Что такое ботнет

Что такое ботнет

Ботнет (англ. botnet) - это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют кибер-преступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) с любой точки земного шара без ведома пользователя. Такие программы называются ботами, цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, а превратить компьютер в эдакого «зомби» (или бота), в этом состоянии злоумышленник может использовать их вычислительные ресурсы в своих целях.

Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.

В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем кибер-преступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.

Получение управления - как зарождаются бот сети

Этот вопрос носит важный характер. Потому что даже сейчас многие, кто читают эту статью, ничего не подозревая, являются соучастниками DDOS атаки. например, на крупный банковский сервер или же на любую другую фирму. Постараюсь рассказать все примитивно и по пунктам:

1. Любое заражение начинается со «спама» определенного Интернет ресурса, на котором содержится вредоносный код. Преступник рассылает зараженный сайт путем e-mail или ICQ. Ничего не подозревающий Интернет пользователь, попадаясь на уловку мошенника, переходит по ссылке и ему на компьютер автоматически загружается вирус.

2. После чего вирус глубоко прячется в компьютер жертвы и ждет команды из управляющего центра, который, как правило, владелец ботнета устанавливает на сервер в далекой и солнечной Панаме или на Кокосовых островах, и в таком случае засечь владельца практически не возможно.(но рано или поздно возможно все).

3. Владелец сети ждет момента, когда заразятся порядка 1000 машин и, зайдя в управляющий центр, нажатием одной кнопки и определенным запросом вызывает шквал атак направленных на определенный ресурс. И буквально в течение 10 минут сервер, не справляясь с количеством запросов, начинает виснуть.

Использование ботнетов

Ботнет может использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети. Рассмотрим основные цели использования:

* Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.

* Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.

* Анонимный доступ в сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.

* Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.

* Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.

* Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

Команды для ботов

Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же:

Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.

Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.

Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).

Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.

Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.

Типы ботнетов

Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах. используемых для управления ботами.

* Архитектура ботнетов

До сих пор были известны лишь два типа архитектуры ботнетов.

1. Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.

Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.

2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему

в зомби-сеть.

Рис. 2 Децентрализованная топология (P2P)

На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.

* Используемые сетевые протоколы

Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.

По типу используемых сетевых протоколов ботнеты делятся на следующие группы:

1. IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.

2. IM-orientedIM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями, возникающими при создании отдельного аккаунта IM-службы для каждого бота. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.

3. Веб-ориентированные. Относительно новая и быстро развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.

4. Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

Создание ботнетов

1. Ботнеты на заказ - к сожалению создать нынче ботнет может каждый. Делается это довольно просто: достаточно опубликовать объявление на одном из хакерских форумов и через некоторое время с вами свяжутся. Стоимость ботнета рассчитывается из учета некоторых факторов:

Первое что влияет на стоимость - это месторасположение центра, то есть другими словами, где расположен сервер, на котором будет создаваться управляющий центр ботнет сетью. Аренда такого сервера в месяц сейчас составляет приблизительно около 250 долларов в месяц.

Второе - это сам скрипт управляющего центра и билдер ( который делает вирусы, проникающие на машину жертвы) Стоимость такого комплекта варьируется в пределах от 500 до 1000 $. Конечно можно скачать разные комплекты, которые находятся в паблике ( то есть доступны для свободного скачивания) любому пользователю сети Интернет. Но паблик-версии ботов очень уязвимы.

Третье Сплоит – это специальный скрипт расположенный на сайте куда попадает жертва, несущий в себе вредоносный код который использует уязвимости браузеров. При попадании на такой сайт, жертве, как правило, загружается .exe программа, которая весит около 3-10кб, и автоматически запускается. Она абсолютно незаметна для пользователя, который может месяцами не догадываться, что его компьютер используется в плохих целях. Данная малюсенькая программка и есть то страшное оружие, посредством, которого и происходят ddos атаки. Естественно не каждый пользователь, который попадает на зараженную страничку, становится жертвой. Каждый сплоит характеризуется определенным процентом «пробива». Чем больше % - тем соответственно и больше цена. Например, если «пробив» составляет 20 %, то это значит, что на 1000 зашедших на зараженный сайт посетителей 200 человек загрузят вирус и, как правило, вредоносная программа нормально запустится лишь у 100 – 150 человек в виду разных причин. Максимальный «пробив» сплоита может быть не более 40-45% при условии, что он только написан и использует самые новые уязвимости браузеров. Цена сплоита при пробиве в 20 % обычно около 300 – 500 $. Максимальная цена примерно 1000 $(хотя бывают споиты стоимостью 9000-15000 тысяч долларов). В этом случае качество сплоита будет заметно выше.

Четвертое Трафик – это те посетители, которые заходят на сайт и впоследствии заражаются. Далее таких пользователей мы будем называть зомби – ботами или просто ботами. Трафик бывает разный. От него в первую очередь зависит качество DDOS ботнета, то есть такие параметры как мощность ботнета (исчисляется в МБ ), скорость смерти зомби - ботов. Обычно на хакерских форумах цены колеблются от 3 $ до 20 $ за 1000 уникальных посетителей на сайт. Цена также зависит от места расположения пользователя, а следовательно, и ширины его Интернет канала. Теперь несложными подсчетами мы можем посчитать, сколько нужно трафика и денежных средств, чтобы создать внушительную ботнет сеть, например из 10000 машин, которые будут находиться онлайн. Берем трафик из расчета 3 $ за 1000 человек при среднем «пробиве» сплоита в 20 %. При подсчете получим 50000 трафика. Теперь умножим это на 3$ за 1000 трафика и получим 150 $.

Ну и конечно не стоит забывать о вознаграждении тому, кто для вас создает такую сеть. Как правило, продавец попросит порядка 200 -300 долларов за свою работу.

Берем минимальные значения цен:

- Аренда сервера ( 1 месяц ). 250 $

- Пакет скриптов + билдер. 500 $

- Сплоит. 300 $

- Трафик. 150 $

- Работа. 200 $

Итого. 1400 $

Можно ли купить уже готовый ботнет?

Специально никто не создает ботнеты с целью продажи. Но в полнее возможно, что кто-то захочет продать свой существующий ботнет ввиду разных причин. Тут основным ценовым фактором является количество зомби – ботов онлайн (т.е. которые показываются в админке) Цена может быть совершенно разная. Её устанавливает продавец.

Как долго может жить ботнет сеть?

Хакер, как садовод - «следит и ухаживает» за своей сетью. Когда из управляющего центра боту подается команда атаки, которая исчисляется количеством пакетов, то если задать большое количество, то бот может, не справится с запросом и умереть. Очень часто причиной смерти бота может служить установка современного антивируса, который обнаружит и удалит зараженный файл.

Еще одной причиной может служить переустановка/обновление Windows или другой ОС. Также стоит отметить, что количество ботов непостоянно, так как ночью компьютеры, чаще всего, выключаются. Но когда пользователь вновь входит в Интернет, то бот «просыпается».

2.Собственный ботнет

К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику. К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.

Любопытно например, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае:

Источник: fiks-ru.net

Категория: Безопасность

Похожие статьи: