What are botnets, and how to protect against them?

In today’s article, we will talk about botnets, how not to become a victim of their attack … and how not to become one of them. Without your knowledge, of course. Protection against botnets is possible in both cases. Read the article and learn more!

A botnet, as the name suggests, is a network of bots. In this case, a bot means a device — as a rule, a personal computer. Such a device, infected with a special virus, generates and sends traffic without user’s awareness. An attacker, who hacked or otherwise infected the device, thus turns it into his bot, combines bots into a single network and uses a botnet for malicious purposes.

 

Since creating a botnet is a much more complicated task than just hack a single computer, hacker and other criminal groups are usually involved in this action. Today botnets are usually used to “mine crypt”. But traditionally a botnet was created in order to conduct DDOS attacks. In simple terms, a DDOS attack is a server crash caused by a mass spam attack, when there are so many calls to the server that it becomes overloaded. Although DDOS protection is developing, this trend also remains traditional for Internet hackers.

Botnet: How the “army” of infected machines becomes bigger?

As a rule, a botnet ‘mobilizes’ old computers from libraries, computer classes in poor schools, post offices in the outback, and similar devices, to which progress comes last. A progress includes modern protection against viruses and hackers. A regularly updated antivirus sometimes protects from viruses, however hacking such a ‘budget’ computer is an easy task even for a novice hacker.

If the antivirus was last updated about five years ago, and the computer goes on the Internet every day, and even under the control of a not very technically advanced employee — such a computer is not just in the risk zone. Most likely, it has long been in the ranks of botnets, because protection against a hacker on such a machine weakens every day, and there appear more vulnerabilities. Having hacked such a vulnerable device, an attacker can do almost anything with it — the possibilities are limited only by his knowledge, fantasy and precautionary measures. Often, when the Internet and / or browser slows down on such a computer, this means not an overload of the operating system. This means that the computer is already in the botnet.

Another category of ‘recruits’ (botnets) are devices from the so-called Internet of Things. These are devices of the ‘smart home’ category — various machines that are connected to the Internet, but they aren’t protected from Internet threats. The level of protection against botnets (more precisely, against being infected and falling into their ranks) of such devices tends to zero.

Botnet: how devices from the Internet of Things replenish it

Devices of the ‘Smart Home’ category are becoming more common … and cheaper. As you understand, the economy in production means that the level of protection against hackers becomes lower. There are often the simplest passwords and admin accounts, long known to hackers. The users usually do not bother themselves to create a complicated password. Hacking such a device and making it part of a botnet is elementary.

Another aspect of the problem of protection from botnets and the Internet of Things is the behavior of the state machine. It is “unwieldy” and can only produce prohibitions, and we face such a situation not only in Russia! In a seemingly advanced country like Japan, they didn’t come up with anything better than … just hack the devices of citizens under the pretext of studying the behavior of devices and developing a nationwide defense against botnets. Yes, by default it is suggested to use the factory settings for the connection. But logging into someone else’s device under a standard login and password is the same hacking as the selection of an unknown password. It is clear that protection from botnets is a global problem, and since the state claims control over the Internet, it could solve this problem as well. However, the proposed solutions are very controversial and unwieldy.

Yes, the logic of the state can be understood. An unprotected device is a potential member of a botnet. And it is very possible that has already been infected. Will be people pleased if the police open the door to the apartment because it is flimsy or closed with a weak lock, promising in the future, after analyzing the behavior of apartment thieves, to change the door to an anti-vandal one? The metaphor is not so far from the situation with the Internet of Things and protecting from botnets, as it seems at first glance.

 

Botnet protection: how can you protect your devices?

• Protect your Wi-Fi router with a proxy server and / or VPN, and also replace the regular password with a generated one from a set of numbers, uppercase and lowercase letters. It is better to write it down on a piece of paper and stick it on the router itself.
• If you have devices of the category ‘Smart home’ — disable access to them from the open Internet. Seriously. Your life will not collapse if you don’t check the refrigerator or the kettle from the working office.
• Use antivirus and update it regularly. Yes, on the phone too.

Perhaps, in the future protection of the devices of the Internet of Things from botnets will be better. But today these precautions are necessary. Do not let hackers steal your devices and put them into the ranks of botnets!

актуальные опасности и вред, наносимый малому и среднему бизнесу / ZYXEL в России corporate blog / Habr

О ботнетах на Хабре писали много раз, чем не приходится удивляться — это действительно значительная угроза, которая никуда не исчезла. В нашей сегодняшней статье мы поговорим о том, какие ботнеты актуальны в 2019 году и какой вред они могут нанести бизнесу — не крупным корпорациям, а небольшим и средним по размеру компаниям.

На кого направлена угроза?

По данным Securelist, максимальный интерес для разработчиков ботнетов представляют собой финансовые организации и сервисы. Именно на них приходится более 70% процентов всех атак. Это сервисы онлайн-банкинга, онлайн-магазины, разного рода платежные агрегаторы и т.п.

