И поговорим о ботнетах. Для начала давайте дадим определение этим ботнетам. Ботнет – ряд компьютеров, которые без ведома пользователей объединены в подсеть через интернет соединение с помощью вредоносного ПО. Проще говоря, на отдельно взятый ПК попадает вредоносная программа (обычно вида backdoor), и позволяет использовать данный ПК в мошеннических целях. Схема не совсем простая, но безотказная и очень эффективная. Современные ботнеты контролируют колоссальное количество компьютеров, и при этом их пользователи и не догадываются о заражении своих ПК.

Принцип работы ботнетов

Рассмотрим работу простейшего ботнета. На компьютере человека, который распространяет вредоносное ПО, расположена серверная часть программы. В некоторых случаях владельцы ботнетов задействуют отдельные сервера для реализации масштабных целей. После попадания клиентской части вредоносной программы на компьютер жертвы приходят команды с этого , и зараженная машина полностью открыта для киберпреступника Он может просматривать всю пользовательскую информацию, заходить в сеть от имени пользователя зараженного ПК и отсылать с него запросы для осуществления атак на сайты.

Использование ботнетов

Самый простой и популярный способ использования ботнета – это рассылка спама. Практически 80% всего существующего сегодня спама рассылается с так называемых зомби-компьютеров. Причем создатель ботнета может и не самостоятельно рассылать спам, а сдать его в аренду. Благодаря этим системам миллионы сообщений можно разослать в очень короткое время. При этом среднестатистический спамер может заработать более 60 тыс. долларов в год.

Следующий способ использования данной системы – это анонимный доступ в сеть. Это позволяет злоумышленникам проводить взлом интернет-ресурсов от имени зараженных компьютеров, а также переводить деньги или информацию непосредственно через свою систему абсолютно анонимно.

Самозащита

Основные признаки заражения ботом заключаются в следующем:

Постоянные доклады антивируса или брандмауэра о неизвестной программе, которая пытается подключиться к интернету.
Довольно большой исходящий трафик.
Появление в списке исполняемых задач процессов, которые маскируются под системные. Читать их стоит очень внимательно, поскольку отличие между системным процессом и вредоносным может заключаться лишь в одном символе.

При подозрении на зараженность необходимо проверить папку с локальными настройками сети. В случае присутствия бота в данной папке будут присутствовать неизвестные дополнительные файлы.

Для защиты от ботов необходимо следовать нескольким правилам:

• Следить за новизной и актуальностью .
• Постоянно устанавливать обновления для системы безопасности вашей ОС.
• Пользоваться программами для пользовательских данных.

На этом все, с Вами на связи был Кравченко Роман. До новых встреч на сайте

Бот-сеть — это группа компьютеров, которые были заражены вредоносными программами и попали под контроль злоумышленниками. Термин ботнет — это совокупность слов робот и сеть, и каждое зараженное устройство называется ботом. Ботнеты могут быть разработаны для выполнения незаконных или вредоносных задач, включая отправку спама, кражу данных, вымогателей, мошенническое нажатие на рекламу или распределенные атаки типа «отказ в обслуживании» ().

А некоторые вредоносные программы, такие как программы-вымогатели, будут иметь прямое влияние на владельца устройства, ддос ботнет, вредоносное ПО может иметь различные уровни видимости. Некоторые вредоносные программы предназначены, чтобы получить полный контроль над устройством, в то время как другие вредоносные программы автоматически запускаются в качестве фонового процесса, ожидая инструкции от злоумышленника.”

Самораспространяющиеся ботнеты набирают дополнительных ботов через множество различных каналов. Пути заражения включают использование уязвимостей веб-сайта, троянских вредоносных программ и взлом слабой аутентификации для получения удаленного доступа. После того, как доступ был получен, все эти методы заражения приводят к установке вредоносных программ на целевом устройстве, что позволяет удаленно управлять оператором ботнета. Как только устройство заражено, оно может попытаться самостоятельно распространить вредоносное ПО ботнета, привлекая другие аппаратные устройства в окружающей сети. Хотя невозможно определить точное количество ботов в конкретном ботнете, оценки общего количества ботов в сложном ботнете варьировались от нескольких тысяч до более миллиона.

Почему создаются ботнеты?

Многие атаки осуществляются просто для получения прибыли. Аренда услуг ботнета стоит относительно недорого, цена варьируется в зависимости от размера ущерба, который они могут нанести. Барьер для создания ботнета также достаточно низок, чтобы сделать его прибыльным бизнесом для некоторых разработчиков программного обеспечения, особенно в географических районах, где регулирование и правоохранительная деятельность ограничены. Это сочетание привело к распространению онлайн-сервисов, предлагающих атаки по найму.

