В последнее время о ботнетах в рунете говорят очень много. В основном это связано с DDoS-атаками на известные и посещаемые ресурсы. Ниже мы обсудим опыт крупных компаний в области борьбы с этой напастью.

Что такое ботнет?

Ботнет представляет собой совокупность систем, зараженных вредоносным кодом и управляемых централизованно. Причем устроен он таким образом, что уничтожение или отключение достаточно большого количества узлов не должно влиять на его работоспособность в целом. Ботнеты могут использоваться для таких целей, как рассылка спама, фишинг, DDoS, атаки на другие системы, заражение новых ПК и превращение их в узлы ботнета. Стоит отметить, что в данный момент индустрия киберпреступности довольно сильно сегментирована по специализации и направленности преступлений. Это означает, что каждый занимается своим делом. В результате получается, что создатель ботнета продает ресурсы или услуги ботнета другим злоумышленникам, специализирующимся на тех или иных видах преступлений (типовую бизнес-структуру ты можешь посмотреть на иллюстрации). Стоит отметить, что интерфейс управления ботнетом довольно прост. С ним может справиться человек, обладающий даже очень низкой квалификацией. В соответствии с облачными веяниями, в последнее время появилась услуга Malware as a Service. Если кто-то не может создать и распространять свой зловредный код, всегда найдется провайдер, способный сделать это за определенные деньги. Впрочем, создать ботнет сегодня тоже не бог весть какая сложная задача. На рынке есть множество готовых наборов для изготовления ботнета, таких как Zbot (Zeus), Spyeye, Mariposa, Black Energy, ButterFly, Reptile. Это означает, что современные владельцы ботнетов могут даже не обладать какими-либо особыми технологическими навыками. Впрочем, если говорить о крупных ботнетах, то их создатели - это, безусловно, способные, талантливые люди, бороться с которыми довольно сложно. В рамках этого материала я хотел бы рассказать о практиках, которые используются большими компаниями для борьбы с киберпреступностью и, в частности, ботнетами. Речь, в частности, пойдет об активности компании Microsoft, в которой я и работаю.

Стандартный подход к управлению ботнетом

Microsoft vs. Ботнет

Возможно, это и заставит кого-то улыбнуться, но в Microsoft в последние несколько лет наблюдается серьезная работа по повышению безопасности продуктов и сервисов. Появились и стали применяться методологии разработки безопасного кода SDL, что ключевым образом повлияло на количество найденных за последнее время уязвимостей (особенно тех, которые можно эксплуатировать). Но речь сегодня пойдет не о превентивных мерах, которые могут предотвратить будущие угрозы, а о борьбе с проблемами, которые актуальны сегодня. Большое количество зараженных машин, работающих под операционной системой Windows, - как раз такая проблема.
Внутри компании был создан целый ряд подразделений по борьбе с киберпреступлениями. Последние носят разные имена - Digital Crime Unit, Microsoft Security Response Center, Trust worth Computing, - но задачи каждого так или иначе пересекаются с проблемой киберпреступности. Вместе с правоохранительными органами и исследовательскими организациями Microsoft начал операции по уничтожению крупнейших ботнетов. Звучит громко? Возможно, но за год были уничтожены такие ботнеты, как:
К сожалению, не все из этих способов эффективны, а некоторые и вовсе незаконны. Между тем некоторые из них нам успешно удалось применить. Так, ботнеты Rustock и Coreflood были уничтожены довольно тривиально. Это удалось сделать с помощью захвата С&C-серверов правоохранительными органами (по предварительному решению суда), после которого на все зараженные машины, входящие в ботнет, была передана команда удаления малвари, которая была предусмотрена разработчиком ботнета. Работа по закрытию другого ботнета - Waledac - оказалась еще более интересной, и на этом моменте я хотел бы остановиться подробнее.

