Ботнет. что это и как работает

Алан-э-Дейл       09.11.2022 г.

Служба OSI AntiBotnet

Служба AntiBotnet Internet Security Office предоставляет нам инструменты, позволяющие узнать, была ли обнаружена проблема безопасности, связанная с ботнетами или другими угрозами, при подключении к Интернету. В этом смысле следует отметить, что услуга предлагается двумя способами:

  1. Кодовый запрос.
  2. Проверка вашего соединения с помощью онлайн-инструмента.

Была основана Сервис AntiBotnet на основе уведомления о кодах , осуществляется при сотрудничестве интернет-операторов, сотрудничающих с OSI. Одна из них, например, Telefónica. В этом случае мы получим сообщение от нашего провайдера, в котором нам предоставляется код. Тогда нам придется идти , то будем искать кнопку Смотрите свой код и нажмите на него.

Затем появится такой экран:

Здесь нам нужно ввести код, который нам дал наш оператор, принять условия использования и нажать кнопку Консультировать кнопка. Затем будет предложена запрошенная информация. Второй вариант — использовать Онлайн-сервис AntiBotnet это даст нам ответ мгновенно. Он будет проверять, является ли наш IP-адрес частью ботнета. Для этого на той же странице или по этой ссылке мы коснемся кнопки проверки вашего соединения.

Затем появится этот экран, мы принимаем условия и нажимаем кнопку Проверить мое соединение.

В том случае, если наш IP не был связан с угрозами или ботнетом, он предлагал нам такой результат.

What is a DDoS attack?

DDoS means distributed denial of service. A DDoS attack is a malicious attack that makes servers or a network resource unavailable to their users. This occurs when a service is saturated, resulting in its temporary suspension or interruption. A DDoS attack differs from a DoS attack (Denial of Service) because it utilizes multiple connected devices. The attack is then often executed by botnets or individuals.

DDoS attacks are typically divided into two categories:

  • Application layer DDoS attacks: These attacks can include HTTP floods, slow attacks (Slowloris, RUDY), and those targeting vulnerabilities in operation systems, communication protocols, zero-day assaults, and web applications.
  • Network layer DDoS attacks: These attacks can include SYN floods, NTP amplification, UDP floods, DNS amplification, IP fragmentation, SSDP amplification, and more.

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически возмущенно докладывает брандмауэр или антивирусное ПО;

— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно, но – можно).

Руководство по удалению руководство Botnet

Шаг 1. Удалите Botnet и программ

Windows XP

  1. Откройте меню Пуск и выберите Панель управления
  2. Выберите Установка и удаление программ
  3. Выберите нежелательные приложения
  4. Нажмите кнопку Удалить

Windows 7 и Vista

  1. Нажмите кнопку Пуск и выберите Панель управления
  2. Перейти к Uninstall Программа
  3. Щелкните правой кнопкой мыши на подозрительное программное обеспечение
  4. Выберите Удалить

Windows 8

  1. Переместить курсор в левом нижнем углу
  2. Щелкните правой кнопкой мыши и откройте панель управления
  3. Выберите Удаление программы
  4. Удаление нежелательных приложений

Шаг 2. Удалить из ваших браузеров Botnet

Удалите Botnet от Internet Explorer

  1. Откройте IE и нажмите на значок шестеренки
  2. Выберите пункт Управление надстройками
  3. Удаление ненужных расширений
  4. Изменить домашнюю страницу: значок шестеренки → свойства обозревателя (вкладка «Общие»)
  5. Сброс вашего браузера: значок шестеренки → свойства обозревателя (дополнительно)
  6. Нажмите кнопку Сброс, установите флажок и нажмите кнопку Сброс снова

Удаление Botnet от Mozilla Firefox

  1. Откройте Mozilla и нажмите на меню
  2. Выберите пункт дополнения и перейти к расширения
  3. Выберите нежелательные дополнения и нажмите кнопку Удалить
  4. Сброс Mozilla: Сведения об устранении неполадок → Alt + H
  5. Нажмите кнопку Сброс Firefox, подтвердите его и нажмите кнопку Готово

How to Prevent Botnet Attacks

When we talk about preventing botnet attacks, there are two components involved here.

