Come metodo comune ed efficace di attacco informatico, le botnet rappresentano un'enorme minaccia per la sicurezza Internet odierna. Questo articolo introduce il concetto e i metodi di controllo delle botnet, nonché le 6 famigerate botnet. Spero che dopo aver letto questo articolo, posso avere una comprensione preliminare delle botnet.
Una botnet è una rete che utilizza uno o più mezzi di propagazione per infettare un gran numero di host con un virus programma bot (zombie), creando così una rete che può essere controllata uno a molti tra il controller e gli host infetti.
A volte vengono chiamati "bot eserciti" e possono essere utilizzati dai criminali informatici per una serie di attività, tra cui l'invio di spam e la conduzione di attacchi DDoS (Distributed Denial of Service).
Qualsiasi dispositivo connesso a Internet può essere aggiunto a una botnet, inclusi laptop, desktop, smartphone, lettori DVR, router wireless e altri dispositivi Internet of Things (IoT).
Le botnet sono controllate da server di comando e controllo (C&C), che sono computer controllati da hacker o gruppi di hacker che possono inviare comandi alle botnet nella botnet e possono anche ricevere informazioni raccolte dalle botnet. Il controller della botnet si chiama Bot Botder o Bot master.
L'avvento dell'IoT (Internet of Things) significa che ora è possibile aggiungere più dispositivi alla botnet. Inoltre, vale la pena notare che molti dispositivi IoT ora non sono sufficientemente protetti e si basano principalmente su password e firmware predefiniti difficili da aggiornare. Ciò significa che le dimensioni delle botnet possono crescere facilmente in futuro.
In che modo la botnet controlla il tuo computer?
Una botnet può essere controllata da un controller botmaster in diversi modi.
Tradizionalmente, una botnet può essere controllata da un server C&C. In questo caso, il dispositivo Bot torna in una posizione predeterminata e attende un comando dal server. il controller Bot invia il comando al server, che quindi inoltra il comando alla rete Bot, quindi i risultati o le informazioni raccolti vengono rinviati a quel server centrale dal dispositivo Bot.
Tuttavia, avere un server centralizzato rende la botnet più vulnerabile agli attacchi e ai tentativi di sabotaggio. Per questo motivo, molti controller di botnet ora utilizzano principalmente il modello peer-to-peer (P2P).
Nelle botnet P2P, i dispositivi bot interconnessi condividono le informazioni senza riferire a un server centrale, ovvero i dispositivi bot infetti inviano e ricevono comandi. Questi dispositivi bot quindi sondano indirizzi IP casuali per contattare altri dispositivi infetti. Una volta contattato, il dispositivo Bot risponde con informazioni come la sua versione del software e un elenco di dispositivi noti. Se il Bot contattato ha una versione software più recente, l'altro Bot si aggiornerà automaticamente a quella versione. Questo approccio consente alla botnet di crescere e mantenersi aggiornata senza contattare un server centrale, rendendo più difficile per le forze dell'ordine o altre agenzie la disattivazione della botnet.
I due usi più comuni delle botnet sono l'invio di campagne di spam e la conduzione di attacchi DDoS (Distributed Denial of Service).
I dispositivi bot possono essere utilizzati anche per inviare malware e-mail e diversi tipi di malware possono avere obiettivi diversi, inclusa la raccolta di informazioni da computer infetti. Ciò può includere password, informazioni sulla carta di credito e qualsiasi altra informazione che può essere venduta sul mercato nero. Anche le informazioni aziendali sensibili possono essere a rischio di furto se i dispositivi nella rete aziendale diventano dispositivi Bot.
I dispositivi Bot sono anche comunemente usati per frodi sui clic, visitando siti Web per creare traffico falso e generare entrate per il proprietario del dispositivo Bot, e sono spesso usati anche per il mining di bitcoin.