Многослойная архитектура управления Waledac

Waledac: устройство

Сложность борьбы с Waledac заключалась в децентрализованной схеме работы ботнета. Для его работы было зарезервировано ни много ни мало 277 доменных имен. Это значит, что захватывать сервера нужно было одновременно в нескольких ЦОД, у разных провайдеров хостинга. Кроме того, для управления ботнетом успешно использовался P2P-механизм. Если посмотреть на схему ботнета, то сразу бросается в глаза многослойность управляющих серверов. В процессе заражения системы с помощью Waledac зловредный код определяет, какую роль будет выполнять новый узел. Он становится либо простым узлом, рассылающим спам, если находится за NAT и не принимает входящие соединения на 80-й порт, либо узлом, который повторяет (ретранслирует) команды из центра, - то есть своего рода репитером. Репитеры используются для управления ботнетом. Каждый репитер кроме передачи управляющих команд узлам-спамерам поддерживает также список «соседей», состоящий из 100 узлов, также выполняющих роль ретранслятора, к которым он может подключиться по P2P-протоколу. Со временем любой узел-повторитель регистрирует свое доменное имя в fast flux DNS. Это делается для того, чтобы дать возможность обращаться к себе узлам-спамерам, если ближайший к ним репитер вдруг выйдет из строя и станет недоступен. Таким образом узлы ботнета всегда могут найти ближайший узел-ретранслятор и получать от него команды и обновления исполняемого кода. Ботнет устроен так, что со временем роли узлов могут меняться. Если система, используемая как ретранслятор, к примеру, попадает в корпоративную сеть и лишается возможности принимать подключения на 80 й порт, то она автоматически получает роль спамера. При этом проанализировать топологию ботнета не так просто, потому как еще одной задачей репитера является противодействие исследованию топологии ботнета. Он служит своеобразным прокси и не позволяет узлам-спамерам знать что-либо об управляющих узлах C&C.

Каждый репитер поддерживает список соседей

Waledac: уничтожение

Проанализировав архитектуру ботнета, мы проработали план для атаки на ботнет со следующими конкретными шагами:

1. Нарушение peer-to-peer механизмов обмена управляющими командами.
2. Нарушение обмена DNS/HTTP-командами.
3. Нарушение работы двух верхних слоев C&C-серверов.

Первым делом нужно было прервать работу P2P-механизма. В связи с тем, что функция нахождения ближайшего ретранслятора внутри ботнета работала нестабильно, была возможна ситуация, что узлу приходилось перебрать до 20 адресов, находящихся в его списке «соседей», чтобы найти работающий соседний репитер. Благодаря этому нам удалось создать поддельные репитеры, включить их в состав ботнета и начать распространять фальшивые обновления списка репитеров, тем самым нарушив связность системы управления P2P. Это позволило передавать команды узлам-спамерам от специально созданных командных серверов Microsoft.
В случае неработоспособности P2P-механизма узлы ботнета начинают искать друг друга с помощью механизма fast flux DNS. Поэтому необходимо было разрушить и этот способ управления, чтобы злоумышленник не мог восстановить контроль над ботнетом. Это интересный момент, потому что здесь мы использовали юридический механизм. Типичная процедура отзыва DNS-имени через ICANN с помощью процедуры со страшным названием «Uniform Domain-Name Dispute-Resolution Policy» может занять довольно много времени. Это позволило бы злоумышленникам успеть осознать, что его атакуют, и предпринять меры по регистрации новых DNS-имен, на которые позже перевести управление ботнетом. Поэтому вместо стандартной процедуры ICANN мы воспользовались процедурой «TRO (temporary restraining order)» - возможностью временно приостанавливать действие доменов на 28 дней по решению федерального суда США. На этом этапе еще одной сложностью было то, что часть DNS-имен была зарегистрирована на территории Китая.
Для того чтобы злоумышленники могли побороться с Microsoft в суде, ежели у них появится желание заявить свои права на ботнет, на сайте было опубликовано исковое заявление. Также в национальных газетах на территории стран, откуда подозреваемые управляли ботнетом, были опубликованы уведомления о вызове в суд. Как и предполагалось, никто не посмел явиться в суд и заявить о своих правах на ботнет. Таким образом Microsoft выиграл суд на территории США и Китая. Подробнее о юридических тонкостях и перипетиях борьбы за ботнет можно почитать в специальном разделе сайта Microsoft .
В результате этих юридических действий права на DNS перешли к Microsoft. На данный момент DNS-имена подключены к серверам Microsoft. В случае, если к этим серверам подключается зараженный узел из ботнета, на него подается команда, приказывающая удалить зловредный код бота Waledac.

