Botnet

A botnet ( eng.  botnet , IPA: [ˈbɒtnɛt] ; a ro bot és a net work szavakból származik ) egy számítógépes hálózat , amely több, botokat futtató gazdagépből  – autonóm szoftverből – áll . A bothálózaton belüli bot leggyakrabban olyan program, amelyet titokban telepítenek az áldozat eszközére, és lehetővé teszi a támadó számára, hogy bizonyos műveleteket hajtson végre a fertőzött számítógép erőforrásaival . Általában illegális vagy nem jóváhagyott tevékenységekhez használják – spamküldéshez , brute force jelszavakhoztávoli rendszeren szolgáltatásmegtagadási támadások ( DoS és DDoS támadások).

A robotok, mint olyanok, nem vírusok. Ezek egy olyan szoftverkészlet, amely vírusokból , tűzfalakból , számítógépes távoli vezérlőprogramokból és az operációs rendszer elől elrejtőző eszközökből állhat [1] .

Eredet

A robotokat eredetileg az IRC csatornák kezelésének elősegítésére hozták létre . A csatornák adminisztrálása az IRC hálózaton időigényes lehet, ezért a rendszergazdák speciális botokat hoztak létre a népszerű csatornák kezelésében [2] . Az egyik első ilyen bot az 1993-ban írt Eggdrop volt [3] .

Idővel az IRC-botokat rosszindulatú célokra kezdték használni. Fő feladatuk az IRC szerverek és más felhasználók megtámadása volt az IRC hálózatokon. Ez lehetővé tette DoS támadások végrehajtását . A botok használata segített elrejteni a támadót, mivel a csomagokat a bottól küldték, nem pedig a támadó számítógépéről. Több fertőzött számítógép csoportosítása is lehetővé vált a DDoS támadások megszervezése érdekében . A nagy célpontok megtámadásához nagy bothálózatokra volt szükség. Ezért a támadók trójaiakat és más rejtett módszereket kezdtek használni a fertőzött számítógépek számának növelésére a hálózaton [2] .

A modern botok a parancsnoki és irányítási rendszerbe integrált fenyegetések különféle hibridjei. Féregként terjedhetnek , elrejtőzhetnek az operációs rendszer elől, mint a legtöbb vírus , és különféle támadási módszereket tartalmazhatnak. További komoly probléma, hogy egyszerre többen is részt vesznek a modern botok létrehozásában. Így ugyanannak a botnak több különböző változata jelenik meg, ami megnehezíti a víruskereső programok felismerését [2] .

Építészet

Kliens-szerver modell

Az első botnetek kliens-szerver modellt használtak feladataik ellátására. A központosított hálózatokat jelenleg is széles körben használják. Ezek közül a legnépszerűbbek az internetes közvetítő hálózatok, amelyek IRC -t használnak a botok és a gazdaszámítógép közötti adatcsere megkönnyítésére. Az ilyen architektúrájú hálózatok könnyen létrehozhatók és karbantarthatók, és lehetővé teszik a vezérlő számítógép parancsainak hatékony elosztását a kliensek között [4] .

A központosított hálózatban a robotok egy vagy több szerverhez csatlakoznak, majd várják a vezérlőparancsokat a szervertől. A vezérlő számítógép parancsokat küld a szervereknek, amelyek viszont elküldik azokat a klienseknek. A kliensek parancsokat hajtanak végre, és az eredményekről üzenetet küldenek a szervernek [4] .

Ennek a modellnek van egy jelentős hátránya. Szerver meghibásodása esetén a vezérlő számítógép elveszíti a kapcsolatot a botjaival, és nem tudja irányítani őket [4] .

Decentralizált modell

Az utóbbi időben egyre több peer-to-peer botnet jelent meg. A P2P botnetben nincs központosított szerver , a botok össze vannak kötve egymással és szerverként és kliensként is működnek [4] .

Egy másik fertőzött számítógép megtalálásához a bot véletlenszerű IP-címeket ellenőrzi, amíg kapcsolatba nem lép egy másik fertőzött eszközzel. A talált bot viszont információkat küld a szoftver verziójáról és az ismert botok listájáról. Ha az egyik szoftververzió alacsonyabb, mint a másik, akkor megkezdődik a fájlátvitel az újabb szoftververzióra való frissítéshez. Így minden bot feltölti a fertőzött gépek listáját, és frissíti a szoftvert egy újabb verzióra [5] .

