За кулисами ботнета. Знакомство с устройством

Ботнет — это сеть захваченных компьютерных устройств, серверов, мобильных устройств и устройств интернет вещей (IoT), которые заражены и контролируются без ведома их владельца, для проведения различных мошенничеств и кибератак. Термин «ботнет» образован от слов «робот» и «сеть». Боты служат инструментом для автоматизации массовых атак, таких как кража данных, сбой сервера и распространение вредоносного ПО. Один человек или даже группа хакеров может выполнять определенное количество действий на своих локальных устройствах. А при небольших затратах и времени они приобретают тонны дополнительных машин, которые можно использовать для более эффективных операций.

Развитие ботнета

История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor — небезызвестные NetBus и BackOrifice 2000. Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером. Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Развивающийся подпольный рынок постоянно эволюционирует. Начиная с увеличения коммерциализации и специализации субъектов угроз, что упрощает менее опытным субъектам угрозы возможность «залезть в дверь», покупая инструменты или доступ у других субъектов, специализирующихся в различных областях киберпреступности. Это позволяет злоумышленникам, обладающим определенными навыками, продолжать улучшать возможности своего инструмента или службы для коммерческих целей. Поток доходов от продажи своих возможностей означает, что у них теперь есть время поработать над добавлением функций или улучшением механизмов защиты от обнаружения, что сделает их более эффективными.

Классификация ботнета

Программы-боты строятся как клиенты, которые обмениваются данными через существующие серверы. Это позволяет бот-пастырю для выполнения всех операций управлять ими из удаленного места. Многие недавние ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти программы-боты P2P выполняют те же действия, что и модель клиент-сервер, но им не требуется центральный сервер для связи. Бот-пастырь ведет коллектив угнанных зомби-устройств с удаленными командами. Передача команд хозяина ботнета, передается через сетевое соединение между им и зомби-компьютером. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Существует классификация ботнетов, основанная на протоколах их общения:

• IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.
• IM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена их сложностью.
• IM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями.

Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

Эти устройства бездумно работают по командам своего бот-пастыря, а основные этапы построения ботнета можно упростить до нескольких этапов:

• Prep and Expose — хакер использует уязвимость, чтобы подвергнуть пользователей воздействию вредоносного ПО.
• Заражение — пользовательские устройства заражены вредоносным ПО, которое может управлять их устройством.
• Активация — хакеры мобилизуют зараженные устройства для проведения атак.

Поскольку ботнеты остаются под контролем удаленного злоумышленника, зараженные машины могут получать обновления и изменять свое поведение на лету. В результате бот-пастухи часто могут арендовать доступ к сегментам своего ботнета на черном рынке для получения значительной финансовой выгоды. Вы, наверное, все еще спрашиваете: «А что делает ботнет?» После заражения компьютер-зомби предоставляет доступ к операциям на уровне администратора, таким как:

• Чтение и запись системных данных;
• Сбор личных данных пользователя;
• Отправка файлов и других данных;
• Мониторинг активности пользователя;
• Поиск уязвимостей в других устройствах;
• Установка и запуск любых приложений.

Цели применения ботнета

Общие действия ботнета включают:

Электронный спам — хотя электронная почта сегодня рассматривается как более старый вектор атак, спам-ботнеты являются одними из самых крупных по размеру. Они в основном используются для рассылки спам-сообщений, часто содержащих вредоносное ПО, в большом количестве от каждого бота. Например, ботнет Cutwail может отправлять до 74 миллиардов сообщений в день. Они также используются для распространения ботов, чтобы привлечь больше компьютеров в ботнет.

DDoS—атаки — используют массовые масштабы ботнета для перегрузки целевой сети или сервера запросами, делая их недоступными для предполагаемых пользователей. DDoS-атаки нацелены на организации по личным или политическим мотивам или с целью вымогательства оплаты в обмен на прекращение атаки.

Финансовое нарушение — включает бот-сети, специально разработанные для прямого хищения средств с предприятий и информации о кредитных картах. Финансовые ботнеты, такие как ботнет ZeuS, несут ответственность за атаки на миллионы долларов, украденные непосредственно у нескольких предприятий за очень короткие периоды времени.

Целевые вторжения — небольшие бот-сети, предназначенные для взлома определенных важных систем организаций, из которых злоумышленники могут проникать в сеть и вторгаться дальше. Эти вторжения чрезвычайно опасны для организаций, поскольку злоумышленники специально нацелены на их наиболее ценные активы, включая финансовые данные, исследования и разработки, интеллектуальную собственность и информацию о клиентах.

Майнинг криптовалют — По сути, ваш компьютер становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на благо владельца ботнета. Несколько тысяч компьютеров в ботнете добывают криптовалюту значительно эффективнее, чем один, да и за недешевое электричество в этом случае платят жертвы, так что скрытно ставить программы-майнеры на компьютеры пользователей для злоумышленников очень даже выгодно.

Скликивание рекламы — Эти боты, автоматически кликающие по рекламе, представляют собой небольшие программы, которые предназначены для того, чтобы «нажимать» на то, что нужно мошеннику. В случае мошенничества с рекламой с оплатой за клик, основное внимание уделяется, соответственно PPC-рекламе, которая обычно показывается на веб-сайте, принадлежащем мошеннику. Идея состоит в том, что мошенник затем получает выплаты за клики или показы видео по объявлениям, размещенным на его сайте.

Сами боты технически представляют собой тип вируса или трояна, обычно встраиваемого в подключенное к Интернету устройство, такое как компьютер, планшет, сервер или мобильный телефон.

