Jako powszechna i skuteczna metoda cyberataku, botnety stanowią ogromne zagrożenie dla dzisiejszego bezpieczeństwa internetowego. W tym artykule przedstawiono koncepcję i metody kontroli botnetów, a także 6 znanych botnetów. Mam nadzieję, że po przeczytaniu tego artykułu będę mógł wstępnie zrozumieć botnety.
Botnet to sieć, która wykorzystuje jeden lub więcej sposobów propagacji w celu zainfekowania dużej liczby hostów wirusem programu bot (zombie), tworząc w ten sposób sieć, którą można kontrolować jeden-do-wielu między kontrolerem a zainfekowanymi hostami.
Czasami nazywane są „armią botów” i mogą być wykorzystywane przez cyberprzestępców do różnych działań, w tym do wysyłania spamu i przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).
Do botnetu można dodać dowolne urządzenie połączone z Internetem, w tym laptopy, komputery stacjonarne, smartfony, odtwarzacze DVR, routery bezprzewodowe i inne urządzenia Internetu rzeczy (IoT).
Botnety są kontrolowane przez serwery dowodzenia i kontroli (C&C), które są komputerami kontrolowanymi przez hakerów lub grupy hakerów, które mogą wysyłać polecenia do botnetów w botnecie, a także odbierać informacje gromadzone przez botnety. Kontroler botnetu nazywa się Bot Botder lub Bot master.
Pojawienie się IoT (Internet of Things) oznacza, że do botnetu można teraz dodać więcej urządzeń. Warto również zauważyć, że wiele urządzeń IoT jest obecnie niewystarczająco zabezpieczonych i opiera się głównie na domyślnych hasłach i oprogramowaniu, które jest trudne do aktualizacji. Oznacza to, że rozmiar botnetów może w przyszłości łatwo rosnąć.
W jaki sposób botnet kontroluje Twój komputer?
Botnet może być kontrolowany przez kontroler botmaster na kilka różnych sposobów.
Tradycyjnie botnet może być kontrolowany przez serwer C&C. W takim przypadku urządzenie Bot powraca do z góry określonej lokalizacji i czeka na polecenie z serwera. kontroler Bota wysyła polecenie do serwera, który następnie przekazuje polecenie do sieci Bota, a następnie zebrane wyniki lub informacje są przesyłane z powrotem do tego centralnego serwera przez urządzenie Bota.
Jednak posiadanie scentralizowanego serwera sprawia, że botnet jest bardziej podatny na ataki i próby sabotażu. Z tego powodu wiele kontrolerów botnetów korzysta obecnie głównie z modelu peer-to-peer (P2P).
W botnetach P2P połączone ze sobą urządzenia botów udostępniają informacje bez raportowania do centralnego serwera, tj. zainfekowane urządzenia botów zarówno wysyłają, jak i odbierają polecenia. Te urządzenia-boty sprawdzają następnie losowe adresy IP, aby skontaktować się z innymi zainfekowanymi urządzeniami. Po nawiązaniu kontaktu urządzenie Bot odpowiada informacjami, takimi jak wersja oprogramowania i lista znanych urządzeń. Jeśli skontaktowany bot ma nowszą wersję oprogramowania, drugi bot automatycznie zaktualizuje się do tej wersji. Takie podejście pozwala botnetowi rozwijać się i być na bieżąco bez kontaktowania się z serwerem centralnym, co utrudnia organom ścigania lub innym agencjom jego likwidację.
Dwa najczęstsze zastosowania botnetów to wysyłanie kampanii spamowych i przeprowadzanie rozproszonych ataków typu „odmowa usługi” (DDoS).
Urządzenia-boty mogą być również wykorzystywane do wysyłania złośliwego oprogramowania w wiadomościach e-mail, a różne typy złośliwego oprogramowania mogą mieć różne cele, w tym zbieranie informacji z zainfekowanych komputerów. Może to obejmować hasła, informacje o kartach kredytowych i wszelkie inne informacje, które można sprzedać na czarnym rynku. Poufne informacje firmowe mogą być również zagrożone kradzieżą, jeśli urządzenia w sieci firmowej staną się urządzeniami typu Bot.
Urządzenia z botami są również powszechnie wykorzystywane do fałszowania kliknięć, odwiedzania witryn internetowych w celu tworzenia fałszywego ruchu i generowania przychodów dla właściciela urządzenia z botami, a także często są wykorzystywane do wydobywania bitcoinów.
6 niesławnych botnetów
W historii pojawiło się wiele botnetów, ale niektóre z nich miały większy wpływ niż inne. Oto 6 bardzo znanych botnetów.