Регистрация доменного имени

Подключение серверов Microsoft к Waledac

Заключение

Мы надеемся таким образом постепенно очистить интернет от последних остатков ботнета Waldac. Чтобы злоумышленникам было неповадно в дальнейшем создавать ботнеты, Microsoft продолжает расследование и сбор доказательств. С этой целью мы предложили награду в $250 000 тому, кто сообщит сведения, способствующие аресту преступной группы, стоявшей за

Атаки ботнета Mirai на американского DNS-провайдера Dyn в 2016 году вызвали широкий резонанс и привлекли повышенное внимание к ботнетам. Однако, по сравнении с тем, как современные киберпреступники используют ботнеты сегодня, атаки на компанию Dyn могут показаться детскими шалостями. Преступники быстро научились использовать ботнеты для запуска сложных вредоносных программ, позволяющих создавать целые инфраструктуры из зараженных компьютеров и других устройств с выходом в Интернет для получения незаконной прибыли в огромных масштабах.

В последние годы правоохранительные органы добились определенных успехов в борьбе с преступной деятельностью, связанной с использованием ботнетов, но пока этих усилий, конечно же, недостаточно, чтобы пробить достаточную брешь в ботнетах под управлением киберпреступников. Вот несколько известных примеров:

• Министерство юстиции США предъявило обвинение двум молодым людям за их роль в разработке и использовании ботнета Mirai: 21-летнему Парасу Джа (Paras Jha) и 20-летнему Джошуа Вайту (Josiah White). Их обвиняют в организации и проведении DDoS-атак на компании, а затем требовании выкупа за их прекращение, а также по продаже этим компаниям «услуг» по предотвращению подобных атак в будущем.
• Испанские власти в рамках трансграничной операции по запросу США арестовали жителя Санкт-Петербурга Петра Левашова, известного в киберпреступных кругах как Peter Severa. Он управлял Kelihos, одним из самых долго существовавших в Интернете ботнетов, который, как оценивается, заразил около 100 тыс. компьютеров. Помимо вымогательства, Петр Левашов активно использовал Kelihos для организации спам-рассылок, беря по $200-$500 за миллион сообщений.
• В прошлом году два израильских тинэйджера были арестованы по обвинению в организации DDoS-атак за вознаграждение. Пара успела заработать около $600 тыс. и провести порядка 150 тыс. DDoS-атак.

Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты. Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими. Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.

За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно. Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности. Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.

С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:

• Быстрое и масштабное распространение электронных писем, содержащих программы-вымогатели, требующие выкуп.
• Как платформа для накручивания числа кликов по ссылке.
• Открытие прокси-серверов для анонимного доступа в Интернет.
• Осуществление попыток взлома других интернет-систем методом полного перебора (или «грубой силы»).
• Проведение массовых рассылок электронных писем и осуществление хостинга подложных сайтов при крупномасштабном фишинге.
• Увод CD-ключей или других лицензионных данных на программное обеспечение.
• Кража персональной идентификационной информации.
• Получение данных о кредитных карточках и другой информации о банковском счете, включая PIN-коды или «секретные» пароли.
• Установка клавиатурных шпионов для захвата всех данных, которые пользователь вводит в систему.

Как создать ботнет?

Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета. Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad. Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).

Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов. Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения. С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.

Как интернет вещей (IoT) стал клондайком для создания ботнетов

С точки зрения количества зараженных устройств и генерируемого ими во время атак трафика, взрывоподобный эффект имело массовое использование незащищенных IoT-устройств, что привело к появлению беспрецедентным по своим масштабам ботнетов. Так, примеру, летом 2016 года до и непосредственно во время Олимпийских Игр в Рио-де-Жанейро один из ботнетов, созданный на основе программного кода LizardStresser, в основном использовал порядка 10 тыс. зараженных IoT-устройств (в первую очередь — веб-камеры) для осуществления многочисленных и продолжительных во времени DDoS-атак с устойчивой мощностью более 400 Гбит/с, достигшей значения 540 Гбит/с во время своего пика. Отметим также, что, согласно оценкам, оригинальный ботнет Mirai смог скомпрометировать около 500 тыс. IoT-устройств по всему миру.

Несмотря на то, что после подобных атак многие производители внесли некоторые изменения, IoT-устройства в большинстве своем все еще поставляются с предустановленными заводскими настройками имени пользователя и пароля либо с известными уязвимостями в безопасности. Кроме того, чтобы сэкономить время и деньги, часть производителей периодически дублируют используемое аппаратное и программное обеспечение для разных классов устройств. Как результат: пароли по умолчанию, используемые для управления исходным устройством, могут быть применены для множества совершенно других устройств. Таким образом, миллиарды незащищенных IoT-устройств уже развернуты. И, несмотря на то, что прогнозируемый рост их количества замедлился (хоть и незначительно), ожидаемое увеличение мирового парка «потенциально опасных» IoT-устройств в обозримом будущем не может не шокировать (см. график ниже).