Как контролируется ботнет?

Основной характеристикой ботнета является возможность получать обновленные инструкции от мастера ботов. Возможность общаться с каждым ботом в сети позволяет злоумышленнику чередовать векторы атаки, изменять целевой IP-адрес, прекращать атаку и другие настраиваемые действия. Конструкции ботнетов различаются, но структуры управления можно разделить на две общие категории:

Модель ботнета клиент-сервер

Модель «клиент-сервер» имитирует традиционный рабочий процесс удаленной рабочей станции, когда каждая отдельная машина подключается к централизованному серверу (или небольшому числу централизованных серверов) для доступа к информации. В этой модели каждый бот будет подключаться к ресурсу центра управления (ЧПУ), такому как веб-домен или IRC-канал, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин. Централизованным сервером, контролирующим ботнет, может быть устройство, принадлежащее злоумышленнику и управляемое им, или зараженное устройство.

Наблюдался ряд популярных централизованных топологий ботнетов, в том числе:

1. Топология сети «Звезда»
   
2. Топология сети с несколькими серверами
   
3. Иерархическая топология сети
   

В любой из этих моделей клиент-сервер каждый бот будет подключаться к ресурсу центра управления, например, к веб-домену или IRC-каналу, чтобы получать инструкции. Используя эти централизованные хранилища для обслуживания новых команд ботнета, злоумышленник просто должен изменить исходный материал, который каждый ботнет использует из центра управления, чтобы обновить инструкции для зараженных машин.

Связью с простотой обновления инструкций к ботнету, из ограниченного числа централизованных источников, является уязвимость этих машин. Для того, чтобы удалить ботнет с централизованного сервера, должен быть нарушен только сервер. В результате этой уязвимости создатели вредоносного ПО ботнета эволюционировали и перешли к новой модели, которая менее подвержена разрушению через одну или несколько точек отказа.

Модель однорангового ботнета

Чтобы обойти уязвимости клиент-серверной модели, ботнеты совсем недавно были разработаны с использованием компонентов децентрализованного однорангового обмена файлами. Внедрение структуры управления внутри ботнета устраняет единственную точку сбоя, присутствующую в ботнете с централизованным сервером, что затрудняет усилия по смягчению последствий. P2P-боты могут быть как клиентами, так и командными центрами, работающими в связке с соседними узлами для распространения данных.

Одноранговые ботнеты поддерживают список доверенных компьютеров, с которыми они могут передавать и получать сообщения и обновлять свои вредоносные программы. Ограничивая количество других машин, к которым подключается бот, каждый бот подвергается воздействию только соседних устройств, что затрудняет отслеживание и затрудняет смягчение. Отсутствие централизованного командного сервера делает одноранговую ботнет более уязвимой для управления кем-либо, кроме создателя ботнета. Для защиты от потери контроля децентрализованные ботнеты обычно шифруются, поэтому доступ к ним ограничен.

Никто не делает бизнес через беспроводную камеру видеонаблюдения, которую они ставят на заднем дворе, чтобы наблюдать за кормушкой для птиц. Но это не означает, что устройство не способно выполнять необходимые сетевые запросы. Мощь IoT-устройств в сочетании со слабой или плохо настроенной безопасностью создает возможность для вредоносных программ ботнетов нанимать новых ботов в коллектив. Всплеск в устройствах интернет вещей привел к новой возможности для DDoS-атак, так как многие устройства плохо настроены и уязвимы.

Чтобы снизить риск, устройства интернет-вещей с устаревшим микропрограммным обеспечением следует обновить, поскольку учетные данные по умолчанию обычно остаются неизменными с момента первоначальной установки устройства. Многие производители оборудования не заинтересованы в том, чтобы сделать свои устройства более безопасными, поэтому уязвимость, создаваемая вредоносными программами ботнетов для устройств IoT, остается нерешенным риском для безопасности.

Как отключить существующую сеть ботнет:

• Отключение центров управления ботнета:
  Ботнеты, разработанные с использованием схемы управления, могут быть легко отключены после идентификации центров управления. «Отсечение головы» в точках отказа может вывести всю бот-сеть из строя. В результате системные администраторы и сотрудники правоохранительных органов сосредотачиваются на закрытии центров управления этими ботнетами. Этот процесс сложнее, если командный центр работает в стране, где правоохранительные органы менее способны или готовы вмешаться.
  
