Что такое ботнет и является ли ваш компьютер его частью?

Один из моих любимых терминов кибербезопасности — «ботнет». Он вызывает в воображении всевозможные образы: взаимосвязанные роботы, легионы объединенных в сеть рабочих, одновременно стремящихся к единой цели. Как ни странно, образ, который вызывает это слово, похож на то, что такое ботнет, по крайней мере, окольными путями.

Ботнеты составляют серьезное количество вычислительные мощности по всему миру. И эта сила регулярно (возможно, даже постоянно) является источником вредоносных программ, программ-вымогателей, спама и многого другого. Но как возникают ботнеты? Кто их контролирует? И как их остановить?

Что такое ботнет?

Определение ботнета SearchSecurity гласит, что «ботнет — это набор подключенных к Интернету устройств, которые могут включать в себя ПК, серверы, мобильные устройства и устройства Интернета вещей, которые заражены и контролируются распространенным типом вредоносного ПО. Пользователи часто не знают о ботнете, заражающем их систему ».

Последнее предложение определения является ключевым. Устройства внутри ботнета обычно не появляются добровольно. Устройства, зараженные определенными вариантами вредоносных программ, контролируются удаленными злоумышленниками, также известными как киберпреступники. Вредоносная программа скрывает вредоносные действия ботнета на устройстве, в результате чего владелец не знает своей роли в сети. Вы можете рассылать спам, предлагая тысячи таблеток, увеличивающих придатки, — даже не подозревая.

Таким образом, мы часто называем зараженные ботнет-устройства «зомби».

Что делает ботнет?

Ботнет выполняет несколько общих функций в зависимости от желания оператора ботнета:

  1. Спам: отправка огромных объемов спама по всему миру. Например, средняя доля спама в мировом почтовом трафике с января по сентябрь составила 56,69%. Когда компания FireEye, занимающаяся исследованиями в области безопасности, временно приостановила переход пресловутого ботнета Srizbi после того, как печально известный хостинг McColo отключился, объем глобального спама резко упал (и фактически, когда он, наконец, отключился, глобальный спам временно снизился примерно на 50 процентов).
  2. Вредоносное ПО: Доставка вредоносного и шпионского ПО на уязвимые машины. Ресурсы ботнета покупаются и продаются злоумышленниками для поддержки своих преступных предприятий.
  3. Данные: сбор паролей и другой личной информации. Это связано с вышеизложенным.
  4. Мошенничество с кликами: зараженное устройство посещает веб-сайты для создания ложного веб-трафика и рекламных показов.
  5. Биткойн: Контроллеры ботнета направляют зараженные устройства на майнинг биткойнов и других криптовалют для незаметного получения прибыли.
  6. DDoS: операторы ботнета направляют мощность зараженных устройств на определенные цели, отключая их от атак с распределенным отказом в обслуживании.

Операторы ботнетов обычно используют в своих сетях некоторые из этих функций для получения прибыли. Например, операторы бот-сетей, рассылающие медицинский спам гражданам США, также владеют поддельными аптеками, которые доставляют товары. (О, да, в конце письма указаны настоящие продукты. «Нация спама» Брайана Кребса — отличный пример.)

Основные ботнеты немного изменили направление в последние несколько лет. В то время как медицинский и другие подобные виды спама долгое время были чрезвычайно прибыльными, правительственные меры в нескольких странах подорвали прибыль. Таким образом, согласно аналитическому отчету Symantec за июль 2017 года, количество электронных писем с вредоносными вложениями выросло до одного на каждые 359 писем.

Как выглядит ботнет?

Мы знаем, что ботнет — это сеть зараженных компьютеров. Однако интересно рассмотреть основные компоненты и реальную архитектуру ботнета.

