virus och inkludera olika attackmetoder. Ett annat allvarligt problem är att flera personer deltar i skapandet av moderna bots samtidigt. Det dyker alltså upp flera olika varianter av samma bot, vilket gör det svårt för antivirusprogram att känna igen dem [2] .

Arkitektur

Klient-servermodell

De första botnäten använde en klient-servermodell för att utföra sina uppgifter. För närvarande används centraliserade nätverk fortfarande i stor utsträckning. Bland dessa är de mest populära Internet-relänätverk, som använder IRC för att underlätta utbytet av data mellan bots och värddatorn. Nätverk med denna arkitektur är lätta att skapa och underhålla, och de tillåter också effektiv distribution av kontrolldatorkommandon mellan klienter [4] .

I ett centraliserat nätverk ansluter bots till en eller flera servrar och väntar sedan på kontrollkommandon från servern. Styrdatorn skickar kommandon till servrarna som i sin tur skickar dem till klienterna. Klienter kör kommandon och skickar ett meddelande om resultaten till servern [4] .

Denna modell har en betydande nackdel. I händelse av ett serverfel kommer kontrolldatorn att tappa kontakten med sina bots och kommer inte att kunna kontrollera dem [4] .

Decentraliserad modell

På senare tid har fler och fler peer-to-peer-botnät dykt upp. Det finns ingen centraliserad server i P2P- botnätet , botarna är kopplade till varandra och fungerar både som en server och som en klient [4] .

För att hitta en annan infekterad dator kontrollerar boten slumpmässiga IP-adresser tills den kontaktar en annan infekterad enhet. Den hittade boten skickar i sin tur information om sin mjukvaruversion och en lista över kända bots. Om en av programvaruversionerna är lägre än den andra, kommer filöverföringen för uppdatering till en nyare programversion att börja. Således fyller varje bot på sin lista över infekterade maskiner och uppdaterar programvaran till en nyare version [5] .

Dessa nätverk är dynamiska churn-resistenta, vilket innebär att bots snabbt kan gå med och lämna nätverket. Dessutom kommer anslutningen inte att brytas i händelse av förlust eller fel på flera botar. Till skillnad från centraliserade nätverk är P2P-botnät mer tillförlitliga och svårare att upptäcka [4] .

Teknisk beskrivning

Ta kontroll

Hanteringen erhålls vanligtvis genom att installera osynlig, oupptäckbar programvara i daglig drift på en dator utan användarens vetskap. Uppstår vanligtvis via [1] :

• Infektion av en dator med ett virus genom en mjukvarusårbarhet (buggar i webbläsare, e-postklienter, dokumentvisare, bilder, videor);
• Använda användarens oerfarenhet eller ouppmärksamhet - maskerad som "användbart innehåll";
• Använda behörig åtkomst till en dator (sällsynt);
• Uppräkning av administratörslösenordsalternativ för nätverksresurser med delad åtkomst (särskilt till ADMINS, som låter dig köra ett program på distans) - främst i lokala nätverk.

Självförsvar och autostartmekanism

Mekanismen för borttagningsskydd liknar de flesta virus och rootkits , i synnerhet [1] :

• förklädnad som en systemprocess;
• användning av containerisering [6] [7] ;
• användning av icke-standardiserade lanseringsmetoder (autorun-sökvägar som ärvts från gamla mjukvaruversioner, ersättning av processdebugger);
• användningen av två självstartande processer som startar om varandra (sådana processer är nästan omöjliga att avsluta, eftersom de kallar "nästa" process och avslutas innan de med kraft avslutas);
• ersättning av systemfiler för självmaskering;
• starta om datorn vid åtkomst till körbara filer eller startnycklar där filerna är registrerade.

Botnet-hanteringsmekanism

Tidigare gjordes kontroll antingen genom att "lyssna" på ett specifikt kommando på en specifik port, eller genom att vara med i en IRC- chatt. Fram till användningsögonblicket "sover" programmet - (möjligen) multipliceras och väntar på ett kommando. Efter att ha tagit emot kommandon från "ägaren" av botnätet börjar den exekvera dem (en av aktiviteterna). I vissa fall laddas en körbar kod på kommando (det är alltså möjligt att "uppdatera" programmet och ladda moduler med godtycklig funktionalitet). Det är möjligt att styra boten genom att placera ett visst kommando på en förberedd URL [8] [9] .