Второе место (здесь всего около 6% всех атак) занимают социальные сети и крупные информационные сайты, плюс поисковики и сервисы социальной почты. Здесь злоумышленники пытаются захватить как можно больше персональных данных пользователей для проведения дальнейших атак.

Третье место с примерно 5% занимают ресурсы, предлагающие разные продукты и услуги, причем эти сайты не являются онлайн-магазинами. В эту категорию попадают хостинг-провайдеры и некоторые другие организации. Злоумышленников здесь интересуют, в первую очередь, личные данные жертвы.

Также «ботоводы» направляли свои системы на разного рода криптовалютные сервисы, включая биржи, кошельки и т.п.

Понятно, что злоумышленников, в первую очередь, интересуют компании из богатых стран, так что атакуются сервисы и сайты, базирующиеся в США, Великобритании, Канаде, странах Европы и Китае.

Как ботнет вредит бизнесу?

Рассылка спама с IP-адресов компании

Ботнет может и не быть «заточен» под проведение каких-то сложных атак, а работать в качестве спам-инструмента. И чем больше элементов в ботнете, тем выше эффективность этого инструмента. Если спам рассылается с зараженных устройств какой-то компании, то ее IP автоматически попадают в спам-фильтры. А это значит, что через какое-то время все e-mail, отправленные сотрудниками компании с локальных ПК будут попадать в спам у клиентов, партнеров, иных контактов. Исправить эту ситуацию не так и просто, а вред она может нанести значительный (можно представить, как срывается договоренность из-за того, что важные документы вовремя не попали в нужные руки).

DDoS с IP-адресов компании

Примерно то же самое, что и в случае выше, только на этот раз ботнет задействует зараженные компьютеры компании для проведения DDoS-атак. В этом случае замеченные в «темном деле» IP попадут в черный список различных провайдеров и будут заблокированы. В дальнейшем сотрудники компании, чьи ПК пострадали, будут испытывать сложности с доступом к определенным ресурсам — запросы будут блокироваться на уровне провайдеров разного масштаба.

В некоторых случаях компании могут выключить доступ к сети вообще, если атака была серьезной. А отсутствие интернета даже в течении нескольких часов составляет серьезную проблему для бизнеса.

Прямая DDoS-атака на компанию

Большое количество ботнетов созданы для проведения DDoS-атак. Мощность их сейчас весьма велика, так что средний ботнет может полностью «положить» сервисы и сайты обычной компании. А это весьма дорогое удовольствие. По оценке специалистов прямая такая может обходиться бизнесу в суммы от $20 000 до $100 000 в час.

Если даже сервисы атакованной компании и продолжают работать, то значительно медленнее, чем обычно. Это грозит прямыми и косвенными убытками. И даже в случае слабой DDoS-атаки, которая не повлияла на эффективность работы компании, можно столкнуться с «грязными логами» — когда анализ работы сервисов компании невозможен из-за огромного количества сторонних IP. Google Analytics в таких случаях становится бесполезным.

Кража важной информации

Ботнеты, которые существуют сегодня, многофункциональны и состоят из большого количества модулей. Оператор ботнета может превратить «спящий» ботнет в похитителя корпоративных данных (данные клиентов, доступы к внутренним ресурсам, доступы к клиент-банку и т.п.). по щелчку пальца. А это уже гораздо более чувствительная для бизнеса угроза, чем спам или DDoS.

Красть данные ботнет может разными способами, включая такой распространенный как кейлоггинг. Кейлоггер может быть «заточен», например, для работы с PayPal и активироваться только тогда, когда пользователь пытается войти в свою учетную запись.

Прокси для проведения атак

Ботнет может превратить корпоративные машины в прокси-сервера, которые будут служить «перевалочным пунктом» для проведения атак. И здесь уже все гораздо хуже, чем в случае со спамом или DDoS — если атака была серьезной и нанесла кому-то ущерб, компания может столкнуться с пристальным вниманием со стороны правоохранительных органов.

Расходование ресурсов компании

Если ботнет ведет себя активно, то на это могут потребоваться значительные вычислительные ресурсы. То есть корпоративные машины будут использоваться злоумышленниками, с соответствующими затратами энергии и процессорного времени. Если компания, чьи компьютеры заражены, работает с ресурсоемкими затратами, это может сказаться на эффективности рабочих процессов. Один из примеров — майнинг. Ботнет может быть активирован в качестве майнера и тогда зараженные ПК будут отдавать значительную часть своей мощности добыче монет для злоумышленников.

Репутационные потери

Все это в итоге может сказаться на репутации компании, поскольку организация, чьи IP-адреса замечены в «темных делах», окажется сложной ситуации. Вернуть все на круги своя может оказаться не так и просто.

Как подсчитать убытки?

Лучше, конечно, если убытков нет. Но если появилась проблема с ботнетом, то просчитать текущие и будущие затраты, которые требуются для ликвидации проблемы, можно по алгоритму ниже. Суммируем все затратные статьи и получаем общую сумму.