Архитектура

Существует две основные архитектуры ботнета:

  • Модель клиент-сервер: бот-сеть клиент-сервер обычно использует клиент чата (ранее IRC, но современные бот-сети используют Telegram и другие службы обмена зашифрованными сообщениями) , домен или веб-сайт для связи с сетью. Оператор отправляет сообщение на сервер, ретранслируя его клиентам, которые выполняют команду. Хотя инфраструктура ботнета отличается от базовой до очень сложной, сконцентрированные усилия могут отключить ботнет клиент-сервер.
  • Одноранговый: одноранговый (P2P) ботнет пытается остановить программы безопасности и исследователей, идентифицирующих определенные серверы C2, создавая децентрализованную сеть. . P2P-сеть в некотором смысле более продвинута, чем модель клиент-сервер. Более того, их архитектура отличается от того, что многие представляют. Вместо единой сети взаимосвязанных зараженных устройств, обменивающихся данными через IP-адреса, операторы предпочитают использовать устройства-зомби, подключенные к узлам, в свою очередь, подключенные друг к другу и к основному коммуникационному серверу. Идея состоит в том, что существует слишком много взаимосвязанных, но отдельных узлов, которые нельзя отключать одновременно..

Command and Control

Command and Control (иногда пишется C&C или C2) протоколы бывают разных видов:

  • Telnet: ботнеты Telnet относительно просты, они используют скрипт для сканирования диапазонов IP-адресов для telnet по умолчанию. и входы на сервер SSH для добавления уязвимых устройств для добавления ботов.
  • IRC: сети IRC предлагают метод связи с чрезвычайно низкой пропускной способностью для протокола C2. Возможность быстрого переключения каналов обеспечивает некоторую дополнительную безопасность для операторов ботнета, но также означает, что зараженные клиенты легко отключаются от ботнета, если они не получают обновленную информацию о каналах. IRC-трафик относительно легко исследовать и изолировать, что означает, что многие операторы отказались от этого метода.
  • Домены: некоторые крупные бот-сети для управления используют домены, а не клиент обмена сообщениями. Зараженные устройства получают доступ к определенному домену, обслуживающему список команд управления, что позволяет легко вносить изменения и обновления на лету. Обратной стороной является огромная потребность в пропускной способности для крупных ботнетов, а также относительная легкость, с которой закрываются предполагаемые управляющие домены. Некоторые операторы используют так называемый пуленепробиваемый хостинг для работы за пределами юрисдикции стран со строгим уголовным законодательством об Интернете.
  • P2P: протокол P2P обычно реализует цифровую подпись с использованием асимметричного шифрования (один открытый и один закрытый ключи). Это означает, что пока оператор владеет закрытым ключом, для кого-либо еще чрезвычайно сложно (практически невозможно) давать различные команды ботнету. Точно так же отсутствие одного определенного сервера C2 делает атаку и уничтожение ботнета P2P более сложным, чем его аналоги.
  • Прочее: На протяжении многих лет мы видели, как операторы ботнета используют некоторые интересные каналы управления и контроля. На ум сразу приходят каналы социальных сетей, такие как ботнет Android Twitoor, управляемый через Twitter, или Mac.Backdoor.iWorm, который использовал субреддит списка серверов Minecraft для получения IP-адресов своей сети. Instagram тоже небезопасен. В 2017 году группа кибершпионажа Turla, тесно связанная с российской разведкой, использовала комментарии к фотографиям Бритни Спирс в Instagram для хранения местоположения C2-сервера распространения вредоносного ПО.

Зомби

Последний фрагмент головоломки ботнета — это зараженные устройства (т.е. зомби).

Операторы бот-сетей целенаправленно сканируют и заражают уязвимые устройства, чтобы увеличить свою оперативную мощность. Выше мы перечислили основные виды использования ботнетов. Все эти функции требуют вычислительной мощности. Кроме того, операторы ботнета не всегда дружат друг с другом, перекладывая мощность своих зараженных машин друг на друга..

В подавляющем большинстве случаев владельцы зомби-устройств не знают о своей роли в ботнете. Однако иногда вредоносное ПО ботнета действует как канал для других вариантов вредоносного ПО.

