В сегодняшней статье мы поговорим о том, что такое ботнеты, как не стать жертвой их атаки… и как не стать одним из них. Без Вашего ведома, разумеется. Защита от ботнетов возможна в обоих случаях. Читайте статью и узнаете больше!
Ботнет, как следует из названия – это сеть ботов. Под ботом в данном случае понимается устройство – как правило, персональный компьютер. Это устройство, будучи заражённым специальным вирусом, генерирует и рассылает трафик без ведома владельца. Злоумышленник, взломавший или заразивший иным способом устройство, таким образом превращает его в своего бота, объединяет ботов в единую сеть и использует ботнет в своих отнюдь не благородных целях.
Поскольку создать ботнет – задача куда более масштабная, чем взломать отдельно взятый компьютер, ботнетами обычно занимаются хакерские и иные преступные группировки. Веяние времени – ботнет стали регулярно использовать, чтобы ‘майнить крипту’. Но традиционно ботнет создавали для того, чтобы проводить DDOS-атаки. Говоря простыми словами, DDOS-атака – это обрушение сервера массовой спам-атакой, когда обращений к серверу настолько много, что он наглухо зависает. И хотя защита от DDOS развивается, это направление также остаётся традиционным для интернет-злоумышленников.
Содержание
- 0.1 Ботнет: как пополняется ‘армия’ заражённых машин?
- 0.2 Ботнет: как его пополняют устройства из Интернета вещей
- 0.3 Защита от ботнетов: как Вы можете защитить свои устройства
- 1 Ботнет сети: как это работает и как на них зарабатывают
- 2 Ботнет. Как создаются ботнеты. Средства защиты от ботнетов
- 3 Ботнет
- 4 Что такое ботнет? Все о бот-сети
Ботнет: как пополняется ‘армия’ заражённых машин?
Как правило, в ботнет ‘мобилизуют’ старые компьютеры из библиотек, компьютерных классов небогатых школ, почтовых отделений в глубинке и тому подобных устройств, до которых прогресс доходит в последнюю очередь. Под прогрессом мы понимаем в том числе современную защиту от вирусов и хакеров. И если от вирусов худо-бедно спасает хотя бы регулярно обновляемый антивирус, то взломать такой ‘бюджетный’ компьютер – лёгкая задача даже для начинающего хакера.
Если же антивирус в последний раз обновляли лет пять назад, а компьютер выходит в Сеть каждый день, да ещё и под управлением не самого технически продвинутого сотрудника – такой компьютер не просто в зоне риска.
Скорее всего, он уже давно в рядах ботнетов, ведь защита от хакера на такой машине ослабевает с каждым днём, а уязвимостей становится всё больше. Взломав такое уязвимое устройство, хакер может делать с него почти всё, что захочет – возможности ограничены только его знаниями, фантазией и мерами предосторожности.
Нередко, когда на таком компьютере тормозит Интернет и/или браузер, это означает отнюдь не ‘замусоренность’ операционной системы. А то, что компьютер уже в ботнете.
Ещё одна категория ‘новобранцев’ ботнетов – это устройства из так называемого Интернета вещей. Это устройства категории ‘умный дом’ – разнообразная техника, которую научили подключаться к Интернету, но не научили защищаться от Интернет-угроз. Защита от ботнетов (точнее, от заражения и попадания в их ряды) в таких устройствах стремится к нулю.
Ботнет: как его пополняют устройства из Интернета вещей
Устройства категории ‘Умный дом’ становятся всё более распространёнными… и дешёвыми. Как Вы понимаете, экономия на производстве вряд ли способствует тому, чтобы защита от хакера у этих устройств становилась лучше. Там нередко простейшие пароли и админские учётные записи, давно известные злоумышленникам. Да и сами пользователи обычно не утруждают себя созданием сложного пароля. Взломать такое устройство и сделать его частью ботнета – элементарно.
Ещё одна сторона проблемы защиты от ботнетов и Интернета вещей – поведение государственной машины. Не только в России она неповоротлива и умеет лишь плодить запреты! В такой, казалось бы, передовой стране, как Япония, не придумали ничего лучше, как… взламывать устройства граждан под предлогом изучения поведения устройств и разработки общенациональной защиты от ботнетов.
Да, по умолчанию предлагается использовать для подключения заводские настройки. Но вход в чужое устройство под стандартным логином и паролем – это такой же взлом, как и подбор неизвестного пароля. Понятно, что защита от ботнетов – глобальная проблема, и раз уж государство претендует на контроль над Интернетом, то могло бы решить заодно и эту проблему.
Но пока что предлагаемые решения весьма спорны и неуклюжи.
Да, логику государства понять можно. Незащищённое устройство – это потенциальный член ботнета. И очень возможно, что уже действующий. Но многим ли понравится, если полиция будет вскрывать дверь в квартиру, потому что она хлипкая или закрыта на слабый замок, обещая в будущем, проанализировав поведение квартирных воров, поменять дверь на антивандальную? Метафора не так уж далека от ситуации с Интернетом вещей и защитой от ботнетов, как кажется на первый взгляд.
