Ботнет

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карт та паролів доступу.

Технічний опис[ред.ред. код]

Залучення комп'ютерів до ботнету[ред.ред. код]

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

  • Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
  • Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під "корисне програмне забезпечення".
  • Використання санціонованого доступу до комп'ютера (рідко).
  • Брут адміністративного пароля до розшарених ресурсів (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) - переважно в локальних мережах.

Механізм маскування[ред.ред. код]

Механізм самозахисту аналогічний у більшості вірусів та руткітів, зокрема:

  • маскування під системний процес;
  • підміна системних файлів для самомаскування;
  • інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
  • перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
  • перехоплення системних процедур роботи з мережею для маскування тарфіку ботнету під трафік користувача або системних утіліт.
  • використання поліморфного коду, що ускладнює сигнатурний аналіз
  • маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту[ред.ред. код]

  • створення перешкод нормальній роботі антивірусного ПЗ
  • перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску[ред.ред. код]

Для автозапуску найчастіше використовуються наступні технології:

  • використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
  • використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
  • підміна системних файлів, що автоматично завантажуються операційною системою;
  • реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом[ред.ред. код]

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через веб-сайт або по принципу p2p-мереж.[1]

Список найбільших ботнетів[ред.ред. код]

Дата створення Ім'я Кількість ботів Потенціал для спаму Подібні ботнети
1999 !a 999,999,999 100000 !a
2009 (Травень) BredoLab 30,000,00030,000,000[2] 3.6 млрд./день Oficla
2008 (приблизно) Mariposa 12,000,000 [3]  ? Немає
0? Conficker 10,000,000+[4] 10 млрд./день DownUp, DownAndUp, DownAdUp, Kido
0? Zeus 3,600,000 (лише США)[5] -1Немає Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно) Cutwail 1,500,000 [6] 74 млрд./день Pandex, Mutant
0? Grum 565,000[7] 39.9 млрд./день Tedroo
0? Kraken 495,000 [8] 9 млрд./день Kracken
2007 (Березень) Srizbi 450,000 [9] 60 млрд./день Cbeplay, Exchanger
0? Lethic 260,000 [10] 2 млрд./день Немає
0? Mega-D 250,000 [11] 10 млрд./день Ozdok
2004 (Початок) Bagle 230,000 [10] 5.7 млрд./день Beagle, Mitglieder, Lodeight
0? Bobax 185,000 9 млрд./день Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0? Torpig 180,000 [12] -1 Немає Sinowal, Anserin
0? Storm 160,000 [13] 3 млрд./день Nuwar, Peacomm, Zhelatin
2006 (приблизно) Rustock 150,000 [14] 30 млрд./день RKRustok, Costrat
0? Donbot 125,000 [15] 0.8 млрд./день Buzus, Bachsoy
2008 (Листопад) Waledac 80,000 [16] 1.5 млрд./день Waled, Waledpak
0? Maazben 50,000 [10] 0.5 млрд./день Немає
0? Onewordsub 40,000 [17] 1.8 млрд./день 0?
0? Gheg 30,000 [10] 0.24 млрд./день Tofsee, Mondera
0? Nucrypt 20,000 [17] 5 млрд./день Loosky, Locksky
0? Wopla 20,000 [17] 0.6 млрд./день Pokier, Slogger, Cryptic
2008 (приблизно) Asprox 15,000 [18] 0 ? Danmec, Hydraflux
0? Spamthru 12,000 [17] 0.35 млрд./день Spam-DComServ, Covesmer, Xmiler
0? Xarvester 10,000 [10] 0.15 млрд./день Rlsloup, Pixoliz
2009 (Серпень) Festi 0 ? 2.25 млрд./день Немає
2008 (приблизно) Gumblar 0 ? 0 ? Немає
0? Akbot 0 ? 0 ? Немає
2100 z! -100,000,000 -99999 z!

Див. також[ред.ред. код]

Примітки[ред.ред. код]

  1. «Ботнеты». Kaspersky Lab. Архів оригіналу за 2012-02-12. Процитовано 2007-07-03. 
  2. Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com
  3. «Suspected 'Mariposa Botnet' creator arrested». .canada.com. accessdate=2010-07-30. Архів оригіналу за 2013-07-09. 
  4. «Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com». 2009-01-16. Архів оригіналу за 2013-07-09. Процитовано 2010-04-24. 
  5. America's 10 most wanted botnets
  6. «Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security». Msmvps.com. 2010-02-02. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  7. «Research: Small DIY botnets prevalent in enterprise networks». ZDNet. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  8. «New Massive Botnet Twice the Size of Storm — Security/Perimeter». DarkReading. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  9. «Technology | Spam on rise after brief reprieve». BBC News. 2008-11-26. Процитовано 2010-04-24. 
  10. а б в г д http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
  11. Fairfax Media Business Group (2009-12-29). «| Computerworld NZ». Computerworld.co.nz. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  12. Researchers hijack control of Torpig botnet - SC Magazine US
  13. «Storm Worm network shrinks to about one-tenth of its former size». Tech.Blorge.Com. 2007-10-21. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  14. Chuck Miller (2008-07-25). «The Rustock botnet spams again». SC Magazine US. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  15. Spam Botnets to Watch in 2009 - Research - SecureWorks
  16. http://www.theregister.co.uk/2010/03/16/waledac_takedown_success/
  17. а б в г http://www.computerworld.com/s/article/9076278/Top_botnets_control_1M_hijacked_computers
  18. http://www.theregister.co.uk/2008/05/14/asprox_attacks_websites/

Посилання[ред.ред. код]