Это видео ESET дает хорошее объяснение того, как расширяются бот-сети:

Типы устройств

Сетевые устройства выходят в сеть с поразительной скоростью. Ботнеты охотятся не только на ПК или Mac. Как вы узнаете больше в следующем разделе, устройства Интернета вещей так же (если не больше) подвержены атакам вредоносных программ-ботнетов. Особенно, если их разыскивают из-за их ужасающей безопасности.

Если я скажу родителям вернуть их новый смарт-телевизор, который они продали, потому что IOT крайне небезопасен. Делает ли это меня хорошей дочерью или плохой дочерью?
Я спросил, может ли он слушать голосовые команды, они ответили утвердительно; Я издал потрескивающий звук. Они сказали, что поговорим завтра.

— Таня Янка (@shehackspurple) 28 декабря 2017 г.

Смартфоны и планшеты тоже небезопасны. За последние несколько лет Android видел несколько ботнетов. Android — простая цель: он имеет открытый исходный код, имеет несколько версий операционной системы и множество уязвимостей одновременно. Не радуйтесь так быстро, пользователи iOS. Было несколько вариантов вредоносного ПО, нацеленных на мобильные устройства Apple, хотя обычно они ограничиваются взломанными iPhone с уязвимостями безопасности.

Другой основной целью устройства ботнета является уязвимый маршрутизатор. Маршрутизаторы со старым и небезопасным микропрограммным обеспечением являются легкой мишенью для ботнетов, и многие владельцы не осознают, что их интернет-портал несет инфекцию. Точно так же просто ошеломляющее количество пользователей Интернета не может изменить настройки по умолчанию на своих маршрутизаторах после установки. Подобно устройствам IoT, это позволяет вредоносным программам распространяться с ошеломляющей скоростью, с небольшим сопротивлением при заражении тысяч устройств.

Удаление ботнета

Удаление ботнета — непростая задача по ряду причин. Иногда архитектура ботнета позволяет оператору быстро перестроиться. В других случаях ботнет слишком велик, чтобы его можно было уничтожить одним махом. Большинство удалений ботнетов требует координации между исследователями безопасности, государственными учреждениями и другими хакерами, иногда полагающимися на подсказки или неожиданные лазейки.

Основная проблема, с которой сталкиваются исследователи в области безопасности, — это относительная легкость, с которой операторы-подражатели начинают операции с одним и тем же вредоносным ПО.

GameOver Zeus

Я собираюсь использовать ботнет GameOver Zeus (GOZ) в качестве примера удаления. GOZ был одним из крупнейших ботнетов последнего времени, на пике которого, как считается, находилось более миллиона зараженных устройств.. Основным использованием ботнета было кража денег (распространение программы-вымогателя CryptoLocker) и рассылка спама, и, используя сложный алгоритм генерации одноранговых доменов, остановить его было невозможно.

Алгоритм генерации доменов позволяет ботнету заранее генерировать длинные списки доменов для использования в качестве «точек встречи» для вредоносного ботнета. Наличие нескольких точек встречи делает остановку распространения практически невозможной, так как только операторы знают список доменов.

В 2014 году группа исследователей безопасности, работающая в в сотрудничестве с ФБР и другими международными агентствами, наконец, вынудили GameOver Zeus отключиться от сети в рамках операции «Товар». Это было непросто. Заметив последовательность регистрации доменов, команда зарегистрировала около 150 000 доменов за шесть месяцев до начала операции. Это должно было заблокировать любую будущую регистрацию домена от операторов ботнета.

Затем несколько интернет-провайдеров передали управление работой прокси-узлов GOZ, используемых операторами ботнета для связи между управляющими серверами и самим ботнетом. Эллиот Петерсон, ведущий следователь ФБР по операции «Товар», сказал: «Мы смогли убедить ботов в том, что с нами хорошо общаться, но со всеми сверстниками, доверенными лицами и суперузлами, контролируемыми плохими парнями, разговаривать было плохо, и мы должны игнорировать «.