6 famigerate botnet
Molte botnet sono emerse nel corso della storia, ma alcune sono state più influenti di altre. Ecco 6 botnet molto famose.
bagle
Bagle è una delle prime botnet al mondo, utilizzata per una massiccia campagna di spam. È emerso nel 2004 e consisteva principalmente di dispositivi per computer Microsoft Windows. Bagle è un worm che ha infettato più di 200.000 computer e si stima che il virus invii più di 10% di tutto lo spam in tutto il mondo.
Conficker
Conficker è un famigerato worm che è apparso per la prima volta alla fine del 2008 e ha afflitto il personale addetto alla sicurezza della rete.
La prima versione di Conficker è apparsa nel novembre 2008 e si è rapidamente diffusa attraverso condivisioni di rete e unità USB infette. Secondo un conteggio, ha infettato ben 11 milioni di computer. Ciò rende Conficker un'enorme botnet che potrebbe causare molti danni attraverso enormi attacchi DDoS se gli aggressori volessero usarla per attaccare. Tuttavia, non ha emesso alcun attacco, e anche ora le vere intenzioni dei creatori dietro Conficker rimangono un mistero, e non è mai stato chiaro a quale gruppo fosse attribuito.
Si stima che il costo per ripulire Conficker raggiunga $9 miliardi e, sorprendentemente, i computer infettati da Conficker esistono ancora nonostante il fatto che sia stato rilasciato quasi un decennio fa.
ZeroAccess
Una delle botnet più grandi conosciute, la botnet ZeroAccess è emersa nel 2013 come botnet dell'esercito con quasi 2 milioni di computer. È una botnet difficile da affrontare a causa dell'uso di un modello di server P2P + C&C, ma i ricercatori di Symantec hanno studiato la botnet nel 2013 e hanno scoperto che quasi 500.000 dei dispositivi Bot avevano sandbox (sandbox del browser).
ZeroAccess viene utilizzato principalmente per le frodi sui clic e il mining di bitcoin e, date le dimensioni della botnet, si pensa che abbia generato una ricchezza significativa per i controller dietro di essa al culmine della sua attività.
Gameover Zeus
Gameover Zeus è un'enorme botnet utilizzata principalmente per rubare le informazioni bancarie delle persone. La botnet ha fino a 1 milione di dispositivi informatici. Si stima che la botnet sia stata utilizzata per rubare oltre $100 milioni.
Gameover Zeus è una variante del malware Trojan.ZBot ed è ancora attivo oggi. Gameover Zeus è una variante sofisticata del malware originale che può consentire frodi finanziarie su larga scala dirottando le sessioni di online banking di migliaia di vittime. Come molte attuali campagne di malware e-mail, viene in genere inviato tramite e-mail in uscita. Una volta che un utente infetto visita il proprio sito bancario, il malware intercetta la sessione, accede alle informazioni della vittima e ruba i suoi soldi.
Sebbene Gameover Zeus sia stato rimosso nel 2014, molte varianti del malware Zeus sono ancora attive oggi.
Necurs
Necurs è una delle botnet più attive e conosciute in questo momento. È stato uno dei maggiori distributori di e-mail dannose nel 2016 e ha anche promosso campagne di ransomware Locky su larga scala. Tuttavia, ha misteriosamente cessato le operazioni il 24 dicembre 2016 ed è rimasto inattivo per quasi tre mesi. Durante questo periodo, il tasso di e-mail dannose rilevate da Symantec (un'agenzia di sicurezza informatica) è diminuito drasticamente.
L'attività è ripresa il 20 marzo e solo in quel giorno Symantec ha bloccato quasi 2 milioni di e-mail dannose. Tuttavia, dal suo ritorno, Necurs non si è concentrato sull'invio di campagne di posta elettronica dannose, ma piuttosto ha inviato campagne di spam stock "pump and dump". Ha iniziato a inviare questo tipo di campagne prima di scomparire a dicembre e ha intensificato i suoi sforzi per continuare a farlo sin dal suo ritorno.
Lo scopo dell'invio di spam azionario è aumentare il prezzo di un'azione nelle mani dell'e-mail incoraggiando la vittima ad acquistare azioni della stessa società. Una volta che il prezzo delle azioni è aumentato dagli acquisti di azioni della vittima, lo spammer vende tutte le azioni. Ciò fa sì che il prezzo delle azioni scenda drasticamente e rende meno probabile che le vittime vendano le loro azioni.