1) You protect your devices from getting infected by the botnet trojans (so they can’t be used in botnet attacks against others):

  • Software updates: Regularly update all the software to the latest version.
  • Phishing emails: Beware of phishing emails. Make sure the sender’s email address belongs to the company it claims to. For example, if you get an email claiming to be from Wells Fargo bank, the sender’s email address must contain “@wellsfargo.com.” Know more about phishing emails from this article: Phishing email scams.
  • Online downloads: Avoid downloading any attachments or click on any links in the emails if the email is from an unknown sender. Be careful while downloading any software, images, videos, songs, etc. from unknown sites. Scan everything with a trusted anti-virus solution before downloading them.
  • Security software: Install robust anti-malware, anti-spyware, and firewalls on your devices.
  • Manually checking folders: Regularly Check your C:/Program File and C:/Program Files (x86) folders. If you see any unknown program, make an internet search for it. If it’s not from a trusted publisher, delete it from its original location and also from the recycle bin.

2) If you are a website owner, you need to protect your website from being the target of various types of botnet attacks. Here are a few of the ways you can do that:

  • Limit access and login attempts: For brute force attacks, enabling limited login attempts facility might not be enough. Establish a two-factor or multi-factor verification method, in which the users receive a secret code or one-time password (OTP) on their mobiles via SMS or automated voice calls.
  • Use firewalls: Deploy a Web Application Firewall (WAF) on your server.
  • Implement DDoS protection tools

    Load balancers (these enable SSL bridging and SSL inspection),

    Content distribution networks (CDNs),

    Network intrusion detection systems (NIDS) and

    Access control lists (ACLs)

    : For reducing the effects of DDoS attacks, use tools to monitor and control the traffic reaching to your website or application. The following are examples of some robust security tools:

  • Use software solutions that have ability to prevent botnet attacks. These types of software have ability tomonitor, detect botnet threats and break the interaction between the bots and the C&C server.

Командование и контроль

Протоколы управления и контроля ботнета (C&C) были реализованы разными способами, от традиционных подходов IRC до более сложных версий.

Telnet

Ботнеты Telnet используют простой протокол ботнета C&C, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью скрипта сканирования , который запускается на внешнем сервере и сканирует диапазоны IP-адресов для входа на telnet- и SSH- серверы по умолчанию. Как только логин обнаружен, сервер сканирования может заразить его через SSH вредоносным ПО, которое пингует сервер управления.

IRC

В сетях IRC используются простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и используются с умеренным успехом для координации DDoS-атак и спам-кампаний, имея при этом возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 ( IRC ) популярен среди ботнетов. Первый известный сценарий контроллера ботнета, MaXiTE Bot, использовал протокол IRC XDCC для частных команд управления.

Одна из проблем с использованием IRC заключается в том, что каждый бот-клиент должен знать IRC-сервер, порт и канал, чтобы быть полезным для ботнета. Организации, занимающиеся защитой от вредоносных программ, могут обнаруживать и отключать эти серверы и каналы, эффективно останавливая атаку ботнета. Если это происходит, клиенты по-прежнему заражены, но обычно бездействуют, поскольку не имеют возможности получать инструкции. Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаруживать и нарушать работу дополнительных серверов или каналов ботнета, перехватывая IRC-трафик. Злоумышленник ботнета может даже потенциально получить информацию о схеме управления и имитировать бот-пастуха, правильно подавая команды.

P2P

Поскольку большинство ботнетов, использующих сети и домены IRC, со временем могут быть отключены, хакеры перешли на ботнеты P2P с C&C, чтобы сделать ботнет более устойчивым и устойчивым к завершению.

Некоторые также использовали шифрование как способ защитить или заблокировать ботнет от других, в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом, и возникают проблемы как при ее реализации, так и при ее взломе.

Домены

Многие крупные ботнеты , как правило, используют домены , а не IRC в их конструкции (см Rustock ботнет и Srizbi ботнет ). Обычно они размещаются на надежных хостингах . Это один из самых ранних типов C&C. Компьютер-зомби получает доступ к специально разработанной веб-странице или доменам, которые обслуживают список управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который можно легко обновлять.

Недостатки этого метода заключаются в том, что он использует значительную полосу пропускания в крупном масштабе, а домены могут быть быстро захвачены государственными учреждениями с небольшими усилиями. Если домены, управляющие ботнетами, не будут захвачены, они также станут легкой мишенью для взлома с помощью атак типа «отказ в обслуживании» .

Fast-flux DNS может использоваться для затруднения отслеживания управляющих серверов, которые могут меняться день ото дня. Управляющие серверы также могут переключаться с домена DNS на домен DNS, при этом алгоритмы генерации домена используются для создания новых имен DNS для серверов контроллеров.

