เครือข่ายบอทคืออะไร? วิธีการป้องกันบอทเน็ต วิธีลบพีซีออกจากบอตเน็ต

ใน เมื่อเร็วๆ นี้มีการพูดคุยกันมากมายเกี่ยวกับบอตเน็ตใน RuNet สาเหตุหลักมาจากการโจมตี DDoS บนทรัพยากรที่รู้จักและเยี่ยมชม ด้านล่างเราจะหารือเกี่ยวกับประสบการณ์ บริษัทขนาดใหญ่ในการต่อสู้กับภัยพิบัตินี้

บอตเน็ตคืออะไร?

บอตเน็ตคือกลุ่มของระบบที่ติดไวรัส รหัสที่เป็นอันตรายและบริหารจัดการจากส่วนกลาง นอกจากนี้ยังได้รับการออกแบบในลักษณะที่การทำลายหรือการปิดระบบก็เพียงพอแล้ว ปริมาณมากโหนดไม่ควรส่งผลกระทบต่อประสิทธิภาพโดยรวม บอตเน็ตสามารถใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การส่งสแปม ฟิชชิ่ง DDoS การโจมตีระบบอื่น การแพร่เชื้อพีซีเครื่องใหม่และเปลี่ยนให้เป็นโหนดบอตเน็ต เป็นที่น่าสังเกตว่าใน ช่วงเวลานี้อุตสาหกรรมอาชญากรรมในโลกไซเบอร์ถูกแบ่งส่วนค่อนข้างมากตามความเชี่ยวชาญและการมุ่งเน้นที่อาชญากรรม ซึ่งหมายความว่าทุกคนทำสิ่งที่ตนเองทำ เป็นผลให้ปรากฎว่าผู้สร้างบอตเน็ตขายทรัพยากรหรือบริการของบอตเน็ตให้กับผู้โจมตีรายอื่นที่เชี่ยวชาญด้านอาชญากรรมบางประเภท (คุณสามารถดูภาพประกอบสำหรับโครงสร้างธุรกิจทั่วไป) เป็นที่น่าสังเกตว่าอินเทอร์เฟซการจัดการ botnet นั้นค่อนข้างเรียบง่าย บุคคลที่มีคุณสมบัติต่ำมากก็สามารถจัดการได้ ตามแนวโน้มคลาวด์ มัลแวร์ในรูปแบบบริการได้ปรากฏขึ้นเมื่อเร็ว ๆ นี้ หากใครไม่สามารถสร้างและแจกจ่ายโค้ดที่เป็นอันตรายได้ ก็จะมีผู้ให้บริการที่สามารถทำได้ด้วยเงินจำนวนหนึ่งเสมอ อย่างไรก็ตาม การสร้างบอตเน็ตในปัจจุบันก็ไม่ใช่เรื่องยากเช่นกัน มีชุดอุปกรณ์สำเร็จรูปมากมายในตลาดสำหรับสร้างบอตเน็ต เช่น Zbot (Zeus), Spyeye, Mariposa, Black Energy, ButterFly, Reptile ซึ่งหมายความว่าเจ้าของบอตเน็ตยุคใหม่อาจไม่มีทักษะทางเทคโนโลยีพิเศษใดๆ ด้วยซ้ำ อย่างไรก็ตาม ถ้าเราพูดถึงบอตเน็ตขนาดใหญ่ แน่นอนว่าผู้สร้างของพวกเขาคือคนที่มีความสามารถและมีความสามารถ และเป็นการยากที่จะต่อสู้กับพวกมัน ในส่วนหนึ่งของเอกสารนี้ ฉันอยากจะพูดคุยเกี่ยวกับแนวทางปฏิบัติที่บริษัทขนาดใหญ่ใช้เพื่อต่อสู้กับอาชญากรรมทางไซเบอร์ และโดยเฉพาะอย่างยิ่งบอตเน็ต โดยเฉพาะเราจะพูดถึงกิจกรรม ไมโครซอฟต์ที่ฉันทำงาน

แนวทางมาตรฐานในการจัดการบอตเน็ต

ไมโครซอฟต์ vs. บอตเน็ต

นี่อาจทำให้บางคนยิ้มได้ แต่ Microsoft ได้ทำงานอย่างจริงจังในช่วงไม่กี่ปีที่ผ่านมาเพื่อปรับปรุงความปลอดภัยของผลิตภัณฑ์และบริการของตน วิธีการพัฒนาเริ่มปรากฏและเริ่มนำไปใช้ รหัสที่ปลอดภัย SDL ซึ่งมีผลกระทบสำคัญต่อจำนวนช่องโหว่ที่พบเมื่อเร็ว ๆ นี้ (โดยเฉพาะช่องโหว่ที่สามารถถูกโจมตีได้) แต่วันนี้เราจะไม่พูดถึง มาตรการป้องกันที่สามารถป้องกันภัยคุกคามในอนาคตได้ แต่เกี่ยวกับการต่อสู้กับปัญหาที่เกี่ยวข้องในปัจจุบัน เครื่องจักรที่ติดเชื้อจำนวนมากทำงานอยู่ใต้ห้องผ่าตัด ระบบวินโดวส์, - ก็แค่ปัญหาดังกล่าว
มีการสร้างหน่วยงานจำนวนหนึ่งภายในบริษัทเพื่อต่อสู้กับอาชญากรรมทางไซเบอร์ อย่างหลังมีชื่อเรียกต่างกัน - หน่วยอาชญากรรมดิจิทัล การรักษาความปลอดภัยของไมโครซอฟต์ Response Center, Trust worth Computing - แต่งานของทุกคนไม่ทางใดก็ทางหนึ่งตัดกับปัญหาอาชญากรรมไซเบอร์ ร่วมกับหน่วยงานบังคับใช้กฎหมายและการวิจัย องค์กรไมโครซอฟต์เริ่มดำเนินการทำลายบอทเน็ตที่ใหญ่ที่สุด เสียงดังมั้ย? บางที แต่ภายในหนึ่งปีบอทเน็ตต่อไปนี้ก็ถูกทำลาย:
น่าเสียดายที่วิธีการเหล่านี้ไม่ได้ผลทั้งหมด และบางวิธีก็ผิดกฎหมายด้วยซ้ำ ในขณะเดียวกัน เราก็สามารถประยุกต์บางส่วนได้สำเร็จ ดังนั้นบอตเน็ตของ Rustock และ Coreflood จึงถูกทำลายเล็กน้อย สิ่งนี้ทำได้ผ่านการยึดเซิร์ฟเวอร์ C&C โดยหน่วยงานบังคับใช้กฎหมาย (ตามคำตัดสินของศาลเบื้องต้น) หลังจากนั้นคำสั่งลบมัลแวร์ซึ่งจัดทำโดยผู้พัฒนาบอตเน็ตจะถูกส่งไปยังเครื่องที่ติดไวรัสทั้งหมดที่รวมอยู่ในบอตเน็ต งานปิดบอตเน็ตอื่น Waledac กลายเป็นเรื่องที่น่าสนใจยิ่งขึ้น และฉันอยากจะพูดถึงประเด็นนี้โดยละเอียดยิ่งขึ้น