För närvarande har botnät som kontrolleras via en webbplats eller enligt principen om p2p -nätverk blivit utbredda [4] .

Slåss mot botnät

Botnätdetektering

Oftast är det svårt att upptäcka botar på enheten eftersom botarna fungerar helt autonomt utan användarinblandning. Det finns dock flera tecken som tyder på förekomsten av en botinfektion på en dator [10] :

• IRC-trafik (eftersom botnät använder IRC-kanaler för att kommunicera);
• Anslutningar till servrar ses som en del av botnät;
• Hög utgående SMTP- trafik;
• Flera datorer i ett nätverk som gör samma DNS-frågor ;
• Långsam datorprestanda;
• Hög CPU-belastning;
• En kraftig ökning av trafiken, särskilt på portarna 6667 (används för IRC ), 25 ( SMTP-port ), 1080 (används av proxyservrar );
• Misstänkta utgående meddelanden som inte skickats av användaren;
• Problem med internetåtkomst.

Förebyggande av infektion

För att förhindra infektion bör användare vidta ett antal åtgärder som inte bara syftar till att förhindra infektion med ett botnätvirus , utan också på att skydda mot skadlig programvara i allmänhet. Rekommenderade metoder för att förhindra datorinfektion [10] :

• Du bör övervaka nätverket och övervaka dess aktivitet regelbundet för att enkelt upptäcka felaktigt nätverksbeteende;
• All programvara bör uppdateras regelbundet, uppdateringar bör endast laddas ner från pålitliga källor;
• Användare bör vara mer vaksamma för att inte utsätta sina enheter för risken för infektion av bots eller virus. Detta gäller främst för att öppna e-postmeddelanden, misstänkta bilagor, besöka opålitliga webbplatser och klicka på overifierade länkar;
• Verktyg för upptäckt av botnät bör användas för att förhindra infektion genom att blockera botvirus. De flesta av dessa program har också förmågan att ta bort botnät. [10] Exempel på verktyg för att upptäcka botaktivitet på en dator [11] :
  • DE-Cleaner från Kaspersky Lab ;
  • DE-Cleaner från Avira ;
  • Rubotted;
  • Mirage Anti-Bot;
  • Bot Revolt;
  • Norton Power Eraser.

Förstörelse av botnätet

Så snart en bot hittas på en dator bör den omedelbart tas bort med hjälp av speciell programvara . Detta kommer att säkra en enda dator, men för att ta bort botnät måste du inaktivera servrarna som kontrollerar botarna [10] .

Handel

DDoS som en tjänst

För att beställa en DDoS-attack används vanligtvis en fullfjädrad webbtjänst . Detta förenklar avsevärt kontakten mellan arrangören och uppdragsgivaren. Sådana webbtjänster är fullfjädrade funktionella webbapplikationer som låter sina användare hantera sin balans, planera en attackbudget och se framstegsrapporter. Vissa tjänster har också sina egna lojalitetsprogram, som består i att samla bonuspoäng för attacker [12] .

DDoS attackhastigheter

Olika DDoS-tjänster ger användarna ett ganska brett utbud av specialfunktioner utöver den grundläggande funktionaliteten, som avsevärt påverkar priset för en attack. Exempel på sådana "tillägg" [12] :

• Svåra mål. Inte alla cyberkriminella går med på att attackera statliga resurser, eftersom sådana webbplatser kontrolleras av brottsbekämpande myndigheter. Tjänster som går med på en sådan attack kräver mer pengar än för en attack mot en onlinebutik .
• Attackkällor och deras egenskaper. Denna inställning beror på enheterna i nätverket och hur svårt det är att infektera enheter. Så ett botnät av CCTV-kameror kan vara billigare än ett botnät av servrar. Detta beror på att IoT-enheter är mycket lättare att hacka.
• Attackscenarier. Ju mer ovanlig attack kunden kräver, desto dyrare kommer det att kosta.

Cyberkriminella erbjuder också olika taxeplaner med betalning per sekund, men utan möjlighet att välja några ytterligare funktioner. Till exempel skulle en DDoS-attack som varar i 10 800 sekunder kosta klienten cirka 20 USD per timme [12] .

Skala

Enligt skaparen av TCP/IP-protokollet , Vint Cerf , kan ungefär en fjärdedel av de 600 miljoner datorer som är anslutna till Internet finnas i botnät [13] . SecureWorks-experterna, efter att ha studerat den interna statistiken för botnätet baserad på SpamThru-trojanen, fann att ungefär hälften av de infekterade datorerna kör operativsystemet Windows XP med Service Pack 2 installerat [13] .