• Устранение инфекции на отдельных устройствах:
  Для отдельных компьютеров стратегии восстановления контроля над машиной включают запуск антивирусного программного обеспечения, переустановку программного обеспечения из безопасной резервной копии или запуск с чистой машины после переформатирования системы. Для устройств IoT, стратегии могут включать в себя процедуры прошивки, выполняется сброс или иное форматирование устройства. Если эти опции неосуществимы, другие стратегии могут быть доступны от производителя устройства или системного администратора.
  Как защитить устройства от попадания в ботнет:
  
• Создание безопасных паролей
  Для многих уязвимых устройств уменьшение риска попадания в ботнет может быть так же просто, как изменение учетных данных администратора на что-то другое, кроме имени пользователя и пароля по умолчанию. Создание сложного пароля делает взлом системы сложным, создание очень сложного пароля делает взлом практически невозможным. Например, устройство, зараженное вредоносной программой Mirai, будет сканировать IP-адреса в поисках отвечающих устройств. Как только устройство ответит на запрос ping, бот попытается войти на это найденное устройство с заданным списком учетных данных по умолчанию. Если пароль по умолчанию был изменен и был реализован сложный пароль, бот сдастся и продолжит искать более уязвимые устройства.
  
• Разрешить только доверенное выполнение стороннего кода
  Если мобильный телефон использует программные обеспечения, нужно разрешить работать только приложениям из белого списка, для большего контроля, чтобы не происходил запуск программных приложений считающимися вредоносными. Это в первую очередь зависит от наличия безопасного ядра, которого нет на большинстве устройств интернет-вещей, и более применимо к компьютерам, на которых выполняется программное обеспечение сторонних производителей.
  
• Периодическая очистка/восстановление системы
  Восстановление системы до установленного состояния удалит любую грязь, собранную системой, включая программное обеспечение ботнет. Эта стратегия, при использовании в качестве превентивной меры, гарантирует, что даже тихо работающее вредоносное ПО выбрасывается с мусором.
  
• Внедрите хороших методов фильтрации входа и выхода
  Другие более продвинутые стратегии включают методы фильтрации на сетевых маршрутизаторах и брандмауэрах. Принцип безопасного сетевого дизайна — это многослойность: есть наименьшее ограничение на общедоступные ресурсы, в то же время постоянно повышая безопасность для вещей, которые считается конфиденциальными. Кроме того, все, что пересекает эти границы, должно быть тщательно изучено: сетевой трафик, USB-накопители и т. д. Практика качественной фильтрации повышает вероятность того, что вредоносные программы DDoS и их методы распространения и связи будут пойманы перед входом или выходом из сети.

На видео: Что такое ботнет и как его создают.

Доброго времени суток.

Вы знали, что ваш компьютер может стать не только жертвой вирусных атак, но и принимать в них участие? Конечно же, добропорядочный пользователь не дает на это свое согласие.

Как такое возможно?

Прочитайте об этом в моей статье, где я простыми словами попытался объяснить, что такое Ботнет. Также вы узнаете о возникновении этого понятия, его архитектуре и особенностях. Ещё я расскажу о признаках заражения ПК, наиболее мощных примерах атак и способах борьбы с подобными проблемами.

Ботнет - это…

Данный термин образовался из двух английских слов: roBOT и NETwork (сеть). На деле он представляет собой сеть из компьютеров, на которых установлены боты - специальные программы, автоматически исполняющие заданные действия.

Такое ноу-хау появилось в начале 90-х годов с благими намерениями. С его помощью управлялись IRC-каналы, предназначенные для передачи мгновенных сообщений в режиме реального времени. Но со временем ботнеты перешли на сторону зла. И сейчас используются, в основном, для распространения спама, подбора паролей и даже для осуществления масштабных .

Нужно понимать, что сами ботнеты не являются , это сети, которые их содержат. Также в их состав могут входить брандмауэры, программы для дистанционного управления ПК, средства скрытия от обнаружения операционной системой и т. д.

Распространение

Как ваш компьютер может стать частью этого безобразия? Злоумышленники незаметно способны проникнуть в него при помощи вредоносного программного обеспечения. Вы можете подхватить его тем же способом, как и любую другую заразу. Например путем открытия письма со спамом на электронной почте, перехода на зараженный сайт, скачивания непроверенного ПО и др.

В итоге ваш компьютер становится одним из многих, с которых осуществляется вирусная атака на другие машины. Таким способом хакеры скрывают свою личность и местонахождение. Потому что пакеты с данными отправляются не с их компа, а от бота, который установлен на вашем ПК и многих других. К слову, по статистике создателя протокола TCP/IP Винта Серфа приблизительно четвёртая часть от общего числа компьютеров, подключенных к интернету, может входить в состав ботнета.