Защита от ботнетов: как Вы можете защитить свои устройства
- Защищайте Ваш Wi-Fi роутер с помощью прокси-сервера и/или VPN, а также замените штатный пароль на сгенерированный из множества цифр, прописных и строчных букв. Записать его лучше на бумажку и наклеить на сам маршрутизатор.
- Если у Вас есть устройства категории ‘Умный дом’ – отключите доступ к ним из открытого Интернета. Серьёзно. Ваша жизнь не рухнет от того, что Вы не проверите холодильник или чайник из рабочего офиса.
- Используйте антивирус и обновляйте его регулярно. Да, и на телефоне тоже.
Возможно, в будущем защита от ботнетов в мире Интернета вещей станет лучше. Но сегодня эти меры предосторожности необходимы.
Не позволяйте хакерам украсть Ваши устройства и призвать их в ряды ботнетов!
Ботнет сети: как это работает и как на них зарабатывают
Атаки ботнета Mirai на американского DNS-провайдера Dyn в 2016 году вызвали широкий резонанс и привлекли повышенное внимание к ботнетам. Однако, по сравнении с тем, как современные киберпреступники используют ботнеты сегодня, атаки на компанию Dyn могут показаться детскими шалостями. Преступники быстро научились использовать ботнеты для запуска сложных вредоносных программ, позволяющих создавать целые инфраструктуры из зараженных компьютеров и других устройств с выходом в Интернет для получения незаконной прибыли в огромных масштабах.
В последние годы правоохранительные органы добились определенных успехов в борьбе с преступной деятельностью, связанной с использованием ботнетов, но пока этих усилий, конечно же, недостаточно, чтобы пробить достаточную брешь в ботнетах под управлением киберпреступников. Вот несколько известных примеров:
- Министерство юстиции США предъявило обвинение двум молодым людям за их роль в разработке и использовании ботнета Mirai: 21-летнему Парасу Джа (Paras Jha) и 20-летнему Джошуа Вайту (Josiah White). Их обвиняют в организации и проведении DDoS-атак на компании, а затем требовании выкупа за их прекращение, а также по продаже этим компаниям «услуг» по предотвращению подобных атак в будущем.
- Испанские власти в рамках трансграничной операции по запросу США арестовали жителя Санкт-Петербурга Петра Левашова, известного в киберпреступных кругах как Peter Severa. Он управлял Kelihos, одним из самых долго существовавших в Интернете ботнетов, который, как оценивается, заразил около 100 тыс. компьютеров. Помимо вымогательства, Петр Левашов активно использовал Kelihos для организации спам-рассылок, беря по $200–$500 за миллион сообщений.
- В прошлом году два израильских тинэйджера были арестованы по обвинению в организации DDoS-атак за вознаграждение. Пара успела заработать около $600 тыс. и провести порядка 150 тыс. DDoS-атак.
Как работает ботнет?
Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты.
Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими.
Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.
За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно.
Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности.
Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.
С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:
- Быстрое и масштабное распространение электронных писем, содержащих программы-вымогатели, требующие выкуп.
- Как платформа для накручивания числа кликов по ссылке.
- Открытие прокси-серверов для анонимного доступа в Интернет.
- Осуществление попыток взлома других интернет-систем методом полного перебора (или «грубой силы»).
- Проведение массовых рассылок электронных писем и осуществление хостинга подложных сайтов при крупномасштабном фишинге.
- Увод CD-ключей или других лицензионных данных на программное обеспечение.
- Кража персональной идентификационной информации.
- Получение данных о кредитных карточках и другой информации о банковском счете, включая PIN-коды или «секретные» пароли.
- Установка клавиатурных шпионов для захвата всех данных, которые пользователь вводит в систему.
Как создать ботнет?
Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета.
Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad.
Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).
Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов.
Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения.
С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.
Как интернет вещей (IoT) стал клондайком для создания ботнетов
С точки зрения количества зараженных устройств и генерируемого ими во время атак трафика, взрывоподобный эффект имело массовое использование незащищенных IoT-устройств, что привело к появлению беспрецедентным по своим масштабам ботнетов.
Так, примеру, летом 2016 года до и непосредственно во время Олимпийских Игр в Рио-де-Жанейро один из ботнетов, созданный на основе программного кода LizardStresser, в основном использовал порядка 10 тыс. зараженных IoT-устройств (в первую очередь — веб-камеры) для осуществления многочисленных и продолжительных во времени DDoS-атак с устойчивой мощностью более 400 Гбит/с, достигшей значения 540 Гбит/с во время своего пика. Отметим также, что, согласно оценкам, оригинальный ботнет Mirai смог скомпрометировать около 500 тыс. IoT-устройств по всему миру.
Несмотря на то, что после подобных атак многие производители внесли некоторые изменения, IoT-устройства в большинстве своем все еще поставляются с предустановленными заводскими настройками имени пользователя и пароля либо с известными уязвимостями в безопасности. Кроме того, чтобы сэкономить время и деньги, часть производителей периодически дублируют используемое аппаратное и программное обеспечение для разных классов устройств.