Многие IoT-устройства прекрасно подходят для неправомочного использования в составе преступных ботнетов, так как:

• В большинстве своем они неуправляемы, другими словами, работают без должного контроля со стороны системного администратора, что делает их применение как анонимных прокси чрезвычайно эффективным.
• Обычно они находятся онлайн 24x7, а значит — они доступны для осуществления атак в любое время, причем, как правило, без каких-либо ограничения по пропускной способности или фильтрации трафика.
• Они часто используют урезанную версию операционной системы, реализованную на базе семейства Linux. А вредоносное программное обеспечение ботнетов может быть легко скомпилировано для широко используемых архитектур, в основном — ARM/MIPS/x86.
• Урезанная операционная система автоматически означает меньше возможностей для реализации функций безопасности, включая формирование отчетности, поэтому большинство угроз остаются незамеченными владельцами этих устройств.

Вот еще один недавний пример, который поможет осознать ту мощь, которой могут обладать современные криминальные инфраструктуры ботнета: в ноябре 2017 года ботнет Necurs осуществил рассылку нового штамма вируса-шифровальщика Scarab. В результате массовой компании было отправлено около 12,5 млн. инфицированных электронных писем, то есть скорость рассылки составила более чем 2 млн. писем в час. К слову, этот же ботнет был замечен в распространении банковских троянов Dridex и Trickbot, а также вирусов-вымогателей Locky и Jans.

Ботнеты составляют серьезную вычислительную мощность по всему миру. И эта мощность регулярно (возможно, даже последовательно) является источником вредоносного ПО, вымогательства, спама и т. д. Но как появляются ботнеты? Кто их контролирует? И как мы можем их остановить?

Определение ботнета гласит, что «ботнет представляет собой набор подключенных к Интернету устройств, которые могут включать в себя ПК, серверы, мобильные устройства и интернет-устройства, которые заражены и контролируются распространенным типом вредоносного ПО. Пользователи часто не знают о том, что ботнет заражает их систему».

Последнее предложение этого определения является ключевым. Владельцы устройств в ботнете обычно об этом даже не догадываются. Устройства, зараженные определенными вариантами вредоносного ПО, контролируются киберпреступниками удаленно. Вредоносная программа скрывает вредоносные действия ботнета на устройстве, при этом владелец не знает о своей роли в сети. Вы можете рассылать спам тысячами писем, рекламировать таблетки для похудения - без каких-либо подозрений.

Ботнет имеет несколько общих функций в зависимости от желания оператора ботнета:

1. Спам: отправка огромных объемов спама по всему миру. Например, средняя доля спама в глобальном почтовом трафике составляет 56,69 процента.
2. Вредоносное ПО: предоставление вредоносных программ и шпионских программ уязвимым машинам. Ресурсы ботнета покупаются и продаются злоумышленниками для дальнейшего развития их преступных предприятий.
3. Данные. Захват паролей и другой личной информации. Это связано с вышеизложенным.
4. Мошенничество с кликом: зараженное устройство посещает веб-сайты для создания ложного веб-трафика и рекламных показов.
5. DDoS: операторы Botnet направляют мощность зараженных устройств по конкретным целям, нагружая цели атаки настолько что те вынуждены переходить в автономный режим или вызывают сбои.

Операторы Botnet обычно превращают свои сети в ряд этих функций для получения прибыли. Например, операторы ботнета, отправляющие медицинский спам гражданам России, выполняют заказ интернет аптек, которые доставляют товары.

За последние несколько лет основные ботнеты немного изменились. В то время как медицинские и другие подобные типы спама были чрезвычайно прибыльными в течение длительного времени, преследование правоохранительными органами подорвали их прибыль.

Как выглядит Ботнет?

Мы знаем, что ботнет - это сеть зараженных компьютеров. Тем не менее, основные компоненты и фактическая архитектура ботнета интересны.

