Ботнет

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Ботнет (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Схема создания ботнета и использования его спамером.

Содержание

[править] Техническое описание

[править] Получение управления

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

  • Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
  • Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
  • Использование санкционированного доступа к компьютеру (редко).
  • Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.

[править] Механизм самозащиты и автозапуска

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

  • маскировка под системный процесс;
  • использование нестандартных методов запуска (пути автозапуска унаследованные от старых версий ПО, подмена отладчика процессов);
  • использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);
  • подмена системных файлов для самомаскировки;
  • перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

[править] Механизм управления ботнетом

Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определенной команды по заранее заготовленому URL.

В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу p2p-сетей.[1]

[править] Использование ботнетов

  • Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин.
  • Кибершантаж. Ботнеты широко используются и для проведения DDoS атак. В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
  • Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
  • Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети.
  • Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
  • Кража конфиденциальных данных. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

[править] Команды для ботов

  • Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера.
  • Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети.
  • Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса.
  • Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота.
  • Дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя, пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.

[править] Типы ботнетов

[править] Классификация основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.

  1. Ботнеты с единым центром. Все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру. Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
  2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть. На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.

[править] Классификация ботнетов. Используемые сетевые протоколы

  • IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.
  • IM-ориентированные. Для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Проблемы возникают при создании отдельного аккаунта IM-службы для каждого бота, поэтому невысока популярность у таких ботнетов. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.
  • Веб-ориентированные. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.
  • Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

[править] Торговля

Ботнеты являются объектом нелегальной торговли, при продаже передаётся пароль к IRC каналу (пароля доступа к интерфейсу программы на компьютере).

[править] Масштабы

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернету, могут находиться в ботнетах.[2] Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2.[2]

[править] Известная атака ботнетов

Наиболее заметной из всех видов деятельности ботнета является DDoS атака. Среди успешных (и почти успешных) атак:

  • DDos атака на сайт Microsoft.com (вирус MSBlast!, в один день начавший со всех заражённых машин посылать запросы на microsoft.com, привёл к простою сайта)
  • Серия DDoS-атак на «Живой журнал» весной 2011 года
  • Усиленная DDoS-атака на сайты: газеты "Коммерсантъ", ТВ"Дождь" и "Slon.ru", на радиостанцию "Эхо Москвы" - весной 2012 года.

[править] См. также

[править] Примечания

  1. Ботнеты. Kaspersky Lab. Архивировано из первоисточника 12 февраля 2012. Проверено 3 июля 2007.
  2. 1 2 Ботнет Великий и Ужасный. Компьютерра Online. Проверено 3 июля 2007.

[править] Ссылки

Question book-4.svg
 В этой статье не хватает ссылок на источники информации.
Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники.
Эта отметка стоит на статье с 12 мая 2011


 Просмотр этого шаблона Ботнеты
Известные ботнеты Akbot · Asprox · Bagle · Bredolab · Cutwail · Donbot · Grum · Gumblar  · Kraken · Lethic · Mariposa · Mega-D · Rustock · Srizbi · Storm · Torpig · Waledac · Zeus
Основные статьи Malbot · Operation: Bot Roast · Вредоносная программа · Доснет · Сетевой червь
 Просмотр этого шаблона Вредоносное программное обеспечение
Инфекционное вредоносное ПО Компьютерный вирус (список) · Сетевые черви (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытия Бэкдор · Компьютер-зомби · Руткит
Вредоносные программы
для прибыли		 Adware · Privacy-invasive software · Ransomware · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Scareware (лжеантивирус) · Порнодиалер
По операционным системам Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус
Защита Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек
Контрмеры Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast
Источник — «http://ru.wikipedia.org/w/index.php?title=Ботнет&oldid=44186203»
Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Участие
Печать/экспорт
Инструменты
На других языках