Ботнеты
30 мая 2016
Ботнетами, или бот-сетями, принято называть сети, созданные злоумышленниками с использованием автономно действующих и дистанционно управляемых вредоносных программ. Такие программы, способные воспринимать поступающие с управляющих серверов команды, называют «ботами» от сокращенного английского слова robot. Правда, командные серверы имеют далеко не все ботнеты — существует несколько разновидностей таких сетей, в которых боты могут обмениваться информацией напрямую.
Создатели ботнетов преследуют различные цели, но все они так или иначе имеют криминальную природу. Чаще всего злоумышленники организуют с помощью бот-сетей так называемые DDoS-атаки, то есть атаки на отказ в обслуживании: десятки тысяч зараженных компьютеров начинают одновременно отправлять запросы на какой-нибудь интернет-ресурс, и тот прекращает работу, поскольку не может справиться с таким потоком информации.
Также с использованием бот-сетей киберпреступники рассылают спам, похищают принадлежащую пользователям конфиденциальную информацию, загружают на инфицированные компьютеры другие вредоносные приложения.
Многие боты являются универсальным инструментом для совершения преступлений в Сети — они умеют выполнять сразу несколько функций.
Зачастую владельцы и организаторы ботнетов предлагают собственные услуги другим злоумышленникам на подпольных хакерских форумах, извлекая таким образом прибыль из эксплуатации бот-сети.
Самым первым массовым ботнетом принято считать сеть, созданную злоумышленниками в 2004 году с использованием почтового червя Beagle. Эта вредоносная программа инфицировала порядка 230 000 компьютеров по всему миру, работающих под управлением Microsoft Windows. Beagle рассылал свои копии по электронной почте, а благодаря наличию встроенного руткит-модуля умел скрывать собственное присутствие в системе и завершать процессы некоторых антивирусных программ, вследствие чего его обнаружение и удаление было непростой задачей.
Одной из крупнейших бот-сетей по праву считается предназначенный для рассылки спама ботнет Rustock, появившийся в 2006 году. Инфицированные компьютеры, из которых состоял этот ботнет, способны были отправлять до 25 000 рекламных писем в час. А в 2008 году получил широчайшее распространение червь Conficker, заразивший более 10 млн компьютеров в 200 странах мира.
Первые ботнеты имели довольно простую структуру — зараженные компьютеры обращались за командами к управляющему серверу, адрес которого был жестко «зашит» в теле вредоносной программы. Такие сети были крайне нестабильны: в случае выхода из строя управляющего центра ботнет фактически прекращал свое существование. Поэтому злоумышленники стали использовать так называемый механизм DGA — Domain Generation Algorithm, или, по-русски, «алгоритм генерации доменных имен». Такие боты не несут в себе адресов управляющего сервера, а генерируют их «на лету» по специальной схеме. Если один из управляющих серверов внезапно выходит из строя, троянцы на зараженных компьютерах вычисляют следующий адрес сервера и пробуют подключиться к нему. На этом и основывается технология перехвата управления ботнетами Sinkhole, которую используют специалисты антивирусных компаний: если им удается разгадать используемый троянцами алгоритм генерации доменных имен, они могут сами зарегистрировать один или несколько таких доменов. После этого достаточно любым способом ликвидировать действующий управляющий сервер, чтобы получить неограниченную власть над всей бот-сетью.
В целях борьбы с этим явлением злоумышленники создают одноранговые, так называемые P2P (Peer-to-Peer) ботнеты, которые и вовсе не имеют управляющих серверов. В таких сетях боты общаются друг с другом «на равных» и передают команды «по цепочке», от одного инфицированного компьютера к другому. Поскольку подобная система является децентрализованной, уничтожить или парализовать ее очень непросто. Для повышения живучести современных ботнетов киберпреступники активно используют цифровые подписи, шифрование трафика, туннелирование при передаче данных и прочие ухищрения, призванные усложнить жизнь аналитикам антивирусных компаний.
Ботнеты угрожают не только пользователям Microsoft Windows. В 2012 году аналитики компании «Доктор Веб» обнаружили крупнейшую в истории бот-сеть, состоящую из компьютеров Apple, которые были заражены троянцем BackDoor.Flashback.39. Также существуют ботнеты и для мобильных устройств, работающих под управлением ОС Android, — таким бот-сетям мы посвятили отдельный выпуск «Антивирусной Правды».
#ботнет #киберпреступление #история
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
04:30:33 2021-02-04
Rider
23:54:35 2018-12-03
Toma
07:31:45 2018-08-09
Денисенко Павел Андреевич
16:32:43 2018-08-03
vasvet
09:17:23 2018-04-04
alex-diesel
08:40:37 2018-03-05
Zserg
18:39:36 2016-11-27
puzzle
00:32:10 2016-05-31
Иваныч
23:42:02 2016-05-30
kva-kva
22:29:26 2016-05-30
mk.insta
22:14:40 2016-05-30
stavkafon
22:14:32 2016-05-30
anto-s
21:37:39 2016-05-30
Mehatronik
21:36:46 2016-05-30
Lia00
21:35:19 2016-05-30
Геральт
21:31:55 2016-05-30
tosya
21:31:26 2016-05-30
Альфа
21:02:56 2016-05-30
solec
20:47:55 2016-05-30
Александр Ш.
20:04:09 2016-05-30
Радует, что у антивирусных компаний есть действенные инструменты противодействия уловкам ботоводов. Надеюсь, сотрудники компании "Доктор Веб" поделятся некоторыми из них с нами – читателями проекта "Антивирусная правДА!" – для обеспечения общей сетевой безопасности.
Luger
19:45:39 2016-05-30
B0RIS
19:31:45 2016-05-30
Сергей
17:00:02 2016-05-30
samox
16:45:04 2016-05-30
fed0t
16:35:16 2016-05-30
bob123456
15:34:49 2016-05-30
Holmogorov
13:14:12 2016-05-30
Влад
13:07:35 2016-05-30
Zevs_46
12:30:06 2016-05-30
Вячeслaв
11:57:02 2016-05-30
dyadya_Sasha
11:48:34 2016-05-30
ЗАЩИТИ свой компьютер, чтобы не было мучительно больно за рассылку спама таким же как ты с твоего аккаунта, за "сказанное" и "сделанное" другим от твоего имени и с твоего адреса.
razgen
11:26:08 2016-05-30
lev
11:21:36 2016-05-30
MMM
11:19:23 2016-05-30
Ш...а
11:09:31 2016-05-30
GREII
11:04:47 2016-05-30
Людмила
09:14:32 2016-05-30
sania2186
08:59:43 2016-05-30
sania2186
08:59:07 2016-05-30
DrKV
08:53:26 2016-05-30
Мои рассказы об этом проекте некоторые расценивают как "спам". Мне их жаль.
Другие "заражаются" и тоже становятся частью этой бот-сети. За этих я рад. :-)))
Диман
08:45:47 2016-05-30
Vlad X
08:31:20 2016-05-30
GREII
07:37:16 2016-05-30
maghan
06:47:57 2016-05-30
kvv
06:33:29 2016-05-30
Спасибо за статью. :)
fds
06:30:35 2016-05-30
Morpheus
05:46:03 2016-05-30
SGES
05:19:37 2016-05-30
после вас у нас самовар потерялся.
Coolander
05:03:30 2016-05-30
Неуёмный Обыватель
04:24:29 2016-05-30