Признаки заражения

Понять, что компьютер стал частью ботнета, достаточно сложно. Дело в том, что после проникновения вредительская программа может не сразу вступить в действие. Она «спит» или незаметно размножается, пока «хозяин» удаленно ее не активирует. К слову, сейчас распространены способы дистанционного управления ботами. Через веб-сайты или по принципу p2p-сетей, основанных на равноправии участников. Вдобавок непросто заметить, как работает зловред, так как он маскируется под системные службы и процессы, чтобы вы ничего не заподозрили.

Всё же можно выделить несколько признаков того, что ваш компьютер подвергся злодеяниям хакеров:

• Больше расходуется интернет-трафик;
• Возникают проблемы при подключении к Сети;
• Компьютер стал медленнее работать;
• Сильно грузится процессор, хотя вы работаете за компом, как обычно;
• Вы заметили исходящие письма и сообщения, к которым не имеете никакого отношения;
• Операционка выдаёт различные ошибки, и т. д.

Как обезопасить свой компьютер?

Чтобы ваш ПК не был завербован в ботнет, следует придерживаться тех же мер безопасности, что и при борьбе с вирусами:

• Не переходить по подозрительным ссылкам;
• Не следовать инструкциям, предложенным в спам-рассылке;
• Качать и устанавливать ПО только из проверенных источников;
• Использовать надёжные пароли;
• Выполнять регулярную проверку антивирусами и всегда обновлять их.

Примеры ботнетов

В мире существует такое множество примеров ботнетов, что и не перечислить. Но для общего обозрения расскажу о нескольких наиболее нашумевших:

• Conficker. Это червь, самостоятельно распространявшийся через уязвимости в сетевом сервисе Server системы Windows в конце 2008 - начале 2009 гг. За это время успел атаковать 9 млн. машин.

• ZeroAccess. Отличился таким же количеством заражений, произведенных на протяжении с 2009 по 2013 год. Является трояном-загрузчиком, распространявшимся через эксплойт-пак, то есть через уязвимости в ПО.

• TDL. Суть и способ распространения такие же, что и в предыдущем примере, только нанесенный ущерб вдвое меньше. Изначально разрабатывался как демонстрация обхода антивируса, но «насмешка» переросла в зловредный ботнет.

Как я уже говорил, с помощью таких сетей осуществляются DoS и DDoS-атаки, выводящие из строя одновременно множество машин. Приведу пару примеров:

• 21 октября 2016 года жертвой стал крупный американский поставщик интернет-услуг Dyn, из-за чего пострадали такие известные организации как BBC, Fox News, PayPal, Visa и пр.
• В сентябре того же года произведена атака на другой хостинг-провайдер - OVH, в которой были задействованы 150 тысяч устройств, в том числе видеорегистраторы и камеры.

На этом всё.

Приходите в гости ко мне в блог чаще.

Ботнеты составляют серьезную вычислительную мощность по всему миру. И эта мощность регулярно (возможно, даже последовательно) является источником вредоносного ПО, вымогательства, спама и т. д. Но как появляются ботнеты? Кто их контролирует? И как мы можем их остановить?

Определение ботнета гласит, что «ботнет представляет собой набор подключенных к Интернету устройств, которые могут включать в себя ПК, серверы, мобильные устройства и интернет-устройства, которые заражены и контролируются распространенным типом вредоносного ПО. Пользователи часто не знают о том, что ботнет заражает их систему».

Последнее предложение этого определения является ключевым. Владельцы устройств в ботнете обычно об этом даже не догадываются. Устройства, зараженные определенными вариантами вредоносного ПО, контролируются киберпреступниками удаленно. Вредоносная программа скрывает вредоносные действия ботнета на устройстве, при этом владелец не знает о своей роли в сети. Вы можете рассылать спам тысячами писем, рекламировать таблетки для похудения - без каких-либо подозрений.

Ботнет имеет несколько общих функций в зависимости от желания оператора ботнета:

1. Спам: отправка огромных объемов спама по всему миру. Например, средняя доля спама в глобальном почтовом трафике составляет 56,69 процента.
2. Вредоносное ПО: предоставление вредоносных программ и шпионских программ уязвимым машинам. Ресурсы ботнета покупаются и продаются злоумышленниками для дальнейшего развития их преступных предприятий.
3. Данные. Захват паролей и другой личной информации. Это связано с вышеизложенным.
4. Мошенничество с кликом: зараженное устройство посещает веб-сайты для создания ложного веб-трафика и рекламных показов.
5. DDoS: операторы Botnet направляют мощность зараженных устройств по конкретным целям, нагружая цели атаки настолько что те вынуждены переходить в автономный режим или вызывают сбои.