Некоторые ботнеты используют бесплатные службы хостинга DNS, такие как DynDns.org , No-IP.com и Afraid.org, чтобы указать субдомен на IRC-сервер, на котором находятся боты. Хотя эти бесплатные службы DNS сами по себе не организуют атаки, они предоставляют ориентиры (часто жестко запрограммированные в исполняемый файл ботнета). Удаление таких сервисов может вывести из строя весь ботнет.

Другие

Обратный вызов в крупные социальные сети, такие как GitHub , , Reddit , Instagram , протокол обмена мгновенными сообщениями с открытым исходным кодом XMPP и скрытые службы Tor — популярные способы избежать фильтрации исходящего трафика для связи с C&C сервером.

Надёжный домен и Fast Flux

Для надёжной связи с ботами вам потребуются доменные имена с полным доступом к настройкам DNS. Чтобы избежать быстрого выявления «командного центра» при подключении к заражённым сетям, понадобится несколько доменных имён.

Регистратор таких доменных имён не должен проявлять повышенного интереса к вашей личности и должен принимать платежи через анонимные службы.

Существенно усиливает безопасность доменов использование технологии маскировки Fast Flux, скрывающей реальные IP-адреса путём быстрого изменения (в течение нескольких секунд) IP-адреса в записи DNS на адреса из числа любых входящих в ботнет машин. В двухпоточных сетях (double-flux) используется дополнительный уровень — сервисная сеть ботов, IP-адреса которой также постоянно меняются, что обеспечивает дополнительный уровень защиты.

В отличие от доменов, услуга Fast Flux стоит немало: поддержка пяти скрытых DNS-cерверов обойдётся не менее чем в 800 долларов. Поэтому для «бюджетного» ботнета лучше начать с покупки нескольких доменных имён.

Цена — от 50 долларов за пять доменных имён

Как оставаться защищенным против Jaku и другие Botnets?

Скачать утилитучтобы удалить Botnet

Имея в виду, что Botnets часто развертываются для распространения вредоносной программы на нескольких компьютерах одновременно, имея мощный противо malware решение, как представляется, является необходимостью.

Кибер-преступники применяют две стратегии вмешиваться victims†машины и превратить их в зомби:

  • Установка вредоносных программ через эксплуатации уязвимостей программного обеспечения или взлом аккаунтов слабых.
  • Обманывая вас в установки вредоносных программ с помощью методов социальной инженерии.

Для повышения вашей безопасности и не стать зомби, сослаться следующие советы по безопасности:

  • Часто обновления программного обеспечения, операционной системы и браузеры.
  • Используйте надежные пароли, рекомендуется использовать менеджер паролей.
  • Держите ваш брандмауэр на. Брандмауэр обеспечивает защиту от злоумышленников из Интернета.
  • Возлюбленная € т использовать флэш-накопители с неизвестного происхождения.
  • Пересмотреть ваш серфинг и загрузки привычки и применить фильтры анти-спам.
  • Установите расширенный anti-spyware и антивирусное программное обеспечение. Программа anti-spyware будет отслеживать шпионаже компонентов и будет идти глубоко в системе. Антивирусная программа будет искать жесткий диск и удалить незваных гостей.

Шпион Охотник сканер будет только обнаруживать угрозы. Если вы хотите угрозы будут автоматически удалены, необходимо приобрести полную версию инструмента анти-вредоносных программ. Узнайте больше о SpyHunter вредоносного инструмент / как удалить SpyHunter

Борьба с ботнетами

Обнаружение ботнета

Чаще всего обнаружение ботов на устройстве затруднено тем, что боты работают абсолютно автономно без участия пользователя. Однако можно выделить несколько признаков, являющихся доказательством наличия бот-инфекции на компьютере:

  • IRC-трафик (так как ботнеты используют IRC-каналы для связи);
  • Соединения с серверами, замеченными в составе ботнетов;
  • Высокий исходящий SMTP-трафик;
  • Несколько компьютеров в сети, выполняющие одинаковые DNS-запросы;
  • Медленная работа компьютера;
  • Большая нагрузка процессора;
  • Резкое увеличение трафика, особенно на портах 6667 (используется для IRC), 25 (SMTP-порт), 1080 (используется прокси-серверами);
  • Подозрительные исходящие сообщения, которые были отправлены не пользователем;
  • Проблемы с доступом в интернет.