Enligt McAfee säkerhetsspecialist Michael DeCesare finns det  bara i USA cirka 5 miljoner infekterade datorer i botnät, vilket är cirka 10 % av den nationella datorparken [14] .

Länder med det högsta antalet infekterade datorer [15] :

Största botnätsattackerna

Den mest synliga av alla botnätaktiviteter är DoS- och DDoS-attacker . Den största av dem:

• Den 21 oktober 2016 gjordes en attack mot DNS- leverantören Dyn [16] . Stora företag som BBC [17] , Fox News [18] , GitHub [19] , PayPal [20] , Reddit [21] och Visa [22] påverkades som ett resultat av attacken ;
• I september 2016 skedde en attack mot värdleverantören OVH . Det var den största kända DDoS-attacken hittills . Det involverade 150 000 IoT-enheter , inklusive kameror och videobandspelare [23] ;
• Den 20 september 2016 gjordes en DDoS-attack på KrebsOnSecurity- webbplatsen . Angriparna använde ohanterade DNS- servrar för att generera enorm utgående trafik [24] ;
• Under 2016, på nyårsafton, låg BBC :s webbplats nere i flera timmar till följd av en kraftfull DDoS-attack . En grupp hackare kallad "New World Hacking" [25] tog på sig ansvaret för vad som hände ;
• Den 14-15 juni 2014 stängdes PopVote, en kinesisk onlineomröstningsplattform, av. Angriparna lyckades ta sig till omröstningsplatsen, så sajten måste omedelbart stängas av [26] ;
• Den 14 juni 2016 drabbades en kinesisk spelanläggning av en DDoS-attack . Attacken varade i fyra timmar. Noterbart använde angriparna nio olika typer av paket. För närvarande är andelen sådana attacker mindre än en procent av det totala antalet DDoS-attacker [27] .

Anteckningar

1. ↑ 1 2 3 Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnät - The Killer Web App. - M. : Syngress, 2007 - C. 29-77 - ISBN-10: 1-59749-135-7
2. ↑ 1 2 3 E. Cooke, F. Jahanian och D. McPherson. Zombiesammanfattningen: Förstå, upptäcka och störa botnät. Cambridge, MA juli 2005
3. ↑ Eggdrop: IRC-bot med öppen källkod (nedlänk) . Hämtad 10 december 2017. Arkiverad från originalet 30 december 2008. (obestämd) 
4. ↑ 1 2 3 4 5 6 Ping Wang, Baber Aslam, Cliff C. Zou. Handbok för informations- och kommunikationssäkerhet. Peer-to-Peer-botnät - M. Springer - C. 335-350 - ISBN 978-3-642-04116-7
5. ↑ Heron, Simon. Botnet kommando- och kontrolltekniker. nätverkssäkerhet. april 2007
6. ↑ Amerikanska och brittiska underrättelsetjänster anklagar Ryssland för global hackningskampanj Arkiverad 15 juli 2021 på Wayback Machine , BBC, 2021-07-02
7. ↑ Caviglione Luca , Mazurczyk Wojciech , Wendzel Steffen. Avancerad information Döljtekniker för moderna botnät   // botnät . - 2019. - 26 september. - S. 165-188 . — ISBN 9780429329913 . - doi : 10.1201/9780429329913-4 .
8. ↑ Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Ditt botnät är mitt botnät: Analys av ett övertagande av botnät. 9–13 november 2009, Chicago, Illinois, USA
9. ↑ Paul Barford. En inblick i Botnets. University of Wisconsin Madison
10. ↑ 1 2 3 4 A.C. Atluri, V. Tran. Botnet-hotanalys och upptäckt. - M. : Springer, 2017 - C. 15-27
11. ↑ 6 verktyg för att upptäcka infektion med skadlig programvara från Zombie Bot på Windows-dator . Hämtad 12 december 2017. Arkiverad från originalet 13 december 2017. (obestämd)
12. ↑ 1 2 3 Kostnaden för att starta en DDoS-attack . Hämtad 16 december 2017. Arkiverad från originalet 16 december 2017. (obestämd)
13. ↑ 1 2 Botnet Great and Terrible (otillgänglig länk) . // Computerra Online. Hämtad 3 juli 2007. Arkiverad från originalet 10 maj 2007. (obestämd) 
14. ↑ "Botnät: problem varifrån de inte förväntade sig" nr 584, juli 2012 . // uppgradering . Hämtad 12 oktober 2012. Arkiverad från originalet 17 oktober 2012. (obestämd)
15. ↑ Spamhaus projekterar . Hämtad 11 december 2017. Arkiverad från originalet 12 december 2017. (obestämd)
16. ↑ Hur din smarta enhet hjälpte till att förstöra internet för en dag . Hämtad 14 december 2017. Arkiverad från originalet 14 december 2017. (obestämd)
17. ↑ Chiel, Ethan Här är webbplatserna du inte kan komma åt eftersom någon tog ner internet . Fusion . Hämtad 21 oktober 2016. Arkiverad från originalet 22 oktober 2016. (obestämd)
18. ↑ Thielman, Sam; Johnston, Chris Major cyberattack stör internettjänsten i Europa och USA . The Guardian (21 oktober 2016). Hämtad 21 oktober 2016. Arkiverad från originalet 21 oktober 2016. (obestämd)
19. ↑ Heine, Christopher En stor cyberattack skadar Twitter, Spotify, Pinterest, Etsy och andra sajter . annonsvecka . Hämtad 21 oktober 2016. Arkiverad från originalet 22 oktober 2016. (obestämd)
20. ↑ Massiva webbattacker som kortvarigt slår ut toppsajter . BBC News (21 oktober 2016). Hämtad 14 december 2017. Arkiverad från originalet 24 oktober 2016. (obestämd)
21. ↑ Turton, William . Det är förmodligen därför halva internet stängs av idag [Uppdatering: Det händer igen  (eng.) . Arkiverad från originalet den 23 oktober 2016. Hämtad 14 december 2017.
22. ↑ USA:s internet stördes som hårt drabbat av cyberattacker . CBS News . Hämtad 21 oktober 2016. Arkiverad från originalet 22 oktober 2016. (obestämd)
23. ↑ 150 000 IoT-enheter bakom 1Tbps DDoS-attacken på OVH . Hämtad 14 december 2017. Arkiverad från originalet 14 december 2017. (obestämd)
24. ↑ KrebsOnSecurity-hit med rekord-DDoS . Hämtad 14 december 2017. Arkiverad från originalet 15 november 2016. (obestämd)
25. ↑ "Anti-IS-grupp" hävdar BBC-webbplatsattack . Hämtad 14 december 2017. Arkiverad från originalet 21 december 2017. (obestämd)
26. ↑ Största DDoS-attack träffade PopVote, Hong Kong Democracy-omröstningswebbplatsen . Hämtad 14 december 2017. Arkiverad från originalet 14 december 2017. (obestämd)
27. ↑ Kinesiskt spelföretag drabbats av den största DDoS-attacken NÅGONSIN . Hämtad 14 december 2017. Arkiverad från originalet 14 december 2017. (obestämd)

Litteratur

• Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnät - The Killer Web App. - M. : Syngress, 2007 - ISBN-10: 1-59749-135-7
• E. Cooke, F. Jahanian och D. McPherson. Zombiesammanfattningen: Förstå, upptäcka och störa botnät. Cambridge, MA juli 2005
• Ping Wang, Baber Aslam, Cliff C. Zou. Handbok för informations- och kommunikationssäkerhet. Peer-to-Peer-botnät - M. Springer - ISBN 978-3-642-04116-7
• Heron, Simon. Botnet kommando- och kontrolltekniker. nätverkssäkerhet. april 2007
• Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Ditt botnät är mitt botnät: Analys av ett övertagande av botnät. 9–13 november 2009, Chicago, Illinois, USA
• Paul Barford. En inblick i Botnets. University of Wisconsin Madison
• Wenke Lee, Cliff Wang, David Dagon. Detektering av botnät. Countering the Largest Security Threat - M. : Springer, 2008 - ISBN-13: 978-0-387-68766-7

Länkar

• Vitaly Kamluk. Botnät  - detaljerad artikel på viruslist.com
• Botnät som de är  - en artikel om botnät
• Författare till Bredolab botnät låst i fyra år
• Kort analytiskt frågeformulär om botnät i Ryssland 2009
• Nyheter om botnät
• "Bots-II. Om en ny våg av "avslöjanden" av dold reklam i Livejournal"  - en detaljerad artikel om "botcirklar" i Livejournal

Ordböcker och uppslagsverk	Britannica (online)
I bibliografiska kataloger	NKC : ph1108781