สถาปัตยกรรมการควบคุมหลายชั้นของ Waledac

Waledac: อุปกรณ์

ความยากในการต่อสู้กับ Waledac คือระบบปฏิบัติการแบบกระจายอำนาจของบอตเน็ต มีการสงวนชื่อโดเมนไว้ไม่น้อยกว่า 277 ชื่อสำหรับการทำงาน ซึ่งหมายความว่าเซิร์ฟเวอร์จะต้องถูกจับพร้อมกันในศูนย์ข้อมูลหลายแห่งจากผู้ให้บริการโฮสติ้งที่แตกต่างกัน นอกจากนี้ กลไก P2P ยังถูกใช้เพื่อควบคุมบอตเน็ตได้สำเร็จอีกด้วย หากคุณดูแผนภาพของบอตเน็ต คุณจะสังเกตเห็นเซิร์ฟเวอร์ควบคุมหลายชั้นทันที ในระหว่างกระบวนการแพร่ระบาดระบบด้วย Waledac โค้ดที่เป็นอันตรายจะกำหนดบทบาทของโหนดใหม่ เขาจะกลายเป็นอย่างใดอย่างหนึ่ง ปมง่ายการส่งสแปมหากอยู่หลัง NAT และไม่ยอมรับการเชื่อมต่อขาเข้าบนพอร์ต 80 หรือโหนดที่ทำซ้ำคำสั่ง (รีเลย์) จากศูนย์กลาง - นั่นคือตัวทำซ้ำชนิดหนึ่ง รีพีทเตอร์ใช้เพื่อควบคุมบอตเน็ต ตัวทวนสัญญาณแต่ละตัว นอกเหนือจากการส่งคำสั่งควบคุมไปยังโหนดสแปมเมอร์แล้ว ยังรักษารายชื่อ “เพื่อนบ้าน” ที่ประกอบด้วย 100 โหนด ซึ่งยังทำหน้าที่เป็นตัวทวนสัญญาณ ซึ่งสามารถเชื่อมต่อผ่านโปรโตคอล P2P ได้ เมื่อเวลาผ่านไป โหนดทวนสัญญาณใดๆ จะลงทะเบียนโหนดนั้น ชื่อโดเมนใน DNS ฟลักซ์ที่รวดเร็ว การทำเช่นนี้เพื่อให้โหนดสแปมเมอร์มีโอกาสติดต่อกับพวกเขาหากตัวทวนสัญญาณที่ใกล้ที่สุดล้มเหลวกะทันหันและไม่สามารถใช้งานได้ ด้วยวิธีนี้ โหนดบอตเน็ตสามารถค้นหาโหนดรีเลย์ที่ใกล้ที่สุด และรับคำสั่งและการอัพเดตจากโหนดดังกล่าวได้เสมอ รหัสปฏิบัติการ- บอตเน็ตได้รับการออกแบบในลักษณะที่บทบาทของโหนดสามารถเปลี่ยนแปลงได้ตลอดเวลา หากระบบที่ใช้เป็นรีเลย์เข้าสู่เครือข่ายองค์กรและไม่สามารถรับการเชื่อมต่อบนพอร์ต 80 ได้อีกต่อไป ระบบจะเข้าสู่บทบาทของสแปมเมอร์โดยอัตโนมัติ ในเวลาเดียวกัน การวิเคราะห์โทโพโลยีของบอตเน็ตนั้นไม่ใช่เรื่องง่าย เพราะงานอีกอย่างของรีพีทเตอร์คือการต่อต้านการศึกษาโทโพโลยีของบอตเน็ต มันทำหน้าที่เป็นพร็อกซีชนิดหนึ่งและไม่อนุญาตให้โหนดสแปมเมอร์รู้อะไรเกี่ยวกับโหนดควบคุม C&C

รีพีตเตอร์แต่ละตัวจะเก็บรายชื่อเพื่อนบ้านไว้

Waledac: การทำลายล้าง

หลังจากวิเคราะห์สถาปัตยกรรมบอตเน็ตแล้ว เราได้พัฒนาแผนการโจมตีบอตเน็ตด้วยขั้นตอนเฉพาะต่อไปนี้:
  1. การละเมิดกลไกเพียร์ทูเพียร์สำหรับการแลกเปลี่ยนคำสั่งควบคุม
  2. การละเมิดการแลกเปลี่ยนคำสั่ง DNS/HTTP
  3. การหยุดชะงักของเซิร์ฟเวอร์ C&C สองชั้นบน
ขั้นตอนแรกคือการขัดจังหวะกลไก P2P เนื่องจากฟังก์ชั่นการค้นหารีเลย์ที่ใกล้ที่สุดภายในบอตเน็ตนั้นไม่เสถียร จึงเป็นไปได้ที่โหนดจะต้องผ่านที่อยู่มากถึง 20 ที่อยู่ในรายการ "เพื่อนบ้าน" เพื่อค้นหาตัวทวนสัญญาณใกล้เคียงที่ใช้งานได้ ด้วยเหตุนี้ เราจึงสามารถสร้างขาประจำปลอม รวมเข้ากับบอตเน็ต และเริ่มเผยแพร่การอัปเดตปลอมไปยังรายชื่อขาประจำ ซึ่งขัดขวางการเชื่อมโยงกันของระบบควบคุม P2P ทำให้สามารถส่งคำสั่งไปยังโหนดสแปมเมอร์จากที่สร้างขึ้นเป็นพิเศษได้ เซิร์ฟเวอร์คำสั่งไมโครซอฟต์
หากกลไก P2P ล้มเหลว โหนดบอตเน็ตจะเริ่มค้นหาซึ่งกันและกันโดยใช้กลไก DNS ฟลักซ์ที่รวดเร็ว ดังนั้นจึงจำเป็นต้องทำลายวิธีการควบคุมนี้เพื่อให้ผู้โจมตีไม่สามารถควบคุมบอตเน็ตได้อีกครั้ง นี้ จุดที่น่าสนใจเพราะที่นี่เราใช้กลไกทางกฎหมาย ขั้นตอนทั่วไปในการเพิกถอนชื่อ DNS ผ่าน ICANN โดยใช้ขั้นตอน “นโยบายการแก้ไขข้อพิพาทชื่อโดเมนแบบเดียวกัน” อาจใช้เวลานานพอสมควร สิ่งนี้จะช่วยให้ผู้โจมตีมีเวลารับรู้ว่าตนกำลังถูกโจมตี และใช้มาตรการในการลงทะเบียนชื่อ DNS ใหม่ ซึ่งพวกเขาสามารถถ่ายโอนการควบคุมบ็อตเน็ตได้ในภายหลัง ดังนั้น แทนที่จะใช้ขั้นตอนมาตรฐานของ ICANN เราใช้ขั้นตอน "TRO (คำสั่งห้ามชั่วคราว)" ซึ่งเป็นความสามารถในการระงับโดเมนชั่วคราวเป็นเวลา 28 วันตามคำตัดสินของศาลรัฐบาลกลางของสหรัฐอเมริกา ในขั้นตอนนี้ ปัญหาอีกประการหนึ่งคือชื่อ DNS บางชื่อได้รับการจดทะเบียนในประเทศจีน
เพื่อให้ผู้โจมตีสามารถต่อสู้กับ Microsoft ในศาลได้หากต้องการอ้างสิทธิ์ในบอทเน็ต จึงมีการเผยแพร่คำแถลงข้อเรียกร้องบนเว็บไซต์ ประกาศหมายเรียกยังได้รับการตีพิมพ์ในหนังสือพิมพ์ระดับชาติในประเทศที่ผู้ต้องสงสัยใช้งานบ็อตเน็ต ตามที่คาดไว้ ไม่มีใครกล้าปรากฏตัวในศาลและอ้างสิทธิ์ในบอทเน็ต ดังนั้น Microsoft จึงชนะคดีนี้ในสหรัฐอเมริกาและจีน คุณสามารถอ่านเพิ่มเติมเกี่ยวกับความซับซ้อนทางกฎหมายและความผันผวนของการต่อสู้เพื่อบอตเน็ตได้ในส่วนพิเศษของเว็บไซต์ Microsoft
ซึ่งเป็นผลมาจากสิ่งเหล่านี้ การดำเนินการทางกฎหมายสิทธิ์ DNS ถูกโอนไปยัง Microsoft ในขณะนี้ ชื่อ DNS เชื่อมต่อกับเซิร์ฟเวอร์ Microsoft แล้ว หากโหนดที่ติดไวรัสจากบอตเน็ตเชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ คำสั่งจะถูกส่งไปยังโหนดนั้นเพื่อสั่งให้ลบโค้ดที่เป็นอันตรายของบอต Waledac

การจดทะเบียนชื่อโดเมน


กำลังเชื่อมต่อเซิร์ฟเวอร์ Microsoft กับ Waledac

บทสรุป

ด้วยวิธีนี้ เราหวังว่าจะค่อยๆ เคลียร์อินเทอร์เน็ตของบอตเน็ต Waldac ที่เหลืออยู่ เพื่อป้องกันไม่ให้ผู้โจมตีสร้างบอตเน็ตในอนาคต Microsoft ยังคงตรวจสอบและรวบรวมหลักฐานต่อไป ด้วยเหตุนี้เราจึงได้เสนอรางวัลเป็นเงิน 250,000 ดอลลาร์สหรัฐฯ ให้กับใครก็ตามที่ให้ข้อมูลที่นำไปสู่การจับกุมกลุ่มอาชญากรที่อยู่เบื้องหลัง