Архитектура

Существуют две основные архитектуры бот-сетей:

• Модель клиент-сервер: в ботнете клиент-сервер обычно используется клиент чата (ранее IRC, но современные бот-сети использовали Telegram и другие зашифрованные службы обмена сообщениями), домен или веб-сайт для связи с сетью. Оператор отправляет сообщение серверу, передавая его клиентам, которые выполняют команду. Хотя инфраструктура ботнета отличается от базового до очень сложного, сосредоточенное усилие может отключить ботнет клиент-сервер.
• Модель равный-равному (Peer-to-Peer): бот-сеть однорангового (P2P) пытается остановить программы безопасности, идентифицирующих конкретные серверы C2, создав децентрализованную сеть. Сеть P2P более продвинута, в некотором роде, чем модель клиент-сервер. Кроме того, их архитектура отличается от того, как это можно себе представить. Вместо единой сети взаимосвязанных зараженных устройств, обменивающихся по IP-адресам, операторы предпочитают использовать зомби-устройства, подключенные к узлам, в свою очередь, подключенные друг к другу и основной сервер связи. Идея заключается в том, что существует слишком много взаимосвязанных, но отдельных узлов, которые нужно удалить одновременно.

Управление и контроль

Команды Command and Control (иногда написанные C&C или C2) входят в различные варианты:

• Телнет: ботнеты Telnet относительно просты, используя скрипт для сканирования диапазонов IP-адресов для серверов telnet и SSH по умолчанию для добавления уязвимых устройств и добавления ботов.
• IRC: IRC-сети предлагают метод связи с низкой пропускной способностью для протокола C2. Возможность быстрого переключения каналов предоставляет дополнительную безопасность для операторов ботнета, но также означает, что зараженные клиенты легко обрезаются с бот-сети, если они не получают обновленную информацию о канале. Трафик IRC относительно легко исследовать и изолировать, то есть многие операторы отошли от этого метода.
• Домены. Некоторые крупные бот-сети используют домены, а не клиент обмена сообщениями для управления. Зараженные устройства получают доступ к определенному домену, обслуживающему список команд управления, легко предоставляя доступ к изменению и обновлению «на лету». Недостатком является требование большой пропускной способности для больших бот-сетей, а также относительная легкость, с которой закрываются подозрительные контрольные домены. Некоторые операторы используют так называемый пуленепробиваемый хостинг для работы за пределами юрисдикции стран со строгим уголовным интернет-законодательством.
• P2P: протокол P2P обычно реализует цифровое подписание с использованием асимметричного шифрования (один открытый и один закрытый ключ). Пока оператор имеет закрытый ключ, чрезвычайно сложно (по сути, невозможно) для кого-либо другого выпустить разные команды для ботнета. Аналогичным образом, отсутствие одного определенного сервера C2 делает атаку и уничтожение ботнета P2P более сложным, чем его коллеги.
• Другие: На протяжении многих лет мы видели, как операторы ботнета используют некоторые интересные каналы Command and Control. Это мгновенно приходит на ум - это каналы социальных сетей, такие как ботнет Android Twitoor, контролируемый через Twitter, или Mac.Backdoor.iWorm, который использует субрегмент списка серверов Minecraft для извлечения IP-адресов для своей сети. Instagram также небезопасен. В 2017 году Turla, группа кибер-шпионажа, использовала комментарии к фотографиям Бритни Спирс в Instagram для хранения местоположения сервера C2 распространения вредоносных программ.

Зомби/Боты

Заключительная часть головоломки ботнета - зараженные устройства (т. е. Зомби).

Операторы Botnet целенаправленно просматривают и заражают уязвимые устройства, чтобы расширить свою рабочую мощность. Мы перечислили основные ботнеты, описанные выше. Все эти функции требуют вычислительной мощности. Кроме того, операторы ботнета не всегда дружат друг с другом, забирая зараженные машины друг у друга.

Подавляющее большинство владельцев устройств зомби не знают о своей роли в ботнете. Однако время от времени вредоносное ПО ботнета выступает в качестве канала для других вариантов вредоносного ПО.

Типы устройств

Сетевые устройства поступают в сеть с поразительной скоростью. И ботнеты - это не только охота на ПК или Mac. Интернет-устройства так же восприимчивы (если не больше) к вариантам вредоносных программ ботнета. Особенно, если их ищут из-за их ужасающей безопасности.