Согласно данным Ponemon Institute, в сложных ситуациях, когда работа компании останавливается, убытки могут быть огромными и составлять тысячи долларов в минуту. В случае крупных компаний это уже сотни тысяч. Для малого и среднего бизнеса общий размер убытков не так велик, как у корпораций, но для самой компании даже пара тысяч долларов может быть непозволительной роскошью, если говорить об организации небольшого размера.

Примеры ботнетов

Ботнетов достаточно много, как небольших, так и масштабных, с миллионами элементов в своей сети. В качестве примера можно привести те из них, что были наиболее активными в 2018 году (и они никуда не делись и сегодня).

BetaBot

Количество атак, совершенных этим ботнетом, составляет более 13% общем объеме уникальных атак 2018 года. Зловред работал в 42 странах, наибольший интерес его создателей вызывали финансовые сервисы, социальные сети и крупные порталы.

Trickster (TrickBot)

Почти такой же активный ботнет, как и предыдущий. С его помощью совершено 12,85% от общего числа уникальных атак. Работал он в 65 странах, атаковал финансовые и криптовалютные сервисы.

Panda

Этот ботнет совершил 9,84% от общего числа уникальных атак. Работал он в 33 странах, атаковал финансовые и криптовалютные сервисы.

Среди успешных ботнетов стоит указать также SpyEye и Ramnit.

Особняком стоит гигантский ботнет Mirai, который в свое время нанес ущерба на сотни миллионов долларов США. Новый вариант ботнета уже активен и работает, постепенно начиная заражать новые устройства по всему миру.

Как защититься от ботнета?

В принципе, методы защиты ничем не отличаются от тех, что используются для предотвращения заражения компьютеров любыми зловредами. Это, в первую очередь, личная «ИТ-гигиена», то есть нужно отдавать себе отчет в том, что переход по ссылкам в e-mail сообщениях, открытие присылаемых известными и неизвестными контактами файлов, кликание по баннерам вроде «ваш ПК заражен и его нужно лечить» — все это чревато заражением не только личной, но и корпоративной техники.

В компаниях нужно регулярно проводить инструктаж сотрудников на тему информационной безопасности с демонстрацией разных кейсов. Люди должны понимать, что переход по ссылке со смешными котиками, которую прислал личный контакт, может угрожать бизнесу. Самое слабое звено в цепочке информационной защиты бизнеса — человек, а не программное обеспечение или железо.

Но и программно-аппаратная защита должна быть. Это программные антивирусы, файерволы или «железные» сетевые экраны вроде ZyWALL ATP500, которые обеспечивают многоуровневую защиту Multi-Layer Protection. Такие системы помогают блокировать не только известные, но и неизвестные угрозы (угрозы нулевого дня), а также предотвращать DDoS среднего уровня. В зависимости от величины сети предприятия и ее финансовых возможностей можно использовать модели Zyxel ATP200, ATP500 или ATP800.

В любой компании, чья работа в значительной степени зависит от компьютеров и ПО, включая облачные сервисы, должна быть детально проработанная стратегия информационной защиты. И это не просто листок бумаги, который висит рядом с планом эвакуации. Проработка стратегии означает, что предлагаемые меры должны быть опробованы «в полевых условиях», нужно проводить тренинги и воркшопы с сотрудниками. Все это не исключит, но значительно снизит информационные угрозы, которые опасны для бизнеса компании.

Ботнет. Как создаются ботнеты. Средства защиты от ботнетов. Проведение DDoS-атак

Введение

Сегодня ботнеты стали одним из главных инструментов киберпреступников. ComputerBild расскажет, что такое ботнеты, как они работают и как спасти свой компьютер от попадания в зомби-сеть.

Ботнет, или зомби-сеть, – это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников. Неизменно низкие издержки и минимум знаний, необходимых для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов. На DDoS-атаках или спам-рассылках, осуществляемых с помощью зомби-сетей, злоумышленники и их заказчики зарабатывают тысячи долларов.

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически возмущенно докладывает брандмауэр или антивирусное ПО;

— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно, но – можно).

Зачем создаются ботнеты

Ботнеты создаются, чтобы зарабатывать деньги. Можно выделить несколько сфер коммерчески выгодного применения зомби-сетей: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка клик-счетчиков и пр. Надо заметить, что прибыльным будет любое направление, какое бы злоумышленник ни выбрал, причем ботнет позволяет осуществлять все перечисленные виды деятельности одновременно.

Проведение DDoS-атак

DDoS-атака (от англ. Distributed Denial-of-Service) – это атака на компьютерную систему, например на веб-сайт, целью которой является доведение системы до «падения», то есть состояния, когда она больше не сможет принимать и обрабатывать запросы легитимных пользователей. Один из самых распространенных методов проведения DDoS-атаки – отправка многочисленных запросов на компьютер или сайт-жертву, что и приводит к отказу в обслуживании, если ресурсы атакуемого компьютера недостаточны для обработки всех поступающих запросов. DDoS-атаки являются грозным оружием хакеров, а ботнет – идеальным инструментом для их проведения.

DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и актами кибертерроризма. Хозяин ботнета может оказать услугу любому не слишком щепетильному предпринимателю – провести DDoS-атаку на сайт его конкурента. Атакуемый ресурс после такой нагрузки «ляжет», заказчик атаки получит временное преимущество, а киберпреступник – скромное (или не очень) вознаграждение.

Таким же образом сами владельцы ботнетов могут использовать DDoS-атаки для вымогания денег у крупных компаний. При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак стоит весьма дорого. Например, в январе 2009 года один из крупнейших хостеров GoDaddy.com подвергся DDoS-атаке, в результате которой тысячи сайтов, размещенных на его серверах, оказались недоступными почти на сутки. Финансовые потери хостера были огромны.

В феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всего Интернета. Маловероятно, что целью этих атак было обрушение Всемирной сети, ведь существование зомби-сетей возможно только при условии, что существует и нормально функционирует Интернет. Больше всего это было похоже на демонстрацию силы и возможностей зомби-сетей.

Реклама услуг по осуществлению DDoS-атак открыто размещена на многих форумах соответствующей тематики. Цены на атаки колеблются от 50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. По данным сайта www.shadowserver.org, за 2008 год было проведено порядка 190 тысяч DDoS-атак, на которых киберпреступники смогли заработать около 20 миллионов долларов. Естественно, в эту сумму не включены доходы от шантажа, которые просто невозможно подсчитать.

Сбор конфиденциальной информации

Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников. Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: почтовым ящикам, FTP-серверам, «мессенджерам» и др. При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им интересны, – для этого достаточно загрузить на ПК соответствующий модуль.

Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На многочисленных форумах в Сети каждый день появляются сотни объявлений о продаже банковских учетных записей. Стоимость учетной записи зависит от количества денег на счету пользователя и составляет от 1 до 1500 долларов за счет. Нижняя граница свидетельствует о том, что в ходе конкурентной борьбы киберпреступники, занимающиеся такого рода бизнесом, вынуждены снижать цены. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, а для этого обязателен стабильный рост зомби-сетей. Особенно интересна финансовая информация кардерам – злоумышленникам, занимающимся подделкой банковских карт.

О том, насколько выгодны такие операции, можно судить по известной истории с группой бразильских киберпреступников, которые были арестованы два года назад. Они смогли снять с банковских счетов простых пользователей 4,74 миллиона долларов, используя украденную с компьютеров информацию. В приобретении персональных данных, не имеющих прямого отношения к деньгам пользователя, заинтересованы и преступники, которые занимаются подделкой документов, открытием фальшивых банковских счетов, совершением незаконных сделок и т.д.

Еще одним видом собираемой ботнетами информации являются адреса электронной почты, причем, в отличие от номеров кредиток и учетных записей, из адресной книги одного зараженного ПК можно извлечь множество электронных адресов. Собранные адреса выставляются на продажу, причем иногда «на развес» – помегабайтно. Основными покупателями подобного «товара» являются спамеры. Список из миллиона e-mail-адресов стоит от 20 до 100 долларов, а заказанная спамерам рассылка на этот же миллион адресов – 150–200 долларов. Выгода очевидна.

Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они обходятся дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов.

Рассылка спама

Ежедневно по всему миру курсируют миллионы спам-сообщений. Рассылка незапрошенной почты является одной из основных функций современных ботнетов. По данным «Лаборатории Касперского», около 80% всего спама рассылается через зомби-сети. С компьютеров законопослушных пользователей отправляются миллиарды писем с рекламой «Виагры», копий дорогих часов, онлайн-казино и т. п., забивающих каналы связи и почтовые ящики. Таким образом хакеры ставят под удар компьютеры ни в чем не повинных пользователей: адреса, с которых ведется рассылка, попадают в черные списки антивирусных компаний.

В последние годы сама сфера спам-услуг расширилась: появился ICQ-спам, спам в социальных сетях, форумах, блогах. И это тоже «заслуга» владельцев ботнетов: ведь совсем несложно дописать к бот-клиенту дополнительный модуль, открывающий горизонты для нового бизнеса со слоганами типа «Спам в Facebook. Недорого». Цены на спам варьируются в зависимости от целевой аудитории и количества адресов, на которые ведется рассылка. Разброс цен на целевые рассылки – от 70 долларов за сотни тысяч адресов до 1000 долларов за несколько десятков миллионов адресов. За прошедший год спамеры заработали на рассылке писем порядка 780 миллионов долларов.

Создание поискового спама

Еще один вариант использования ботнетов – повышение популярности сайтов в поисковых системах. Работая над поисковой оптимизацией, администраторы ресурсов стараются повысить позицию сайта в результатах поиска, поскольку чем она выше, тем больше посетителей зайдет на сайт через поисковые системы и, следовательно, тем больше будет выручка владельца сайта, например от продажи рекламных площадей на веб-страницах. Многие компании платят веб-мастерам немалые деньги, чтобы они вывели сайт на первые позиции в «поисковиках». Владельцы ботнетов подсмотрели некоторые их приемы и автоматизировали процесс поисковой оптимизации.