การโจมตีบ็อตเน็ต Mirai บนผู้ให้บริการ DNS ของสหรัฐอเมริกา Dyn ในปี 2559 ทำให้เกิดการสะท้อนและดึงดูดอย่างกว้างขวาง เพิ่มความสนใจสู่บอทเน็ต อย่างไรก็ตาม เมื่อเปรียบเทียบกับวิธีที่อาชญากรไซเบอร์ยุคใหม่ใช้บ็อตเน็ตในปัจจุบัน การโจมตี Dyn อาจดูเหมือนเป็นการแกล้งเด็กๆ อาชญากรเรียนรู้อย่างรวดเร็วถึงการใช้บ็อตเน็ตเพื่อเปิดใช้งานระบบที่ซับซ้อน มัลแวร์ช่วยให้สามารถสร้างโครงสร้างพื้นฐานทั้งหมดจากคอมพิวเตอร์ที่ติดไวรัสและอุปกรณ์อื่น ๆ ที่มีการเข้าถึงอินเทอร์เน็ตเพื่อรับผลกำไรที่ผิดกฎหมายในวงกว้าง

ใน ปีที่ผ่านมาหน่วยงานบังคับใช้กฎหมายมีความคืบหน้าในการต่อสู้กับกิจกรรมทางอาญาที่เกี่ยวข้องกับการใช้บอตเน็ต แต่ความพยายามเหล่านี้ไม่เพียงพอที่จะสร้างช่องโหว่ที่เพียงพอในบอตเน็ตที่ดำเนินการโดยอาชญากรไซเบอร์ นี่คือตัวอย่างบางส่วนที่มีชื่อเสียง:

  • กระทรวงยุติธรรมของสหรัฐอเมริกาตั้งข้อหาชายหนุ่มสองคนสำหรับบทบาทในการพัฒนาและใช้งานบ็อตเน็ต Mirai ได้แก่ Paras Jha วัย 21 ปี และ Joshua White วัย 20 ปี พวกเขาถูกกล่าวหาว่าจัดการและดำเนินการโจมตี DDoS กับบริษัทต่างๆ จากนั้นเรียกร้องค่าไถ่เพื่อหยุดพวกเขา เช่นเดียวกับการขาย “บริการ” ของบริษัทเหล่านี้เพื่อป้องกันการโจมตีที่คล้ายกันในอนาคต
  • ทางการสเปน ซึ่งเป็นส่วนหนึ่งของปฏิบัติการข้ามพรมแดนตามคำร้องขอของสหรัฐอเมริกา ได้จับกุม Peter Levashov ชาวเมืองเซนต์ปีเตอร์สเบิร์ก ซึ่งเป็นที่รู้จักในแวดวงอาชญากรไซเบอร์ในชื่อ Peter Severa เขาดูแล Kelihos ซึ่งเป็นหนึ่งในบอตเน็ตที่ทำงานมายาวนานที่สุดบนอินเทอร์เน็ต ซึ่งคาดว่าจะติดไวรัสในคอมพิวเตอร์ประมาณ 100,000 เครื่อง นอกเหนือจากการขู่กรรโชกแล้ว Petr Levashov ยังใช้ Kelihos ในการจัดการส่งอีเมลขยะ โดยเรียกเก็บเงิน 200-500 ดอลลาร์ต่อหนึ่งล้านข้อความ
  • เมื่อปีที่แล้ว วัยรุ่นชาวอิสราเอลสองคนถูกจับกุมในข้อหาจัดการโจมตี DDoS เพื่อรับรางวัล ทั้งคู่สามารถสร้างรายได้ประมาณ 600,000 ดอลลาร์และทำการโจมตี DDoS ประมาณ 150,000 ครั้ง

บอตเน็ตนั่นเอง เครือข่ายคอมพิวเตอร์ประกอบด้วยคอมพิวเตอร์จำนวนมากหรืออุปกรณ์อื่น ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตซึ่งโดยที่เจ้าของไม่รู้ตัว ซอฟต์แวร์อัตโนมัติจะถูกดาวน์โหลดและเปิดใช้งาน - บอท ที่น่าสนใจคือตัวบอทเองนั้นได้รับการออกแบบมาแต่เดิมเป็น เครื่องมือซอฟต์แวร์สำหรับระบบอัตโนมัติของงานที่ไม่ซ้ำซากจำเจและทำซ้ำได้ น่าแปลกที่หนึ่งในบอทที่ประสบความสำเร็จตัวแรกๆ ที่รู้จักกันในชื่อ Eggdrop สร้างขึ้นในปี 1993 ได้รับการออกแบบมาเพื่อจัดการและปกป้องช่อง IRC (Internet Relay Chat) จากความพยายามของบุคคลที่สามในการควบคุมมัน แต่องค์ประกอบทางอาญาได้เรียนรู้อย่างรวดเร็วในการใช้พลังของบอตเน็ตโดยใช้เป็นระดับโลกเกือบ ระบบอัตโนมัติ, การทำกำไร

ในช่วงเวลานี้ มัลแวร์บอตเน็ตมีการพัฒนาอย่างมากและสามารถโจมตีได้แล้ว วิธีการต่างๆการโจมตีที่เกิดขึ้นพร้อมกันในหลายทิศทาง นอกจากนี้ “เศรษฐกิจบอท” ยังดูน่าดึงดูดอย่างยิ่งจากมุมมองของอาชญากรไซเบอร์ ประการแรก ไม่มีค่าใช้จ่ายด้านโครงสร้างพื้นฐานเลย เนื่องจากในการจัดการเครือข่ายของเครื่องที่ติดไวรัส คอมพิวเตอร์ที่ถูกบุกรุก และอุปกรณ์อื่นๆ ที่มีการเข้าถึงอินเทอร์เน็ตจะถูกใช้งานโดยธรรมชาติโดยเจ้าของอุปกรณ์เหล่านี้ไม่ทราบ อิสรภาพจากการลงทุนในโครงสร้างพื้นฐานหมายความว่าผลกำไรของอาชญากรจะเท่ากับรายได้จากกิจกรรมที่ผิดกฎหมายอย่างมีประสิทธิภาพ นอกเหนือจากโอกาสในการใช้โครงสร้างพื้นฐานที่ "ทำกำไร" แล้ว การไม่เปิดเผยตัวตนยังมีความสำคัญอย่างยิ่งสำหรับอาชญากรไซเบอร์อีกด้วย ในการทำเช่นนี้ พวกเขาใช้สกุลเงินดิจิทัลที่ “ไม่สามารถติดตามได้” เป็นหลัก เช่น Bitcoin เมื่อเรียกร้องค่าไถ่ ด้วยเหตุผลเหล่านี้ บอตเน็ตจึงกลายเป็นแพลตฟอร์มที่ต้องการมากที่สุดสำหรับอาชญากรรมทางไซเบอร์

จากมุมมองของการใช้โมเดลธุรกิจต่างๆ บ็อตเน็ตเป็นแพลตฟอร์มที่ยอดเยี่ยมสำหรับการเปิดตัวฟังก์ชันที่เป็นอันตรายต่างๆ ที่นำรายได้ที่ผิดกฎหมายมาสู่อาชญากรไซเบอร์:

  • กระจายอย่างรวดเร็วและแพร่หลาย อีเมลมีแรนซั่มแวร์ที่ต้องการเรียกค่าไถ่
  • เป็นแพลตฟอร์มสำหรับเพิ่มจำนวนการคลิกลิงก์
  • การเปิดพร็อกซีเซิร์ฟเวอร์สำหรับ การเข้าถึงแบบไม่ระบุชื่อในอินเทอร์เน็ต
  • การพยายามแฮ็กระบบอินเทอร์เน็ตอื่นโดยใช้วิธีกำลังดุร้าย (หรือ "กำลังดุร้าย")
  • ดำเนินการ การส่งจดหมายจำนวนมากอีเมลและโฮสต์เว็บไซต์ปลอมสำหรับฟิชชิ่งขนาดใหญ่
  • การถอนรหัสซีดีหรือข้อมูลลิขสิทธิ์ซอฟต์แวร์อื่น ๆ
  • การโจรกรรมข้อมูลประจำตัวส่วนบุคคล
  • รับข้อมูลบัตรเครดิตและบัญชีธนาคารอื่นๆ รวมถึง PIN หรือรหัสผ่าน "ลับ"
  • การติดตั้ง คีย์ล็อกเกอร์เพื่อเก็บข้อมูลทั้งหมดที่ผู้ใช้ป้อนเข้าสู่ระบบ

จะสร้างบอตเน็ตได้อย่างไร?