Как результат: пароли по умолчанию, используемые для управления исходным устройством, могут быть применены для множества совершенно других устройств. Таким образом, миллиарды незащищенных IoT-устройств уже развернуты. И, несмотря на то, что прогнозируемый рост их количества замедлился (хоть и незначительно), ожидаемое увеличение мирового парка «потенциально опасных» IoT-устройств в обозримом будущем не может не шокировать.
Многие IoT-устройства прекрасно подходят для неправомочного использования в составе преступных ботнетов, так как:
- В большинстве своем они неуправляемы, другими словами, работают без должного контроля со стороны системного администратора, что делает их применение как анонимных прокси чрезвычайно эффективным.
- Обычно они находятся онлайн 24×7, а значит — они доступны для осуществления атак в любое время, причем, как правило, без каких-либо ограничения по пропускной способности или фильтрации трафика.
- Они часто используют урезанную версию операционной системы, реализованную на базе семейства Linux. А вредоносное программное обеспечение ботнетов может быть легко скомпилировано для широко используемых архитектур, в основном — ARM/MIPS/x86.
- Урезанная операционная система автоматически означает меньше возможностей для реализации функций безопасности, включая формирование отчетности, поэтому большинство угроз остаются незамеченными владельцами этих устройств.
Вот еще один недавний пример, который поможет осознать ту мощь, которой могут обладать современные криминальные инфраструктуры ботнета: в ноябре 2017 года ботнет Necurs осуществил рассылку нового штамма вируса-шифровальщика Scarab. В результате массовой компании было отправлено около 12,5 млн. инфицированных электронных писем, то есть скорость рассылки составила более чем 2 млн. писем в час. К слову, этот же ботнет был замечен в распространении банковских троянов Dridex и Trickbot, а также вирусов-вымогателей Locky и Jans.
Выводы
Сложившаяся в последние годы благодатная ситуация для киберпреступников, связанная с высокой доступностью и простотой использования более сложного и гибкого вредоносного программного обеспечения для ботнетов в сочетании со значительным приростом количества незащищенных IoT-устройств, сделало криминальные ботнеты основным компонентом растущей цифровой подпольной экономики.
В этой экономике есть рынки для сбыта полученных нелегальным путем данных, осуществления вредоносных действий против конкретных целей в рамках предоставления услуг по найму, и даже для собственной валюты.
И все прогнозы аналитиков и специалистов по безопасности звучат крайне неутешительно — в обозримом будущем ситуация с неправомерным использованием ботнетов для получения незаконной прибыли только ухудшится.
Ботнет. Как создаются ботнеты. Средства защиты от ботнетов
Сегодня ботнеты стали одним из главных инструментов киберпреступников. ComputerBild расскажет, что такое ботнеты, как они работают и как спасти свой компьютер от попадания в зомби-сеть.
Ботнет, или зомби-сеть, – это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников. Неизменно низкие издержки и минимум знаний, необходимых для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов. На DDoS-атаках или спам-рассылках, осуществляемых с помощью зомби-сетей, злоумышленники и их заказчики зарабатывают тысячи долларов.
Заражен ли мой компьютер ботом?
Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:
— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически возмущенно докладывает брандмауэр или антивирусное ПО;
— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;
— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно, но – можно).
Зачем создаются ботнеты
Ботнеты создаются, чтобы зарабатывать деньги. Можно выделить несколько сфер коммерчески выгодного применения зомби-сетей: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка клик-счетчиков и пр. Надо заметить, что прибыльным будет любое направление, какое бы злоумышленник ни выбрал, причем ботнет позволяет осуществлять все перечисленные виды деятельности одновременно.
Проведение DDoS-атак
DDoS-атака (от англ. Distributed Denial-of-Service) – это атака на компьютерную систему, например на веб-сайт, целью которой является доведение системы до «падения», то есть состояния, когда она больше не сможет принимать и обрабатывать запросы легитимных пользователей.
Один из самых распространенных методов проведения DDoS-атаки – отправка многочисленных запросов на компьютер или сайт-жертву, что и приводит к отказу в обслуживании, если ресурсы атакуемого компьютера недостаточны для обработки всех поступающих запросов.
DDoS-атаки являются грозным оружием хакеров, а ботнет – идеальным инструментом для их проведения.
DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и актами кибертерроризма. Хозяин ботнета может оказать услугу любому не слишком щепетильному предпринимателю – провести DDoS-атаку на сайт его конкурента. Атакуемый ресурс после такой нагрузки «ляжет», заказчик атаки получит временное преимущество, а киберпреступник – скромное (или не очень) вознаграждение.
Таким же образом сами владельцы ботнетов могут использовать DDoS-атаки для вымогания денег у крупных компаний. При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак стоит весьма дорого. Например, в январе 2009 года один из крупнейших хостеров GoDaddy.com подвергся DDoS-атаке, в результате которой тысячи сайтов, размещенных на его серверах, оказались недоступными почти на сутки. Финансовые потери хостера были огромны.
В феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всего Интернета. Маловероятно, что целью этих атак было обрушение Всемирной сети, ведь существование зомби-сетей возможно только при условии, что существует и нормально функционирует Интернет. Больше всего это было похоже на демонстрацию силы и возможностей зомби-сетей.