Когда вы видите в комментариях к своей записи в «Живом Журнале» или удачной фотографии, выложенной на фотохостинге, множество ссылок, созданных неизвестным вам человеком, а иногда и вашим «френдом», – не удивляйтесь: просто кто-то заказал раскрутку своего ресурса хозяевам ботнета. Специально созданная программа загружается на зомби-компьютер и от имени его владельца оставляет на популярных ресурсах комментарии со ссылками на раскручиваемый сайт. Средняя цена на нелегальные услуги поискового спама – порядка 300 долларов в месяц.

Сколько стоят персональные данные

Стоимость украденных персональных данных напрямую зависит от страны, в которой живет их законный владелец. Например, полные данные жителя США стоят 5–8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза – они в два-три раза дороже данных граждан США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.

Как создаются ботнеты

К сожалению, тому, кто решил «с нуля» организовать ботнет, не составит особого труда найти в Интернете инструкцию по созданию зомби-сети. Первый шаг: создать новую зомби-сеть. Для этого нужно заразить компьютеры пользователей специальной программой – ботом. Для заражения используются спам-рассылки, постинг сообщений на форумах и в социальных сетях и другие приемы; часто бот наделяется функцией самораспространения, как вирусы или черви.

Чтобы заставить потенциальную жертву установить бот, используют приемы социальной инженерии. Например, предлагают посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла пользователь, конечно, не сможет посмотреть никакого видео и скорее всего не заметит вообще никаких изменений, а его ПК окажется заражен и станет покорным слугой, выполняющим все команды хозяина ботнета.

Вторым широко используемым методом заражения ботами является drive-by-загрузка. При посещении пользователем зараженной веб-страницы на его компьютер через различные «дыры» в приложениях – прежде всего в популярных браузерах – загружается вредоносный код. Для эксплуатации слабых мест используются специальные программы – эксплойты. Они позволяют не только незаметно загрузить, но и незаметно запустить вирус или бот. Такой вид распространения вредоносного ПО наиболее опасен, ведь, если взломан популярный ресурс, заразятся десятки тысяч пользователей!

Бот можно наделить функцией самораспространения по компьютерным сетям. Например, он может распространяться путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети.

Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, веб-соединение или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить своему хозяину доход. Причем этот доход находится в линейной зависимости от устойчивости зомби-сети и темпов ее роста.

Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по ссылкам на размещенных в Интернете объявлениях. Для владельцев ботнета обман таких компаний является прибыльным занятием. Для примера можно взять известную сеть Google AdSense. Входящие в нее рекламодатели платят Google за клики по размещенным объявлениям в надежде, что заглянувший «на огонек» пользователь что-нибудь у них купит.

Google в свою очередь размещает контекстную рекламу на различных сайтах, участвующих в программе AdSense, платя владельцу сайта процент с каждого клика. Увы, не все владельцы сайтов честные. Имея зомби-сеть, хакер может генерировать тысячи уникальных кликов в день – по одному с каждой машины, чтобы не вызывать особых подозрений у Google. Таким образом, деньги, потраченные на рекламную компанию, перетекут в карман к хакеру. К сожалению, не было еще ни одного случая, когда за подобные акции кого-либо привлекали к ответственности. По данным компании Click Forensics, в 2008 году порядка 16–17% всех переходов по рекламным ссылкам были поддельными, из них минимум треть генерировалась ботнетами. Выполнив несложные вычисления, можно понять, что в прошлом году владельцы ботнетов «накликали» 33 000 000 долларов. Неплохой доход от щелчков мышью!

Аренда и продажа ботнетов

Злоумышленникам и нечистым на руку бизнесменам совсем не обязательно своими силами создавать ботнет «с нуля». Ботнеты самых разных размеров и производительности они могут купить или арендовать у хакеров – например, обратившись на специализированные форумы.

Стоимость готового ботнета, равно как и стоимость его аренды, напрямую зависит от количества входящих в него компьютеров. Наибольшей популярностью готовые ботнеты пользуются на англоязычных форумах.

Аренда почтового ботнета со скоростью рассылки порядка 1000 спамовых писем в минуту (при 100 находящихся в онлайне зомби-машинах) обойдется примерно в 2000 долларов в месяц.

Маленькие ботнеты, состоящие из нескольких сотен ботов, стоят от 200 до 700 долларов. При этом средняя цена одного бота составляет примерно 50 центов. Более крупные ботнеты стоят больших денег.

Зомби-сеть Shadow, которая была создана несколько лет назад 19-летним хакером из Голландии, насчитывала более 100 тысяч компьютеров, расположенных по всему миру, продавалась за 25 000 евро. За эти деньги можно купить небольшой домик в Испании, однако преступник из Бразилии предпочел приобрести ботнет.

Средства защиты от ботнетов

1. В первую очередь это анитивирусные программы и комплексные пакеты для защиты от интернет-угроз с регулярно обновляемыми базами. Они помогут не только вовремя обнаружить опасность, но и ликвидировать ее до того, как ваш превращенный в зомби верный «железный друг» начнет рассылать спам или «ронять» сайты. Комплексные пакеты, например Kaspersky Internet Security 2009, содержат полный комплект защитных функций, управлять которыми можно через общий командный центр.