ปัจจัยสำคัญที่ส่งผลต่อความนิยมของบอตเน็ตในหมู่อาชญากรไซเบอร์ในปัจจุบันคือความสะดวกในการประกอบ ดัดแปลง และอัปเกรดบอตเน็ต ส่วนประกอบต่างๆซอฟต์แวร์บอตเน็ตที่เป็นอันตราย โอกาสสำหรับ การสร้างอย่างรวดเร็ว botnet ปรากฏขึ้นในปี 2558 เมื่อ การเข้าถึงสาธารณะกลายเป็นซอร์สโค้ดของ LizardStresser ซึ่งเป็นชุดเครื่องมือสำหรับดำเนินการโจมตี DDoS ที่สร้างโดยกลุ่มแฮ็กเกอร์ชื่อดัง Lizard Squad ทุกวันนี้ เด็กนักเรียนสามารถดาวน์โหลดบอตเน็ตเพื่อทำการโจมตี DDOS ได้ (ซึ่งพวกเขากำลังทำอยู่แล้ว ตามที่สื่อสิ่งพิมพ์ทั่วโลกเขียน)

ดาวน์โหลดได้ง่ายและใช้งานง่าย รหัส LizardStresser มีบางส่วนอยู่ วิธีการที่ซับซ้อนเพื่อทำการโจมตี DDoS: เปิดการเชื่อมต่อ TCP ไว้ ส่ง สตริงสุ่มที่มีเนื้อหาอักขระขยะไปยังพอร์ต TCP หรือพอร์ต UDP หรือส่งแพ็กเก็ต TCP อีกครั้งพร้อมค่าแฟล็กที่ระบุ มัลแวร์ยังมีกลไกในการรันคำสั่งเชลล์แบบสุ่ม ซึ่งมีประโยชน์อย่างยิ่งสำหรับการดาวน์โหลด เวอร์ชันที่อัปเดต LizardStresser พร้อมคำสั่งใหม่และ รายการที่อัปเดตอุปกรณ์ควบคุม รวมถึงการติดตั้งซอฟต์แวร์ที่เป็นอันตรายอื่นๆ บนอุปกรณ์ที่ติดไวรัส ตั้งแต่นั้นเป็นต้นมา ซอร์สโค้ดสำหรับมัลแวร์อื่นๆ ที่ออกแบบมาเพื่อจัดระเบียบและควบคุมบ็อตเน็ตก็ได้รับการเผยแพร่ รวมถึงซอฟต์แวร์ Mirai ที่โดดเด่นที่สุด ซึ่งได้ลด “อุปสรรคด้านเทคโนโลยีขั้นสูง” ลงอย่างมากในการเริ่มกิจกรรมทางอาญา และในขณะเดียวกัน เพิ่มโอกาสในการทำกำไรและความยืดหยุ่นในการใช้บอตเน็ต

Internet of Things (IoT) กลายเป็น klondike สำหรับการสร้าง botnet ได้อย่างไร

ในแง่ของจำนวนอุปกรณ์ที่ติดไวรัสและการรับส่งข้อมูลที่เกิดขึ้นระหว่างการโจมตี การใช้อุปกรณ์ IoT ที่ไม่มีการป้องกันจำนวนมหาศาลส่งผลกระทบอย่างรุนแรง นำไปสู่การเกิดขึ้นของบอตเน็ตในขนาดที่ไม่เคยเกิดขึ้นมาก่อน ตัวอย่างเช่นในฤดูร้อนปี 2559 ก่อนและระหว่างการแข่งขันกีฬาโอลิมปิกที่ริโอเดจาเนโรซึ่งเป็นหนึ่งในบอตเน็ตที่สร้างขึ้นบนพื้นฐาน รหัสโปรแกรม LizardStresser ส่วนใหญ่ใช้อุปกรณ์ IoT ที่ติดไวรัสประมาณ 10,000 เครื่อง (ส่วนใหญ่เป็นเว็บแคม) เพื่อทำการโจมตี DDoS จำนวนมากและยาวนานด้วยพลังงานที่ยั่งยืนมากกว่า 400 Gbit/s ถึงค่า 540 Gbit/s ในช่วงที่มีการใช้งานสูงสุด นอกจากนี้เรายังทราบด้วยว่าตามการประมาณการ บ็อตเน็ต Mirai ดั้งเดิมสามารถประนีประนอมอุปกรณ์ IoT ได้ประมาณ 500,000 เครื่องทั่วโลก

แม้ว่าผู้ผลิตหลายรายได้ทำการเปลี่ยนแปลงบางอย่างหลังจากการโจมตีดังกล่าว อุปกรณ์ IoT ส่วนใหญ่ยังคงมีชื่อผู้ใช้และรหัสผ่านที่ตั้งไว้จากโรงงาน หรือมีช่องโหว่ด้านความปลอดภัยที่ทราบ นอกจากนี้ เพื่อประหยัดเวลาและเงิน ผู้ผลิตบางรายจะทำซ้ำฮาร์ดแวร์และซอฟต์แวร์ที่ใช้กับอุปกรณ์ประเภทต่างๆ เป็นระยะๆ เป็นผลให้รหัสผ่านเริ่มต้นที่ใช้ในการควบคุมอุปกรณ์ดั้งเดิมสามารถนำไปใช้กับอุปกรณ์ที่แตกต่างกันโดยสิ้นเชิงได้ ดังนั้น อุปกรณ์ IoT ที่ไม่ปลอดภัยหลายพันล้านเครื่องจึงถูกนำไปใช้งานแล้ว และแม้ว่าการเติบโตของจำนวนที่คาดการณ์ไว้จะชะลอตัวลง (แม้ว่าจะเล็กน้อย) แต่การเพิ่มขึ้นที่คาดหวังในกลุ่มอุปกรณ์ IoT ที่ "อาจเป็นอันตราย" ทั่วโลกในอนาคตอันใกล้ก็เป็นเรื่องที่น่าตกใจ (ดูกราฟด้านล่าง)

อุปกรณ์ IoT จำนวนมากเหมาะอย่างยิ่งสำหรับการใช้งานโดยไม่ได้รับอนุญาตในบอทเน็ตทางอาญา เนื่องจาก:

  • โดยส่วนใหญ่แล้วพวกมันไม่สามารถจัดการได้ หรืออีกนัยหนึ่งคือพวกมันทำงานโดยไม่มีการควบคุมดูแลที่เหมาะสม ผู้ดูแลระบบซึ่งทำให้การใช้เป็นผู้รับมอบฉันทะที่ไม่เปิดเผยตัวตนมีประสิทธิภาพอย่างยิ่ง
  • โดยปกติแล้วจะออนไลน์ตลอด 24 ชั่วโมงทุกวัน ซึ่งหมายความว่าพร้อมที่จะทำการโจมตีได้ตลอดเวลา และตามกฎแล้ว โดยไม่มีข้อจำกัดใดๆ แบนด์วิธหรือการกรองการจราจร
  • พวกเขามักจะใช้ระบบปฏิบัติการเวอร์ชันแยกส่วนที่ใช้ตระกูล Linux และมัลแวร์บอตเน็ตสามารถรวบรวมได้อย่างง่ายดายสำหรับสถาปัตยกรรมที่ใช้กันอย่างแพร่หลาย โดยเฉพาะ ARM/MIPS/x86
  • ระบบปฏิบัติการแบบแยกส่วนโดยอัตโนมัติหมายถึงฟีเจอร์ความปลอดภัยน้อยลง รวมถึงการรายงาน ดังนั้นเจ้าของอุปกรณ์เหล่านี้จึงตรวจไม่พบภัยคุกคามส่วนใหญ่

นี่เป็นอีกตัวอย่างล่าสุดที่จะช่วยให้คุณเข้าใจถึงพลังที่โครงสร้างพื้นฐานบอตเน็ตทางอาญายุคใหม่สามารถมีได้: ในเดือนพฤศจิกายน 2560 บ็อตเน็ต Necurs ได้เผยแพร่ไวรัสเรียกค่าไถ่ Scarab สายพันธุ์ใหม่ เป็นผลให้มีการส่งอีเมลที่ติดไวรัสประมาณ 12.5 ล้านฉบับไปยังแคมเปญจำนวนมากนั่นคืออัตราการแจกจ่ายมากกว่า 2 ล้านอีเมลต่อชั่วโมง อย่างไรก็ตาม บอทเน็ตเดียวกันนี้แพร่กระจายโทรจันธนาคาร Dridex และ Trickbot รวมถึงไวรัสเรียกค่าไถ่ Locky และ Jans

Botnets ถือเป็นพลังการประมวลผลที่สำคัญทั่วโลก และพลังนี้เป็นแหล่งที่มาของมัลแวร์ การขู่กรรโชก สแปม ฯลฯ เป็นประจำ (อาจจะสม่ำเสมอด้วยซ้ำ) แต่บอตเน็ตเกิดขึ้นได้อย่างไร? ใครเป็นผู้ควบคุมพวกเขา? และเราจะหยุดพวกเขาได้อย่างไร?