Bagle
Bagle to jeden z pierwszych na świecie botnetów, który został wykorzystany do masowej kampanii spamowej. Powstał w 2004 roku i składał się głównie z urządzeń komputerowych z systemem Microsoft Windows. Bagle to robak, który zainfekował ponad 200 000 komputerów i szacuje się, że wirus wysyła ponad 10% całego spamu na całym świecie.
Conficker
Conficker to znany robak komputerowy, który pojawił się po raz pierwszy pod koniec 2008 roku i nęka pracowników ochrony sieci.
Pierwsza wersja Confickera pojawiła się w listopadzie 2008 roku i szybko rozprzestrzeniła się za pośrednictwem udziałów sieciowych i zainfekowanych dysków USB. Według jednego obliczenia zainfekował aż 11 milionów komputerów. To sprawia, że Conficker jest ogromnym botnetem, który mógłby spowodować wiele szkód poprzez ogromne ataki DDoS, gdyby atakujący chcieli go użyć do ataku. Nie przeprowadziła jednak żadnych ataków i nawet teraz prawdziwe intencje twórców Confickera pozostają tajemnicą i nigdy nie było jasne, do jakiej grupy została przypisana.
Koszt oczyszczenia Confickera szacuje się na $9 miliardów i, co zaskakujące, komputery zainfekowane Confickerem nadal istnieją, mimo że został wydany prawie dekadę temu.
Zero dostępu
Jeden z największych znanych botnetów, botnet ZeroAccess, pojawił się w 2013 r. jako botnet wojskowy z prawie 2 milionami komputerów. Jest to trudny do pokonania botnet ze względu na wykorzystanie modelu serwera P2P + C&C, ale naukowcy z firmy Symantec zbadali ten botnet w 2013 r. i odkryli, że prawie 500 000 urządzeń z botami miało piaskownice (piaskownice przeglądarek).
ZeroAccess służy przede wszystkim do oszustw na kliknięciach i wydobywania bitcoinów, a biorąc pod uwagę rozmiar botnetu, uważa się, że generował znaczne bogactwo dla kontrolerów, którzy za nim stoją, w szczytowym momencie jego działalności.
Gameover Zeus
Gameover Zeus to ogromny botnet, który służy przede wszystkim do kradzieży informacji bankowych użytkowników. Botnet obejmuje do 1 miliona urządzeń komputerowych. Szacuje się, że botnet został wykorzystany do kradzieży ponad $100 milionów.
Gameover Zeus to wariant złośliwego oprogramowania Trojan.ZBot, który jest nadal aktywny. Gameover Zeus to wyrafinowany wariant oryginalnego złośliwego oprogramowania, które może umożliwiać oszustwa finansowe na dużą skalę poprzez przejmowanie sesji bankowości internetowej tysięcy ofiar. Podobnie jak wiele obecnych kampanii złośliwego oprogramowania e-mailowego, jest on zazwyczaj wysyłany za pośrednictwem wychodzących wiadomości e-mail. Gdy zainfekowany użytkownik odwiedza witrynę bankową, złośliwe oprogramowanie przechwytuje sesję, uzyskuje dostęp do informacji ofiary i kradnie jej pieniądze.
Chociaż Gameover Zeus został usunięty w 2014 roku, wiele wariantów złośliwego oprogramowania Zeus jest nadal aktywnych.
Necurs
Necurs jest obecnie jednym z najbardziej aktywnych i znanych botnetów. Był jednym z największych dystrybutorów złośliwych e-maili w 2016 roku, a także promował na dużą skalę kampanie ransomware Locky. Jednak w tajemniczy sposób zaprzestała działalności 24 grudnia 2016 r. i pozostawała nieaktywna przez prawie trzy miesiące. W tym okresie wskaźnik złośliwych wiadomości e-mail wykrytych przez firmę Symantec (agencję ds. cyberbezpieczeństwa) drastycznie spadł.
Aktywność wznowiono 20 marca, a tylko tego dnia firma Symantec zablokowała prawie 2 miliony złośliwych wiadomości e-mail. Jednak od czasu powrotu Necurs nie koncentrował się na wysyłaniu złośliwych kampanii e-mailowych, ale raczej wysyłał kampanie spamowe typu „pompuj i zrzuć”. Zaczęła wysyłać tego typu kampanie, zanim zniknęła w grudniu, i zintensyfikowała swoje wysiłki, aby kontynuować to od czasu swojego powrotu.