Реклама услуг по осуществлению DDoS-атак открыто размещена на многих форумах соответствующей тематики. Цены на атаки колеблются от 50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. По данным сайта www.shadowserver.org, за 2008 год было проведено порядка 190 тысяч DDoS-атак, на которых киберпреступники смогли заработать около 20 миллионов долларов. Естественно, в эту сумму не включены доходы от шантажа, которые просто невозможно подсчитать.
Сбор конфиденциальной информации
Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников. Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: почтовым ящикам, FTP-серверам, «мессенджерам» и др. При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им интересны, – для этого достаточно загрузить на ПК соответствующий модуль.
Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На многочисленных форумах в Сети каждый день появляются сотни объявлений о продаже банковских учетных записей. Стоимость учетной записи зависит от количества денег на счету пользователя и составляет от 1 до 1500 долларов за счет.
Нижняя граница свидетельствует о том, что в ходе конкурентной борьбы киберпреступники, занимающиеся такого рода бизнесом, вынуждены снижать цены. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, а для этого обязателен стабильный рост зомби-сетей.
Особенно интересна финансовая информация кардерам – злоумышленникам, занимающимся подделкой банковских карт.
О том, насколько выгодны такие операции, можно судить по известной истории с группой бразильских киберпреступников, которые были арестованы два года назад. Они смогли снять с банковских счетов простых пользователей 4,74 миллиона долларов, используя украденную с компьютеров информацию. В приобретении персональных данных, не имеющих прямого отношения к деньгам пользователя, заинтересованы и преступники, которые занимаются подделкой документов, открытием фальшивых банковских счетов, совершением незаконных сделок и т.д.
Еще одним видом собираемой ботнетами информации являются адреса электронной почты, причем, в отличие от номеров кредиток и учетных записей, из адресной книги одного зараженного ПК можно извлечь множество электронных адресов. Собранные адреса выставляются на продажу, причем иногда «на развес» – помегабайтно. Основными покупателями подобного «товара» являются спамеры. Список из миллиона e-mail-адресов стоит от 20 до 100 долларов, а заказанная спамерам рассылка на этот же миллион адресов – 150–200 долларов. Выгода очевидна.
Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они обходятся дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов.
Рассылка спама
Ежедневно по всему миру курсируют миллионы спам-сообщений. Рассылка незапрошенной почты является одной из основных функций современных ботнетов. По данным «Лаборатории Касперского», около 80% всего спама рассылается через зомби-сети. С компьютеров законопослушных пользователей отправляются миллиарды писем с рекламой «Виагры», копий дорогих часов, онлайн-казино и т. п., забивающих каналы связи и почтовые ящики. Таким образом хакеры ставят под удар компьютеры ни в чем не повинных пользователей: адреса, с которых ведется рассылка, попадают в черные списки антивирусных компаний.
В последние годы сама сфера спам-услуг расширилась: появился ICQ-спам, спам в социальных сетях, форумах, блогах. И это тоже «заслуга» владельцев ботнетов: ведь совсем несложно дописать к бот-клиенту дополнительный модуль, открывающий горизонты для нового бизнеса со слоганами типа «Спам в . Недорого».
Цены на спам варьируются в зависимости от целевой аудитории и количества адресов, на которые ведется рассылка. Разброс цен на целевые рассылки – от 70 долларов за сотни тысяч адресов до 1000 долларов за несколько десятков миллионов адресов.
За прошедший год спамеры заработали на рассылке писем порядка 780 миллионов долларов.
Создание поискового спама
Еще один вариант использования ботнетов – повышение популярности сайтов в поисковых системах.
Работая над поисковой оптимизацией, администраторы ресурсов стараются повысить позицию сайта в результатах поиска, поскольку чем она выше, тем больше посетителей зайдет на сайт через поисковые системы и, следовательно, тем больше будет выручка владельца сайта, например от продажи рекламных площадей на веб-страницах. Многие компании платят веб-мастерам немалые деньги, чтобы они вывели сайт на первые позиции в «поисковиках». Владельцы ботнетов подсмотрели некоторые их приемы и автоматизировали процесс поисковой оптимизации.
Ботнет
В последнее время стали распространятся вирусы, которые явно не вредят компьютеру пользователя, но получают к нему практически полный доступ, который может быть использован в любых целях. А объединение тысяч заражённых компьютеров по всему миру дают злоумышленникам огромные вычислительные мощности.
Чего-чего хорошего, а компьютерных вирусов за последние десятилетия было создано великое множество. И все они различаются по принципу своего действия и поведения. Одни вирусы просто удаляют системные файлы, приводя компьютер в нерабочее состояние (черви), другие воруют данные пользователя и всячески шпионят за ним (трояны), третьи шифруют данные на диске, требуя выкуп за их обратную дешифровку (криптеры или шифровальщики).
Однако, есть и такие вирусы, которые визуально себя ничем сразу не проявляют и, на первый взгляд, не причиняют никакого вреда. Они просто молча «сидят» и ждут команды извне. Получая такую команду, они загружают и выполняют любой другой вредоносный код, незаметно для пользователя пропуская его на компьютер с эдакого «чёрного хода» (определённого рода уязвимости системы). За такое поведение эти вирусы и получили название бэкдоров (от англ. «back door» – «чёрный ход»).
Заражённый бэкдором компьютер продолжает работать в штатном режиме, но он уже не принадлежит полностью своему владельцу. С момента заражения он начинает входить в зомби-сеть таких же инфицированных ПК по всему миру, которые составляют вместе так называемый ботнет, готовый в любой момент выполнить любую команду злоумышленников, организовавших его…
Что такое ботнет?
В крупных компаниях и различных конторах часто можно встретить иерархические локальные сети. В них есть один сервер, который выполняет роль шлюза для выхода в Интернет и может в той или иной мере контролировать подключённые к нему компьютеры пользователей. Осуществляется последнее установкой специального софта, который и отвечает за выполнение определённых действий на стороне клиента (удалённый запуск программ, сбор статистики, выключение, перезагрузка и т.п.).
Так вот, ботнет во многом напоминает подобные корпоративные сети. Разница состоит лишь в том, что пользователь заражённого ботом ПК продолжает выходить в Интернет прежним способом и вообще даже не знает, что его компьютер может контролироваться кем-либо извне!
Бот (как правило, вирус типа backdoor или руткит) после попадания на компьютер пользователя первым делом прописывает себя в исключения антивируса, в автозагрузку системы и/или программы, к которой привязывается (чаще всего, браузер или почтовый клиент). Затем, в зависимости от целей хакеров, создающих ботнет, либо переходит в режим ожидания и ждёт новых команд, либо сразу начинает скачивать и устанавливать другой вредоносный код (например, средство рассылки спама или майнер).
По принципу работы ботнет может быть централизованным или децентрализованным. Первый тип зомби-сетей во многом схож с описанной выше моделью корпоративной сети и управляется с единого сервера, который принадлежит злоумышленникам. Второй тип ботнетов более сложен технически и работает по принципу P2P-сетей. То есть, компьютеры, которые в него входят, одновременно являются и клиентами и серверами, что позволяет им в автоматическом режиме обмениваться данными (например, для обновления программы-бота):
При выявлении бороться с централизованными ботнетами проще, поскольку для их разрушения достаточно вычислить основной сервер. С P2P-сетями намного сложнее, поскольку управляющим может оказаться любой из тысяч (или даже миллионов) компьютеров зомби-сети. К тому же, сеть будет оставаться работоспособной до тех пор, пока в ней есть хотя бы один ПК с работающей программой-ботом, который способен размножаться.
Различные службы кибербезопасности и разработчики антивирусов постоянно ведут работы по выявлению и нейтрализации ботнетов. Тем не менее, по всему миру постоянно появляются всё новые и новые зомби-сети. И во многом этому способствуют сами пользователи компьютеров…
Пути заражения
Всего существует не так уж много способов заразить свой компьютер любым типом вирусов (в том числе и таким, который служит для создания ботнетов). Можем их перечислить:
- Прямой взлом компьютера (или чаще локальной сети) путём перебора паролей (так называемый «брутфорс» от англ. «brute force» – «грубая сила») с целью получения доступа от имени администратора. Чаще всего такие атаки совершаются целенаправленно на частные сети крупных компаний с целью промышленного шпионажа. Они довольно ресурсозатратны для хакеров, поэтому для взлома обычных пользователей практически не применяются.
- Заражение ПК с использованием хакером той или иной уязвимости в коде операционной системы или используемого программного обеспечения. Обычно при выявлении таких уязвимостей разработчики ПО реагируют довольно быстро и исправляют их при помощи обновлений. Так что, если не использовать устаревшие программы, то шансы заразиться этим способом весьма незначительны.
- Заражение компьютера при санкционированном доступе. Этот вариант заражения может быть как целенаправленным, так и случайным. Например, Вы отдали свой компьютер на ремонт в небольшую полулегальную компьютерную фирмочку и тамошний «мастер» установил Вам какую-нибудь взломанную программу с вирусом в придачу… Это можно отнести к непреднамеренному заражению. Если же, например, тот же «мастер» пришёл к Вам домой или запросил у Вас удалённый доступ к Вашему компьютеру и явно копается не там, где нужно, устанавливая что-то подозрительное, то тут уже может иметь место целенаправленное инфицирование «самопальными» вирусами. Хорошо, что такие «умельцы» встречаются нечасто и о них рано или поздно становится известно благодаря «сарафанному радио».
- Инфицирование через подключение заражённых съёмных носителей информации. По сути, это вариант санкционированного доступа к компьютеру, но здесь главную роль играет не человек, который неумышленно или специально внедряет вирус, а техника. Например, если флешка вашего товарища заражена autorun-вирусом, а на Вашем ПК не отключён автозапуск съёмных запоминающих устройств, то есть вероятность, что при автозагрузке вредоносный код выполнится и инфекция проникнет к Вам. Наилучшим методом борьбы с таким способом распространения заразы является отключение автозапуска для CD- и USB-носителей.