คำจำกัดความของบอตเน็ตระบุว่า “บอตเน็ตคือชุดของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต ซึ่งอาจรวมถึงพีซี เซิร์ฟเวอร์ อุปกรณ์มือถือ และอุปกรณ์อินเทอร์เน็ตที่ติดไวรัสและควบคุมโดยมัลแวร์ประเภททั่วไป ผู้ใช้มักไม่ทราบว่าบอตเน็ตกำลังติดระบบของพวกเขา”

ประโยคสุดท้ายของคำจำกัดความนี้คือกุญแจสำคัญ เจ้าของอุปกรณ์ในบอตเน็ตมักจะไม่รู้ด้วยซ้ำ อุปกรณ์ที่ติดไวรัส ตัวเลือกบางอย่างมัลแวร์ถูกควบคุมจากระยะไกลโดยอาชญากรไซเบอร์ มัลแวร์ซ่อนตัวอยู่ การกระทำที่เป็นอันตราย botnet บนอุปกรณ์ ในขณะที่เจ้าของไม่ทราบถึงบทบาทของตนในเครือข่าย คุณสามารถส่งอีเมลขยะนับพัน โฆษณายาลดความอ้วน โดยไม่ต้องสงสัย

บอทเน็ตมีหลายตัว ฟังก์ชั่นทั่วไปขึ้นอยู่กับความต้องการของผู้ดำเนินการบอทเน็ต:

  1. สแปม:ส่งสแปมจำนวนมหาศาลไปทั่วโลก ตัวอย่างเช่น ส่วนแบ่งเฉลี่ยของสแปมทั่วโลก การรับส่งข้อมูลทางไปรษณีย์คิดเป็นร้อยละ 56.69
  2. มัลแวร์:การจัดหามัลแวร์และ สปายแวร์เครื่องจักรที่มีช่องโหว่ ผู้โจมตีซื้อและขายทรัพยากรของ Botnet เพื่อส่งเสริมกิจกรรมทางอาญา
  3. ข้อมูล.บันทึกรหัสผ่านและอื่นๆ ข้อมูลส่วนบุคคล- สิ่งนี้เกี่ยวข้องกับข้างต้น
  4. คลิกการฉ้อโกง:อุปกรณ์ที่ติดไวรัสจะเข้าชมเว็บไซต์เพื่อสร้างการเข้าชมเว็บและการแสดงโฆษณาที่ผิดพลาด
  5. ดีดอส:ผู้ให้บริการบอทเน็ตควบคุมพลังของอุปกรณ์ที่ติดไวรัสไปยังเป้าหมายเฉพาะ ครอบงำเป้าหมายของการโจมตีมากจนถูกบังคับให้เข้าไป โหมดออฟไลน์หรือทำให้เกิดการขัดข้อง

โดยทั่วไปแล้วผู้ให้บริการ Botnet จะเปลี่ยนเครือข่ายของตนเป็นชุดฟังก์ชันเหล่านี้เพื่อทำกำไร ตัวอย่างเช่น ผู้ให้บริการบอตเน็ตที่ส่งสแปมทางการแพทย์ไปยังพลเมืองรัสเซียปฏิบัติตามคำสั่งซื้อจากร้านขายยาออนไลน์ที่ส่งสินค้า

ในช่วงไม่กี่ปีที่ผ่านมา บอทเน็ตหลักมีการเปลี่ยนแปลงเล็กน้อย แม้ว่าสแปมทางการแพทย์และสแปมประเภทอื่นที่คล้ายคลึงกันจะสร้างผลกำไรมหาศาลมาเป็นเวลานาน แต่การปราบปรามโดยการบังคับใช้กฎหมายได้ทำลายผลกำไรของพวกเขา

บอตเน็ตมีหน้าตาเป็นอย่างไร?

เรารู้ว่าบอตเน็ตเป็นเครือข่ายของคอมพิวเตอร์ที่ติดไวรัส อย่างไรก็ตาม ส่วนประกอบพื้นฐานและสถาปัตยกรรมที่แท้จริงของบอตเน็ตนั้นน่าสนใจ

สถาปัตยกรรม

มีสถาปัตยกรรมบอตเน็ตหลักสองแบบ:

  • โมเดลไคลเอ็นต์-เซิร์ฟเวอร์:โดยทั่วไปบอตเน็ตไคลเอนต์-เซิร์ฟเวอร์จะใช้ไคลเอนต์แชท (เดิมคือ IRC แต่บอตเน็ตสมัยใหม่ใช้ Telegram และบริการส่งข้อความที่เข้ารหัสอื่น ๆ ) โดเมนหรือเว็บไซต์เพื่อสื่อสารกับเครือข่าย โอเปอเรเตอร์ส่งข้อความไปยังเซิร์ฟเวอร์ ส่งต่อไปยังไคลเอนต์ที่ดำเนินการคำสั่ง แม้ว่าโครงสร้างพื้นฐานของบอตเน็ตจะมีตั้งแต่พื้นฐานไปจนถึงซับซ้อนมาก แต่ความพยายามที่เข้มข้นสามารถปิดการใช้งานบอตเน็ตไคลเอนต์-เซิร์ฟเวอร์ได้
  • โมเดลเพียร์ทูเพียร์:บอตเน็ตแบบเพียร์ทูเพียร์ (P2P) พยายามหยุดโปรแกรมความปลอดภัยที่ระบุเซิร์ฟเวอร์ C2 เฉพาะโดยการสร้าง เครือข่ายกระจายอำนาจ- เครือข่าย P2P มีความก้าวหน้ากว่าโมเดลไคลเอ็นต์-เซิร์ฟเวอร์ในบางด้าน นอกจากนี้สถาปัตยกรรมของพวกเขายังแตกต่างจากที่ใครจะจินตนาการได้ แทน เครือข่ายแบบครบวงจรอุปกรณ์ที่ติดไวรัสที่เชื่อมต่อถึงกันโดยแลกเปลี่ยนที่อยู่ IP ผู้ให้บริการต้องการใช้อุปกรณ์ซอมบี้ที่เชื่อมต่อกับโหนด และเชื่อมต่อระหว่างกันและเซิร์ฟเวอร์การสื่อสารหลัก แนวคิดก็คือมีการเชื่อมต่อถึงกันมากเกินไปแต่ แต่ละโหนดที่ต้องถูกลบไปพร้อมๆ กัน

การจัดการและการควบคุม

คำสั่ง Command and Control (บางครั้งเขียนเป็น C&C หรือ C2) มีหลายรูปแบบ:

  • เทลเน็ต:บ็อตเน็ต Telnet นั้นค่อนข้างง่าย โดยใช้สคริปต์เพื่อสแกนช่วงที่อยู่ IP สำหรับเทลเน็ตเริ่มต้นและเซิร์ฟเวอร์ SSH เพื่อเพิ่มอุปกรณ์ที่มีช่องโหว่และเพิ่มบอต
  • ไออาร์ซี:เครือข่าย IRC เสนอวิธีการสื่อสารแบนด์วิธต่ำสำหรับโปรโตคอล C2 โอกาส การสลับอย่างรวดเร็วแชนเนลให้การรักษาความปลอดภัยเพิ่มเติมแก่ผู้ให้บริการบอตเน็ต แต่ยังหมายความว่าไคลเอ็นต์ที่ติดไวรัสจะถูกตัดออกจากบอตเน็ตอย่างง่ายดาย หากพวกเขาไม่ได้รับข้อมูลแชนเนลที่อัปเดต การรับส่งข้อมูลของ IRC นั้นค่อนข้างง่ายในการตรวจสอบและแยกออกจากกัน ซึ่งหมายความว่าผู้ให้บริการจำนวนมากได้เลิกใช้วิธีนี้
  • โดเมนบ็อตเน็ตขนาดใหญ่บางแห่งใช้โดเมนแทนไคลเอ็นต์การรับส่งข้อความเพื่อควบคุม อุปกรณ์ที่ติดไวรัสจะสามารถเข้าถึงโดเมนเฉพาะที่แสดงรายการคำสั่งการจัดการ ช่วยให้สามารถเข้าถึงการแก้ไขและอัปเดตได้ทันที ข้อเสียคือความต้องการแบนด์วิดธ์ขนาดใหญ่ของบ็อตเน็ตขนาดใหญ่ รวมถึงความง่ายในการปิดโดเมนควบคุมที่น่าสงสัย ผู้ให้บริการบางรายใช้สิ่งที่เรียกว่าโฮสติ้งกันกระสุนเพื่อดำเนินการนอกเขตอำนาจศาลของประเทศที่มีกฎหมายอินเทอร์เน็ตทางอาญาที่เข้มงวด
  • P2P:โดยทั่วไปโปรโตคอล P2P จะใช้การลงนามดิจิทัลโดยใช้การเข้ารหัสแบบไม่สมมาตร (หนึ่งเปิดและหนึ่ง รหัสส่วนตัว- ตราบใดที่โอเปอเรเตอร์มีคีย์ส่วนตัว การที่คนอื่นจะปล่อยก็เป็นเรื่องยากมาก (ในความเป็นจริง เป็นไปไม่ได้) ทีมที่แตกต่างกันสำหรับบอตเน็ต ในทำนองเดียวกัน การไม่มีเซิร์ฟเวอร์ C2 ที่เฉพาะเจาะจงทำให้การโจมตีและทำลายบอตเน็ต P2P ทำได้ยากกว่าเซิร์ฟเวอร์ที่คล้ายกัน
  • อื่น:ในช่วงหลายปีที่ผ่านมา เราได้เห็นผู้ให้บริการบอตเน็ตใช้งานบางอย่าง ช่องทางที่น่าสนใจคำสั่งและการควบคุม สิ่งที่เข้ามาในใจทันทีคือช่อง สังคมออนไลน์เช่น บ็อตเน็ต Android Twitoor ที่ควบคุมโดย Twitter หรือ Mac.Backdoor.iWorm ซึ่งใช้รายการภูมิภาคย่อย เซิร์ฟเวอร์ไมน์คราฟต์เพื่อดึงข้อมูลที่อยู่ IP สำหรับเครือข่ายของคุณ อินสตาแกรมก็ไม่ปลอดภัยเช่นกัน ในปี 2560 Turla ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ใช้ความคิดเห็นในรูปภาพ Instagram ของ Britney Spears เพื่อจัดเก็บตำแหน่งของเซิร์ฟเวอร์ C2 ที่กระจายมัลแวร์

ซอมบี้/บอท

ชิ้นสุดท้ายของปริศนาบอตเน็ตคืออุปกรณ์ที่ติดไวรัส (เช่น ซอมบี้)

ผู้ให้บริการบอทเน็ตจงใจกำหนดเป้าหมายและแพร่เชื้อไปยังอุปกรณ์ที่มีช่องโหว่เพื่อขยายขีดความสามารถในการปฏิบัติงาน เราได้แสดงรายการบอตเน็ตหลักที่อธิบายไว้ข้างต้นแล้ว ฟังก์ชั่นทั้งหมดนี้ต้องการ พลังการคำนวณ- นอกจากนี้ ผู้ให้บริการบอทเน็ตไม่ได้เป็นมิตรต่อกันเสมอไป โดยแย่งชิงเครื่องที่ติดไวรัสจากกันและกัน

เจ้าของอุปกรณ์ซอมบี้ส่วนใหญ่ไม่ทราบถึงบทบาทของตนในบอตเน็ต อย่างไรก็ตาม ในบางครั้ง มัลแวร์บอตเน็ตจะทำหน้าที่เป็นช่องทางสำหรับมัลแวร์สายพันธุ์อื่นๆ

ประเภทอุปกรณ์

อุปกรณ์เครือข่ายกำลังออนไลน์ด้วยความเร็วที่น่าอัศจรรย์ และบอตเน็ตไม่ได้เป็นเพียงการกำหนดเป้าหมายไปที่พีซีหรือ Mac เท่านั้น อุปกรณ์ที่ใช้อินเทอร์เน็ตก็ไวต่อมัลแวร์บอตเน็ต (หากไม่มากกว่านั้น) เช่นกัน โดยเฉพาะอย่างยิ่งหากพวกเขาถูกตามหาเพราะความปลอดภัยอันน่าสะพรึงกลัว

สมาร์ทโฟนและแท็บเล็ตก็ไม่ได้รับการปกป้องเช่นกัน Android เป็นเป้าหมายที่ง่าย: เปิดแล้ว แหล่งที่มาระบบปฏิบัติการหลายเวอร์ชัน และช่องโหว่หลายรายการได้ตลอดเวลา อย่ามีความสุขเร็วนัก ผู้ใช้ iOS- มีมัลแวร์หลายรูปแบบที่มุ่งเป้าไปที่อุปกรณ์มือถือ อุปกรณ์แอปเปิ้ลแม้ว่าสิ่งเหล่านี้มักจะจำกัดอยู่เฉพาะ iPhone ที่ผ่านการเจลเบรคแล้วซึ่งมีช่องโหว่ด้านความปลอดภัยเท่านั้น

เป้าหมายหลักอีกประการหนึ่งของอุปกรณ์บอตเน็ตคือเราเตอร์ที่มีช่องโหว่ เราเตอร์ที่ใช้เฟิร์มแวร์เก่าและไม่ปลอดภัยเป็นเป้าหมายที่ง่ายดายสำหรับบอตเน็ต และเจ้าของจำนวนมากจะไม่ทราบว่าพอร์ทัลอินเทอร์เน็ตของตนกำลังติดไวรัส ในทำนองเดียวกัน ผู้ใช้อินเทอร์เน็ตจำนวนไม่น้อยไม่สามารถเปลี่ยนการตั้งค่าเริ่มต้นบนเราเตอร์ของตนได้ หลังการติดตั้ง เช่นเดียวกับอุปกรณ์ IoT สิ่งนี้ทำให้มัลแวร์แพร่กระจายด้วยความเร็วมหาศาล โดยต้านทานการติดไวรัสในอุปกรณ์นับพันได้เพียงเล็กน้อย

การปิดบอทเน็ตไม่ใช่เรื่องง่ายด้วยเหตุผลหลายประการ บางครั้งสถาปัตยกรรมบอตเน็ตช่วยให้ผู้ปฏิบัติงานปรับตัวได้อย่างรวดเร็ว ในกรณีอื่นๆ บอตเน็ตมีขนาดใหญ่เกินกว่าจะพังได้ในคราวเดียว

เกมโอเวอร์ซุส (GOZ)

GOZ เป็นหนึ่งในบ็อตเน็ตที่ใหญ่ที่สุดล่าสุด ซึ่งเชื่อกันว่ามีอุปกรณ์ที่ติดไวรัสมากกว่าล้านเครื่องที่จุดสูงสุด การใช้งานหลักของบอตเน็ตคือการขโมยเงินและส่งจดหมายขยะและการใช้งาน อัลกอริธึมที่ซับซ้อนการสร้างโดเมนแบบเพียร์ทูเพียร์ได้รับการพิสูจน์แล้วว่าไม่สามารถหยุดยั้งได้

