Ботнеты и невидимая сеть

Бот — особая форма вредоносной программы, которая считается одним из самых основных и современных инструментов, используемых киберпреступниками. Этот инструмент позволяет хакерам одновременно управлять большим количеством компьютеров и превращать их в армию «зомби», называемую ботнетами. Ботнеты полностью подчиняются командам злоумышленников — например, рассылать огромное количество спама и совершать всякие вредоносные действия.

1. Введение

2. Как это работает

3. Ботнеты и невидимая сеть (Deep Web)

4. Выводы

Введение

Ботнет обычно состоит из большого числа зараженных компьютеров, расположенных в разных частях земного шара. Из-за того что инфицированные компьютеры будут выполнять любые команды киберпреступников, их часто называют «зомби», а самих хакеров, управляющих ими, принято называть ботмастерами (botmaster или botherder).

Некоторые ботнеты состоят из нескольких сотен или нескольких тысяч компьютеров-жертв, другие же могут насчитывать до 500 000 машин в распоряжении злоумышленников. В большинстве случаев жертва даже не знает, что ее машина заражена. Однако можно перечислить некоторые признаки того, что ваш компьютер является частью ботнета: замедление работы, отображение странных сообщений или даже полный сбой в работе машины.

Как это работает

Боты обычно незаметно устанавливаются на компьютер жертвы несколькими путями. Чаще всего эти вредоносные программы ищут в интернете незащищенные компьютеры. После того как уязвимая машина найдена и заражена, бот сообщает ботмастеру IP-адрес жертвы. Какое-то время вредоносная программа никак не проявляет себя в системе, находясь в покое и ожидая команд от хакера.

В число таких команд, как правило, входят следующие:

1. Отправка спам-писем, вирусов и программ-шпионов.
2. Сбор конфиденциальной информации жертвы, которая может включать номера кредитных карт, данные банковского счета, и отправка этих данных злоумышленнику.
3. DDoS-атаки (распределенный отказ в обслуживании). Хакеры часто шантажируют владельцев сайтов, используя DDoS-атаки, например, требуют определенную сумму денег за ее прекращение. Так как ботнет может включать большое количество зараженных компьютеров, такие атаки могут стать серьезной проблемой даже для крупных сайтов с их возможностями. Все, что нужно сделать злоумышленнику — всего лишь послать команду всем подконтрольным машинам посетить определенный сайт. Сайт может не справиться с такой нагрузкой, что вызовет отказ в обслуживании.
4. Кликфрод (Click fraud). Киберпреступники используют ботнеты, чтобы реализовать в свою пользу систему «оплата за клик». Так как каждый отдельный зараженный компьютер представляет собой пользователя интернета, хакеры неплохо зарабатывают таким образом.
5. Добыча криптовалюты (майнинг). Злоумышленники могут нацелить свои ботнеты на добычу биткоинов или альткоинов. Так, например, в 2015 году широкую огласку получил случай, когда обнаружилось, что самый популярный торрент-клиент uTorrent незаметно устанавливал бота, который добывал биткоины. Тогда пользователи uTorrent столкнулись с заметным замедлением работы своих компьютеров, поскольку биткоин-майнинг использует огромную вычислительную мощность.

Ботнеты и невидимая сеть (Deep Web)

Ботмастеры должны тщательно скрывать командные серверы (C&C), управляющие их ботнетами, а также сетевой трафик, входящий и исходящий, чтобы избежать обнаружения и уничтожения этой вредоносной структуры. В настоящее время большинство ботмастеров предпочитают скрывать свои серверы в сети Tor.

Выделим несколько преимуществ для хакеров при использовании сети Tor:

• Высокая доступность и низкое время ожидания аутентифицированных скрытых сервисов Tor.
• Разумная доступность частных сетей Tor.
• Возможности Exit node.

Обычно правоохранительные органы анализируют трафик, пытаясь обнаружить различные виды деятельности, связанной с ботнетами и командными центрами (C&C). Это осуществляется с использованием сетевых анализаторов и систем обнаружения вторжений. После обнаружения подобной вредоносной активности правоохранительные органы могут различными способами уничтожить бот-сеть.

Вот некоторые из этих способов:

• Блокировка IP-адресов сервера, управляющего ботнетом.
• Очистка скомпрометированных хостов.
• Аннулирование доменного имени или имен.
• Отмена пирингового соглашения с провайдером.

Возвращаясь к использованию сети Tor, стоит отметить, что трафик ботнета перенаправляется на сервер C&C через сеть Tor, которая шифрует его, что затрудняет анализ. Существует 2 модели бот-сетей, основанных на сети Tor:

1. Модель на основе прокси-сервера Tor2Web. Процедура маршрутизации перенаправляет интернет-трафик через прокси Tor2Web. Бот подключается к скрытой службе Tor через прокси Tor2Web, указывающей на .onion-домен, на котором размещен сервер C&C.
2. Использование proxy-aware-вредоноса. Поскольку служба Tor2Web не используется, бот должен запустить клиент Tor на стороне жертвы. Боты должны иметь поддержку SOCK55, чтобы иметь возможность получать .onion-адреса в сети Tor.

Также стоит отметить, что вредоносные программы, создающие ботнет, можно купить на некоторых площадках невидимой сети (deep web). Однако следует быть осторожным — есть вероятность заразить собственную машину при работе с продукцией хакеров.

Выводы

Эта статья помогла нам понять, что представляют собой ботнеты и как киберпреступники управляют ими. Поскольку заражение компьютера, а также дальнейшая активность этой вредоносной программы проходят в скрытом режиме, зачастую очень сложно распознать, что ваш компьютер уже принадлежит не только вам. Как отмечалось выше, основным и главным признаком является замедление работы зараженного компьютера, поэтому крайне важно обращать внимание на это, если «сетевая безопасность» для вас не пустой звук.