Celem wysyłania spamu giełdowego jest podniesienie ceny akcji w rękach osoby wysyłającej e-maile poprzez zachęcenie ofiary do zakupu akcji tej samej firmy. Kiedy cena akcji zostanie podniesiona w wyniku zakupów akcji przez ofiarę, spamer sprzedaje wszystkie akcje. Powoduje to drastyczny spadek ceny akcji i zmniejsza prawdopodobieństwo, że ofiary sprzedają swoje akcje.
Mirai
Większość ludzi prawdopodobnie zna Mirai, który spustoszył sieci na całym świecie w ostatnich miesiącach 2016 roku, wykorzystując szereg urządzeń IoT do przeprowadzania ataków DDoS na różne cele na całym świecie.
Pierwszymi celami wrześniowych ataków DDoS firmy Mirai były strony internetowe dostawcy hostingu OVH oraz eksperta ds. bezpieczeństwa Briana Krebsa. Były to masowe ataki DDoS, które w tamtym czasie były największe w historii, odpowiednio 1 Tb/s i 620 Gb/s. pod koniec września Mirai opublikował aktualizację swojej internetowej społeczności hakerskiej HackForums, a trzy tygodnie później przeprowadził zmasowany atak DDoS na dostawcę DNS Dyn, aby zablokować użytkownikom dostęp do kilku znanych stron internetowych, w tym Netflix, Twitter i PayPal.
Pod koniec listopada wariant sieci Mirai wykorzystywał lukę w routerach dostępu do Internetu w Niemczech, prowadząc do ataku na prawie milion domowych użytkowników Internetu; ta sama luka dotyczyła również routerów irlandzkich domowych użytkowników Internetu.
Botnet Mirai składa się głównie z zainfekowanych routerów i kamer bezpieczeństwa, a incydent ten pokazuje, że urządzenia IoT są bardzo luźne, jeśli chodzi o bezpieczeństwo.
5. Przegląd
Botnety istnieją od dawna i rozwijały się wraz z ciągłym rozwojem technologii. Wraz z rozwojem urządzeń IoT i wzrostem liczby urządzeń związanych z Internetem historia rozwoju botnetów może się jeszcze nie skończyć.
Polski 
English 
Français 
日本語 
Deutsch (Sie) 
Italiano 
Português 
ไทย 
Bahasa Indonesia 
Español
Co to jest botnet? Jak to działa? 6 najbardziej znanych botnetów
Jako powszechna i skuteczna metoda cyberataku, botnety stanowią ogromne zagrożenie dla dzisiejszego bezpieczeństwa internetowego. W tym artykule przedstawiono koncepcję i metody kontroli botnetów, a także 6 znanych botnetów. Mam nadzieję, że po przeczytaniu tego artykułu będę mógł wstępnie zrozumieć botnety.
Co to jest botnet?
Botnet to sieć, która wykorzystuje jeden lub więcej sposobów propagacji w celu zainfekowania dużej liczby hostów wirusem programu bot (zombie), tworząc w ten sposób sieć, którą można kontrolować jeden-do-wielu między kontrolerem a zainfekowanymi hostami.
Czasami nazywane są „armią botów” i mogą być wykorzystywane przez cyberprzestępców do różnych działań, w tym do wysyłania spamu i przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).
Do botnetu można dodać dowolne urządzenie połączone z Internetem, w tym laptopy, komputery stacjonarne, smartfony, odtwarzacze DVR, routery bezprzewodowe i inne urządzenia Internetu rzeczy (IoT).
Botnety są kontrolowane przez serwery dowodzenia i kontroli (C&C), które są komputerami kontrolowanymi przez hakerów lub grupy hakerów, które mogą wysyłać polecenia do botnetów w botnecie, a także odbierać informacje gromadzone przez botnety. Kontroler botnetu nazywa się Bot Botder lub Bot master.
Pojawienie się IoT (Internet of Things) oznacza, że do botnetu można teraz dodać więcej urządzeń. Warto również zauważyć, że wiele urządzeń IoT jest obecnie niewystarczająco zabezpieczonych i opiera się głównie na domyślnych hasłach i oprogramowaniu, które jest trudne do aktualizacji. Oznacza to, że rozmiar botnetów może w przyszłości łatwo rosnąć.
W jaki sposób botnet kontroluje Twój komputer?
Botnet może być kontrolowany przez kontroler botmaster na kilka różnych sposobów.
Tradycyjnie botnet może być kontrolowany przez serwer C&C. W takim przypadku urządzenie Bot powraca do z góry określonej lokalizacji i czeka na polecenie z serwera. kontroler Bota wysyła polecenie do serwera, który następnie przekazuje polecenie do sieci Bota, a następnie zebrane wyniki lub informacje są przesyłane z powrotem do tego centralnego serwera przez urządzenie Bota.