Предотвращение заражения

Для предотвращения заражения пользователям следует предпринимать ряд мер, которые направлены не только на предотвращение заражения вирусом ботнет-сети, но и на защиту от вредоносных программ в целом. Рекомендуемые практики для предотвращения заражения компьютера:

  • Следует проводить мониторинг сети и регулярно отслеживать её активность, чтобы легко обнаружить неправильное поведение сети;
  • Все программное обеспечение должно регулярно обновляться, обновления следует скачивать только с проверенных источников;
  • Пользователям следует быть более бдительными, чтобы не подвергать свои устройства риску заражения ботами или вирусами. Это касается в первую очередь открытия электронных писем, подозрительных вложений, посещения ненадежных сайтов и перехода по непроверенным ссылкам;
  • Следует использовать средства для обнаружения бот-сетей, которые помогают предотвратить заражение, блокируя бот-вирусы. Большинство таких программ также обладают возможностью удаления бот-сетей. Примеры инструментов, помогающие обнаружить активность ботов на компьютере:
    • DE-Cleaner от Лаборатории Касперского;
    • DE-Cleaner от Avira;
    • RuBotted;
    • Mirage Anti-Bot;
    • Bot Revolt;
    • Norton Power Eraser.

Разрушение ботнет-сети

Как только бот обнаружен на компьютере, следует немедленно удалить его с помощью специального программного обеспечения. Это обезопасит отдельный компьютер, но для удаления ботнет-сетей необходимо отключить серверы, которые управляют ботами.

Шифрование и продажа

Примерно 15 октября 2007 года было обнаружено, что части ботнета Storm и его варианты могут быть выставлены на продажу. Это делается с помощью уникальных ключей безопасности при шифровании интернет-трафика и информации ботнета. Уникальные ключи позволят каждому сегменту или подразделу ботнета Storm взаимодействовать с разделом, имеющим соответствующий ключ безопасности. Однако это также может позволить людям обнаруживать, отслеживать и блокировать трафик ботнета Storm в будущем, если ключи безопасности имеют уникальную длину и подписи. Производитель компьютерной безопасности Sophos согласился с оценкой того, что разделение ботнета Storm указывает на вероятную перепродажу его услуг. Грэм Клули из Sophos сказал: «Использование Storm зашифрованного трафика — интересная функция, которая вызвала недоумение в нашей лаборатории. Скорее всего, киберпреступники сдают в аренду участки сети для ненадлежащего использования. Не будет сюрпризом, если сеть использовалась для рассылки спама, распределенных атак типа «отказ в обслуживании» и других злонамеренных действий ». Эксперты по безопасности сообщили, что если Storm разделится на рынок вредоносных программ в виде «готового к использованию набора для спама, создающего бот-сети», в мире может наблюдаться резкий рост числа заражений, связанных со Storm, и скомпрометированных компьютерных систем. . Похоже, что шифрование влияет только на системы, скомпрометированные Storm, начиная со второй недели октября 2007 года, а это означает, что любую из компьютерных систем, скомпрометированных по истечении этого периода времени, по-прежнему будет трудно отслеживать и блокировать.

Через несколько дней после обнаружения этого сегмента ботнета Storm основные поставщики средств безопасности обнаружили спам-сообщения из нового подраздела. Вечером 17 октября поставщики средств безопасности начали видеть новый спам со встроенными звуковыми файлами в формате MP3 , в котором жертвы пытались обманом заставить вложить деньги в копеечные акции в рамках незаконной аферы с перекачкой и сбросом акций. Считалось, что это была первая в истории афера со спамом, в которой использовался звук, чтобы обмануть жертв. Однако, в отличие от почти всех других электронных писем, связанных со Storm, эти новые мошеннические звуковые сообщения не содержали никаких вирусов или вредоносных программ Storm; они были просто частью биржевой аферы.

В январе 2008 года ботнет был впервые обнаружен как причастный к фишинговым атакам на клиентов крупных финансовых учреждений, нацеленных на банковские учреждения в Европе, включая Barclays , Halifax и Royal Bank of Scotland . Используемые уникальные ключи безопасности указали F-Secure, что сегменты ботнета были арендованы.

Примеры самых известных ботнетов в мире

Ниже описаны самые масштабные преступные бот-сети, которые принесли или приносят большой ущерб как коммерческим компаниям, так и рядовым гражданам из стран со всего мира. Здесь не описан статус, действует ли сеть сейчас или нет, так как их вариации могут развиваться, менять названия и направления. Даже если одна была закрыта, нет гарантий, что завтра не появится новая на ее основе.