Mirai
La maggior parte delle persone probabilmente ha familiarità con Mirai, che ha devastato le reti di tutto il mondo negli ultimi mesi del 2016, utilizzando una gamma di dispositivi IoT per lanciare attacchi DDoS su vari obiettivi in tutto il mondo.
Gli obiettivi iniziali degli attacchi DDoS di Mirai a settembre erano i siti web del provider di hosting OVH e dell'esperto di sicurezza Brian Krebs. Si trattava di massicci attacchi DDoS, che all'epoca erano i più grandi di sempre a 1 Tbps e 620 Gbps, rispettivamente. alla fine di settembre, Mirai ha rilasciato un aggiornamento sulla sua comunità di hacker online HackForums e tre settimane dopo ha lanciato un massiccio attacco DDoS contro il provider DNS Dyn per bloccare l'accesso degli utenti a diversi siti Web noti, tra cui Netflix, Twitter e PayPal.
A fine novembre, una variante della rete Mirai ha sfruttato una vulnerabilità nei router in Germania per l'accesso a Internet, portando a un attacco a quasi 1 milione di utenti Internet domestici; la stessa vulnerabilità ha colpito anche i router degli utenti Internet domestici irlandesi.
La botnet Mirai è costituita principalmente da router infetti e telecamere di sicurezza e questo incidente evidenzia che i dispositivi IoT sono molto permissivi quando si tratta di sicurezza.
5. Panoramica
Le botnet esistono da molto tempo e sono cresciute man mano che la tecnologia continua ad evolversi. Con la crescita dei dispositivi IoT e l'aumento del numero di dispositivi associati a Internet, la storia dello sviluppo delle botnet potrebbe essere lungi dall'essere finita.
Italiano 
English 
Français 
日本語 
Deutsch (Sie) 
Polski 
Português 
ไทย 
Bahasa Indonesia 
Español
Cos'è la botnet? Come funziona? Le 6 botnet più famose
Come metodo comune ed efficace di attacco informatico, le botnet rappresentano un'enorme minaccia per la sicurezza Internet odierna. Questo articolo introduce il concetto e i metodi di controllo delle botnet, nonché le 6 famigerate botnet. Spero che dopo aver letto questo articolo, posso avere una comprensione preliminare delle botnet.
Che cos'è una botnet?
Una botnet è una rete che utilizza uno o più mezzi di propagazione per infettare un gran numero di host con un virus programma bot (zombie), creando così una rete che può essere controllata uno a molti tra il controller e gli host infetti.
A volte vengono chiamati "bot eserciti" e possono essere utilizzati dai criminali informatici per una serie di attività, tra cui l'invio di spam e la conduzione di attacchi DDoS (Distributed Denial of Service).
Qualsiasi dispositivo connesso a Internet può essere aggiunto a una botnet, inclusi laptop, desktop, smartphone, lettori DVR, router wireless e altri dispositivi Internet of Things (IoT).
Le botnet sono controllate da server di comando e controllo (C&C), che sono computer controllati da hacker o gruppi di hacker che possono inviare comandi alle botnet nella botnet e possono anche ricevere informazioni raccolte dalle botnet. Il controller della botnet si chiama Bot Botder o Bot master.
L'avvento dell'IoT (Internet of Things) significa che ora è possibile aggiungere più dispositivi alla botnet. Inoltre, vale la pena notare che molti dispositivi IoT ora non sono sufficientemente protetti e si basano principalmente su password e firmware predefiniti difficili da aggiornare. Ciò significa che le dimensioni delle botnet possono crescere facilmente in futuro.
In che modo la botnet controlla il tuo computer?
Una botnet può essere controllata da un controller botmaster in diversi modi.
Tradizionalmente, una botnet può essere controllata da un server C&C. In questo caso, il dispositivo Bot torna in una posizione predeterminata e attende un comando dal server. il controller Bot invia il comando al server, che quindi inoltra il comando alla rete Bot, quindi i risultati o le informazioni raccolti vengono rinviati a quel server centrale dal dispositivo Bot.