Операторы Botnet обычно превращают свои сети в ряд этих функций для получения прибыли. Например, операторы ботнета, отправляющие медицинский спам гражданам России, выполняют заказ интернет аптек, которые доставляют товары.

За последние несколько лет основные ботнеты немного изменились. В то время как медицинские и другие подобные типы спама были чрезвычайно прибыльными в течение длительного времени, преследование правоохранительными органами подорвали их прибыль.

Как выглядит Ботнет?

Мы знаем, что ботнет - это сеть зараженных компьютеров. Тем не менее, основные компоненты и фактическая архитектура ботнета интересны.

Архитектура

Существуют две основные архитектуры бот-сетей:

• Модель клиент-сервер: в ботнете клиент-сервер обычно используется клиент чата (ранее IRC, но современные бот-сети использовали Telegram и другие зашифрованные службы обмена сообщениями), домен или веб-сайт для связи с сетью. Оператор отправляет сообщение серверу, передавая его клиентам, которые выполняют команду. Хотя инфраструктура ботнета отличается от базового до очень сложного, сосредоточенное усилие может отключить ботнет клиент-сервер.
• Модель равный-равному (Peer-to-Peer): бот-сеть однорангового (P2P) пытается остановить программы безопасности, идентифицирующих конкретные серверы C2, создав децентрализованную сеть. Сеть P2P более продвинута, в некотором роде, чем модель клиент-сервер. Кроме того, их архитектура отличается от того, как это можно себе представить. Вместо единой сети взаимосвязанных зараженных устройств, обменивающихся по IP-адресам, операторы предпочитают использовать зомби-устройства, подключенные к узлам, в свою очередь, подключенные друг к другу и основной сервер связи. Идея заключается в том, что существует слишком много взаимосвязанных, но отдельных узлов, которые нужно удалить одновременно.

Управление и контроль

Команды Command and Control (иногда написанные C&C или C2) входят в различные варианты:

• Телнет: ботнеты Telnet относительно просты, используя скрипт для сканирования диапазонов IP-адресов для серверов telnet и SSH по умолчанию для добавления уязвимых устройств и добавления ботов.
• IRC: IRC-сети предлагают метод связи с низкой пропускной способностью для протокола C2. Возможность быстрого переключения каналов предоставляет дополнительную безопасность для операторов ботнета, но также означает, что зараженные клиенты легко обрезаются с бот-сети, если они не получают обновленную информацию о канале. Трафик IRC относительно легко исследовать и изолировать, то есть многие операторы отошли от этого метода.
• Домены. Некоторые крупные бот-сети используют домены, а не клиент обмена сообщениями для управления. Зараженные устройства получают доступ к определенному домену, обслуживающему список команд управления, легко предоставляя доступ к изменению и обновлению «на лету». Недостатком является требование большой пропускной способности для больших бот-сетей, а также относительная легкость, с которой закрываются подозрительные контрольные домены. Некоторые операторы используют так называемый пуленепробиваемый хостинг для работы за пределами юрисдикции стран со строгим уголовным интернет-законодательством.
• P2P: протокол P2P обычно реализует цифровое подписание с использованием асимметричного шифрования (один открытый и один закрытый ключ). Пока оператор имеет закрытый ключ, чрезвычайно сложно (по сути, невозможно) для кого-либо другого выпустить разные команды для ботнета. Аналогичным образом, отсутствие одного определенного сервера C2 делает атаку и уничтожение ботнета P2P более сложным, чем его коллеги.
• Другие: На протяжении многих лет мы видели, как операторы ботнета используют некоторые интересные каналы Command and Control. Это мгновенно приходит на ум - это каналы социальных сетей, такие как ботнет Android Twitoor, контролируемый через Twitter, или Mac.Backdoor.iWorm, который использует субрегмент списка серверов Minecraft для извлечения IP-адресов для своей сети. Instagram также небезопасен. В 2017 году Turla, группа кибер-шпионажа, использовала комментарии к фотографиям Бритни Спирс в Instagram для хранения местоположения сервера C2 распространения вредоносных программ.

Зомби/Боты

Заключительная часть головоломки ботнета - зараженные устройства (т. е. Зомби).

Операторы Botnet целенаправленно просматривают и заражают уязвимые устройства, чтобы расширить свою рабочую мощность. Мы перечислили основные ботнеты, описанные выше. Все эти функции требуют вычислительной мощности. Кроме того, операторы ботнета не всегда дружат друг с другом, забирая зараженные машины друг у друга.

Подавляющее большинство владельцев устройств зомби не знают о своей роли в ботнете. Однако время от времени вредоносное ПО ботнета выступает в качестве канала для других вариантов вредоносного ПО.