Ezek a hálózatok dinamikus lemorzsolódásállóak, ami azt jelenti, hogy a robotok gyorsan csatlakozhatnak a hálózathoz, és elhagyhatják azt. Sőt, a kapcsolat nem szakad meg több bot elvesztése vagy meghibásodása esetén sem. A központosított hálózatokkal ellentétben a P2P botnetek megbízhatóbbak és nehezebben észlelhetők [4] .

Műszaki leírás

Irányítás átvétele

A kezelést általában úgy érik el, hogy láthatatlan, nem észlelhető szoftvereket telepítenek napi működés közben a számítógépre a felhasználó tudta nélkül. Általában az [1] -en keresztül fordul elő :

• Számítógép vírussal való megfertőzése szoftversebezhetőségen keresztül (böngészők, e-mail kliensek, dokumentumnézegetők, képek, videók hibái);
• A felhasználó tapasztalatlanságának vagy figyelmetlenségének felhasználása - álcázza "hasznos tartalomnak";
• Jogosult hozzáférés használata számítógéphez (ritka);
• A rendszergazdai jelszó opciók felsorolása megosztott hozzáférésű hálózati erőforrásokhoz (különösen az ADMINS-hez, amely lehetővé teszi a programok távoli végrehajtását) - főként helyi hálózatokban.

Önvédelmi és automatikus indítási mechanizmus

Az eltávolítási védelmi mechanizmus hasonló a legtöbb vírushoz és rootkithez , különösen [1] :

• rendszerfolyamatnak álcázni;
• konténerezés alkalmazása [6] [7] ;
• nem szabványos indítási módszerek használata (régi szoftververzióktól örökölt automatikus futtatási utak, a folyamathibakereső helyettesítése);
• két egymást újraindító, önindító folyamat használata (az ilyen folyamatokat szinte lehetetlen megszakítani, mivel a „következő” folyamatot hívják, és az erőszakos leállítás előtt befejeződnek);
• rendszerfájlok helyettesítése önmaszkolás céljából;
• a számítógép újraindítása olyan végrehajtható fájlok vagy indítókulcsok elérésekor, amelyekben a fájlok regisztrálva vannak.

Botnet menedzsment mechanizmus

Korábban az irányítást egy adott porton adott parancs "meghallgatásával", vagy egy IRC chatben való részvétellel végezték. A használat pillanatáig a program "alszik" - (esetleg) szoroz, és parancsra vár. Miután megkapta a parancsokat a botnet „tulajdonosától”, elkezdi végrehajtani azokat (az egyik tevékenység). Egyes esetekben parancsra futtatható kód töltődik be (így lehetőség van a program „frissítésére” és a modulok tetszőleges funkcionalitással történő betöltésére). Lehetőség van a bot vezérlésére egy bizonyos parancs elhelyezésével egy előre elkészített URL -re [8] [9] .

Jelenleg a weboldalon keresztül vagy a p2p hálózatok elvén vezérelt botnetek terjedtek el [4] .

Harc a botnetekkel

Botnet észlelés

Leggyakrabban a robotok észlelése az eszközön nehézkes, mivel a botok teljesen autonóm módon működnek, felhasználói beavatkozás nélkül. Számos jel azonban arra utal, hogy a számítógépen botfertőzés van [10] :

• IRC forgalom (mivel a botnetek IRC csatornákat használnak a kommunikációhoz);
• Kapcsolatok a botnetek részének tekintett szerverekkel;
• Magas kimenő SMTP forgalom;
• Több számítógép egy hálózaton, amelyek ugyanazokat a DNS-lekérdezéseket hajtják végre ;
• Lassú számítógép teljesítmény;
• Magas CPU terhelés;
• Jelentős forgalomnövekedés, különösen a 6667-es ( IRC -hez ), 25-ös ( SMTP-port ), 1080-as ( proxyszerverek által használt) portokon ;
• Gyanús kimenő üzenetek, amelyeket nem a felhasználó küldött;
• Problémák az internet-hozzáféréssel.

