Ботнет

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук
Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карт та паролів доступу.

Технічний опис[ред.ред. код]

Залучення комп'ютерів до ботнету[ред.ред. код]

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

  • Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
  • Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під "корисне програмне забезпечення".
  • Використання санкціонованого доступу до комп'ютера (рідко).
  • Підбір адміністративного пароля до мережевих ресурсів зі спільним доступом (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) - переважно в локальних мережах.

Механізм маскування[ред.ред. код]

Механізм захисту від видалення аналогічний більшості вірусів та руткітів, зокрема:

  • маскування під системний процес;
  • підміна системних файлів для самомаскування;
  • інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
  • перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
  • перехоплення системних процедур роботи з мережею для маскування трафіку ботнету під трафік користувача або системних утиліт.
  • використання поліморфного коду, що ускладнює сигнатурний аналіз
  • маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту[ред.ред. код]

  • створення перешкод нормальній роботі антивірусного ПЗ
  • перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску[ред.ред. код]

Для автозапуску найчастіше використовуються наступні технології:

  • використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
  • використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
  • підміна системних файлів, що автоматично завантажуються операційною системою;
  • реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом[ред.ред. код]

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через веб-сайт або по принципу p2p-мереж.[1]

Список найбільших ботнетів[ред.ред. код]

Дата створення Ім'я Кількість ботів Потенціал для спаму Подібні ботнети
1999 !a 999,999,999 100000 !a
2009 (Травень) BredoLab 30,000,00030,000,000[2] 3.6 млрд./день Oficla
2008 (приблизно) Mariposa 12,000,000 [3]  ? Немає
0? Conficker 10,000,000+[4] 10 млрд./день DownUp, DownAndUp, DownAdUp, Kido
0? Zeus 3,600,000 (лише США)[5] -1Немає Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно) Cutwail 1,500,000 [6] 74 млрд./день Pandex, Mutant
0? Grum 565,000[7] 39.9 млрд./день Tedroo
0? Kraken 495,000 [8] 9 млрд./день Kracken
2007 (Березень) Srizbi 450,000 [9] 60 млрд./день Cbeplay, Exchanger
0? Lethic 260,000 [10] 2 млрд./день Немає
0? Mega-D 250,000 [11] 10 млрд./день Ozdok
2004 (Початок) Bagle 230,000 [10] 5.7 млрд./день Beagle, Mitglieder, Lodeight
0? Bobax 185,000 9 млрд./день Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0? Torpig 180,000 [12] -1 Немає Sinowal, Anserin
0? Storm 160,000 [13] 3 млрд./день Nuwar, Peacomm, Zhelatin
2006 (приблизно) Rustock 150,000 [14] 30 млрд./день RKRustok, Costrat
0? Donbot 125,000 [15] 0.8 млрд./день Buzus, Bachsoy
2008 (Листопад) Waledac 80,000 [16] 1.5 млрд./день Waled, Waledpak
0? Maazben 50,000 [10] 0.5 млрд./день Немає
0? Onewordsub 40,000 [17] 1.8 млрд./день 0?
0? Gheg 30,000 [10] 0.24 млрд./день Tofsee, Mondera
0? Nucrypt 20,000 [17] 5 млрд./день Loosky, Locksky
0? Wopla 20,000 [17] 0.6 млрд./день Pokier, Slogger, Cryptic
2008 (приблизно) Asprox 15,000 [18] 0 ? Danmec, Hydraflux
0? Spamthru 12,000 [17] 0.35 млрд./день Spam-DComServ, Covesmer, Xmiler
0? Xarvester 10,000 [10] 0.15 млрд./день Rlsloup, Pixoliz
2009 (Серпень) Festi 0 ? 2.25 млрд./день Немає
2008 (приблизно) Gumblar 0 ? 0 ? Немає
0? Akbot 0 ? 0 ? Немає
2100 z! -100,000,000 -99999 z!

Інтернет речей[ред.ред. код]

Докладніше: Інтернет речей

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, веб сайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку досягав 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (так званий інтернет речей). В жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками[19][20].

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього мав відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебирання[21]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай. Також дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак[22].

Див. також[ред.ред. код]

Примітки[ред.ред. код]

  1. Ботнеты. Kaspersky Lab. Архів оригіналу за 2012-02-12. Процитовано 2007-07-03. 
  2. Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com
  3. Suspected 'Mariposa Botnet' creator arrested. .canada.com. accessdate=2010-07-30. Архів оригіналу за 2013-07-09. 
  4. Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com. 2009-01-16. Архів оригіналу за 2013-07-09. Процитовано 2010-04-24. 
  5. America's 10 most wanted botnets
  6. Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com. 2010-02-02. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  7. Research: Small DIY botnets prevalent in enterprise networks. ZDNet. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  8. New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  9. Technology | Spam on rise after brief reprieve. BBC News. 2008-11-26. Процитовано 2010-04-24. 
  10. а б в г д http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
  11. Fairfax Media Business Group (2009-12-29). | Computerworld NZ. Computerworld.co.nz. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  12. Researchers hijack control of Torpig botnet - SC Magazine US
  13. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com. 2007-10-21. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  14. Chuck Miller (2008-07-25). The Rustock botnet spams again. SC Magazine US. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  15. Spam Botnets to Watch in 2009 - Research - SecureWorks
  16. http://www.theregister.co.uk/2010/03/16/waledac_takedown_success/
  17. а б в г http://www.computerworld.com/s/article/9076278/Top_botnets_control_1M_hijacked_computers
  18. http://www.theregister.co.uk/2008/05/14/asprox_attacks_websites/
  19. Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. 
  20. Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. 
  21. Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. 
  22. Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. 

Посилання[ред.ред. код]