Tuttavia, avere un server centralizzato rende la botnet più vulnerabile agli attacchi e ai tentativi di sabotaggio. Per questo motivo, molti controller di botnet ora utilizzano principalmente il modello peer-to-peer (P2P).
Nelle botnet P2P, i dispositivi bot interconnessi condividono le informazioni senza riferire a un server centrale, ovvero i dispositivi bot infetti inviano e ricevono comandi. Questi dispositivi bot quindi sondano indirizzi IP casuali per contattare altri dispositivi infetti. Una volta contattato, il dispositivo Bot risponde con informazioni come la sua versione del software e un elenco di dispositivi noti. Se il Bot contattato ha una versione software più recente, l'altro Bot si aggiornerà automaticamente a quella versione. Questo approccio consente alla botnet di crescere e mantenersi aggiornata senza contattare un server centrale, rendendo più difficile per le forze dell'ordine o altre agenzie la disattivazione della botnet.
Usi delle botnet
I due usi più comuni delle botnet sono l'invio di campagne di spam e la conduzione di attacchi DDoS (Distributed Denial of Service).
I dispositivi bot possono essere utilizzati anche per inviare malware e-mail e diversi tipi di malware possono avere obiettivi diversi, inclusa la raccolta di informazioni da computer infetti. Ciò può includere password, informazioni sulla carta di credito e qualsiasi altra informazione che può essere venduta sul mercato nero. Anche le informazioni aziendali sensibili possono essere a rischio di furto se i dispositivi nella rete aziendale diventano dispositivi Bot.
I dispositivi Bot sono anche comunemente usati per frodi sui clic, visitando siti Web per creare traffico falso e generare entrate per il proprietario del dispositivo Bot, e sono spesso usati anche per il mining di bitcoin.
6 famigerate botnet
Molte botnet sono emerse nel corso della storia, ma alcune sono state più influenti di altre. Ecco 6 botnet molto famose.
bagle
Bagle è una delle prime botnet al mondo, utilizzata per una massiccia campagna di spam. È emerso nel 2004 e consisteva principalmente di dispositivi per computer Microsoft Windows. Bagle è un worm che ha infettato più di 200.000 computer e si stima che il virus invii più di 10% di tutto lo spam in tutto il mondo.
Conficker
Conficker è un famigerato worm che è apparso per la prima volta alla fine del 2008 e ha afflitto il personale addetto alla sicurezza della rete.
La prima versione di Conficker è apparsa nel novembre 2008 e si è rapidamente diffusa attraverso condivisioni di rete e unità USB infette. Secondo un conteggio, ha infettato ben 11 milioni di computer. Ciò rende Conficker un'enorme botnet che potrebbe causare molti danni attraverso enormi attacchi DDoS se gli aggressori volessero usarla per attaccare. Tuttavia, non ha emesso alcun attacco, e anche ora le vere intenzioni dei creatori dietro Conficker rimangono un mistero, e non è mai stato chiaro a quale gruppo fosse attribuito.
Si stima che il costo per ripulire Conficker raggiunga $9 miliardi e, sorprendentemente, i computer infettati da Conficker esistono ancora nonostante il fatto che sia stato rilasciato quasi un decennio fa.
ZeroAccess
Una delle botnet più grandi conosciute, la botnet ZeroAccess è emersa nel 2013 come botnet dell'esercito con quasi 2 milioni di computer. È una botnet difficile da affrontare a causa dell'uso di un modello di server P2P + C&C, ma i ricercatori di Symantec hanno studiato la botnet nel 2013 e hanno scoperto che quasi 500.000 dei dispositivi Bot avevano sandbox (sandbox del browser).
ZeroAccess viene utilizzato principalmente per le frodi sui clic e il mining di bitcoin e, date le dimensioni della botnet, si pensa che abbia generato una ricchezza significativa per i controller dietro di essa al culmine della sua attività.