Jednak posiadanie scentralizowanego serwera sprawia, że botnet jest bardziej podatny na ataki i próby sabotażu. Z tego powodu wiele kontrolerów botnetów korzysta obecnie głównie z modelu peer-to-peer (P2P).
W botnetach P2P połączone ze sobą urządzenia botów udostępniają informacje bez raportowania do centralnego serwera, tj. zainfekowane urządzenia botów zarówno wysyłają, jak i odbierają polecenia. Te urządzenia-boty sprawdzają następnie losowe adresy IP, aby skontaktować się z innymi zainfekowanymi urządzeniami. Po nawiązaniu kontaktu urządzenie Bot odpowiada informacjami, takimi jak wersja oprogramowania i lista znanych urządzeń. Jeśli skontaktowany bot ma nowszą wersję oprogramowania, drugi bot automatycznie zaktualizuje się do tej wersji. Takie podejście pozwala botnetowi rozwijać się i być na bieżąco bez kontaktowania się z serwerem centralnym, co utrudnia organom ścigania lub innym agencjom jego likwidację.
Zastosowania botnetów
Dwa najczęstsze zastosowania botnetów to wysyłanie kampanii spamowych i przeprowadzanie rozproszonych ataków typu „odmowa usługi” (DDoS).
Urządzenia-boty mogą być również wykorzystywane do wysyłania złośliwego oprogramowania w wiadomościach e-mail, a różne typy złośliwego oprogramowania mogą mieć różne cele, w tym zbieranie informacji z zainfekowanych komputerów. Może to obejmować hasła, informacje o kartach kredytowych i wszelkie inne informacje, które można sprzedać na czarnym rynku. Poufne informacje firmowe mogą być również zagrożone kradzieżą, jeśli urządzenia w sieci firmowej staną się urządzeniami typu Bot.
Urządzenia z botami są również powszechnie wykorzystywane do fałszowania kliknięć, odwiedzania witryn internetowych w celu tworzenia fałszywego ruchu i generowania przychodów dla właściciela urządzenia z botami, a także często są wykorzystywane do wydobywania bitcoinów.
6 niesławnych botnetów
W historii pojawiło się wiele botnetów, ale niektóre z nich miały większy wpływ niż inne. Oto 6 bardzo znanych botnetów.
Bagle
Bagle to jeden z pierwszych na świecie botnetów, który został wykorzystany do masowej kampanii spamowej. Powstał w 2004 roku i składał się głównie z urządzeń komputerowych z systemem Microsoft Windows. Bagle to robak, który zainfekował ponad 200 000 komputerów i szacuje się, że wirus wysyła ponad 10% całego spamu na całym świecie.
Conficker
Conficker to znany robak komputerowy, który pojawił się po raz pierwszy pod koniec 2008 roku i nęka pracowników ochrony sieci.
Pierwsza wersja Confickera pojawiła się w listopadzie 2008 roku i szybko rozprzestrzeniła się za pośrednictwem udziałów sieciowych i zainfekowanych dysków USB. Według jednego obliczenia zainfekował aż 11 milionów komputerów. To sprawia, że Conficker jest ogromnym botnetem, który mógłby spowodować wiele szkód poprzez ogromne ataki DDoS, gdyby atakujący chcieli go użyć do ataku. Nie przeprowadziła jednak żadnych ataków i nawet teraz prawdziwe intencje twórców Confickera pozostają tajemnicą i nigdy nie było jasne, do jakiej grupy została przypisana.
Koszt oczyszczenia Confickera szacuje się na $9 miliardów i, co zaskakujące, komputery zainfekowane Confickerem nadal istnieją, mimo że został wydany prawie dekadę temu.
Zero dostępu
Jeden z największych znanych botnetów, botnet ZeroAccess, pojawił się w 2013 r. jako botnet wojskowy z prawie 2 milionami komputerów. Jest to trudny do pokonania botnet ze względu na wykorzystanie modelu serwera P2P + C&C, ale naukowcy z firmy Symantec zbadali ten botnet w 2013 r. i odkryli, że prawie 500 000 urządzeń z botami miało piaskownice (piaskownice przeglądarek).
ZeroAccess służy przede wszystkim do oszustw na kliknięciach i wydobywania bitcoinów, a biorąc pod uwagę rozmiar botnetu, uważa się, że generował znaczne bogactwo dla kontrolerów, którzy za nim stoją, w szczytowym momencie jego działalności.