Fertőzés megelőzése

A fertőzés megelőzése érdekében a felhasználóknak számos intézkedést kell tenniük, amelyek nemcsak a botnet- vírussal való fertőzés megelőzésére , hanem általában a rosszindulatú programok elleni védelemre is irányulnak. Javasolt gyakorlatok a számítógépes fertőzések megelőzésére [10] :

• Rendszeresen figyelnie kell a hálózatot és figyelemmel kell kísérnie annak tevékenységét, hogy könnyen észlelje a helytelen hálózati viselkedést;
• Minden szoftvert rendszeresen frissíteni kell, a frissítéseket csak megbízható forrásból szabad letölteni;
• A felhasználóknak éberebbnek kell lenniük, hogy ne tegyék ki eszközeiket a botok vagy vírusok általi fertőzés kockázatának. Ez elsősorban az e-mailek megnyitására, a gyanús mellékletekre, a nem megbízható webhelyek látogatására és a nem ellenőrzött hivatkozásokra való kattintásra vonatkozik;
• Botnet-észlelő eszközöket kell használni a fertőzés megelőzésére a botvírusok blokkolásával. A legtöbb ilyen program képes a botnet eltávolítására is. [10] Példák olyan eszközökre, amelyek segítenek észlelni a bottevékenységet a számítógépen [11] :
  • DE-Cleaner a Kaspersky Labtól ;
  • Avira DE-Cleaner ;
  • Dörzsölt;
  • Mirage Anti-Bot;
  • Bot Revolt;
  • Norton Power Eraser.

A botnet megsemmisítése

Amint egy botot talál a számítógépen, azonnal el kell távolítani egy speciális szoftver segítségével . Ez egyetlen számítógépet biztosít, de a botnetek eltávolításához le kell tiltani a botokat vezérlő szervereket [10] .

Kereskedelem

DDoS mint szolgáltatás

A DDoS támadás megrendeléséhez általában egy teljes értékű webszolgáltatást használnak . Ez nagyban leegyszerűsíti a kapcsolattartást a szervező és az ügyfél között. Az ilyen webszolgáltatások teljes értékű funkcionális webalkalmazások , amelyek lehetővé teszik felhasználóik egyenlegének kezelését, támadási költségvetés megtervezését és előrehaladási jelentések megtekintését. Ezenkívül egyes szolgáltatások saját hűségprogramokkal rendelkeznek, amelyek bónuszpontok gyűjtéséből állnak a támadásokért [12] .

DDoS támadási arány

A különböző DDoS-szolgáltatások az alapvető funkcionalitáson túlmenően meglehetősen széles körű speciális funkciókkal látják el a felhasználókat, amelyek jelentősen befolyásolják egy támadás árát. Példák az ilyen "kiegészítésekre" [12] :

• Nehéz célok. Nem minden számítógépes bûnözõ vállalja, hogy megtámadja a kormányzati forrásokat, mivel az ilyen oldalakat a bûnüldözõ szervek ellenõrzik. Az ilyen támadásokhoz hozzájáruló szolgáltatások több pénzt igényelnek, mint egy online áruház elleni támadás .
• Támadásforrások és jellemzőik. Ez a beállítás a hálózaton lévő eszközöktől és az eszközök megfertőzésének nehézségétől függ. Tehát a CCTV kamerák botnetje olcsóbb lehet, mint a szerverek botnetje. Ennek az az oka, hogy az IoT-eszközöket sokkal könnyebb feltörni.
• Támadási forgatókönyvek. Minél szokatlanabb támadást igényel az ügyfél, annál drágább lesz.

Ezenkívül a kiberbűnözők különféle tarifacsomagokat kínálnak másodpercenkénti fizetéssel, de anélkül, hogy további funkciókat választhatnának. Például egy 10 800 másodpercig tartó DDoS támadás óránként körülbelül 20 dollárba kerül az ügyfélnek [12] .

Skála

A TCP/IP protokoll megalkotója, Vint Cerf szerint az internetre csatlakozó 600 millió számítógép mintegy negyede lehet botnetekben [13] . A SecureWorks szakértői a SpamThru trójaira épülő botnet belső statisztikáit tanulmányozva megállapították, hogy a fertőzött számítógépek mintegy fele Windows XP operációs rendszert futtat , telepítve Service Pack 2-vel [13] .

A McAfee biztonsági szakértője, Michael DeCesare szerint csak az  Egyesült Államokban körülbelül 5 millió fertőzött számítógép található a botnetekben, ami a nemzeti számítógéppark körülbelül 10%-a [14] .