Типы устройств

Сетевые устройства поступают в сеть с поразительной скоростью. И ботнеты - это не только охота на ПК или Mac. Интернет-устройства так же восприимчивы (если не больше) к вариантам вредоносных программ ботнета. Особенно, если их ищут из-за их ужасающей безопасности.

Смартфоны и планшеты также не защищены. Android представляет собой легкую мишень: он имеет открытый исходный код, несколько версий операционной системы, и многочисленные уязвимости в любое время. Не радуйтесь так быстро, пользователи iOS. Существует несколько вариантов вредоносного ПО, предназначенных для мобильных устройств Apple, хотя обычно они ограничены взломанными iPhone с уязвимостями безопасности.

Другой основной целью устройства бот-сети является уязвимый маршрутизатор. Маршрутизаторы, запускающие старую и небезопасную прошивку, являются легкими объектами для бот-сетей, и многие владельцы не поймут, что их интернет-портал несет инфекцию. Точно так же просто поразительное количество пользователей Интернета не может изменить настройки по умолчанию на своих маршрутизаторах. после установки. Подобно устройствам IoT, это позволяет распространять вредоносное ПО с огромной скоростью, с небольшим сопротивлением в заражении тысяч устройств.

Снятие ботнета - непростая задача по ряду причин. Иногда архитектура ботнета позволяет оператору быстро перестраиваться. В других случаях ботнет просто слишком велик, чтобы сбить его одним махом.

GameOver Zeus (GOZ)

GOZ была одной из крупнейших последних бот-сетей, которая, как полагают, имела более миллиона зараженных устройств на своем пике. Основным использованием ботнета была кража денег и спам-почта и, используя сложный алгоритм создания одноранговых доменов, оказалась не останавливаемой.

Алгоритм создания домена позволяет бот-сети предварительно генерировать длинные списки доменов для использования в качестве «рандеву» для вредоносного ПО ботнета. Множественные точки рандеву делают остановку распространения практически невозможной, так как только операторы знают список доменов.

В 2014 году группа исследователей безопасности, работающая совместно с ФБР и другими международными агентствами, в конечном итоге вынудила GameOver Zeus перейти в автономный режим. Это было непросто. После регистрации последовательностей регистрации домена команда зарегистрировала около 150 000 доменов за шесть месяцев до начала операции. Это должно было блокировать любую будущую регистрацию домена у операторов ботнета.

Затем несколько интернет-провайдеров передали управление операциями прокси-узлов GOZ, используемых операторами ботнета, для связи между командами и серверами управления и фактическим бот-сетью.

Владелец ботнета Евгений Богачев (онлайн-псевдоним Славик) через час понял, что произошел демонтаж его бот-сети и пытался отбить ее еще четыре или пять часов, прежде чем «уступить» и признать поражение.

В результате силовики смогли взломать печально известное шифрование ransomware CryptoLocker, создав бесплатные инструменты для расшифровки для жертв хакера.

Ботнеты IoT различны

Меры по борьбе с GameOver Zeus были обширными, но необходимыми. Это иллюстрирует, что чистая мощь искусно обработанной ботнеты требует глобального подхода к смягчению последствий, требуя «инновационной юридической и технической тактики с традиционными инструментами правоохранительной деятельности», а также «прочных рабочих отношений с частными отраслевыми экспертами и сотрудниками правоохранительных органов в более чем 10 стран по всему миру».

Но не все ботнеты одинаковы. Когда одна бот-сеть подходит к концу, другой оператор учится на ошибках.

В 2016 году самым большим и самым плохим ботнетом был Мирай. До его частичного демонтажа он поразил несколько важных целей DDoS атаками. Хотя Мирай даже не был близок к тому, чтобы быть самым крупным ботнетом, который когда-либо видел мир, он произвел самые большие атаки. Мирай сделал разрушительное использование обложек смехотворно небезопасных устройств IoT., используя список из 62 небезопасных паролей по умолчанию для запуска устройств (admin/admin был наверху списка).

Причиной огромного распространения Mirai является то, что большинство устройств IoT сидят, ничего не делая, пока не будут запрошены. Это означает, что они почти всегда в сети и почти всегда имеют сетевые ресурсы. Традиционный оператор ботнета будет анализировать свои пиковые периоды мощности и временные атаки соответственно.

Таким образом, по мере того как более плохо сконфигурированные устройства IoT подключаются к сети, шансы на эксплуатацию растут.

