Ботнет

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Ботнет (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов robot и network) — компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DoS и DDoS атаки).

Схема создания ботнета и использования его спамером.

Техническое описание[править | править вики-текст]

Получение управления[править | править вики-текст]

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

  • Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
  • Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
  • Использование санкционированного доступа к компьютеру (редко).
  • Перебор вариантов администраторского пароля к сетевым ресурсам с общим доступом (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.

Механизм самозащиты и автозапуска[править | править вики-текст]

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

  • маскировка под системный процесс;
  • использование нестандартных методов запуска (пути автозапуска, унаследованные от старых версий ПО, подмена отладчика процессов);
  • использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);
  • подмена системных файлов для самомаскировки;
  • перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

Механизм управления ботнетом[править | править вики-текст]

Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определённой команды по заранее заготовленному URL.

В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу p2p-сетей[1].

Торговля[править | править вики-текст]

Ботнеты являются объектом нелегальной торговли, при продаже передаётся пароль к IRC-каналу (пароля доступа к интерфейсу программы на компьютере).

Масштабы[править | править вики-текст]

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернету, могут находиться в ботнетах[2]. Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2[2].

По данным специалиста по безопасности компании McAfee Майкла Де Чезаре (англ. Michael DeCesare), только в США в составе ботнетов порядка 5 млн заражённых компьютеров, что составляет около 10 % национального компьютерного парка[3].

Известные атаки ботнетов[править | править вики-текст]

Наиболее заметной из всех видов деятельности ботнета является DDoS-атака. Среди успешных (и почти успешных) атак:

  • DDos-атака на сайт Microsoft.com (вирус MSBlast, в один день начавший со всех заражённых машин посылать запросы на microsoft.com, привёл к простою сайта)
  • Серия DDoS-атак на «Живой журнал» весной 2011 года

Примечания[править | править вики-текст]

  1. Ботнеты. Kaspersky Lab. Проверено 3 июля 2007. Архивировано 12 февраля 2012 года.
  2. 1 2 Ботнет Великий и Ужасный. Компьютерра Online. Проверено 3 июля 2007.
  3. "Ботнеты: беда, откуда не ждали" № 584, июль 2012 г.. UPgrade. Проверено 12 октября 2012. Архивировано 17 октября 2012 года.

Ссылки[править | править вики-текст]