Перейти к публикации
Rabb1tRun

Что такое Ботнет ?

Рекомендованные сообщения

dbe499d454763c144b4c6.png

 

Ботнет - сеть, в которую могут входить любые подключенные к интернету устройства, которые заражены вредоносным ПО, контролирующемся злоумышленником.
Изначально Ботнет создавался как инструмент для разделения вычислительных нагрузок в каналах интернет-ретрансляции (IRC). Сейчас же это сеть зараженных устройств, контролируемая удаленно злоумышленником и направленная на выполнение определенных функций...
 

092efe6b54c623d0e9cdf.png

 

Принцип работы

Вредоносная программа Ботнета обычно ищет обычные уязвимые устройства, подключенные к интернету, а не нацелена на конкретных людей или компаний. 
Цель создания бот-сети - заразить как можно больше устройств для дальнейшей эксплуатации их вычислительных мощностей и ресурсов.

Список возможностей ботнета сам по себе довольно большой как и способы применения.

1. Loader

Есть почти во всех вирусах и троянах использующие для ботнета. Обновляет или устанавливает старые версии бота, загружает через сеть все что нужно хакеру и не нужно вам (трояны, новые боты и т. д.). С помощью этой программы на все компьютеры одновременно могут быть установлены троянские программы шпионы, которые передают все, когда-либо введенные на данном компьютере данные.( это может быть даже данные кредитной карты или банковский аккаунт)

2. Keylogger

Используется для перехвата и сохранения введенных на клавиатуре символов с последующей отправкой хакерам. ( как вы понимаете количество данных и возможности такого вируса не ограничены, поскольку такой логгер записывает что и где Вы вводите, например на сайте сбербанка данные о карте и прочее)

3. Proxy

Ботнеты используют зараженные компьютеры в качестве прокси-серверов. Весь трафик будет идти через зараженное устройство, и потом именно его владельцу придется доказывать товарищам майорам, что он на самом деле не экстримист (и ничего не лай.., кхм, извиняюсь), а его устройство просто было заражено...

4. Spam

Бонеты служат для массовой рассылки различного рода рекламы (в основном, да, на почту). Около 90% всего мирового спама отправляются именно таким образом, и часто в сообщениях встроен loader, а как мы уже знаем он может загрузить все остальное ...

5. DDoS

Атакует сервера или другие ПК путём перегрузки множеством запросов от сети ботов. Такая атака может полностью положить сервер или ПК, или серьезно навредить его работе . Иногда его используют для кибер-шантажа, требуя выкуп для остановки атаки. Разумеется и в политических целях, атакуя правительственные сайты и прочие интересные ресурсы (Например хакеры из группировки Anonymous часто наказывает своих недругов именно таким способом и являются владельцами одних из самых крупных сетей Ботнет).

Одной из успешных и известных атак на сервера Microsoft с помощью вируса-трояна «MSBlast!», который в один день начал долбить запросами со всех компьютеров адрес microsoft.com, из-за чего сайт ушел в отстой и падал пару раз.

6. VNC

Это удаленный доступ к вашему ПК, часто используется для Cryptomining криптовалют — Это заражение ПК скрытым майнером и его дальнейшее распространение по сети. Т.е. в нем встроенные почти все вышеперечисленные возможности, для того чтобы майнить криптовалюты( к примеру биткоин), это самое распространенное использование ботнета на данный момент из-за популярности и стоимости криптовалют.

092efe6b54c623d0e9cdf.png

 

Обзор и сравнение C&C и P2P ботнетов.

 

После заражения желаемого количества устройств злоумышленники могут управлять ботами, используя два разных подхода.

Большинство бот-сетей полагаются на центральный сервер управления (C&C), относительно недавно появились более опасные одноранговые (P2P). Ботнеты P2P более устойчивы к применяемым защитным мерам безопасности, поскольку им не хватает серверов C&C обычных бот-сетей.

Централизованные и P2P ботнеты:

Ботнет состоит из сети зараженных компьютеров (ботов), с запущенным в них вредоносным программным обеспечением, которое было тихо установлено с помощью множества методов, включая червей, троянов и вирусов. Эти скомпрометированные машины или зомби-компьютеры удаленно контролируются злоумышленником или «ботмастером». 

Когда ботнет состоит из большого количества машин, он имеет огромную совокупную пропускную способность и надежные вычислительные возможности. Они эксплуатируются их владельцами для запуска различных видов вредоносных действий, включая массовую рассылку сообщений по электронной почте, взломы паролей и атак с отказами в обслуживании (DDoS).