Mirai

  • Краткое описание: взлом устройств «интернета вещей» через уязвимость в однотипном доступе к учетной записи
  • Семейство: черви
  • Кто под угрозой: умные бытовые устройства (IoT)
  • Применение: DDoS-атаки
  • Ущерб: ~100 млн долларов США

Mirai — ботнет, разработанный студентами как инструмент для проведения DDoS-атак. В качестве зомби-целей были выбраны умные бытовые устройства. Его операторы нашли уязвимость в доступе к учетной записи администратора на этих устройствах. Она заключалась в том, что там по умолчанию задавались однотипные логин и пароль, а набор комбинаций для подбора был небольшой.

Самыми известными атаками с его помощью считаются атака на веб-сайт журналиста Брайана Кребса, который незадолго до этого опубликовал статью о заработке на таких сетях, и на Dyn DNS, оператора DNS в США.

В 2017 году один из операторов Mirai —  Дэниел Кайе (он же BestBuy) — был пойман и осужден сперва в Германии, где получил условный срок, а затем и в Великобритании — уже с реальным сроком.

Andromeda

  • Краткое описание: спам-ботнет с вредоносным ПО; кража учетных данных (формграббинг) и др.
  • Семейство: трояны
  • Кто под угрозой: любые устройства
  • Применение: множество применений

Впервые сеть Andromeda появилась в 2011 году, однако запомнилась она по самой масштабной и разрушительной атаке 2016 года. Пользователи получали спамные письма на почтовый ящик, по своему неведению устанавливали вредоносное ПО, заражая вирусной начинкой своё устройство.

В операции по закрытию и остановке распространения Андромеды участвовали ФБР, Интерпол, Европол, Евроюст, Объединенная целевая группа по борьбе с киберпреступностью и другие коммерческие компании. В 2017 году была обезврежена сеть из 464 отдельных ботнетов. Создателем оказался житель Гомельской области (Республика Беларусь) Сергей Ярец (он же Ar3s).

ZeuS

  • Краткое описание: этот ботнет используется для воровства платежных данных в онлайн-банкинге
  • Семейство: трояны
  • Кто под угрозой: ПК на всех версиях Windows
  • Применение: кража денежных средств с банковских счетов
  • Ущерб: более 100 млн долларов США

В его основе заложена троянская программа, которая направлена на перехват паролей от платежных систем пользователей. Украденные данные в дальнейшем используются для кражи денежных средств. ZeuS был разработан под все возможные версии ОС Windows. Может работать без подключения к драйверам. Самое опасное то, что заразиться устройство может даже из гостевой учётной записи.

Программа внедряется в зараженную систему, крадет регистрационные данные от учетной записи в онлайн-банкинге, переводит деньги на счета других таких же жертв. Это делается для того, чтобы скрыть бот-мастера.

Как сообщают аналитики, вредоносный ZeuS является виновником 90% всех случаев банковского мошенничества в мире.

3ve (Eve)

  • Краткое описание: ботнет для скликивания рекламы
  • Семейство: трояны
  • Кто под угрозой: рекламодатели; ПК
  • Применение: слив рекламных бюджетов
  • Ущерб: более 20 миллионов долларов США

3ve рассылала вредоносное ПО, которое заражало компьютерные устройства. Распространялось через имейл-спам и псевдозагрузку контента. Как только ПК жертвы поражался вирусной программой, ей отправлялись команды на скликивание рекламных объявлений. Поскольку ботнет использовал собственные сайты для размещения в Google AdSense, то в первую очередь бот-мастера направляли трафик на свои же сайты-пустышки для имитации действий реальных пользователей. Так они строили фальшивые рекламные сети.

Его создателями и операторами были граждане России и Казахстана. Сеть была раскрыта, сервера и домены отобраны, а бот-мастера (нашли не всех) привлечены к ответственности.

Jaku Botnet: жертв

По мнению исследователей Botnet является главным образом после международных НПО, инженерных компаний, научных учреждений и государственных служащих.

Это то, что исследователи говорят:

JAKU targets its victims – 19,000 is a conservative estimate of the number of victims at any one time – primarily via ‘poisoned’ BitTorrent file shares. The victims are spread all over the globe, but a significant number of victims are in South Korea and Japan. Forcepoint Security Labs has determined that the botnet Command and Control (C2) servers identified are also located in the APAC region, including Singapore, Malaysia and Thailand.

