Microcamtest

Лайфстайл портал

Что такое ботнет и как предотвратить заражение вашего ПК

Что нужно знать о ботнетах

Часто киберпреступники стремятся заразить вредоносными программами и взять под контроль тысячи, десятки тысяч и даже миллионы компьютеров и таким образом свободно управлять большой зомби-сетью. Такие сети можно использовать для осуществления атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS), крупномасштабных кампаний по рассылке спама и других типов кибератак.

В некоторых случаях киберпреступники создают большую сеть зомби-компьютеров, а затем продают доступ к этой зомби-сети другим преступникам или сдают ее в аренду. Спамеры арендуют или приобретают такие сети для проведения крупномасштабных кампаний по распространению спама.

Видео

Ботнет для майнинга

В 2009 году, когда впервые был создан Bitcoin, весь мир бросился генерировать новую криптовалюту. Но чтобы ускорить процесс и зарабатывать как можно больше, одного компьютера будет недостаточно. Так и появился майнинг через ботнеты — паразитирование на чужом устройстве, а точнее, на ресурсах его видеокарты для выработки мощностей и генерации цифровых денег.

Если вы стали замечать, что производительность компьютера резко возросла. Не хватает памяти на рядовые программы и операции на ПК. Компьютер разгоняется, аки реактивный самолет. Вероятнее всего, ваша видеокарта уже (парадокс) не ваша — бот крепко засел в устройстве и сжирает мощности, сжигая видеокарту.

И таких ботнетов по созданию ферм существует множество. Если посмотреть на стоимость одного биткоина, можно сделать вывод, что они достаточно широко используются.

Кто контролирует ботнеты?

Ботнеты часто контролируются одним человеком или группой людей. Ботмастер может отправлять команды на отдельные устройства, инструктируя их, что делать. Это может быть что угодно: посещение веб-сайта, выполнение кода или попытка заразить другие компьютеры в той же сети.

В большинстве случаев многие бот-сети сдаются в аренду другим киберпреступникам для выполнения ряда различных ресурсоемких задач, о которых мы вскоре расскажем.

Правда в том, что выяснить, кто такие операторы ботнета, невероятно сложно, и многие из них навсегда остаются анонимными. Это в первую очередь связано с тем, что действия, выполняемые с помощью ботнета, очень часто являются незаконными, поэтому хакер не хочет, чтобы кто-либо знал, кто они.

Команды для ботов

Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.

Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.

Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.

Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).

Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.

Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.

Как создать ботнет?

Важным фактором, способствующим популярности испол

Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета. Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad. Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).

Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов. Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения. С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.

Ботнет Carna

Carna — ботнет численностью 420 тысяч устройств, созданный неким смышленым анонимусом с целью сбора статистики по IP-адресам всей сети Интернет. Был активен с июня по октябрь 2012 года, состоял в основном из различных домашних роутеров, которые взламывались путем подбора паролей (обычно там был или пустой пароль, или root:root). По результатам работы ботнета был создан Internet Census of 2012 (перепись интернета 2012 года). Результаты сканирования опубликованы в свободном доступе в виде базы данных размером 9 Тб, заархивированной в 568 Гб с помощью алгоритма ZPAQ. Из 4,3 миллиарда возможных адресов IPv4 ботнет Carna обнаружил использование 1,3 миллиарда, включая 141 миллион за брандмауэрами и 729 миллионов адресов, имевших обратную запись DNS (PTR). Оставшиеся 3 миллиарда адресов, вероятно, не использовались.

Объект воздействия

Объектами воздействия ботнетов являются государственные структуры и коммерческие компании, обычные пользователи интернета. Киберпреступники применяют боты для достижения целей разного содержания и величины. Например, самое простое и популярное применение ботнетов, приносящее большую прибыль, — расылка спама. Не всегда этим занимается сам владелец зомби-сети: часто спамеры арендуют ботнет (botnet).

Ботнеты применяются и для осуществления DDoS-атак. Атакуемый сервер не справляется с потоками запросов с зараженных компьютеров и останавливается, пользователи не могут получить к нему доступ. За то, чтобы восстановить работу веб-ресурса, злоумышленники требуют заплатить выкуп. Кибершантаж такого рода очень распространен, так как сегодня все компании активно используют интернет для ведения бизнеса, а некоторые организации и вовсе работают только через Всемирную сеть. Также владельцы или арендаторы ботнетов могут использовать DDoS-атаки для политических акций или провокаций. Объектами атак ботов становятся правительственные, государственные, военные и прочие организации.

Ботнеты используют в майнинге биткоинов. Проникая в компьютер пользователя, бот-агент использует ресурсы машины в своих целях. Чем больше зараженных устройств, тем больше валюты «чеканит» злоумышленник. Мощность графического процессора может использоваться во время простоя компьютера, так что наличие вредоносной активности замечается не сразу. 

Также бот-сети используются для анонимного доступа в интернет с целью взлома веб-сайтов, перевода денег. Активно применяются они и для кражи секретной информации. Преимущество зомби-сети перед другими вредоносными агентами заключается в способности собирать информацию с огромного количества компьютеров одновременно. Часто эти сведения продаются или эксплуатируются для расширения ботнета.

Существует ли защита от ботнет

©

Как видите, все эти вредоносные сети приносят огромный ущерб, и ваш бизнес от этого никак не защищен. И не важно, на что они могут быть направлены — на ваш сайт, рекламные объявления или e-mail.

Если защита от DDoS-атак есть — специальное программное обеспечение, которое обнаруживает ботов, — то что делать с рекламными объявлениями? У них ведь нет такого файервола.

Сервис защиты Botfaqtor использует специальные алгоритмы и анализирует трафик вашего сайта по 100 техническим и поведенческим параметрам. Боты блокируются, а ваши деньги остаются в целости и сохранности.

Теги