- Заражение путём ввода пользователя в заблуждение. Пожалуй, самый распространённый способ инфицирования компьютеров по всему миру. Здесь в ход идёт и социальная инженерия, и навязчивая реклама, и спам-рассылки, словом всё, что может заставить незадачливого пользователя самостоятельно установить вирус себе на компьютер. Обычно вирусы идут «в нагрузку» к какой-либо полезной (или не очень) программе.
Как видим, из всех способов заражения наиболее вероятным является последний. Мы сами по собственной невнимательности забываем снять галочки при инсталляции программ, игнорируем предупреждения антивируса (если он вообще установлен) или открываем всяческие вложения электронной почты, не задумываясь о последствиях. Как результат – самостоятельно инфицируем свой же компьютер.
Соответственно, чтобы не превратить свой компьютер в бесполезную груду металла или в «зомби», достаточно просто придерживаться общеизвестных правил, которыми мы часто пренебрегаем:
- использовать антивирус в связке с брандмауэром и не игнорировать их предупреждения;
- не открывать подозрительные вложения электронной почты или сообщений в соцсетях;
- на различных сайтах внимательно смотреть, какие кнопки Вы нажимаете при скачивании программ;
- не поддаваться на провокационную рекламу, обещающую Вам крупный выигрыш после скачивания и установки чего-либо;
- использовать, по возможности, обновлённое программное обеспечение;
- не пользоваться автозапуском флешек и дисков;
- всегда создавать резервные копии самых важных данных и хранить их вне компьютера.
Зачем создаются ботнеты?
Мы выяснили, что такое ботнет, откуда он может появиться на Вашем компьютере, но остаётся вопрос, зачем хакеры так усердно создают зомби-сети. Тут условно можно разделить все подобные сети на две категории: те, которые злоумышленники используют для собственных нужд, и те, которые создаются с ориентацией на получение прибыли.
Любой, даже не самый большой, ботнет на пару сотен машин – это уже довольно большая вычислительная мощь. И хакеры её могут использовать, например, для того же брутфорса. Ведь одновременный подбор паролей с нескольких компьютеров пропорционально сокращает время взлома! Также злоумышленники могут использовать сеть заражённых ПК в качестве цепочки прокси-серверов для маскировки своего реального местоположения.
Вариант ботнета для заработка предполагает более широкий спектр действий:
- рассылка спама, за которую платит заказчик;
- сбор данных пользователей для последующей перепродажи (пакет таких данных стоит на чёрном рынке от $2 до $10);
- организация DDoS-атак на сайты (здесь прибыль может получаться как от заказчика, так и от владельца сайта, который платит за скорейшее прекращение атаки);
- накрутка рейтинга чего-либо;
- майнинг криптовалют.
Кроме того, крупные ботнеты хакеры могут сдавать в аренду заинтересованным лицам или вовсе продавать им же за довольно внушительные суммы (речь идёт о десятках и сотнях тысяч долларов!). Аренда обходится обычно дешевле. Например, зомби-сеть из пары сотен заражённых компьютеров можно арендовать за сумму от $100–$200, при этом стоимость одного бота стартует с отметки всего в 50 центов.
Борьба с ботнетом
Как уже говорилось выше, с ботнетами постоянно борются всевозможные спецслужбы и антивирусные компании. Однако, даже наличие самого продвинутого антивируса на Вашем ПК не гарантирует 100% защиты! Воспользовавшись брешью в системе или невнимательностью пользователя, вирус всё-таки может проникнут на компьютер. Поэтому важно его вовремя обнаружить и нейтрализовать.
Подозрение на наличие вируса может возникнуть у Вас, если компьютер начал резко работать медленнее обычного при сохранении штатного режима его использования. Частые зависания без запуска ресурсоёмких программ, появление в диспетчере задач подозрительных процессов и повышение Интернет-трафика в режиме простоя – вот основные причины, по которым следует начать поиски бота (или любого другого возможного вируса).
Первым делом, как ни странно, можно воспользоваться установленным антивирусом. Если после проведения сканирования он ничего не обнаружил, обязательно проверьте, нет ли в его «белом списке» (обычно его можно найти в настройках) подозрительных записей, которые Вы не санкционировали. Ведь часто продвинутые боты умеют автоматически прописывать себя в исключения антивируса и он их просто игнорирует. Удалите из списка ненужные записи и повторите сканирование:
Если антивирус ничего не обнаружил, то можно открыть Диспетчер задач (CTRL+SHIFT+ESC) и внимательно его изучить. Подозрения должны вызвать процессы, маскирующие свои названия под названия системных. Чаще всего, подделывается имя процесса svchost.exe путём перестановки (например, scvhost.exe) или удаления букв (например, svhost.exe). Оригинальный процесс может быть запущен в нескольких экземплярах, что затрудняет поиск подделки. Поэтому для удобства поиска можно сортировать процессы по имени и сразу проверять группу «Фоновые процессы»:
Учтите, что обычный Диспетчер задач отображает далеко не полную картину по всем запущенным и запланированным процессам. Поэтому я бы рекомендовал использовать более продвинутые альтернативные программы Process Explorer или AnVir Task Manager, которые подробно описаны на нашем сайте.