Как оставаться в безопасности

Мы узнали о том, что делает ботнет, как они растут, и многое другое. Но как вы остановите свое устройство, входящее в его состав? Ну, первый ответ прост: обновите свою систему. Регулярные обновления исправляют уязвимые дыры в вашей операционной системе, в свою очередь сокращая возможности для ее эксплуатации злоумышленниками.

Вторая - загрузка и обновление антивирусной программы и программы защиты от вредоносных программ. Есть множество бесплатных антивирусных комплексов, которые предлагают отличную защиту с неплохим уровнем защиты.

Наконец, используйте дополнительную защиту браузера. Ботнета легко избежать, если вы используете расширение блокировки скрипта, такое как uBlock Origin.

Был ли ваш компьютер частью ботнета? Как вы это поняли? Вы узнали, какой вирус использовал ваше устройство? Сообщите нам свой опыт по выходу из Ботнета ниже!

Полина Чехова

21 октября 2016 года на крупнейшего держателя серверов доменных имен в США, провайдера Dyn, обрушилась массированная DDoS-атака . Несколько часов жители Восточного побережья США не могли зайти на десятки сайтов, в том числе PayPal, Amazon, Netflix и Twitter. Провайдер обвинил в атаке ботнет Mirai, заявив, что он задействовал около 100 тысяч «зомбированных» устройств интернета вещей – IP-камер, маршрутизаторов, и других IoT-приборов.

Но как ботнет получил доступ к такому количеству устройств? И были ли в курсе владельцы этих несчастных гаджетов, посылавших запросы на Dyn? А может быть, мое устройство тоже под угрозой?

Как понять, что компьютер стал частью ботнета, и прекратить это безобразие – в обзоре Smartbabr.

Что такое ботнет?

Ботнет – это сеть устройств из некоторого количества хостов, с запущенными ботами – программами, которые скрытно распоряжаются чужими устройствами по своему усмотрению (а точнее усмотрению тех, кто это ПО создал). Ботнет в основном славен тем, что может:

• доставлять неудобство только владельцу устройства, то есть использовать дополнительные средства каждого очередного зараженного устройства для решения задач, требующих больших вычислительных мощностей;
• доставлять неудобство владельцу устройства и недругам создателя ботнета, то есть устраивать прокси-активность (от англ. proxy - право пользоваться от чужого имени).

Например, ботнет может запускать атаки типа DDoS, или организовывать доступ для своих «создателей» в хорошо защищенные корпоративные сети через зараженный компьютер с правами в корпоративной среде, что позволяет украсть важные данные или использовать ресурсы среды для мощных DDoS-атак.

«Ещё одна идея, – добавляет эксперт-исследователь компании «Перспективный мониторинг» Юрий Черемкин, – разная географическая распределённость заражённых объектов для сокрытия местонахождения атакующих».

Какие устройства могут пострадать?

Все, которые обладают IP-адресом.

«Вредоносный код, превращающий устройство в бота, может быть разработан хакерами для заражения любого подключенного к интернету девайса, будь то компьютер, смартфон, домашний роутер, IP-камера или видеорегистратор. Особо уязвимы IoT-устройства и гаджеты на хрупкой ко взломам ОС Android» , – отметил инженер компании DDoS-GUARD.

В сентябре 2016 группировка vDOS задействовала ботнет из почти 150 тысяч зараженных видеорегистраторов для атак на сайт известного журналиста Брайана Кребса, который ранее раскрыл имена основателей этой группировки. Защитить его смог только Google.

Но вернемся к компьютерам и смартфонам.

«Так как ботнеты являются разновидностью ПО, то не существует принципиальных различий между загрузкой на десктоп или смартфон. Однако разные операционные системы и платформы могут быть заражены по-разному» – поясняет Юрий Черемкин.

В среднем количество уязвимостей для настольных решений выше, чем для мобильных. Из-за встроенных механизмов безопасности инфицировать мобильные устройства сложнее, но злоумышленники обходят их, пользуясь доверчивостью и невнимательностью юзеров.

Часто пользователей вынуждают установить якобы легитимное ПО, которое впоследствии загружает необходимый для превращения смартфона в бот функционал в обход магазинов приложений. Кроме того, ранее легитимное приложение может быть модифицировано. В апреле 2016 года специалисты из FireEye подтвердили , что это возможно. Вредоносы маскировались по WhatsApp, Twitter, Facebook, Skype, Telegram и ВК.

Как это работает?

Посмотрим на примере прославившегося в США ботнета Mirai.

Mirai – это созданная хакерами программа, которая взламывает онлайн-устройства и использует их для проведения DDoS-атак. По одной версии, программа использует почтовые вирусы, чтобы заразить сначала домашний компьютер, а потом и все, что к нему подключено – видеорегистратор, телеприставку, роутер и так далее. Если речь идет о корпоративной сети, то Mirai может захватить даже IP-камеры, используемые для видеонаблюдения.