อัลกอริธึมการสร้างโดเมนช่วยให้บอตเน็ตสามารถสร้างรายการโดเมนขนาดยาวไว้ล่วงหน้าเพื่อใช้เป็นจุดนัดพบสำหรับมัลแวร์บอตเน็ต จุดนัดพบหลายจุดทำให้การหยุดการแพร่กระจายแทบจะเป็นไปไม่ได้เลย เนื่องจากมีเพียงผู้ดำเนินการเท่านั้นที่ทราบรายชื่อโดเมน

ในปี 2014 กลุ่มนักวิจัยด้านความปลอดภัยที่ทำงานร่วมกับ FBI และหน่วยงานระหว่างประเทศอื่นๆ ในที่สุดก็บังคับให้ GameOver Zeus ออฟไลน์ มันไม่ง่ายเลย หลังจากบันทึกลำดับการจดทะเบียนโดเมน ทีมงานได้จดทะเบียนโดเมนเกือบ 150,000 โดเมนในช่วงหกเดือนก่อนเริ่มดำเนินการ สิ่งนี้มีจุดประสงค์เพื่อบล็อกการจดทะเบียนโดเมนในอนาคตจากผู้ให้บริการบอตเน็ต

จากนั้น ISP หลายแห่งได้ส่งมอบการควบคุมการดำเนินงานให้กับโหนดพร็อกซี GOZ ที่ใช้โดยผู้ดำเนินการบอตเน็ตเพื่อสื่อสารระหว่างเซิร์ฟเวอร์คำสั่งและการควบคุมและบอตเน็ตจริง

เจ้าของบอตเน็ต Evgeny Bogachev (นามแฝงออนไลน์ Slavik) ตระหนักได้ในหนึ่งชั่วโมงต่อมาว่าบอตเน็ตของเขาถูกรื้อออก และพยายามต่อสู้กับมันต่อไปอีกสี่หรือห้าชั่วโมงก่อนที่จะ "ยอมแพ้" และยอมรับความพ่ายแพ้

เป็นผลให้กองกำลังรักษาความปลอดภัยสามารถถอดรหัสการเข้ารหัส CryptoLocker ของแรนซัมแวร์ที่โด่งดังได้ เครื่องมือฟรีเพื่อถอดรหัสสำหรับเหยื่อแฮกเกอร์

บอตเน็ต IoT นั้นแตกต่างออกไป

มาตรการในการต่อสู้กับ GameOver Zeus นั้นกว้างขวางแต่จำเป็น สิ่งนี้แสดงให้เห็นว่าพลังที่แท้จริงของบ็อตเน็ตที่ซับซ้อนนั้นต้องการแนวทางระดับโลกในการบรรเทาผลกระทบ โดยต้องใช้ "กลยุทธ์ทางกฎหมายและทางเทคนิคที่เป็นนวัตกรรมด้วย เครื่องดนตรีแบบดั้งเดิมกิจกรรมการบังคับใช้กฎหมาย" รวมถึง "ความสัมพันธ์ในการทำงานที่แน่นแฟ้นกับผู้เชี่ยวชาญและพนักงานในอุตสาหกรรมเอกชน การบังคับใช้กฎหมายไปยังกว่า 10 ประเทศทั่วโลก"

แต่ไม่ใช่ว่าบอทเน็ตทั้งหมดจะเหมือนกัน เมื่อบอตเน็ตตัวหนึ่งถึงจุดสิ้นสุด ผู้ปฏิบัติงานอีกคนก็เรียนรู้จากข้อผิดพลาดของมัน

ในปี 2559 บ็อตเน็ตที่ใหญ่ที่สุดและแย่ที่สุดคือ Mirai ก่อนที่จะรื้อบางส่วน มันโจมตีเป้าหมายสำคัญหลายประการด้วยการโจมตี DDoS แม้ว่า Mirai จะไม่ได้ใกล้เคียงกับการเป็นบอตเน็ตที่ใหญ่ที่สุดในโลกเท่าที่เคยมีมา แต่ก็ทำให้เกิดการโจมตีครั้งใหญ่ที่สุด Mirai ใช้การปกปิดอย่างทำลายล้างสำหรับอุปกรณ์ IoT ที่ไม่ปลอดภัยอย่างน่าขัน โดยใช้รายการรหัสผ่านเริ่มต้นที่ไม่ปลอดภัย 62 รายการในการเริ่มอุปกรณ์ (ผู้ดูแลระบบ/ผู้ดูแลระบบอยู่ด้านบนสุดของรายการ)

เหตุผลในการนำไปใช้อย่างกว้างขวางของ Mirai ก็คืออุปกรณ์ IoT ส่วนใหญ่นั่งเฉยๆ ไม่ทำอะไรเลยจนกว่าจะได้รับแจ้ง ซึ่งหมายความว่าพวกเขาออนไลน์เกือบตลอดเวลาและเกือบตลอดเวลา ทรัพยากรเครือข่าย. ตัวดำเนินการแบบดั้งเดิมบอตเน็ตจะวิเคราะห์ช่วงพลังงานสูงสุดและการโจมตีชั่วคราวตามลำดับ

ดังนั้นเมื่อมีการกำหนดค่าไม่ดีมากขึ้น อุปกรณ์ไอโอทีเชื่อมต่อกับเครือข่าย โอกาสถูกโจมตีเพิ่มมากขึ้น

วิธีการอยู่อย่างปลอดภัย

เราได้เรียนรู้ว่าบอตเน็ตทำอะไร เติบโตอย่างไร และอื่นๆ อีกมากมาย แต่คุณจะหยุดอุปกรณ์ของคุณไม่ให้เป็นส่วนหนึ่งของมันได้อย่างไร? คำตอบแรกนั้นง่าย: อัปเดตระบบของคุณ การอัปเดตเป็นประจำจะแก้ไขช่องโหว่ในตัวคุณ ระบบปฏิบัติการซึ่งจะช่วยลดโอกาสในการแสวงหาผลประโยชน์จากผู้โจมตี

ประการที่สอง - ดาวน์โหลดและอัปเดต โปรแกรมป้องกันไวรัสและโปรแกรมป้องกันมัลแวร์ มีชุดโปรแกรมป้องกันไวรัสฟรีมากมายที่นำเสนอ การป้องกันที่ดีเยี่ยมมีระดับการป้องกันที่ดี

สุดท้าย ใช้การป้องกันเบราว์เซอร์เพิ่มเติม บ็อตเน็ตนั้นง่ายต่อการหลีกเลี่ยงหากคุณใช้ส่วนขยายการบล็อกสคริปต์เช่น uBlock Origin

คอมพิวเตอร์ของคุณเป็นส่วนหนึ่งของบอตเน็ตหรือไม่? คุณเข้าใจสิ่งนี้ได้อย่างไร? คุณทราบหรือไม่ว่าอุปกรณ์ของคุณกำลังใช้ไวรัสตัวใดอยู่ แจ้งให้เราทราบประสบการณ์ของคุณในการออกจาก Botnet ด้านล่าง!

คอมพิวเตอร์ในเครือข่ายที่ติดมัลแวร์เป็นอาวุธไซเบอร์ที่ทรงพลังและเป็นวิธีที่ดีเยี่ยมสำหรับผู้ที่ควบคุมคอมพิวเตอร์เหล่านั้นให้ร่ำรวย นอกจากนี้ผู้โจมตียังสามารถอยู่ที่ใดก็ได้ในโลกที่มีอินเทอร์เน็ต

โดยปกติแล้ว บอตเน็ตจะทำหน้าที่ก่ออาชญากรรมขนาดใหญ่ ตัวอย่างเช่น การส่งสแปมจากเครื่องที่ติดไวรัสสามารถสร้างรายได้จากสแปมเมอร์ได้ 50-100,000 ดอลลาร์ต่อปี ในขณะเดียวกันก็สามารถใช้มาตรการคว่ำบาตรได้ รหัสไปรษณีย์ที่ส่งสแปมจะมีผลเฉพาะกับเจ้าของเครื่องที่ติดไวรัสเท่านั้น กล่าวอีกนัยหนึ่งพวกเขาจะทำทุกอย่าง ผลกระทบเชิงลบจากการส่งสแปม Botnets ยังใช้สำหรับแบล็กเมล์ทางไซเบอร์อีกด้วย ทรงพลัง เครือข่ายคอมพิวเตอร์ตามคำสั่งของผู้โจมตีอาจเปิดการโจมตี DDoS ที่มีประสิทธิภาพบนเซิร์ฟเวอร์ ซึ่งสร้างปัญหาในการดำเนินงาน การโจมตีนี้สามารถดำเนินต่อไปได้อย่างไม่มีกำหนดจนกว่าเจ้าของเซิร์ฟเวอร์จะจ่ายค่าไถ่ เมื่อเร็วๆ นี้ การโจมตี DDoS ยังถูกใช้เป็นเครื่องมือกดดันทางการเมืองอีกด้วย ทรัพยากรอย่างเป็นทางการของรัฐใดๆ