Последним средством обнаружения возможного бота может стать мониторинг сетевой активности Вашего компьютера. Для этой цели я рекомендую воспользоваться программой NetWorx (увы, новые её версии стали платными, поэтому используем последнюю бесплатную версию 5.5.5). Открываем меню «Инструменты» и выбираем «Соединения». Просматриваем и проверяем IP-адреса всех подозрительных соединений со статусом ESTABLISHED (установленные) и LISTENING (прослушиваемые):
Особое внимание стоит обратить на порты, указанные после двоеточия Вашего Локального адреса. Дело в том, что многие боты для «общения» с другими ботами или сервером злоумышленников используют команды, передающиеся по IRC-каналу. Для IRC в Windows обычно зарезервированы порты 666x (чаще всего 6667 или 6668) и 194. Наличие TCP-трафика по этим портам при отсутствии у Вас IRC-клиента может быть явным признаком наличия на Вашем ПК бота.
После выявления бота его можно удалить. Если он представляет собой единый EXE-файл, то избавиться от него можно удалением данного файла. Однако, он может быть установлен как программа, драйвер и/или задача в Планировщике заданий. Поэтому для надёжности нужно будет проверить:
- список установки-удаления программ;
- список расширений установленных браузеров;
- перечень автозагрузки;
- список служб;
- содержимое Планировщика задач.
Что такое ботнет? Все о бот-сети
Бот-сеть — это группа компьютеров, которые были заражены вредоносными программами и попали под контроль злоумышленниками. Термин ботнет — это совокупность слов робот и сеть, и каждое зараженное устройство называется ботом. Ботнеты могут быть разработаны для выполнения незаконных или вредоносных задач, включая отправку спама, кражу данных, вымогателей, мошенническое нажатие на рекламу или распределенные атаки типа «отказ в обслуживании» (DDoS).
А некоторые вредоносные программы, такие как программы-вымогатели, будут иметь прямое влияние на владельца устройства, ддос ботнет, вредоносное ПО может иметь различные уровни видимости. Некоторые вредоносные программы предназначены, чтобы получить полный контроль над устройством, в то время как другие вредоносные программы автоматически запускаются в качестве фонового процесса, ожидая инструкции от злоумышленника.”
Самораспространяющиеся ботнеты набирают дополнительных ботов через множество различных каналов. Пути заражения включают использование уязвимостей веб-сайта, троянских вредоносных программ и взлом слабой аутентификации для получения удаленного доступа.
После того, как доступ был получен, все эти методы заражения приводят к установке вредоносных программ на целевом устройстве, что позволяет удаленно управлять оператором ботнета. Как только устройство заражено, оно может попытаться самостоятельно распространить вредоносное ПО ботнета, привлекая другие аппаратные устройства в окружающей сети.
Хотя невозможно определить точное количество ботов в конкретном ботнете, оценки общего количества ботов в сложном ботнете варьировались от нескольких тысяч до более миллиона.
Почему создаются ботнеты?
Многие атаки осуществляются просто для получения прибыли. Аренда услуг ботнета стоит относительно недорого, цена варьируется в зависимости от размера ущерба, который они могут нанести. Барьер для создания ботнета также достаточно низок, чтобы сделать его прибыльным бизнесом для некоторых разработчиков программного обеспечения, особенно в географических районах, где регулирование и правоохранительная деятельность ограничены. Это сочетание привело к распространению онлайн-сервисов, предлагающих атаки по найму.
Как контролируется ботнет?
Основной характеристикой ботнета является возможность получать обновленные инструкции от мастера ботов. Возможность общаться с каждым ботом в сети позволяет злоумышленнику чередовать векторы атаки, изменять целевой IP-адрес, прекращать атаку и другие настраиваемые действия. Конструкции ботнетов различаются, но структуры управления можно разделить на две общие категории:
Модель ботнета клиент-сервер
Модель «клиент-сервер» имитирует традиционный рабочий процесс удаленной рабочей станции, когда каждая отдельная машина подключается к централизованному серверу (или небольшому числу централизованных серверов) для доступа к информации. В этой модели каждый бот будет подключаться к ресурсу центра управления (ЧПУ), такому как веб-домен или IRC-канал, чтобы получать инструкции.
Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин. Централизованным сервером, контролирующим ботнет, может быть устройство, принадлежащее злоумышленнику и управляемое им, или зараженное устройство.
Наблюдался ряд популярных централизованных топологий ботнетов, в том числе:
- Топология сети «Звезда»
- Топология сети с несколькими серверами
- Иерархическая топология сети
В любой из этих моделей клиент-сервер каждый бот будет подключаться к ресурсу центра управления, например, к веб-домену или IRC-каналу, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин.
Связью с простотой обновления инструкций к ботнету, из ограниченного числа централизованных источников, является уязвимость этих машин. Для того, чтобы удалить ботнет с централизованного сервера, должен быть нарушен только сервер. В результате этой уязвимости создатели вредоносного ПО ботнета эволюционировали и перешли к новой модели, которая менее подвержена разрушению через одну или несколько точек отказа.