— Антивирусный модуль в фоновом режиме выполняет сканирование важнейших системных областей и контролирует все возможные пути вторжения вирусов: вложения электронной почты и потенциально опасные веб-сайты.

— Брандмауэр следит за обменом данными между персональным компьютером и Интернетом. Он проверяет все пакеты данных, получаемые из Сети или отправляемые туда, и при необходимости блокирует сетевые атаки и препятствует тайной отправке личных данных в Интернет.

— Спам-фильтр защищает почтовый ящик от проникновения рекламных сообщений. В его задачи также входит выявление фишинговых писем, с помощью которых злоумышленники пытаются выудить у пользователя информацию о его данных для входа в онлайновые платежные или банковские системы.

2. Регулярное обновление операционной системы, веб-браузеров и других приложений, разработчики которых обнаруживают и ликвидируют многие бреши в их защите, а также слабые места, используемые злоумышленниками.

3. Специальные программы-шифровальщики защитят ваши персональные данные, даже если бот уже проник на компьютер, ведь для доступа к ним ему придется взломать пароль.

4. Здравый смысл и осторожность. Если вы хотите оградить свои данные от разного рода угроз, не стоит скачивать и устанавливать программы неизвестного происхождения, открывать архивы с файлами вопреки предупреждениям антивируса, заходить на сайты, которые браузер помечает как опасные, и т.д.

Благодарим «Лабораторию Касперского» за помощь в подготовке материала

Источник: computerbild.ru

Как построить свой личный ботнет и сколько это стоит

Ботнеты (от англ. “robot” и “network”, то есть «сети роботов») – один из главных и популярнейших инструментов современной киберпреступности. Компьютерные сети, которые состоят из десятков, сотен тысяч и даже миллионов машин-хостов, заражённых программами-ботами, автоматически выполняют те или иные действия в интересах владельца или управляющего такой сетью.

При этом задачи, которые способен решать ботнет, могут быть самыми разными: от классических и вполне безобидных сбора адресов электронной почты и последующей рассылки спама до хищения информации к банковским счетам и коммерческого шпионажа. В России в последнее время ботнеты чаще всего используются для DDoS-атак на крупнейшие интернет-ресурсы, прежде всего оппозиционной направленности, а также на замусоривание социальных сетей пропагандистскими постингами фиктивных пользователей.

Написание программного обеспечения для функционирования ботнетов, их эксплуатация, поддержка и предоставление в аренду – крупнейший бизнес, существующий и активно развивающийся уже более 15 лет. Видимую его часть составляют полулегальные компании, продающие софт, обеспечивающие защищённый анонимных хостинг и различные криптографические услуги. Как правило, они зарегистрированы и действуют в рамках юрисдикций, гарантирующих защиту от преследований правоохранительных органов иностранных государств и неразглашение данных о клиентах таких фирм.

Практически во всех странах ведётся активная борьба с вредоносными ботнетами, и практически везде спецслужбы пользуются этими же самыми технологиями в собственных целях – не особо афишируя это, но и не слишком скрывая. Такое сосуществование объективно выгодно обеим сторонам, именно поэтому мы очень редко слышим сообщения о ликвидации крупных ботнетов, сам факт существования которых обеспечивает необходимый баланс интересов. Такие сети способны успешно функционировать длительное время, никак не обнаруживая себя.

По оценкам специалистов, средний срок жизни ботнетов, обслуживаемых высококвалифицированными специалистами, может составлять от семи месяцев до трёх лет. Согласно данным Trustwave за февраль 2013 года, в среднем до обнаружения сетевой атаки проходит более 210 дней, причём вторжение удаётся заметить не благодаря какому-то антивирусному ПО, а исключительно благодаря жалобам клиентов и вопросам, возникающим у банковских учреждений и правоохранительных органов. При этом в пяти процентах случаев сетевая атака была обнаружена спустя более трёх лет (!) после её начала.

Понятно, что таких результатов добиваются только отлично организованные группы, на которые работают профессионалы самой высокой квалификации. Услуги таких ботнетов доступны лишь крупному бизнесу и спецслужбам, причём не только из-за стоимости в десятки миллионов долларов, но и силу глубочайшей законспирированности. Между тем в мире работает огромное количество вполне эффективных сетей гораздо меньшего масштаба, ориентированных на краткосрочные атаки. Организация таких сетей по карману даже студенту, и вполне возможно, что ваш сайт за совершенно смешную сумму «положил» на неделю ваш конкурент по бизнесу.

Затраты на организацию «бюджетного» ботнета на сегодняшний день составляют всего порядка 600 долларов. При этом владелец такой сети вовсе не обязан разбираться в программировании и сетевых протоколах – за эти деньги он может получить не только свежий код, защищённый хостинг и криптографические услуги, но и круглосуточную техническую поддержку, регулярные обновления и любой другой сервис, уровню которого позавидуют иные международные корпорации.