Email-спам — Спам, создаваемый ботнетами, доставляет неудобства пользователям, но, что еще хуже, он наносит значительный вред, когда используется для распространения фишинговых кампаний, ворующих идентификационные данные, или для распространения вредоносных программ с целью компрометации большего числа хостов.

Примеры вредоносного ПО и их атаки

GameOver Zeus — распространялся через спам и фишинговые сообщения, в основном используется киберпреступниками для сбора банковской информации, такой как учетные данные для входа, с компьютера жертвы. Зараженные системы также могут использоваться для других злонамеренных действий, таких как рассылка спама или участие в распределенных атаках типа «отказ в обслуживании» (DDoS). Система, зараженная GOZ, может использоваться для рассылки спама, участия в DDoS-атаках и сбора учетных данных пользователей для онлайн-сервисов, включая банковские. Предыдущие варианты вредоносного ПО Zeus использовали инфраструктуру ботнета централизованного управления и контроля для выполнения команд. Централизованные серверы регулярно отслеживаются и блокируются сообществом специалистов по безопасности.

Метбот – Впервые был обнаружен в 2015 году фирмой по кибербезопасности White Ops , и активность ботнета резко возросла в 2016 году. Инфраструктура состояла из 571 904 выделенных IP-адресов, 6000 доменов и 250 267 отдельных URL-адресов , каждый из которых мог содержать только видеорекламу, и использовались варианты имен известных издателей, чтобы обмануть их. Около 570 000 ботов использовались для выполнения кликов на веб-сайтах, просматривая до 300 миллионов видеорекламы в день, в то время как боты имитировали поведение обычного пользователя компьютера. Ботнет полагался на серверы данных вместо более традиционных ботнетов, которые полагаются на зараженные ПК и мобильные устройства.В то время это была самая крупная и самая прибыльная сеть для мошенничества с рекламой, до того как она была обнаружена в конце 2016 года.

Мираи – этот ботнет нацеливался на маршрутизаторы, DVR-системы, IP-камеры и многое другое. Они часто называются устройствами Интернета вещей (IoT) и включают простые устройства, такие как термостаты, которые подключаются к интернету. Ботнет захватил почти 500 000 устройств. Используя этот груповой ботнет IoT-устройств, Мираи повредил сервисы, такие как Xbox Live и Spotify и веб-сайты, такие как BBC и Github, ориентируясь непосредственно на DNS-провайдеров. Первоначальные создатели программного обеспечения Мираи botnet были арестованы, признали себя виновными и получили условный срок. Какое-то время Мираи был выключен. Но достаточное количество кода выжило для других преступников, которые переняли Мираи и изменили его в соответствии со своими потребностями.

EMOTET -был гораздо больше, чем просто вредоносная программа. Опасность EMOTET заключается в том, что эта вредоносная программу в аренду брали другие киберпреступники для установки на компьютер жертвы других типов вредоносных программ, таких как банковские троянцы или программы для выкупа. Такой тип атаки называется операцией «загрузчика», EMOTET считается одним из крупнейших игроков в мире киберпреступности. Группе EMOTET удалось вывести электронную почту в качестве вектора атаки на новый уровень. С помощью полностью автоматизированного процесса вредоносное ПО EMOTET доставлялось на компьютеры жертв через зараженные вложения электронной почты.  Для того чтобы заставить ничего не подозревающих пользователей открыть эти вредоносные вложения, использовалось множество различных приманок. В прошлом кампании EMOTET по электронной почте также представлялись в виде счетов, уведомлений о доставке и информации о COVID-19.

 

Как же обезопасить себя от ботнетов?

Ботнеты трудно остановить после того, как они укоренились на устройствах пользователей. Чтобы уменьшить количество фишинговых атак и других проблем, убедитесь, что вы защищаете каждое из своих устройств от злонамеренного взлома.

Улучшите пароли всех пользователей для смарт-устройств. Использование сложных и длинных паролей поможет вашим устройствам оставаться в большей безопасности, чем слабые и короткие пароли. Например, pass12345.

Избегайте покупки устройств со слабой безопасностью. Хотя это не всегда легко обнаружить, многие дешевые гаджеты для умного дома, как правило, ставят во главу угла удобство пользователя, а не безопасность. Изучите обзоры безопасности продукта перед покупкой.

Обновите настройки администратора и пароли на всех своих устройствах. Вы захотите проверить все возможные параметры конфиденциальности и безопасности для всего, что подключает устройство к устройству или к Интернету. Без обновлений пользовательских учетных данных для входа и частного подключения хакеры могут взломать и заразить каждое из ваших подключенных устройств.

Остерегайтесь вложений в электронные письма. Наилучший подход — полностью избегать загрузки вложений. Если вам нужно загрузить вложение, внимательно изучите и проверьте адрес электронной почты отправителя. Кроме того, рассмотрите возможность использования антивирусного программного обеспечения, которое заранее сканирует вложения на наличие вредоносных программ перед загрузкой.

Никогда не переходите по ссылкам в полученных сообщениях. Тексты, электронные письма и сообщения в социальных сетях могут быть надежным средством распространения вредоносных программ ботнетов. Ввод ссылки в адресную строку вручную поможет избежать заражения DNS-кеша и дополнительных загрузок. Кроме того, сделайте дополнительный шаг для поиска официальной версии ссылки.

Установите эффективное антивирусное программное обеспечение. Надежный пакет интернет-безопасности поможет защитить ваш компьютер от троянов и других угроз.

На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий. Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники. А цены на развитом и структурированном ботнет-рынке весьма умеренные. В построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой. В наше время один из десяти устройств, входит в какую-либо зомби-сеть. А может быть, это именно ваш компьютер?