A legtöbb fertőzött számítógéppel rendelkező országok [15] :

A legnagyobb botnet támadások

A botnet-tevékenységek közül a leglátványosabbak a DoS és DDoS támadások . A legnagyobb közülük:

• 2016. október 21-én támadást intéztek a Dyn DNS - szolgáltató ellen [16] . A támadás olyan nagy cégeket érintett , mint a BBC [17] , a Fox News [18] , a GitHub [19] , a PayPal [20] , a Reddit [21] és a Visa [22] ;
• 2016 szeptemberében támadás történt az OVH tárhelyszolgáltató ellen . Ez volt az eddigi legnagyobb ismert DDoS támadás . 150 000 IoT-eszközt érintett , köztük kamerákat és videorögzítőket [23] ;
• 2016. szeptember 20-án DDoS támadást hajtottak végre a KrebsOnSecurity webhelyen . A támadók nem menedzselt DNS -kiszolgálókat használtak hatalmas kimenő forgalom generálására [24] ;
• 2016-ban, szilveszterkor a BBC weboldala több órára leállt egy erőteljes DDoS támadás következtében . A "New World Hacking" [25] nevű hackercsoport vállalta a felelősséget a történtekért ;
• 2014. június 14-15-én felfüggesztették a PopVote nevű kínai online szavazási platformot. A támadóknak sikerült eljutniuk a szavazás helyszínére, ezért az oldalt sürgősen fel kellett függeszteni [26] ;
• 2016. június 14-én egy kínai szerencsejáték-intézet DDoS-támadást szenvedett. A támadás négy órán át tartott. Nevezetesen, a támadók kilenc különböző típusú csomagot használtak. Jelenleg az ilyen támadások aránya az összes DDoS-támadás egy százalékánál kevesebb [27] .

Jegyzetek

1. ↑ 1 2 3 Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnetek – A gyilkos webalkalmazás. - M. : Syngress, 2007 - C. 29-77 - ISBN-10: 1-59749-135-7
2. ↑ 1 2 3 E. Cooke, F. Jahanian és D. McPherson. A zombi körkép: A botnetek megértése, észlelése és megzavarása. Cambridge, MA 2005. július
3. ↑ Eggdrop: Nyílt forráskódú IRC bot (downlink) . Letöltve: 2017. december 10. Az eredetiből archiválva : 2008. december 30. (határozatlan) 
4. ↑ 1 2 3 4 5 6 Ping Wang, Baber Aslam, Cliff C. Zou. Az információs és kommunikációs biztonság kézikönyve. Peer-to-peer botnetek – M. Springer – C. 335-350 – ISBN 978-3-642-04116-7
5. ↑ Heron, Simon. Botnet parancs- és vezérlési technikák. hálózati biztonság. 2007. április
6. ↑ Amerikai és brit hírszerző ügynökségek globális hackerkampánnyal vádolják Oroszországot. Archiválva : 2021. július 15., a Wayback Machine , BBC, 2021.07.2.
7. ↑ Caviglione Luca , Mazurczyk Wojciech , Wendzel Steffen. Speciális információrejtő technikák a modern botnetekhez   // Botnetek . - 2019. - szeptember 26. - 165-188 . o . — ISBN 9780429329913 . - doi : 10.1201/9780429329913-4 .
8. ↑ Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Az Ön botnetje az én botnetem: A botnet átvételének elemzése. 2009. november 9–13., Chicago, Illinois, USA
9. ↑ Paul Barford. Egy pillantás a botnetekre. Wisconsin Madison Egyetem
10. ↑ 1 2 3 4 A.C. Atluri, V. Tran. Botnet fenyegetések elemzése és észlelése. - M. : Springer, 2017 - C. 15-27
11. ↑ 6 eszköz a Zombie Bot rosszindulatú program fertőzésének észlelésére Windows számítógépen . Letöltve: 2017. december 12. Az eredetiből archiválva : 2017. december 13.. (határozatlan)
12. ↑ 1 2 3 DDoS támadás indításának költsége . Letöltve: 2017. december 16. Az eredetiből archiválva : 2017. december 16.. (határozatlan)
13. ↑ 1 2 Botnet Nagy és szörnyű (elérhetetlen link) . // Computerra Online. Letöltve: 2007. július 3. Az eredetiből archiválva : 2007. május 10. (határozatlan) 
14. ↑ "Botnetek: baj onnan, ahonnan nem számítottak" 584. szám, 2012. július . // frissítés . Letöltve: 2012. október 12. Az eredetiből archiválva : 2012. október 17.. (határozatlan)
15. ↑ A Spamhaus projekt . Letöltve: 2017. december 11. Az eredetiből archiválva : 2017. december 12. (határozatlan)
16. ↑ Hogyan segített okoseszköze egy napra tönkretenni az internetet ? Letöltve: 2017. december 14. Az eredetiből archiválva : 2017. december 14.. (határozatlan)
17. ↑ Chiel, Ethan Itt vannak azok a webhelyek, amelyekhez nem férhet hozzá, mert valaki levette az internetet . Fúzió . Letöltve: 2016. október 21. Az eredetiből archiválva : 2016. október 22.. (határozatlan)
18. ↑ Thielman, Sam; Johnston, Chris Major kibertámadás megzavarja az internetszolgáltatást Európa és az Egyesült Államok területén . The Guardian (2016. október 21.). Letöltve: 2016. október 21. Az eredetiből archiválva : 2016. október 21.. (határozatlan)
19. ↑ Heine, Christopher Egy nagy kibertámadás bántja a Twittert, a Spotify-t, a Pinterestet, az Etsyt és más webhelyeket . adhét . Letöltve: 2016. október 21. Az eredetiből archiválva : 2016. október 22.. (határozatlan)
20. ↑ Hatalmas webes támadások rövid időre kiütik a legnépszerűbb webhelyeket . BBC News (2016. október 21.). Letöltve: 2017. december 14. Az eredetiből archiválva : 2016. október 24.. (határozatlan)
21. ↑ Turton, William . Valószínűleg ezért állt le ma a fél internet [Frissítés: Újra megtörténik  (eng.) . Az eredetiből archiválva : 2016. október 23. Letöltve: 2017. december 14.
22. ↑ Kibertámadások miatt megszakadt az amerikai internet . CBS News . Letöltve: 2016. október 21. Az eredetiből archiválva : 2016. október 22.. (határozatlan)
23. ↑ 150 000 IoT eszköz az OVH elleni 1 Tbps sebességű DDoS támadás mögött . Letöltve: 2017. december 14. Az eredetiből archiválva : 2017. december 14.. (határozatlan)
24. ↑ KrebsOnSecurity Hit With Record DDoS . Letöltve: 2017. december 14. Az eredetiből archiválva : 2016. november 15. (határozatlan)
25. ↑ Az „Iszlám Állam elleni csoport” azt állítja, hogy a BBC webhelye támadt . Letöltve: 2017. december 14. Az eredetiből archiválva : 2017. december 21.. (határozatlan)
26. ↑ A legnagyobb DDoS-támadás a PopVote-ot érte el, a hongkongi demokrácia szavazóoldalán . Letöltve: 2017. december 14. Az eredetiből archiválva : 2017. december 14.. (határozatlan)
27. ↑ Kínai játékcéget sújtott a valaha volt legnagyobb DDoS Attack . Letöltve: 2017. december 14. Az eredetiből archiválva : 2017. december 14.. (határozatlan)