Заявленный отказ ботнета

25 сентября 2007 г. было подсчитано, что обновление Microsoft для средства удаления вредоносных программ для Windows (MSRT) могло помочь уменьшить размер ботнета до 20%. Новый патч, по заявлению Microsoft, удалил Storm примерно из 274 372 зараженных систем из 2,6 миллиона просканированных систем Windows. Однако, по словам старшего персонала службы безопасности в Microsoft, «180 000+ дополнительных машин, которые были очищены MSRT с первого дня, скорее всего, будут домашними пользовательскими машинами, которые не были особенно включены в повседневную работу ботнета« Шторм »», что указывает на то, что очистка MSRT могла быть в лучшем случае символической.

По состоянию на конец октября 2007 года в некоторых отчетах указывалось, что ботнет Storm терял размер своего Интернет-следа и был значительно уменьшен в размерах. Брэндон Энрайт, аналитик по безопасности из Калифорнийского университета в Сан-Диего , подсчитал, что размер ботнета к концу октября упал до примерно 160 000 скомпрометированных систем по сравнению с предыдущим расчетным максимумом Энрайт в июле 2007 года в 1 500 000 систем. Однако Энрайт отметил, что состав ботнета постоянно менялся и что он по-прежнему активно защищался от атак и наблюдения. «Если вы исследователь и слишком часто попадаете на страницы, на которых размещено вредоносное ПО… существует автоматизированный процесс, который автоматически запускает против вас отказ в обслуживании », — сказал он и добавил, что его исследование вызвало атаку ботнета Storm. это отключило часть сети Калифорнийского университета в Сан-Диего.

Сообщается, что компания McAfee, занимающаяся компьютерной безопасностью, заявила, что Storm Worm станет основой будущих атак. Крейг Шмугар, известный эксперт по безопасности, обнаруживший червя Mydoom , назвал ботнет Storm законодателем мод, что привело к тому, что преступники стали чаще использовать подобную тактику. Один такой производный ботнет получил название «Спамовая банда знаменитостей» из-за использования в них тех же технических инструментов, что и контроллеры ботнета Storm. Однако, в отличие от сложной социальной инженерии, которую операторы Storm используют для соблазнения жертв, спамеры Celebrity используют предложения обнаженных изображений знаменитостей, таких как Анджелина Джоли и Бритни Спирс . Эксперты по безопасности Cisco Systems заявили в отчете, что, по их мнению, ботнет Storm останется критической угрозой в 2008 году, и заявили, что, по их оценкам, его размер остается в «миллионах».

По состоянию на начало 2008 года ботнет Storm также обнаружил деловую конкуренцию в своей черной экономике в виде Nugache, еще одного подобного ботнета, который был впервые обнаружен в 2006 году. Отчеты показали, что между операторами обоих ботнетов может идти ценовая война, за продажу своего спама. Доставка по электронной почте. После рождественских и новогодних праздников 2007–2008 гг. Исследователи немецкого проекта Honeynet сообщили, что ботнет Storm за эти праздники мог увеличиться в размерах до 20%. Согласно отчету MessageLabs Intelligence от марта 2008 г., более 20% всего спама в Интернете исходит от Storm.

How to Detect a Botnet

In order to protect your organization (more specifically, your servers and other devices) from botnet attacks, you first need to be able to detect the botnets. There are three main methods of detecting a botnet:

1) Signature-Based Detection

This method utilizes deep packet inspection (DPI) to monitor network traffic. It scrutinizes the inbound packets flows to detect signs of malicious the known patterns (i.e., the signature) of the malware. It can detect the initial incoming intrusion attempts by analyzing the frequency of the traffic and packet flux.

But the signature-based method can only detect the malware patterns which are stored in its botnet database. So, it can’t detect a completely new or unknown type of botnet. It also can’t detect the entire botnet if the members of the same botnet family are using different behavior patterns. Furthermore, it can’t detect the encrypted or compressed malware, either.

2) Flow-Based Detection

This method monitors the network traffic flow by analyzing packets with the same source and destination. It doesn’t inspect each packet, but rather its abstract data from the packet header to monitor the flow size, duration, and mean packet size. It can detect the encrypted and compressed bots, too.

