Ботнет

Ботнет ( англ. botnet , МФА: [Bɒtnɛt] ; Походить від слів ro bot та net work) - це комп'ютерна мережа, що складається з деякої кількості хостів, з запущеними ботами - автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, скритно встановлюється на пристрій жертви і дозволяє зловмиснику виконувати якісь дії з використанням ресурсів зараженого комп'ютера. Зазвичай використовуються для нелегальної або неодобряемого діяльності - розсилання спаму, перебору паролів на віддаленій системі, атак на відмова в обслуговуванні.

Схема створення ботнету і використання його спамером.

1. Технічний опис

1.1. Отримання управління

Управління зазвичай отримують в результаті установки на комп'ютер невидимого необнаружіваемого користувачем у щоденній роботі програмного забезпечення без відома користувача. Відбувається зазвичай через:

  • Зараження комп'ютера вірусом через уразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
  • Використання недосвідченість або неуважності користувача - маскування під "корисне вміст".
  • Використання санкціонованого доступу до комп'ютера (рідко).
  • Перебір варіантів адміністраторського пароля до мережевих ресурсів, що розділяються (зокрема, до ADMIN $, що дозволяє виконати віддалено програму) - переважно в локальних мережах.

1.2. Механізм самозахисту і автозапуску

Механізм захисту від видалення аналогічний більшості вірусів і руткитов, зокрема:

  • маскування під системний процес;
  • використання нестандартних методів запуску (шляхи автозапуску успадковані від старих версій ПЗ, підміна відладчика процесів);
  • використання двох самоперезапускающіхся процесів, перезапускати один одного (такі процеси практично неможливо завершити, оскільки вони викликають "наступний" процес і завершуються раніше, ніж їх завершують примусово);
  • підміна системних файлів для самомаскіровкі;
  • перезавантаження комп'ютера при доступі до виконуваних файлів або ключам автозавантаження, в яких файли прописані.

1.3. Механізм управління ботнетом

Раніше управління вироблялося або "слуханням" певної команди за певним порту, або присутністю в IRC -чаті. До моменту використання програма "спить" - (можливо) розмножується і чекає команди. Отримавши команди від "власника" ботнету, починає їх виконувати (один із видів діяльності). У ряді випадків по команді завантажується виконуваний код (таким чином, є можливість "оновлювати" програму і завантажувати модулі з довільною функціональністю). Можливе керування ботом приміщенням певної команди по заздалегідь заготовленого URL.

В даний час набули поширення ботнети, керовані через веб-сайт або за принципом p2p -мереж. [1]


2. Торгівля

Ботнети є об'єктом нелегальної торгівлі, при продажу передається пароль до IRC каналу (пароля доступу до інтерфейсу програми на комп'ютері).

3. Масштаби

За оцінкою творця протоколу TCP / IP Вінта Серфа, близько чверті з 600 млн комп'ютерів, підключених до Інтернету, можуть перебувати в ботнет. [2] Фахівці SecureWorks, вивчивши внутрішні статистичні відомості ботнету, заснованого на трояни SpamThru, виявили, що близько половини заражених комп'ютерів працюють під управлінням операційної системи Windows XP з встановленим Service Pack 2. [2]

За даними фахівця з безпеки компанії McAfee Майкла Де Чезаре ( англ. Michael DeCesare ), Тільки в США у складі ботнетів порядку 5 млн. заражених комп'ютерів, що складає близько 10% національного комп'ютерного парку [3].


4. Відома атака ботнетів

Найбільш помітною з усіх видів діяльності ботнету є DDoS атака. Серед успішних (і майже успішних) атак:

Примітки

  1. Ботнети - www.viruslist.com/ru/analysis?pubid=204007610. Kaspersky Lab. Читальний - www.webcitation.org/65OMezgwI з першоджерела 12 лютого 2012.
  2. 1 2 Ботнет Великий і Жахливий - www.computerra.ru/focus/317787/. Компьютерра Online.
  3. "Ботнети: біда, звідки не чекали" № 584, липень 2012 - www.upweek.ru / botnety-beda-otkuda-ne-zhdali.html. UPgrade. Читальний - www.webcitation.org/6BU3HoeMh з першоджерела 17 жовтня 2012.