В настоящее время централизованные бот-сети широко используются в мире киберпреступности. Они основываются на базе Internet Relay Chat (IRC), которые на сегодняшний день наиболее широко используются для распространения сообщений между бот-сетями и их ботмастерами.

В рамках централизованной сети боты подключаются к одному или нескольким серверам для приема команд. Эта структура проста и очень эффективна при распределении задач, но есть большая вероятность отказа сервера управления и командования (C & C). Если IRC-сервер выключится, все боты потеряют связь со своим создателем. Кроме того, защитники могут контролировать данный бот-сет, создавая приманку, чтобы присоединиться к соответствующему каналу IRC.

bcefdfd93505b6c373e0e.png

Централизованный Ботнет

Совсем недавно, одноранговые (P2P) сети, такие как Stormnet и Trojan.Peacomm botnet, были внедрены в систему, когда злоумышленники осознали ограничения традиционных централизованных бот-сетей. Аналогично сетям P2P, которые совместимы с динамическим оттоком (т.е. одноранговые соединения объединяются и выходят из сети с высокой скоростью), связь через бот-сеть не будет нарушена, если некоторое количество ботов потеряет связь с сетью. В бот-сети P2P, не существует централизованного сервера, и боты обмениваются друг с другом топологическим образом, они действуют в качестве клиента и C&C сервера. Ботнеты P2P оказались намного эффективнее традиционных централизованных бот-сетей. Представляя новую эпоху, P2P бесспорно являются гораздо более мощными и с ними намного сложнее справиться специалистам, работающим в сфере безопасности.

2468ef1539f9379157a50.png

Одноранговая система ботнетов

Недавно исследователи обратили внимание на различные виды ботнетов P2P. Stormnet и Trojan.Peacomm botnet широко изучались, поскольку они представляют собой наиболее часто встречающуюся разновидность. Тем не менее, чтобы эффективно противодействовать этим новым формам бот-сетей, анализ каждого по очереди недостаточен. Кроме того, Р2Р ботнеты должны быть изучены систематически, что бы иметь возможность в должной мере защититься от них.

Одноранговая структура (P2P):

Создание P2P ботнета — это процесс, который состоит из двух этапов:

  1. Злоумышленник должен заразить как можно больше машин в интернете, чтобы он мог удаленно их контролировать. Для этого можно использовать все виды вредоносных векторов, таких как вирусы, трояны, черви и мгновенные сообщения (IM);
  2. Скомпрометированные машины будут выполнять конкретные действия, определенные ботмастером. В зависимости от цели злоумышленника этот шаг может с каждым разом отличаться от предыдущего, (например, DDoS-атаки, кейлоггинг, спам и т. д.) На протяжении этого шага боты действуют как оба клиента, выполняя действия, предопределенные ботмастером.

Существует два способа подключения новых коллег к сети P2P:

  1. Исходный набор одноранговых узлов жестко закодирован в каждом клиенте P2P. Когда появится новый одноранговый узел, он попытается связаться с каждым из них в пределах этого первоначального набора, чтобы обновить информацию от соединения.
  2. Общий сетевой кэш (например, Gnutella), который сохраняется где-то в сети, вставляется в код бота. Соответственно, новые одноранговые узлы могут обновлять список соседних узлов, обращаясь к веб-кешу и получая последние обновления.

Например, Trojan.Peacomm — это вредоносная программа, создающая ботнет P2P, который использует протокол Overnet P2P для связи C&C. Код бота будет содержать группу узлов Overnet, которые, скорее всего, будут в сети. Когда компьютер заражен и выполняется код Trojan.Peacomm, он попытается связаться с группой одноранговых узлов, перечисленных в коде бота. Stormnet, другой ботнет P2P, использует аналогичный механизм; Информация о партнерах, с которыми взаимодействуют новые зараженные компьютеры после выполнения кода, кодируется в файле конфигурации, который сохраняется на машине жертвы червем Storm.

092efe6b54c623d0e9cdf.png

 

Безопасность

Заражение «зомби-вирусом» проблема, которая касается каждого. Масштаб этой угрозы достаточно велик, т.к огромные Ботенты приносят их владельцам весьма не маленькие деньги. Так исследование Ботнета ZeroAccess, занимающегося майнингом крипты для своих владельцев, показало, что в его сеть входят около 1,9 миллиона компьютеров. А по некоторым оценкам экспертов, во всех Ботнетах в общей сложности могут находиться до четверти всех компьютеров подключенных к интернету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так, ну как работает, я понял. А для чего их можно использовать? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Использоваться можешь как хочешь. Заражённая машина по сути становится твоей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...