Владелец ботнета Евгений Богачев (он-лайн псевдоним Славик) понял, что удаление произошло через час, и попытался отбивайтесь еще четыре или пять часов, прежде чем «признать» поражение.

После этого исследователи смогли взломать печально известное шифрование программ-вымогателей CryptoLocker, создающее бесплатные инструменты дешифрования для жертв.

Ботнеты Интернета вещей разные

Меры по борьбе с GameOver Zeus были обширными, но необходимыми. Он показывает, что сама мощь искусно созданного ботнета требует глобального подхода к смягчению последствий, требующего «новаторской правовой и технической тактики с традиционными инструментами правоохранительных органов», а также «прочных рабочих отношений с экспертами из частной отрасли и коллегами из правоохранительных органов более чем в 10 странах. страны по всему миру «.

Но не все ботнеты одинаковы. Когда один ботнет подходит к концу, другой оператор извлекает уроки из разрушения.

В 2016 году самым большим и самым плохим ботнетом был Mirai. Перед частичным уничтожением ботнет Mirai, основанный на Интернете вещей, поразил несколько важных целей с помощью ошеломляющих DDoS-атак. Одна из таких атак ударила по блогу исследователя безопасности Брайана Кребса со скоростью 620 Гбит/с, в конечном итоге вынудив защиту от DDoS-атак Кребса отказаться от него как клиента.. Другая атака, произошедшая в последующие дни, поразила французского провайдера облачного хостинга OVH со скоростью 1,2 Тбит/с, что стало крупнейшей атакой из когда-либо существовавших. На изображении ниже показано, во сколько стран попала Mirai.

Хотя Мираи и близко не стала крупнейшей ботнет когда-либо видел, он произвел самые большие атаки. Mirai разрушительно применил множество смехотворно небезопасных устройств IoT, используя список из 62 небезопасных паролей по умолчанию для накопления устройств (admin/admin были наверху списка, поймите).

Исследователь безопасности Маркус Хатчинс (он же MalwareTech) объясняет, что отчасти причина огромной мощности Mirai заключается в том, что большинство устройств IoT сидят там и ничего не делают, пока не потребуются . Это означает, что они почти всегда в сети и почти всегда имеют общие сетевые ресурсы. Оператор традиционного ботнета соответственно анализирует периоды пиковой мощности и время атак. Ботнеты IoT, не так уж и много.

Таким образом, по мере того, как все больше плохо настроенных устройств IoT подключаются к сети, вероятность их использования растет.

Безопасность

У нас есть узнали о том, что делает ботнет, как они растут, и о многом другом. Но как сделать так, чтобы ваше устройство не стало его частью? Что ж, первый ответ прост: обновите свою систему. Регулярные обновления исправляют уязвимые дыры в вашей операционной системе, в свою очередь сокращая возможности для эксплуатации.

Второй — это загрузка и обновление антивирусной программы, а также программы защиты от вредоносных программ. Существует множество бесплатных антивирусных пакетов, которые предлагают отличную защиту с низким уровнем воздействия. Инвестируйте в программу защиты от вредоносных программ, например Malwarebytes. Подписка на Malwarebytes Premium обойдется вам в 24,95 долларов в год, обеспечивая защиту от вредоносных программ в реальном времени. На мой взгляд, оно того стоит.

Наконец, получите дополнительную защиту браузера. Наборы эксплойтов Drive-by доставляют неудобства, но их легко избежать, если использовать расширение для блокировки скриптов, такое как uBlock Origin.

Был ли ваш компьютер частью ботнета? Как вы это поняли? Вы узнали, какая инфекция использовала ваше устройство? Расскажите нам о своем опыте ниже!

.

Оцените статью
oilgasindustry.ru
Добавить комментарий