Irodalom

• Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross. Botnetek – A gyilkos webalkalmazás. - M. : Syngress, 2007 - ISBN-10: 1-59749-135-7
• E. Cooke, F. Jahanian és D. McPherson. A zombi körkép: A botnetek megértése, észlelése és megzavarása. Cambridge, MA 2005. július
• Ping Wang, Baber Aslam, Cliff C. Zou. Az információs és kommunikációs biztonság kézikönyve. Peer-to-peer botnetek – M. Springer – ISBN 978-3-642-04116-7
• Heron, Simon. Botnet parancs- és vezérlési technikák. hálózati biztonság. 2007. április
• Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Christopher Kruegel, Giovanni Vigna. Az Ön botnetje az én botnetem: A botnet átvételének elemzése. 2009. november 9–13., Chicago, Illinois, USA
• Paul Barford. Egy pillantás a botnetekre. Wisconsin Madison Egyetem
• Wenke Lee, Cliff Wang, David Dagon. Botnet észlelés. A legnagyobb biztonsági fenyegetés elleni küzdelem – M. : Springer, 2008 – ISBN-13: 978-0-387-68766-7

Linkek

• Vitalij Kamluk. Botnetek  – részletes cikk a viruslist.com oldalon
• A botnetek úgy, ahogy vannak  – egy cikk a botnetekről
• A Bredolab botnet szerzője négy évre le van zárva
• Rövid analitikai kérdőív az oroszországi botnetekről 2009
• Hírek a botnetekről
• „Bots-II. A rejtett reklámok új hullámáról a Livejournalban"  - részletes cikk a "botkörökről" a Livejournalban

Szótárak és enciklopédiák	Britannica (online)
Bibliográfiai katalógusokban	NKC : ph1108781