Из чего же складывается цена «бюджетного» ботнета, и как найти людей, предоставляющих такие услуги? Вы будете смеяться, но достаточно набрать в поисковой строке браузера слово «ботнет», как вы получите огромное количество ссылок на форумы, в которых вам предложат всё, что вы только пожелаете. Специально оговоримся, что эта статья – вовсе не инструкция по ограблению банка и прочей противоправной деятельности, а лишь общее описание доступных на рынке предложений. Поэтому здесь не будет никаких прямых гиперссылок – любопытствующие без проблем отыщут все упомянутые нами продукты и услуги самостоятельно и не станут забывать о статьях 272 и 273 Уголовного кодекса РФ.

1. Защищённая виртуальная частная сеть (VPN)

Прежде чем начинать строительство ботнета, вам требуется как можно тщательнее скрыться от внимательных глаз – антивирусных компаний, специалистов по безопасности, конкурентов и, конечно, правоохранительных органов. Для этого вам нужен провайдер виртуальной частной сети (VPN), который не будет интересоваться вашим настоящим именем, который не станет никому раскрывать ваши логи по юридическим или техническим причинам и который принимает оплату через анонимные платёжные системы.

Внимательнее читайте пользовательские соглашения и правила приглянувшегося провайдера. Член хакерской группы LulzSec Коди Кретсингер был арестован только потому, что VPN-провайдер HideMyAss.com в соответствии с условиями обслуживания предоставил полиции все логи после получения официального запроса.

Типичный VPN-провайдер CryptoVPN просит за свои услуги около 25 долларов в месяц или около 200 долларов в год. Принимаются платежи через Bitcoin, Liberty Reserve и прочие анонимные сервисы.

Цена – 25 долларов в месяц

2. Надёжный хостинг

Спрятав свою сеть, нужно найти надёжное место для хостинга центра управления ботнетом. Его стоит искать там, кому всё равно, чем вы занимаетесь на их серверах и кто не будет вычищать ваш специфический софт в ходе регулярного антивирусного сканирования. Такие хостеры расположены либо в странах с либеральным отношением к компьютерному пиратству, либо в государствах, не склонных сотрудничать с иностранными правоохранительными органами.

Типичный пример – румынский хостинг HostimVse с сайтом на русском языке, предлагающий размещение сайтов с пиратским и порнографическим контентом, защищённый от атак конкурентов, претензий со стороны пользователей и недоступный для действия американского закона DMCA. Компания также предоставляет дополнительные услуги, включая защиту от DDoS-атак. Цена на выделенный сервер начинается с 30 долларов в месяц, но в правила обслуживания входят условия, позволяющие в случае обнаружения ботнет-активности аннулировать договор.

Специально для ботнетов и прочего malware существуют особые сервисы, которые обычно рекламируются исключительно через тематические форумы, а для контакта используется ICQ или Jabber. Многие из них предлагают техническую поддержку по телефону или Skype и услуги по настройке Apache.

Цена – от 50 долларов в месяц плюс плата за поддержку

3. Надёжный домен и Fast Flux

Для надёжной связи с ботами вам потребуются доменные имена с полным доступом к настройкам DNS. Чтобы избежать быстрого выявления «командного центра» при подключении к заражённым сетям, понадобится несколько доменных имён.

Регистратор таких доменных имён не должен проявлять повышенного интереса к вашей личности и должен принимать платежи через анонимные службы.

Существенно усиливает безопасность доменов использование технологии маскировки Fast Flux, скрывающей реальные IP-адреса путём быстрого изменения (в течение нескольких секунд) IP-адреса в записи DNS на адреса из числа любых входящих в ботнет машин. В двухпоточных сетях (double-flux) используется дополнительный уровень – сервисная сеть ботов, IP-адреса которой также постоянно меняются, что обеспечивает дополнительный уровень защиты.

В отличие от доменов, услуга Fast Flux стоит немало: поддержка пяти скрытых DNS-cерверов обойдётся не менее чем в 800 долларов. Поэтому для «бюджетного» ботнета лучше начать с покупки нескольких доменных имён.

Цена – от 50 долларов за пять доменных имён

4. Платформа и центр управления (C&C)

Существует несколько известных программных платформ для создания ботнетов – Carberp, Citadel, SpyEye, ZeuS, причём цены на них могут различаться на порядки. В частности, разработчики Carberp непосредственно перед арестом просили за комплект 40 000 долларов, а первые версии ZeuS стоили около 400. Модифицированные версии ZeuS с функциональностью руткита и набором ПО для начинающего пользователя обойдутся в 1500 долларов. Молодой конкурент ZeuS, SpyEye с набором модулей-инжектов, стоит примерно столько же.

Поскольку в 2012 году был обнародован исходный код предыдущих версий ZeuS, он стал открытым, и на рынке появилась масса предложений по продаже платформы примерно за 125 долларов с ежемесячным обновлением за 15 долларов и круглосуточной поддержкой за 25 долларов в месяц. Наконец, не составит особого труда найти «взломанные» версии некоторых платформ: вы не получите ни поддержки, ни обновлений, зато не заплатите за них ни копейки.