Another advantage of this technique is that it’s not dependent on the malware patterns. It can detect entire botnet families even if the bots are using the different signatures.

3) Detection via Honeypots

Honeypots are intentionally vulnerable systems that companies create to lure and divert attackers away from their genuine servers. Honeypots are designed to have weak security structures and don’t contain any valuable data in them. The goal is to make hackers waste their time and resources on these faux servers instead of attacking the real ones.

When honeypots experience unusual traffic or flux of packet forwarding, the webmaster can get the idea about the botnet attack in its earliest stage. Your organization’s security team gets time to study the attacker’s methods and type of payload before attackers target the main servers.    

False Positives Detection Results

Detecting a botnet attack is difficult because the detection tools have to differentiate the botnet traffic from the real web visitors’ traffic and requests sent by vulnerability scanners. Some vulnerability scanners’ behaviors are same as botnets when they’re scanning servers to find bugs. They inspect the resources so fast that some botnet detection tools might consider their actions a potential botnet attack.

In the same way, white hat hackers also inspect the servers and websites to find the vulnerable databases and security loopholes. Some companies even hire such white hat hackers to examine their servers for bugs before the hackers find them. The hacking tools used by security researchers or white-hat hackers generate the same payload patterns as a botnet. That’s why the security software might trigger the false positives.  

Почему создаются ботнеты?

Многие атаки осуществляются просто для получения прибыли. Аренда услуг ботнета стоит относительно недорого, цена варьируется в зависимости от размера ущерба, который они могут нанести. Барьер для создания ботнета также достаточно низок, чтобы сделать его прибыльным бизнесом для некоторых разработчиков программного обеспечения, особенно в географических районах, где регулирование и правоохранительная деятельность ограничены. Это сочетание привело к распространению онлайн-сервисов, предлагающих атаки по найму.

Как контролируется ботнет?

Основной характеристикой ботнета является возможность получать обновленные инструкции от мастера ботов. Возможность общаться с каждым ботом в сети позволяет злоумышленнику чередовать векторы атаки, изменять целевой IP-адрес, прекращать атаку и другие настраиваемые действия. Конструкции ботнетов различаются, но структуры управления можно разделить на две общие категории:

Модель ботнета клиент-сервер

Модель «клиент-сервер» имитирует традиционный рабочий процесс удаленной рабочей станции, когда каждая отдельная машина подключается к централизованному серверу (или небольшому числу централизованных серверов) для доступа к информации. В этой модели каждый бот будет подключаться к ресурсу центра управления (ЧПУ), такому как веб-домен или IRC-канал, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин. Централизованным сервером, контролирующим ботнет, может быть устройство, принадлежащее злоумышленнику и управляемое им, или зараженное устройство.

Наблюдался ряд популярных централизованных топологий ботнетов, в том числе:

  1. Топология сети «Звезда»
  2. Топология сети с несколькими серверами
  3. Иерархическая топология сети

В любой из этих моделей клиент-сервер каждый бот будет подключаться к ресурсу центра управления, например, к веб-домену или IRC-каналу, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин.

Связью с простотой обновления инструкций к ботнету, из ограниченного числа централизованных источников, является уязвимость этих машин. Для того, чтобы удалить ботнет с централизованного сервера, должен быть нарушен только сервер. В результате этой уязвимости создатели вредоносного ПО ботнета эволюционировали и перешли к новой модели, которая менее подвержена разрушению через одну или несколько точек отказа.

Модель однорангового ботнета

Чтобы обойти уязвимости клиент-серверной модели, ботнеты совсем недавно были разработаны с использованием компонентов децентрализованного однорангового обмена файлами. Внедрение структуры управления внутри ботнета устраняет единственную точку сбоя, присутствующую в ботнете с централизованным сервером, что затрудняет усилия по смягчению последствий. P2P-боты могут быть как клиентами, так и командными центрами, работающими в связке с соседними узлами для распространения данных.

Одноранговые ботнеты поддерживают список доверенных компьютеров, с которыми они могут передавать и получать сообщения и обновлять свои вредоносные программы. Ограничивая количество других машин, к которым подключается бот, каждый бот подвергается воздействию только соседних устройств, что затрудняет отслеживание и затрудняет смягчение. Отсутствие централизованного командного сервера делает одноранговую ботнет более уязвимой для управления кем-либо, кроме создателя ботнета. Для защиты от потери контроля децентрализованные ботнеты обычно шифруются, поэтому доступ к ним ограничен.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.