Ботнет (Botnet)

Ботнет (Botnet) - компьютерная сеть из устройств, зараженных вредоносной программой. Термин получил название от соединения частей англоязычных слов bot (бот, сокращение от слова robot (робот)) и network (сеть). Бот – это скрытая программа, которая инсталлируется на вычислительное устройство жертвы с целью его несанкционированного использования. Ботнеты применяют для DDoS-атак, подбора паролей через брутфорс, майнинга биткоинов или других криптовалют, распространения спама. Ботами могут быть и IoT-устройства. Так, известный ботнет Mirai состоят из скомпрометированным IoT-устройств.

Ботнет (Botnet)

Для получения управления компьютерным устройством на него скрытно устанавливается программа-бот, которые трудно обнаружить при выполнении привычной ежедневной работы. Инфицированные устройства нередко называют зомби-машинами, а ботнет (botnet) – зомби-сетью. Проникновение бота может случиться при недостаточной бдительности пользователя, так как автономная программа маскируется под полезное ПО. Бот может попасть через уязвимость любого программного обеспечения, путем подбора пароля к сетевым ресурсам, имеющим общий доступ. Редко, но случается, что зловред устанавливается во время открытого доступа к компьютеру.

Боты самостоятельно запускаются на устройстве, защищаются от удаления. Механизм защиты заключается в применении нетрадиционных способов запуска, замене файлов системы, перезагрузке машины при доступе к ключам автоматической загрузки. Вредоносы прячутся под системные процессы, могут использовать два процесса, которые перезапускают друг друга.

Ботнеты (botnet) имеют огромные вычислительные ресурсы, они приносят хорошую прибыль киберпреступникам. Компьютерными устройствами с вредоносами мошенники могут анонимно руководить с любого места земного шара.

Классификация ботнетов 

Ботнеты классифицируются по архитектуре и протоколам, применяемым в управлении вирусами. По архитектуре загруженные зловредами сети делятся на ботнеты с центром управления и децентрализованные зомби-сети. Первый вариант – это все компьютеры с ботами объединены вокруг одного центра управления Command&Control Centre. Это самые распространенные ботнеты. Центр ждет отклика от ботов, фиксирует их, дает им команды, которые определяет владелец. Центров может быть создано несколько на случай их вывода из строя или блокировки. Центры управления показывают все подключенные зараженные компьютерные устройства. Чтобы управлять централизованным ботнетом, злоумышленнику нужен доступ к командному центру. Зомби-сети такого типа легкие в создании и управлении, у них более оперативная реакция на команды. Надо сказать, что бороться с ними несколько проще, чем с другими зараженными сетями. Для этого нужно добиться уничтожения Command&Control Centre. Задача может усложниться из-за миграции центров, шифрования трафика.

Вторая группа – децентрализованные ботнеты. Их еще называют P2P-ботнеты от англоязычного слова «peer-to-peer», что значит соединение вида «точка-точка».  В таких системах вредоносы объединяются с каким-то числом поврежденных компьютеров, а не с центром управления. Получив команду, бот передает ее другой машине. Так происходит распространение на все зомби-сети. Это значит, что киберпреступник управляет всеми инфицированными машинами через любой компьютер из этой сети. Ботнеты этого вида менее удобные в применении на практике, чем зловреды с единым центром управления. Из-за отсутствия центра бороться с ними тоже труднее.

Классификация зомби-сетей по протоколам объясняется наличием взаимодействия между машиной, подающей команду, и компьютерами жертв. Оно строится на сетевых протоколах, диктующих порядок взаимодействия вычислительных устройств в сети. По типу сетевых протоколов ботнеты разделяются на четыре группы. К первой группе относятся IRC-ориентированные зомби-сети. Они характеризуются соединением каждого зараженного устройства с IRC-сервером, перемещением на указанный канал и ожиданием команды владельца. Вторую группу составляют IM-ориентированные автономные сети. Они отличаются от сетей предыдущего вида лишь использованием каналов IM-служб. Сложность в создании аккаунта для каждого бота снижает популярность таких зомби-сетей.

Третью группу составляют веб-ориентированные ботнеты. Управление компьютерами с вредоносами осуществляется через Интернет. Зловред передает информацию в ответ на полученные с веб-сервера команды. Ботнеты легко разрабатываются, в сети много веб-серверов, управление очень простое – это причины, по которым зомбированные сети такого типа пользуются спросом. К четвертой группе следует отнести другие виды систем с ботами, соединяющиеся на базе своего протокола.

Объект воздействия

Объектами воздействия ботнетов являются государственные структуры и коммерческие компании, обычные пользователи Интернета. Киберпреступники применяют боты для достижения целей разного содержания и величины. Например, рассылают спам. Это самое простое и популярное применение ботнетов, приносящее большую прибыль. Не всегда этим занимается владелец зомби-сети, часто спамеры арендуют ботнет (botnet).

Ботнеты применяются для осуществления DDoS-атак. Атакуемый сервер не справляется с потоками запросов с зараженных компьютеров и останавливается, пользователи не могут им воспользоваться. Чтобы восстановить работу веб-ресурса, нужно заплатить злоумышленникам требуемую сумму. Кибершантаж очень распространен, так как сегодня все компании активно используют Интернет для ведения бизнеса, а некоторые организации и вовсе работают только через сеть. Ботнеты могут использовать DDoS-атаки с целью политического влияния или организации провокаций. Объектами ботов становятся правительственные, государственные, военные и прочие организации.

Ботнеты используют в майнинге биткоинов. Проникая в компьютер пользователя, бот использует ресурсы машины в своих целях. Чем больше зараженных машин, тем больше валюты зарабатывает злоумышленник. Мощность графического процессора может использоваться во время простоя компьютера, однако из-за небольшой нагрузки не сразу замечается присутствие вредоноса. Если никаких операций на компьютере не выполняется, а он что-то грузит, то возможно присутствует вредоносный софт.

Поврежденные ботами сети используются для анонимного доступа в Интернет с целью взлома веб-сайтов, перевода денег. Активно применяются ботнеты для кражи секретной информации. Преимущество зомби-сети перед другими вредоносами заключается в способности собирать информацию с огромного количества компьютерных машин одновременно. Не всегда похищенные пароли и другие данные используются владельцем ботнета, зачастую информация продается или применяется для расширения зараженной сети.

Источник угрозы

Боты создаются злоумышленниками с целью воровства. Обычно они похищают данные доступа к той или иной системе, желая получить денежную прибыль или какую-либо личную выгоду. Зомбированными сетями пользуются представители незаконного бизнеса, продвигая свой товар и услуги.

Самой опасной группой разработчиков вредоносов являются киберпреступники, использующие зараженные сети для атак, краж данных и денежных средств, рассылки рекламы, шантажа, провокаций и т.д. Кроме того, киберпреступники разрабатывают ботнеты для продажи и сдачи в аренду.

Анализ риска

Статистика показывает, что в составе ботнетов (botnet) находится огромное количество самых разных компьютерных устройств. Последствия заражения компьютера ботом могут быть разные, в зависимости от владельца ботнета и целей, которые он преследует. Самыми заметными действиями зомби-сети являются DDoS атаки. Опасность зараженных сетей возрастает и от того, что с каждым годом упрощается их создание, находятся новые способы внедрения ботов, а значит, появляются новые ботнеты, расширяются имеющиеся.

В начале марта 2017 года исследователи обнаружили уязвимость в системе безопасности китайской компании Dahua, а именно в DVR и камерах наблюдения, а значит, они с легкостью могут стать частью ботнетов. Подробнее об этом рассказывается в статье «Китайские камеры и DVR могут стать частью ботнетов».

Несмотря на устрашающую статистику, защитить свой компьютер от ботнета можно. Для этого необходимо:

  • пользоваться эффективной антивирусной защитой;
  • своевременно обновлять операционную систему и все приложения;
  • использовать программу-шифровальщик при передаче личных данных;
  • соблюдать меры предосторожности.