Ботнет

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карток та паролів доступу. Кожен комп'ютер в мережі діє як «бот» і управляється шахраєм для передачі шкідливих програм або шкідливого контенту для запуску атаки. Ботнет деколи називають «армією зомбі», так як комп'ютери контролюються кимось іншим, крім їх власника.^[1]

Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Технічний опис

Залучення комп'ютерів до ботнету

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

• Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
• Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під «корисне програмне забезпечення».
• Використання санкціонованого доступу до комп'ютера (рідко).
• Підбір адміністративного пароля до мережевих ресурсів зі спільним доступом (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) — переважно в локальних мережах.

Механізм маскування

Механізм захисту від видалення аналогічний більшості вірусів та руткітів, зокрема:

• маскування під системний процес;
• підміна системних файлів для самомаскування;
• інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
• перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
• перехоплення системних процедур роботи з мережею для маскування трафіку ботнету під трафік користувача або системних утиліт.
• використання поліморфного коду, що ускладнює сигнатурний аналіз
• маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту

• створення перешкод нормальній роботі антивірусного ПЗ
• перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску

Для автозапуску найчастіше використовуються наступні технології:

• використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
• використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
• підміна системних файлів, що автоматично завантажуються операційною системою;
• реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через вебсайт або по принципу p2p-мереж.^[2]

Список найбільших ботнетів

Дата створення	Ім'я	Кількість ботів	Потенціал для спаму	Подібні ботнети
1999	!a	999,999,999	100000	!a
2009 (Травень)	BredoLab	30,000,00030,000,000[3]	3.6 млрд./день	Oficla
2008 (приблизно)	Mariposa	12,000,000[4]	?	Немає
0?	Conficker	10,000,000+[5]	10 млрд./день	DownUp, DownAndUp, DownAdUp, Kido
0?	Zeus	3,600,000 (лише США)[6]	-1Немає	Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно)	Cutwail	1,500,000[7]	74 млрд./день	Pandex, Mutant
0?	Grum	565,000[8]	39.9 млрд./день	Tedroo
0?	Kraken	495,000[9]	9 млрд./день	Kracken
2007 (Березень)	Srizbi	450,000[10]	60 млрд./день	Cbeplay, Exchanger
0?	Lethic	260,000[11]	2 млрд./день	Немає
0?	Mega-D	250,000[12]	10 млрд./день	Ozdok
2004 (Початок)	Bagle	230,000[11]	5.7 млрд./день	Beagle, Mitglieder, Lodeight
0?	Bobax	185,000	9 млрд./день	Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0?	Torpig	180,000[13]	-1 Немає	Sinowal, Anserin
0?	Storm	160,000[14]	3 млрд./день	Nuwar, Peacomm, Zhelatin
2006 (приблизно)	Rustock	150,000[15]	30 млрд./день	RKRustok, Costrat
0?	Donbot	125,000[16]	0.8 млрд./день	Buzus, Bachsoy
2008 (Листопад)	Waledac	80,000[17]	1.5 млрд./день	Waled, Waledpak
0?	Maazben	50,000[11]	0.5 млрд./день	Немає
0?	Onewordsub	40,000[18]	1.8 млрд./день	0?
0?	Gheg	30,000[11]	0.24 млрд./день	Tofsee, Mondera
0?	Nucrypt	20,000[18]	5 млрд./день	Loosky, Locksky
0?	Wopla	20,000[18]	0.6 млрд./день	Pokier, Slogger, Cryptic
2008 (приблизно)	Asprox	15,000[19]	0 ?	Danmec, Hydraflux
0?	Spamthru	12,000[18]	0.35 млрд./день	Spam-DComServ, Covesmer, Xmiler
0?	Xarvester	10,000[11]	0.15 млрд./день	Rlsloup, Pixoliz
2009 (Серпень)	Festi	0 ?	2.25 млрд./день	Немає
2008 (приблизно)	Gumblar	0 ?	0 ?	Немає
0?	Akbot	0 ?	0 ?	Немає
2100	z!	-100,000,000	-99999	z!

Інтернет речей

Докладніше: Інтернет речей

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, вебсайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку досягав 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (так званий інтернет речей). В жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками^[20][21].

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього мав відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебирання^[22]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай. Також дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак^[23].

Див. також

• Спам
• Метод «грубої сили»
• Відмова сервісу
• Дропер
• BlackEnergy — троян для формування ботнетів.

Примітки

1. Ботнети і їх типи: що відомо в 2018 році - Blogchain. blogchain.com.ua. Архів оригіналу за 26 жовтня 2020. Процитовано 12 грудня 2018. 
2. Ботнеты. Kaspersky Lab. Архів оригіналу за 12 лютого 2012. Процитовано 3 липня 2007. 
3. Infosecurity (UK) — BredoLab downed botnet linked with Spamit.com. Архів оригіналу за 6 грудня 2010. Процитовано 25 листопада 2010. 
4. Suspected 'Mariposa Botnet' creator arrested. .canada.com. accessdate=2010-07-30. Архів оригіналу за 9 липня 2013. Процитовано 25 листопада 2010. 
5. Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab publisher=F-secure.com. 16 січня 2009. Архів оригіналу за 9 липня 2013. Процитовано 24 квітня 2010. 
6. America's 10 most wanted botnets. Архів оригіналу за 11 травня 2011. Процитовано 25 листопада 2010. 
7. Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com. 2 лютого 2010. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
8. Research: Small DIY botnets prevalent in enterprise networks. ZDNet. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
9. New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
10. Technology | Spam on rise after brief reprieve. BBC News. 26 листопада 2008. Архів оригіналу за 22 травня 2010. Процитовано 24 квітня 2010. 
11. http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf
12. Fairfax Media Business Group (29 грудня 2009). | Computerworld NZ. Computerworld.co.nz. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
13. Researchers hijack control of Torpig botnet - SC Magazine US. Архів оригіналу за 11 травня 2011. Процитовано 25 листопада 2010. 
14. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com. 21 жовтня 2007. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
15. Chuck Miller (25 липня 2008). The Rustock botnet spams again. SC Magazine US. Архів оригіналу за 9 липня 2013. Процитовано 30 липня 2010. 
16. Spam Botnets to Watch in 2009 — Research — SecureWorks. Архів оригіналу за 30 листопада 2010. Процитовано 25 листопада 2010. 
17. Архівована копія. Архів оригіналу за 4 березня 2016. Процитовано 25 листопада 2010. 
18. Архівована копія. Архів оригіналу за 13 серпня 2014. Процитовано 25 листопада 2010. 
19. Архівована копія. Архів оригіналу за 25 березня 2016. Процитовано 25 листопада 2010. 
20. Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. Архів оригіналу за 14 жовтня 2016. Процитовано 7 жовтня 2016. 
21. Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. Архів оригіналу за 6 жовтня 2016. Процитовано 7 жовтня 2016. 
22. Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. Архів оригіналу за 7 жовтня 2016. Процитовано 7 жовтня 2016. 
23. Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. Архів оригіналу за 7 листопада 2016. Процитовано 7 жовтня 2016. 

Посилання

• Бот-мережа (або ботнет) // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 118. — ISBN 978-617-7627-10-3.
• Ботнети (рос.) [Архівовано 22 липня 2011 у Wayback Machine.] — детальна стаття на viruslist.com
• Ботнети як вони є (рос.) — стаття про бот-мережі
• Творець ботнету проведе чотири роки за ґратами (рос.)
• Новини про ботнети (рос.)