Gameover Zeus
Gameover Zeus è un'enorme botnet utilizzata principalmente per rubare le informazioni bancarie delle persone. La botnet ha fino a 1 milione di dispositivi informatici. Si stima che la botnet sia stata utilizzata per rubare oltre $100 milioni.
Gameover Zeus è una variante del malware Trojan.ZBot ed è ancora attivo oggi. Gameover Zeus è una variante sofisticata del malware originale che può consentire frodi finanziarie su larga scala dirottando le sessioni di online banking di migliaia di vittime. Come molte attuali campagne di malware e-mail, viene in genere inviato tramite e-mail in uscita. Una volta che un utente infetto visita il proprio sito bancario, il malware intercetta la sessione, accede alle informazioni della vittima e ruba i suoi soldi.
Sebbene Gameover Zeus sia stato rimosso nel 2014, molte varianti del malware Zeus sono ancora attive oggi.
Necurs
Necurs è una delle botnet più attive e conosciute in questo momento. È stato uno dei maggiori distributori di e-mail dannose nel 2016 e ha anche promosso campagne di ransomware Locky su larga scala. Tuttavia, ha misteriosamente cessato le operazioni il 24 dicembre 2016 ed è rimasto inattivo per quasi tre mesi. Durante questo periodo, il tasso di e-mail dannose rilevate da Symantec (un'agenzia di sicurezza informatica) è diminuito drasticamente.
L'attività è ripresa il 20 marzo e solo in quel giorno Symantec ha bloccato quasi 2 milioni di e-mail dannose. Tuttavia, dal suo ritorno, Necurs non si è concentrato sull'invio di campagne di posta elettronica dannose, ma piuttosto ha inviato campagne di spam stock "pump and dump". Ha iniziato a inviare questo tipo di campagne prima di scomparire a dicembre e ha intensificato i suoi sforzi per continuare a farlo sin dal suo ritorno.
Lo scopo dell'invio di spam azionario è aumentare il prezzo di un'azione nelle mani dell'e-mail incoraggiando la vittima ad acquistare azioni della stessa società. Una volta che il prezzo delle azioni è aumentato dagli acquisti di azioni della vittima, lo spammer vende tutte le azioni. Ciò fa sì che il prezzo delle azioni scenda drasticamente e rende meno probabile che le vittime vendano le loro azioni.
Mirai
La maggior parte delle persone probabilmente ha familiarità con Mirai, che ha devastato le reti di tutto il mondo negli ultimi mesi del 2016, utilizzando una gamma di dispositivi IoT per lanciare attacchi DDoS su vari obiettivi in tutto il mondo.
Gli obiettivi iniziali degli attacchi DDoS di Mirai a settembre erano i siti web del provider di hosting OVH e dell'esperto di sicurezza Brian Krebs. Si trattava di massicci attacchi DDoS, che all'epoca erano i più grandi di sempre a 1 Tbps e 620 Gbps, rispettivamente. alla fine di settembre, Mirai ha rilasciato un aggiornamento sulla sua comunità di hacker online HackForums e tre settimane dopo ha lanciato un massiccio attacco DDoS contro il provider DNS Dyn per bloccare l'accesso degli utenti a diversi siti Web noti, tra cui Netflix, Twitter e PayPal.
A fine novembre, una variante della rete Mirai ha sfruttato una vulnerabilità nei router in Germania per l'accesso a Internet, portando a un attacco a quasi 1 milione di utenti Internet domestici; la stessa vulnerabilità ha colpito anche i router degli utenti Internet domestici irlandesi.
La botnet Mirai è costituita principalmente da router infetti e telecamere di sicurezza e questo incidente evidenzia che i dispositivi IoT sono molto permissivi quando si tratta di sicurezza.
5. Panoramica
Le botnet esistono da molto tempo e sono cresciute man mano che la tecnologia continua ad evolversi. Con la crescita dei dispositivi IoT e l'aumento del numero di dispositivi associati a Internet, la storia dello sviluppo delle botnet potrebbe essere lungi dall'essere finita.
Post correlati:
Correlato