По другой версии, Mirai непрерывно сканирует устройства IoT и заражает их, используя таблицу устанавливаемых производителем имен пользователей и паролей. Устройство остается зараженным до первой перезагрузки, если после пароль не был сменен, то устройство заражается снова.

Получив тем или иным способом доступ к устройствам интернета вещей, Mirai создает из них ботнет.

Исходный код расположен в открытом доступе в Dark Net, поэтому его могут использовать разные хакерские группировки.

Как понять, что компьютер стал ботом?

Можно подойти к нему, и спросить: «Бот ты, или не бот?» Но вряд ли это сработает. Хотя...

Есть несколько верных признаков, которые могут свидетельствовать о заражении:

• Наиболее заметное проявление: запускаете браузер, а там уже автоматически загружается какой-то неизвестный вам сайт, то есть на него посылается запрос без каких-либо действий с вашей стороны.
• Если браузер и клиенты систем обмена сообщениями (Skype, WhatsApp) не запущены, но при этом вы видите много исходящих сетевых подключений непонятно куда: это верный признак, что гаджет заражен.
• Если возникает разница в типовом поведении устройства, например, отсутствуют периоды бездействия, либо появляется высокая активность каких-то приложений, то это может служить признаком в общем случае.
• Если система слушает какие-то левые порты (TCP или UDP), вполне возможно, что это командная линия внедрившегося в нее бота.

Но все это не определяющие признаки: они могут быть связаны с другими проблемами в устройстве, а ботнеты для сокрытия активности могут выполнять свои действия только в моменты бездействия устройства или его подключения к электропитанию.

«Основным признаком заражения является эксплуатация сетевых или локальных ресурсов устройства, поэтому одним из критериев является увеличенная загрузка ресурсов устройства. – подытожил Юрий Черемкин. – Обнаружить такую активность можно различными дополнительными средствами, например, мониторами активности и загрузки ресурсов».

«Для проверки в Windows существует полезная команда netstat, – рассказал инженер компании DDoS-GUARD. – На Linux есть ее аналоги (утилита ss из пакета iproute2). Netstat (network statistics) – утилита командной строки, выводящая на дисплей устройства состояние TCP-соединений (как входящих, так и исходящих), таблицы маршрутизации, число сетевых интерфейсов и сетевую статистику по протоколам».

Как вы поняли, если есть малейшее подозрение на заражение, то лучше обратиться к специалисту.

Как вернуть компьютер к нормальной жизни?

Если вы нашли корень зла, то проблем нет - удаляйте обычными способами: вручную или при помощи антивируса. Но, скорее всего, вручную ничего не получится: вредоносы могут (в случае настольных ОС) маскироваться под системные процессы или дублировать себя многократно в местах автозапуска; при наличии нескольких процессов, они могут сами себя клонировать, чтобы их невозможно было завершить.

Но даже если ботов получится удалить, проблему могут сохраниться.

«После удаления зловредов бывает так, что ОС утрачивает работоспособность, ибо сами тела гадостей удалены, а настройки, которые эта гадость переделала под себя, остаются. Тогда приходится править руками реестр, и если вы в этом мало разбираетесь, лучше доверить это профессионалу», – советует инженер компании DDoS-GUARD.

По словам Юрия Черемкина, устройства с разблокированным загрузчиком - первые в категории риска. Если загрузчик разблокирован, то злоумышленники смогут получить системные права, встроить зловред и вернуть оригинальное состояние устройства. Такие действия могут быть выполнены менее чем за 10 минут (говоря об Android, это операции root и de-root).

Наиболее надёжным спосбом является откат к заводским настройкам либо принудительный даунгрейд устройства, однако здесь также могут быть проблемы, так как не всегда даунгрейды возможны из ограничений доступности прошивок под устройства, а возврат к заводским настройкам не всегда гарантирует удаление зловредов.

В случае с компьютером тоже есть радикальный способ, к которому всегда можно прибегнуть в крайнем случае – скинуть систему до заводских настроек/переустановить ОС.

Как подстраховаться?

1. Менять пароли на всех устройствах. Чем чаще будете менять, и чем пароли будут сложнее, тем лучше;
2. Проверять количество установленных сетевых подключений и удалять подозрительные;
3. Не качать файлы с сомнительных ресурсов;
4. Регулярно обновлять операционную систему и основное программное обеспечение;
5. Закрыть все возможные бреши в программном обеспечении устройств: отключить разрешения на стороннее внедрение в ОС.