Всем привет! Сегодня я вам расскажу про ботнет и его возможные применения. Начиная от не легального заработка на ботнетах, заканчивая заказными дудос атаками. Про DODS атаки у меня есть отдельная хорошо расписанная статья. Ну а теперь переходим к теме этой статьи.
Как работает ботнет?
Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты. Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими. Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.
За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно. Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности. Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.
С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:
Быстрое и масштабное распространение электронных писем, содержащих программы-вымогатели, требующие выкуп.
Как платформа для накручивания числа кликов по ссылке.
Открытие прокси-серверов для анонимного доступа в Интернет.
Осуществление попыток взлома других интернет-систем методом полного перебора (или «грубой силы»).
Проведение массовых рассылок электронных писем и осуществление хостинга подложных сайтов при крупномасштабном фишинге.
Увод CD-ключей или других лицензионных данных на программное обеспечение.
Кража персональной идентификационной информации.
Получение данных о кредитных карточках и другой информации о банковском счёте, включая PIN-коды или «секретные» пароли.
Установка клавиатурных шпионов для захвата всех данных, которые пользователь вводит в систему.
Использование ботнетов.
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.
Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.
DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.
Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления – например, взламывать веб-сайты или переводить украденные денежные средства.
Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.
Кому выгодны ботнеты?
Все компьютеры, которые находятся в одной сети и контролируются одним человеком — серьезное оружие. Человек, который управляет всем этим, имеет возможность реально поднять деньги. Руководить всем процессом он может из любой точки планеты. Главное, чтобы был интернет и комп, точнее, любое устройство с которого можно выйти в интернет. Сегодня ботнеты выполняют более серьезные задачи. К примеру, человек, который занимается рассылкой спама с «зараженных» компьютеров, может зарабатывать до 100-200 тысяч евро в год. При этом по "шапке" прилетит не хакеру, а владельцу компа, потому что с его устройства рассылался спам. Например, аккаунт на Майл.ру или в социальной сети ВКонтакте могут забанить за рассылку спама, а пользователь может быть не в курсе дела и при этом искренне возмущаться.
Сегодня ботнет очень активно используется для шантажа. Все компы включенные в сеть, можно использовать для DDoS-атаки на конкретный сайт. Из-за этой атаки сайт упадет и перестанет функционировать. Это может продолжаться бесконечно, пока пострадавший не выплатит определенную сумму или не выдаст какую-либо информацию.
Владелец сайта почтовых рассылок Smartresponder Максим Хигер вынужден был выплатить немалую сумму хакеру из Лондона, который по новейшей технологии организовал DDoS-атаку на его сайт. Пока между ними шли переговоры, сайт Smartresponder был несколько дней недоступен. Сегодня часто атакуются даже хорошо защищенные государственные, банковские и другие серьезные сайты.
Злоумышленники часто используют возможности ботнетов для анонимного доступа в интернет под чужими IP для воровства паролей и взлома сайтов. При этом такие мощные сети могут сдаваться в аренду для выполнения конкретных задач.
Так же ботнет часто используют для майнинга криптовалюты. Чтобы майнить нужно иметь большое количество компов для решения задач. А кто как не зомби-пользователи могут в этом помочь?
Заражен ли мой компьютер ботом?
Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:
– неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически докладывает брандмауэр или антивирусное ПО;
– интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;
– в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно).
Как не попасть в лапы ботнета?
В общем, перспектива стать жертвой ботнета — не радует. Поэтому, вот несколько способов защитить себя от проникновения:
использовать брандмауэр и не игнорировать его предупреждения;
не открывать подозрительные вложения электронной почты или сообщений в соцсетях;
на различных сайтах внимательно смотреть, какие кнопки нажимаешь при скачивании программ;
не поддаваться на провокационную рекламу, обещающую крупный выигрыш после скачивания и установки чего-либо;
использовать только обновлённое программное обеспечение;
не пользоваться автозапуском флешек и дисков;
всегда создавать резервные копии самых важных данных и хранить их вне компьютера.
С каждым годом ботнеты развиваются и обнаружить их становиться все сложнее. Даже антивирусы частенько пропускают его мимо себя. Поэтому не стоит полагаться на них. Будьте внимательны, когда скачиваете всякую фигню и не забывайте вовремя обновлять компьютер (вернее Windows, и если вы все ещё пользуетесь 7 советую перейти на 10, там часто выходят обновления, а 7 уже не обновляется).
Примеры известных ботнетов.
Mirai — это только начало. Осенью 2017 инженеры компании Check Point обнаружили новый ботнет известный под названиями IoTroop и Reaper. Он взламывает устройства в интернете вещей еще быстрее, чем Mirai. Mirai заражал уязвимые устройства, которые использовали дефолтные пароли и имена пользователей. Reaper пошел дальше, взламывая около дюжины устройств разных производителей через уязвимости — включая устройства таких известных компаний, как D-Link, Netgear и Linksys. Ботнет Reaper также гибкий, что позволяет хакерам легко обновлять его код.
Reaper использовали в атаках на европейские банки в 2019 году.
Итог.
И так подведем итог. На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий. Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники.