Ботнет
Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карт та паролів доступу.
Зміст |
Технічний опис [ред.]
Залучення комп'ютерів до ботнету [ред.]
Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:
- Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
- Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під "корисне програмне забезпечення".
- Використання санціонованого доступу до комп'ютера (рідко).
- Брут адміністративного пароля до розшарених ресурсів (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) - переважно в локальних мережах.
Механізм маскування [ред.]
Механізм самозахисту аналогічний у більшості вірусів та руткітів, зокрема:
- маскування під системний процес;
- підміна системних файлів для самомаскування;
- інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
- перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
- перехоплення системних процедур роботи з мережею для маскування тарфіку ботнету під трафік користувача або системних утіліт.
- використання поліморфного коду, що ускладнює сигнатурний аналіз
- маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)
Механізм самозахисту [ред.]
- створення перешкод нормальній роботі антивірусного ПЗ
- перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;
Механізм автозапуску [ред.]
Для автозапуску найчастіше використовуються наступні технології:
- використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
- використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
- підміна системних файлів, що автоматично завантажуються операційною системою;
- реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;
Механізм керування ботнетом [ред.]
Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).
Наразі отримали поширення ботнети які керуються через веб-сайт або по принципу p2p-мереж.[1]
Список найбільших ботнетів [ред.]
| Дата створення | Ім'я | Кількість ботів | Потенціал для спаму | Подібні ботнети |
|---|---|---|---|---|
| 2009 (Травень) | BredoLab | 30,000,000[2] | 3.6 млрд./день | Oficla |
| 2008 (приблизно) | Mariposa | 12,000,000 [3] | ? | Немає |
| ? | Conficker | 10,000,000+[4] | 10 млрд./день | DownUp, DownAndUp, DownAdUp, Kido |
| ? | Zeus | 3,600,000 (лише США)[5] | Немає | Zbot, PRG, Wsnpoem, Gorhax, Kneber |
| 2007 (приблизно) | Cutwail | 1,500,000 [6] | 74 млрд./день | Pandex, Mutant |
| ? | Grum | 565,000[7] | 39.9 млрд./день | Tedroo |
| ? | Kraken | 495,000 [8] | 9 млрд./день | Kracken |
| 2007 (Березень) | Srizbi | 450,000 [9] | 60 млрд./день | Cbeplay, Exchanger |
| ? | Lethic | 260,000 [10] | 2 млрд./день | Немає |
| ? | Mega-D | 250,000 [11] | 10 млрд./день | Ozdok |
| 2004 (Початок) | Bagle | 230,000 [10] | 5.7 млрд./день | Beagle, Mitglieder, Lodeight |
| ? | Bobax | 185,000 | 9 млрд./день | Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken |
| ? | Torpig | 180,000 [12] | Немає | Sinowal, Anserin |
| ? | Storm | 160,000 [13] | 3 млрд./день | Nuwar, Peacomm, Zhelatin |
| 2006 (приблизно) | Rustock | 150,000 [14] | 30 млрд./день | RKRustok, Costrat |
| ? | Donbot | 125,000 [15] | 0.8 млрд./день | Buzus, Bachsoy |
| 2008 (Листопад) | Waledac | 80,000 [16] | 1.5 млрд./день | Waled, Waledpak |
| ? | Maazben | 50,000 [10] | 0.5 млрд./день | Немає |
| ? | Onewordsub | 40,000 [17] | 1.8 млрд./день | ? |
| ? | Gheg | 30,000 [10] | 0.24 млрд./день | Tofsee, Mondera |
| ? | Nucrypt | 20,000 [17] | 5 млрд./день | Loosky, Locksky |
| ? | Wopla | 20,000 [17] | 0.6 млрд./день | Pokier, Slogger, Cryptic |
| 2008 (приблизно) | Asprox | 15,000 [18] | ? | Danmec, Hydraflux |
| ? | Spamthru | 12,000 [17] | 0.35 млрд./день | Spam-DComServ, Covesmer, Xmiler |
| ? | Xarvester | 10,000 [10] | 0.15 млрд./день | Rlsloup, Pixoliz |
| 2009 (Серпень) | Festi | ? | 2.25 млрд./день | Немає |
| 2008 (приблизно) | Gumblar | ? | ? | Немає |
| ? | Akbot | ? | ? | Немає |
Див. також [ред.]
Примітки [ред.]
- ↑ «Ботнеты». Kaspersky Lab. Процитовано 3 июля 2007.
- ↑ Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com
- ↑ «Suspected 'Mariposa Botnet' creator arrested». .canada.com. accessdate=2010-07-30.
- ↑ «Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com». 2009-01-16. Процитовано 2010-04-24.
- ↑ America's 10 most wanted botnets
- ↑ «Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security». Msmvps.com. 2010-02-02. Процитовано 2010-07-30.
- ↑ «Research: Small DIY botnets prevalent in enterprise networks». ZDNet. Процитовано 2010-07-30.
- ↑ «New Massive Botnet Twice the Size of Storm — Security/Perimeter». DarkReading. Процитовано 2010-07-30.
- ↑ «Technology | Spam on rise after brief reprieve». BBC News. 2008-11-26. Процитовано 2010-04-24.
- ↑ а б в г д http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
- ↑ Fairfax Media Business Group (2009-12-29). «| Computerworld NZ». Computerworld.co.nz. Процитовано 2010-07-30.
- ↑ Researchers hijack control of Torpig botnet - SC Magazine US
- ↑ «Storm Worm network shrinks to about one-tenth of its former size». Tech.Blorge.Com. 2007-10-21. Процитовано 2010-07-30.
- ↑ Chuck Miller (2008-07-25). «The Rustock botnet spams again». SC Magazine US. Процитовано 2010-07-30.
- ↑ Spam Botnets to Watch in 2009 - Research - SecureWorks
- ↑ http://www.theregister.co.uk/2010/03/16/waledac_takedown_success/
- ↑ а б в г http://www.computerworld.com/s/article/9076278/Top_botnets_control_1M_hijacked_computers
- ↑ http://www.theregister.co.uk/2008/05/14/asprox_attacks_websites/
Посилання [ред.]
- Ботнети (рос.) — детальна стаття на viruslist.com
- Ботнети як вони є (рос.) — стаття про бот-мережі
- Творець ботнету проведе чотири роки за ґратами (рос.)
- Новини про ботнети (рос.)
|
||||||||||||||||||||