Модель однорангового ботнета
Чтобы обойти уязвимости клиент-серверной модели, ботнеты совсем недавно были разработаны с использованием компонентов децентрализованного однорангового обмена файлами. Внедрение структуры управления внутри ботнета устраняет единственную точку сбоя, присутствующую в ботнете с централизованным сервером, что затрудняет усилия по смягчению последствий. P2P-боты могут быть как клиентами, так и командными центрами, работающими в связке с соседними узлами для распространения данных.
Одноранговые ботнеты поддерживают список доверенных компьютеров, с которыми они могут передавать и получать сообщения и обновлять свои вредоносные программы. Ограничивая количество других машин, к которым подключается бот, каждый бот подвергается воздействию только соседних устройств, что затрудняет отслеживание и затрудняет смягчение. Отсутствие централизованного командного сервера делает одноранговую ботнет более уязвимой для управления кем-либо, кроме создателя ботнета. Для защиты от потери контроля децентрализованные ботнеты обычно шифруются, поэтому доступ к ним ограничен.
Как IoT устройства становятся ботнет?
Никто не делает бизнес через беспроводную камеру видеонаблюдения, которую они ставят на заднем дворе, чтобы наблюдать за кормушкой для птиц. Но это не означает, что устройство не способно выполнять необходимые сетевые запросы. Мощь IoT-устройств в сочетании со слабой или плохо настроенной безопасностью создает возможность для вредоносных программ ботнетов нанимать новых ботов в коллектив. Всплеск в устройствах интернет вещей привел к новой возможности для DDoS-атак, так как многие устройства плохо настроены и уязвимы.
Чтобы снизить риск, устройства интернет-вещей с устаревшим микропрограммным обеспечением следует обновить, поскольку учетные данные по умолчанию обычно остаются неизменными с момента первоначальной установки устройства. Многие производители оборудования не заинтересованы в том, чтобы сделать свои устройства более безопасными, поэтому уязвимость, создаваемая вредоносными программами ботнетов для устройств IoT, остается нерешенным риском для безопасности.
Как отключить существующую сеть ботнет:
- Отключение центров управления ботнета: Ботнеты, разработанные с использованием схемы управления, могут быть легко отключены после идентификации центров управления. «Отсечение головы» в точках отказа может вывести всю бот-сеть из строя. В результате системные администраторы и сотрудники правоохранительных органов сосредотачиваются на закрытии центров управления этими ботнетами. Этот процесс сложнее, если командный центр работает в стране, где правоохранительные органы менее способны или готовы вмешаться.
- Устранение инфекции на отдельных устройствах: Для отдельных компьютеров стратегии восстановления контроля над машиной включают запуск антивирусного программного обеспечения, переустановку программного обеспечения из безопасной резервной копии или запуск с чистой машины после переформатирования системы. Для устройств IoT, стратегии могут включать в себя процедуры прошивки, выполняется сброс или иное форматирование устройства. Если эти опции неосуществимы, другие стратегии могут быть доступны от производителя устройства или системного администратора. Как защитить устройства от попадания в ботнет:
- Создание безопасных паролей Для многих уязвимых устройств уменьшение риска попадания в ботнет может быть так же просто, как изменение учетных данных администратора на что-то другое, кроме имени пользователя и пароля по умолчанию. Создание сложного пароля делает взлом системы сложным, создание очень сложного пароля делает взлом практически невозможным. Например, устройство, зараженное вредоносной программой Mirai, будет сканировать IP-адреса в поисках отвечающих устройств. Как только устройство ответит на запрос ping, бот попытается войти на это найденное устройство с заданным списком учетных данных по умолчанию. Если пароль по умолчанию был изменен и был реализован сложный пароль, бот сдастся и продолжит искать более уязвимые устройства.
- Разрешить только доверенное выполнение стороннего кода Если мобильный телефон использует программные обеспечения, нужно разрешить работать только приложениям из белого списка, для большего контроля, чтобы не происходил запуск программных приложений считающимися вредоносными. Это в первую очередь зависит от наличия безопасного ядра, которого нет на большинстве устройств интернет-вещей, и более применимо к компьютерам, на которых выполняется программное обеспечение сторонних производителей.
- Периодическая очистка/восстановление системы Восстановление системы до установленного состояния удалит любую грязь, собранную системой, включая программное обеспечение ботнет. Эта стратегия, при использовании в качестве превентивной меры, гарантирует, что даже тихо работающее вредоносное ПО выбрасывается с мусором.
- Внедрите хороших методов фильтрации входа и выхода
Другие более продвинутые стратегии включают методы фильтрации на сетевых маршрутизаторах и брандмауэрах. Принцип безопасного сетевого дизайна — это многослойность: есть наименьшее ограничение на общедоступные ресурсы, в то же время постоянно повышая безопасность для вещей, которые считается конфиденциальными. Кроме того, все, что пересекает эти границы, должно быть тщательно изучено: сетевой трафик, USB-накопители и т. д. Практика качественной фильтрации повышает вероятность того, что вредоносные программы DDoS и их методы распространения и связи будут пойманы перед входом или выходом из сети.