Смартфоны и планшеты также не защищены. Android представляет собой легкую мишень: он имеет открытый исходный код, несколько версий операционной системы, и многочисленные уязвимости в любое время. Не радуйтесь так быстро, пользователи iOS. Существует несколько вариантов вредоносного ПО, предназначенных для мобильных устройств Apple, хотя обычно они ограничены взломанными iPhone с уязвимостями безопасности.

Другой основной целью устройства бот-сети является уязвимый маршрутизатор. Маршрутизаторы, запускающие старую и небезопасную прошивку, являются легкими объектами для бот-сетей, и многие владельцы не поймут, что их интернет-портал несет инфекцию. Точно так же просто поразительное количество пользователей Интернета не может изменить настройки по умолчанию на своих маршрутизаторах. после установки. Подобно устройствам IoT, это позволяет распространять вредоносное ПО с огромной скоростью, с небольшим сопротивлением в заражении тысяч устройств.

Снятие ботнета - непростая задача по ряду причин. Иногда архитектура ботнета позволяет оператору быстро перестраиваться. В других случаях ботнет просто слишком велик, чтобы сбить его одним махом.

GameOver Zeus (GOZ)

GOZ была одной из крупнейших последних бот-сетей, которая, как полагают, имела более миллиона зараженных устройств на своем пике. Основным использованием ботнета была кража денег и спам-почта и, используя сложный алгоритм создания одноранговых доменов, оказалась не останавливаемой.

Алгоритм создания домена позволяет бот-сети предварительно генерировать длинные списки доменов для использования в качестве «рандеву» для вредоносного ПО ботнета. Множественные точки рандеву делают остановку распространения практически невозможной, так как только операторы знают список доменов.

В 2014 году группа исследователей безопасности, работающая совместно с ФБР и другими международными агентствами, в конечном итоге вынудила GameOver Zeus перейти в автономный режим. Это было непросто. После регистрации последовательностей регистрации домена команда зарегистрировала около 150 000 доменов за шесть месяцев до начала операции. Это должно было блокировать любую будущую регистрацию домена у операторов ботнета.

Затем несколько интернет-провайдеров передали управление операциями прокси-узлов GOZ, используемых операторами ботнета, для связи между командами и серверами управления и фактическим бот-сетью.

Владелец ботнета Евгений Богачев (онлайн-псевдоним Славик) через час понял, что произошел демонтаж его бот-сети и пытался отбить ее еще четыре или пять часов, прежде чем «уступить» и признать поражение.

В результате силовики смогли взломать печально известное шифрование ransomware CryptoLocker, создав бесплатные инструменты для расшифровки для жертв хакера.

Ботнеты IoT различны

Меры по борьбе с GameOver Zeus были обширными, но необходимыми. Это иллюстрирует, что чистая мощь искусно обработанной ботнеты требует глобального подхода к смягчению последствий, требуя «инновационной юридической и технической тактики с традиционными инструментами правоохранительной деятельности», а также «прочных рабочих отношений с частными отраслевыми экспертами и сотрудниками правоохранительных органов в более чем 10 стран по всему миру».

Но не все ботнеты одинаковы. Когда одна бот-сеть подходит к концу, другой оператор учится на ошибках.

В 2016 году самым большим и самым плохим ботнетом был Мирай. До его частичного демонтажа он поразил несколько важных целей DDoS атаками. Хотя Мирай даже не был близок к тому, чтобы быть самым крупным ботнетом, который когда-либо видел мир, он произвел самые большие атаки. Мирай сделал разрушительное использование обложек смехотворно небезопасных устройств IoT., используя список из 62 небезопасных паролей по умолчанию для запуска устройств (admin/admin был наверху списка).

Причиной огромного распространения Mirai является то, что большинство устройств IoT сидят, ничего не делая, пока не будут запрошены. Это означает, что они почти всегда в сети и почти всегда имеют сетевые ресурсы. Традиционный оператор ботнета будет анализировать свои пиковые периоды мощности и временные атаки соответственно.

Таким образом, по мере того как более плохо сконфигурированные устройства IoT подключаются к сети, шансы на эксплуатацию растут.

Как оставаться в безопасности

Мы узнали о том, что делает ботнет, как они растут, и многое другое. Но как вы остановите свое устройство, входящее в его состав? Ну, первый ответ прост: обновите свою систему. Регулярные обновления исправляют уязвимые дыры в вашей операционной системе, в свою очередь сокращая возможности для ее эксплуатации злоумышленниками.

