Ботнет

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карток та паролів доступу. Кожен комп’ютер в мережі діє як «бот» і управляється шахраєм для передачі шкідливих програм або шкідливого контенту для запуску атаки. Ботнет деколи називають «армією зомбі», так як комп’ютери контролюються кимось іншим, крім їх власника.[1]

Технічний опис[ред. | ред. код]

Залучення комп'ютерів до ботнету[ред. | ред. код]

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

  • Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
  • Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під "корисне програмне забезпечення".
  • Використання санкціонованого доступу до комп'ютера (рідко).
  • Підбір адміністративного пароля до мережевих ресурсів зі спільним доступом (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) - переважно в локальних мережах.

Механізм маскування[ред. | ред. код]

Механізм захисту від видалення аналогічний більшості вірусів та руткітів, зокрема:

  • маскування під системний процес;
  • підміна системних файлів для самомаскування;
  • інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
  • перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
  • перехоплення системних процедур роботи з мережею для маскування трафіку ботнету під трафік користувача або системних утиліт.
  • використання поліморфного коду, що ускладнює сигнатурний аналіз
  • маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту[ред. | ред. код]

  • створення перешкод нормальній роботі антивірусного ПЗ
  • перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску[ред. | ред. код]

Для автозапуску найчастіше використовуються наступні технології:

  • використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
  • використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
  • підміна системних файлів, що автоматично завантажуються операційною системою;
  • реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом[ред. | ред. код]

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через веб-сайт або по принципу p2p-мереж.[2]

Список найбільших ботнетів[ред. | ред. код]

Дата створення Ім'я Кількість ботів Потенціал для спаму Подібні ботнети
1999 !a 999,999,999 100000 !a
2009 (Травень) BredoLab 30,000,00030,000,000[3] 3.6 млрд./день Oficla
2008 (приблизно) Mariposa 12,000,000 [4] ? Немає
0? Conficker 10,000,000+[5] 10 млрд./день DownUp, DownAndUp, DownAdUp, Kido
0? Zeus 3,600,000 (лише США)[6] -1Немає Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно) Cutwail 1,500,000 [7] 74 млрд./день Pandex, Mutant
0? Grum 565,000[8] 39.9 млрд./день Tedroo
0? Kraken 495,000 [9] 9 млрд./день Kracken
2007 (Березень) Srizbi 450,000 [10] 60 млрд./день Cbeplay, Exchanger
0? Lethic 260,000 [11] 2 млрд./день Немає
0? Mega-D 250,000 [12] 10 млрд./день Ozdok
2004 (Початок) Bagle 230,000 [11] 5.7 млрд./день Beagle, Mitglieder, Lodeight
0? Bobax 185,000 9 млрд./день Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0? Torpig 180,000 [13] -1 Немає Sinowal, Anserin
0? Storm 160,000 [14] 3 млрд./день Nuwar, Peacomm, Zhelatin
2006 (приблизно) Rustock 150,000 [15] 30 млрд./день RKRustok, Costrat
0? Donbot 125,000 [16] 0.8 млрд./день Buzus, Bachsoy
2008 (Листопад) Waledac 80,000 [17] 1.5 млрд./день Waled, Waledpak
0? Maazben 50,000 [11] 0.5 млрд./день Немає
0? Onewordsub 40,000 [18] 1.8 млрд./день 0?
0? Gheg 30,000 [11] 0.24 млрд./день Tofsee, Mondera
0? Nucrypt 20,000 [18] 5 млрд./день Loosky, Locksky
0? Wopla 20,000 [18] 0.6 млрд./день Pokier, Slogger, Cryptic
2008 (приблизно) Asprox 15,000 [19] 0 ? Danmec, Hydraflux
0? Spamthru 12,000 [18] 0.35 млрд./день Spam-DComServ, Covesmer, Xmiler
0? Xarvester 10,000 [11] 0.15 млрд./день Rlsloup, Pixoliz
2009 (Серпень) Festi 0 ? 2.25 млрд./день Немає
2008 (приблизно) Gumblar 0 ? 0 ? Немає
0? Akbot 0 ? 0 ? Немає
2100 z! -100,000,000 -99999 z!

Інтернет речей[ред. | ред. код]

Докладніше: Інтернет речей

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, веб сайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку досягав 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (так званий інтернет речей). В жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками[20][21].

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього мав відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебирання[22]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай. Також дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак[23].

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Ботнети і їх типи: що відомо в 2018 році - Blogchain. blogchain.com.ua. Процитовано 2018-12-12. 
  2. Ботнеты. Kaspersky Lab. Архів оригіналу за 2012-02-12. Процитовано 2007-07-03. 
  3. Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com
  4. Suspected 'Mariposa Botnet' creator arrested. .canada.com. accessdate=2010-07-30. Архів оригіналу за 2013-07-09. Процитовано 2010-11-25. 
  5. Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com. 2009-01-16. Архів оригіналу за 2013-07-09. Процитовано 2010-04-24. 
  6. America's 10 most wanted botnets. Архів оригіналу за 11 травень 2011. Процитовано 25 листопад 2010. 
  7. Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com. 2010-02-02. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  8. Research: Small DIY botnets prevalent in enterprise networks. ZDNet. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  9. New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  10. Technology | Spam on rise after brief reprieve. BBC News. 2008-11-26. Процитовано 2010-04-24. 
  11. а б в г д http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
  12. Fairfax Media Business Group (2009-12-29). | Computerworld NZ. Computerworld.co.nz. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  13. Researchers hijack control of Torpig botnet - SC Magazine US. Архів оригіналу за 11 травень 2011. Процитовано 25 листопад 2010. 
  14. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com. 2007-10-21. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  15. Chuck Miller (2008-07-25). The Rustock botnet spams again. SC Magazine US. Архів оригіналу за 2013-07-09. Процитовано 2010-07-30. 
  16. Spam Botnets to Watch in 2009 - Research - SecureWorks
  17. http://www.theregister.co.uk/2010/03/16/waledac_takedown_success/
  18. а б в г http://www.computerworld.com/s/article/9076278/Top_botnets_control_1M_hijacked_computers
  19. http://www.theregister.co.uk/2008/05/14/asprox_attacks_websites/
  20. Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. Архів оригіналу за 14 жовтня 2016. Процитовано 7 жовтня 2016. 
  21. Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. Архів оригіналу за 6 жовтня 2016. Процитовано 7 жовтня 2016. 
  22. Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. Архів оригіналу за 7 жовтня 2016. Процитовано 7 жовтня 2016. 
  23. Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. Архів оригіналу за 7 листопад 2016. Процитовано 7 жовтень 2016. 

Посилання[ред. | ред. код]