Gameover Zeus
Gameover Zeus to ogromny botnet, który służy przede wszystkim do kradzieży informacji bankowych użytkowników. Botnet obejmuje do 1 miliona urządzeń komputerowych. Szacuje się, że botnet został wykorzystany do kradzieży ponad $100 milionów.
Gameover Zeus to wariant złośliwego oprogramowania Trojan.ZBot, który jest nadal aktywny. Gameover Zeus to wyrafinowany wariant oryginalnego złośliwego oprogramowania, które może umożliwiać oszustwa finansowe na dużą skalę poprzez przejmowanie sesji bankowości internetowej tysięcy ofiar. Podobnie jak wiele obecnych kampanii złośliwego oprogramowania e-mailowego, jest on zazwyczaj wysyłany za pośrednictwem wychodzących wiadomości e-mail. Gdy zainfekowany użytkownik odwiedza witrynę bankową, złośliwe oprogramowanie przechwytuje sesję, uzyskuje dostęp do informacji ofiary i kradnie jej pieniądze.
Chociaż Gameover Zeus został usunięty w 2014 roku, wiele wariantów złośliwego oprogramowania Zeus jest nadal aktywnych.
Necurs
Necurs jest obecnie jednym z najbardziej aktywnych i znanych botnetów. Był jednym z największych dystrybutorów złośliwych e-maili w 2016 roku, a także promował na dużą skalę kampanie ransomware Locky. Jednak w tajemniczy sposób zaprzestała działalności 24 grudnia 2016 r. i pozostawała nieaktywna przez prawie trzy miesiące. W tym okresie wskaźnik złośliwych wiadomości e-mail wykrytych przez firmę Symantec (agencję ds. cyberbezpieczeństwa) drastycznie spadł.
Aktywność wznowiono 20 marca, a tylko tego dnia firma Symantec zablokowała prawie 2 miliony złośliwych wiadomości e-mail. Jednak od czasu powrotu Necurs nie koncentrował się na wysyłaniu złośliwych kampanii e-mailowych, ale raczej wysyłał kampanie spamowe typu „pompuj i zrzuć”. Zaczęła wysyłać tego typu kampanie, zanim zniknęła w grudniu, i zintensyfikowała swoje wysiłki, aby kontynuować to od czasu swojego powrotu.
Celem wysyłania spamu giełdowego jest podniesienie ceny akcji w rękach osoby wysyłającej e-maile poprzez zachęcenie ofiary do zakupu akcji tej samej firmy. Kiedy cena akcji zostanie podniesiona w wyniku zakupów akcji przez ofiarę, spamer sprzedaje wszystkie akcje. Powoduje to drastyczny spadek ceny akcji i zmniejsza prawdopodobieństwo, że ofiary sprzedają swoje akcje.
Mirai
Większość ludzi prawdopodobnie zna Mirai, który spustoszył sieci na całym świecie w ostatnich miesiącach 2016 roku, wykorzystując szereg urządzeń IoT do przeprowadzania ataków DDoS na różne cele na całym świecie.
Pierwszymi celami wrześniowych ataków DDoS firmy Mirai były strony internetowe dostawcy hostingu OVH oraz eksperta ds. bezpieczeństwa Briana Krebsa. Były to masowe ataki DDoS, które w tamtym czasie były największe w historii, odpowiednio 1 Tb/s i 620 Gb/s. pod koniec września Mirai opublikował aktualizację swojej internetowej społeczności hakerskiej HackForums, a trzy tygodnie później przeprowadził zmasowany atak DDoS na dostawcę DNS Dyn, aby zablokować użytkownikom dostęp do kilku znanych stron internetowych, w tym Netflix, Twitter i PayPal.
Pod koniec listopada wariant sieci Mirai wykorzystywał lukę w routerach dostępu do Internetu w Niemczech, prowadząc do ataku na prawie milion domowych użytkowników Internetu; ta sama luka dotyczyła również routerów irlandzkich domowych użytkowników Internetu.
Botnet Mirai składa się głównie z zainfekowanych routerów i kamer bezpieczeństwa, a incydent ten pokazuje, że urządzenia IoT są bardzo luźne, jeśli chodzi o bezpieczeństwo.
5. Przegląd
Botnety istnieją od dawna i rozwijały się wraz z ciągłym rozwojem technologii. Wraz z rozwojem urządzeń IoT i wzrostem liczby urządzeń związanych z Internetem historia rozwoju botnetów może się jeszcze nie skończyć.
Powiązane posty:
Powiązane