Вторая - загрузка и обновление антивирусной программы и программы защиты от вредоносных программ. Есть множество бесплатных антивирусных комплексов, которые предлагают отличную защиту с неплохим уровнем защиты.

Наконец, используйте дополнительную защиту браузера. Ботнета легко избежать, если вы используете расширение блокировки скрипта, такое как uBlock Origin.

Был ли ваш компьютер частью ботнета? Как вы это поняли? Вы узнали, какой вирус использовал ваше устройство? Сообщите нам свой опыт по выходу из Ботнета ниже!

Компьютеры, зараженные вредоносными программами, объединенные в сеть, представляют собой мощное кибероружие и прекрасный способ обогатиться для того, кто им управляет. При этом сам злоумышленник может находиться в любой точке планеты, где имеется интернет.

Обычно ботнеты выполняют крупномасштабные криминальные задачи. Например, рассылка спама с зараженных машин может дать заработок спамеру в 50-100 тысяч долларов в год. При этом санкции, которые могут быть применены к почтовому адресу, с которого рассылается спам, коснуться только владельцев зараженных машин. Другими словами, они и примут на себя все негативные последствия от рассылки спама. Используются ботнеты и для кибершантажа. Мощная вычислительная сеть может по приказу злоумышленника начать эффективную DDoS-атаку на какой-либо сервер, создавая проблемы в его работе. Эта атака может продолжаться сколь угодно долго до тех пор, пока владелец сервера не заплатит выкуп. В последнее время DDoS-атаки применяются и как средство политического давления, когда атаке подвергаются официальные ресурсы какого-либо государства.

Кроме того, ботнеты используются как средство анонимного доступа в интернет, чтобы можно было безопасно для киберпреступника взламывать сайты и воровать паролей с зараженных компьютеров. Отдельным видом преступлений является сдача ботнетов в аренду и создание зомби-сетей для продажи.

На сегодняшний день развитие ботнет-технологий идет по нескольким путям. Интерфейс управления упрощается, боты защищаются от детектирования программами-антивирусами, действия ботнетов становятся все незаметнее даже для специалистов. Цены на рынке ботнетов становятся все ниже, простота управления зомби-сетями доступна даже для понимания , эффективных средств остановить создание ботов и сетей практически нет. Бытует мнение, что весь интернет является одним большим ботнетом.

Видео по теме

Бот – программа, автоматические выполняющие какие-либо действия на компьютерах вместо людей. Говоря о ботах, часто подразумеваются те их них, что находятся в интернете.

В основном боты – помощники человека, способные сделать однообразную и повторяемую работу со скоростью, намного превышающую возможности людей. Также неоценима их помощь в условиях, когда требуется молниеносная реакция на какие-либо события.

Наиболее часто можно встретить ботов в чатах или сетевых играх с возможностью общения между игроками. Они имитируют людей, пользователей, сидящих у других компьютеров. Также боты руководят действиями многочисленных персонажей в MMORG и других сетевых играх. В интернет-аукционах и биржах боты заменили человека при проведении рутинных действий – скупки ценностей, арбитража и скальпинга. Часто действия ботов составляют львиную часть внутридневного объема операций.

Владелец какого-либо сайта, желающий использовать ботов для благих целей, или любой другой специалист по обслуживанию серверов может вставить в сервер файл Robots.txt и указать в нем ограничения для деятельности ботов. Сами боты обязаны подчиняться этим правилам.

Вредоносные боты для эффективного осуществления своих целей собираются в сети (ботнеты) и заселяются на компьютеры со слабой защитой от вредоносных программ. Проникают в компьютер они с помощью троянских программ. Примеры боты по рассылке спама, размещением его на сайтах, обработкой текста. Вредоносные боты проводят большие вычисления с целью взлома паролей и индексации ресурсов сетей, воровства персональных данных, номеров и пин-кодов банковских карт. Некоторые боты подготавливают компьютер к DDoS-атаке, ослабляя его защиту. Кроме того, все черви и некоторые вирусы также являются ботами.

Большинство пользователей компьютеров способны без труда отличить бота от настоящего живого человека. Но для машины это трудноразрешимая задача. Поэтому было изобретено эффективнейшее средство борьбы с ботами – обратный тест Тюринга, в просторечии именуемый капчей. Это обработанный особым образом текст, легко читаемый человеком и совсем недоступный для машинного понимания.