นอกจากนี้ บอตเน็ตยังถูกใช้เป็นวิธีการเข้าถึงอินเทอร์เน็ตโดยไม่เปิดเผยตัวตน เพื่อให้อาชญากรไซเบอร์สามารถแฮ็กเข้าสู่เว็บไซต์และขโมยรหัสผ่านจากคอมพิวเตอร์ที่ติดไวรัสได้อย่างปลอดภัย แยกมุมมองอาชญากรรมคือการเช่าบอทเน็ตและสร้างเครือข่ายซอมบี้เพื่อขาย

ปัจจุบัน การพัฒนาเทคโนโลยีบอตเน็ตมีหลายเส้นทาง อินเทอร์เฟซการจัดการง่ายขึ้น บอทได้รับการปกป้องจากการตรวจจับโดยโปรแกรมป้องกันไวรัส และการทำงานของบอตเน็ตก็มองไม่เห็นมากขึ้นแม้แต่กับผู้เชี่ยวชาญ ราคาในตลาดบอตเน็ตกำลังถูกลง ความง่ายในการจัดการเครือข่ายซอมบี้นั้นเกินกว่าจะเข้าใจ และไม่มีวิธีใดที่มีประสิทธิภาพในการหยุดการสร้างบอตและเครือข่าย มีความเห็นว่าอินเทอร์เน็ตทั้งหมดเป็นบอตเน็ตขนาดใหญ่ตัวเดียว

วิดีโอในหัวข้อ

บอทคือโปรแกรมที่ดำเนินการบางอย่างบนคอมพิวเตอร์แทนการกระทำของมนุษย์โดยอัตโนมัติ เมื่อพูดถึงบอท เรามักจะหมายถึงบอทที่อยู่บนอินเทอร์เน็ต

โดยพื้นฐานแล้ว บอทคือผู้ช่วยของมนุษย์ที่สามารถทำงานซ้ำซากจำเจและทำซ้ำได้ด้วยความเร็วที่เกินกว่าความสามารถของมนุษย์มาก ความช่วยเหลือของพวกเขายังมีคุณค่าอย่างยิ่งในสภาวะที่จำเป็นต้องมีการตอบสนองอย่างรวดเร็วต่อเหตุการณ์ใดๆ

ส่วนใหญ่แล้วคุณจะพบบอทในการแชทหรือเกมออนไลน์ที่มีความสามารถในการสื่อสารระหว่างผู้เล่น พวกเขาเลียนแบบผู้คน ผู้ใช้นั่งอยู่หน้าคอมพิวเตอร์เครื่องอื่น บอทยังควบคุมการกระทำของตัวละครมากมายใน MMORG และเกมออนไลน์อื่น ๆ ในการประมูลและการแลกเปลี่ยนออนไลน์ บอทได้เข้ามาแทนที่มนุษย์เมื่อดำเนินการตามปกติ เช่น การซื้อของมีค่า การเก็งกำไร และการถลกหนัง กิจกรรมของบอทมักจะส่งผลต่อปริมาณการซื้อขายระหว่างวันเป็นส่วนใหญ่

เจ้าของเว็บไซต์ที่ต้องการใช้บอทเพื่อวัตถุประสงค์ที่ดี หรือผู้เชี่ยวชาญด้านการบำรุงรักษาเซิร์ฟเวอร์อื่นๆ สามารถแทรกไฟล์ Robots.txt ลงในเซิร์ฟเวอร์และระบุข้อจำกัดสำหรับกิจกรรมของบอทในนั้น บอทจะต้องปฏิบัติตามกฎเหล่านี้

เพื่อให้บรรลุเป้าหมายได้อย่างมีประสิทธิภาพ บอทที่เป็นอันตรายจะรวมตัวกันบนเครือข่าย (บอตเน็ต) และใช้งานคอมพิวเตอร์ที่มีการป้องกันมัลแวร์ที่อ่อนแอ พวกเขาเจาะคอมพิวเตอร์โดยใช้ โทรจัน- ตัวอย่างบอทสำหรับส่งสแปม วางบนเว็บไซต์ และประมวลผลข้อความ บอทที่เป็นอันตรายทำการคำนวณจำนวนมากเพื่อถอดรหัสรหัสผ่านและจัดทำดัชนีทรัพยากรเครือข่าย ขโมยข้อมูลส่วนบุคคล หมายเลข และรหัส PIN บัตรธนาคาร- บอทบางตัวเตรียมคอมพิวเตอร์ของคุณสำหรับการโจมตี DDoS โดยลดการป้องกันลง นอกจากนี้เวิร์มทั้งหมดและไวรัสบางตัวก็เป็นบอทเช่นกัน

ผู้ใช้คอมพิวเตอร์ส่วนใหญ่สามารถแยกแยะบอทจากบุคคลจริงได้อย่างง่ายดาย แต่สำหรับเครื่องจักรนี่เป็นงานที่ยาก นั่นเป็นเหตุผลที่มันถูกประดิษฐ์ขึ้น วิธีการรักษาที่มีประสิทธิภาพที่สุดต่อสู้กับบอท - การทดสอบทัวริงแบบย้อนกลับ เรียกขานว่า captcha นี่คือข้อความที่ประมวลผลด้วยวิธีพิเศษซึ่งเป็นเรื่องง่าย มนุษย์สามารถอ่านได้และไม่สามารถเข้าถึงความเข้าใจของเครื่องจักรได้อย่างสมบูรณ์



บทความที่เกี่ยวข้อง

วิธีค้นหาความละเอียดหน้าจอของคุณ: เผยความลับแห่งศตวรรษ
โปรเซสเซอร์

วิธีค้นหาความละเอียดหน้าจอของคุณ: เผยความลับแห่งศตวรรษ

ติดตั้ง VKontakte บนพีซี
โปรเซสเซอร์

ติดตั้ง VKontakte บนพีซี

วิธีเชื่อมต่อแพ็คเกจอินเทอร์เน็ต SuperBit และ Bit จาก MTC
วินโดว 7

วิธีเชื่อมต่อแพ็คเกจอินเทอร์เน็ต SuperBit และ Bit จาก MTC

สิ่งที่คุณต้องรู้หลังจากซื้อสมาร์ทโฟน Apple
วินโดว 7

สิ่งที่คุณต้องรู้หลังจากซื้อสมาร์ทโฟน Apple

สร้อยข้อมือวัดจำนวนก้าวที่ข้อมือ: การเลือกอุปกรณ์อัจฉริยะเพื่อปรับปรุงสุขภาพของคุณ สร้อยข้อมือฟิตเนสพร้อมการวัดแคลอรี่
จอภาพ

สร้อยข้อมือวัดจำนวนก้าวที่ข้อมือ: การเลือกอุปกรณ์อัจฉริยะเพื่อปรับปรุงสุขภาพของคุณ สร้อยข้อมือฟิตเนสพร้อมการวัดแคลอรี่

บัญชีสำรอง Qiwi คืออะไร?
วินเชสเตอร์

บัญชีสำรอง Qiwi คืออะไร?

การกู้คืนระบบจากไฟล์เก็บถาวร Acronis True Image พร้อมโปรแกรมและไฟล์ทั้งหมด ลำดับการกู้คืนฮาร์ดไดรฟ์ Acronis
อื่น

การกู้คืนระบบจากไฟล์เก็บถาวร Acronis True Image พร้อมโปรแกรมและไฟล์ทั้งหมด ลำดับการกู้คืนฮาร์ดไดรฟ์ Acronis

การลบไฟล์ที่ถูกลบบน Android วิธีลบแอพรูทออกจาก Android
การ์ดแสดงผล

การลบไฟล์ที่ถูกลบบน Android วิธีลบแอพรูทออกจาก Android

ความประทับใจของ macOS High Sierra
วินโดว์ 8

ความประทับใจของ macOS High Sierra