Цена – 125 долларов плюс 40 долларов в месяц за обновления и поддержку

5. Наборы веб-инжектов

Популярность платформы ZeuS породила целую экосистему программных плагинов, изменяющих или дополняющих функциональность ботнета. Значительную их часть занимают так называемые инжекты – управляющие ботом модули, позволяющие отслеживать нужный тип активности в браузере и при посещении инфицированных сайтов «впрыскивающие», внедряющие в браузер необходимый код.

Существуют инжекты самого разного назначения – от почти безобидного генерирования невидимых кликов просмотра рекламных баннеров до сбора персональной информации и кражи данных онлайн-банкинга и платёжных систем. Через хакерские форумы можно приобрести целые наборы инжектов вместе с услугой по их установке и настройке.

Цена – 80 долларов за набор плюс 8 долларов в месяц за поддержку

6. Связки эксплойтов и онлайн-сервисы

Чтобы проникнуть на машину жертвы и сделать её ботом, необходимо обойти стандартную и антивирусную защиту. Для этого применяются специальные программы – эксплойты, использующие уязвимости в браузере, операционной системе или другом ПО для получения удалённого контроля над системой.

Обычный способ заражения для большинства ботнетов – это использование гиперссылок в почтовом спаме или открываемых вместе с основной рекламных страниц, заполненных множеством баннеров. Всего один клик по такой ссылке приводит к редиректу на узел ботнета, где распознаётся тип ПО и оборудования клиента, после чего на него отправляются подходящие эксплойты.

Эксплойты продаются наборами или «связками» либо предоставляются в качестве онлайновой услуги. Популярный пакет Phoenix можно приобрести за 120 долларов плюс 38 долларов в месяц за обновления и техническую поддержку, онлайновый сервис BlackHole обойдётся в 50 долларов в день либо в 1500 за годовую лицензию при установке на сервер заказчика.

Цена – 120 долларов за набор плюс 38 долларов в месяц за поддержку и обновления

7. Крипторы и дропперы

Чтобы антивирусное ПО не обнаружило загруженные на компьютер жертвы файлы по его сигнатуре и не блокировало их, применяются так называемые крипторы, шифрующие сигнатуры трояна и связанных с ним файлов. Результат работы криптора – дроппер, способный устанавливать зашифрованные файлы в систему, в том числе модифицировать исполняемые файлы, а также скачивать дополнительные фрагменты вредоносного кода и прочие данные на инфицированную машину.

Во многих крипторах есть также функция «антипесочницы»: антивирусные программы могут помещать распознанные вирусы в так называемые «песочницы» или виртуальные машины без возможности исполнения их кода в системе. «Антипесочница» распознаёт виртуальную среду и позволяет запустить в ней лишь безвредный код, скрывая основную функциональность.

Криптор может поставляться как отдельная утилита по цене порядка 30 долларов, так и как онлайновый сервис – от 7 долларов за однократное «криптование» до 20 долларов в месяц за неограниченную лицензию и сопутствующие утилиты.

Цена – 20 долларов в месяц за криптор и утилиты

8. Спам и услуги по социальному инжинирингу

Чтобы заставить будущих ботов нажать на нужную гиперссылку и заразить свою машину, используются разнообразные средства социальной инженерии. Классический способ – «старый добрый» спам. Вы можете просто купить базу электронных почтовых адресов либо воспользоваться услугами другого ботнета, специализирующегося на спаме. Такие ботнеты более эффективны, поскольку они переориентировались на популярные социальные сети, а также рассылки SMS и MMS, причём оплата идёт не за размещённое сообщение, а за хит.

Более изысканный вариант предполагает использование собранной другим ботнетом личной информации, чтобы заставить жертву щёлкнуть по ссылке в почтовом сообщении или в постинге в социальной сети. Такое сообщение может быть замаскировано под письмо из банка, из автосалона или автомастерской, от хостинг-провайдера, от любой сетевой службы или даже от любого из «друзей». Похитив персональную информацию одного члена социальной сети, можно включить в ботнет ещё и несколько его «френдов».

Для «бюджетного» ботнета спам остаётся лучшим выбором: это дёшево и всё ещё эффективно. Рассылка по случайному набору адресов стоит от 10 долларов за миллион писем, а по адресам, замеченным в интересе к определённой тематике, – около 50.

Цена – 50 долларов за первоначальную спам-рассылку

Дёшево и сердито

Как видим, вложения в создание и эксплуатацию «бюджетного» ботнета в течение первого месяца составляют всего 606 долларов. Совершенно смешная сумма, доступная практически каждому, – особенно по сравнению с потенциальной выгодой. И такая дешевизна вовсе не означает неэффективности.

Несмотря на то что все основные ботнет-платформы хорошо известны и антивирусным компаниям, и специалистам по безопасности, они прекрасно маскируются при помощи доступных крипторов и дропперов, а постоянно совершенствующиеся наборы эксплойтов способны инфицировать практически любую машину. По данным сайта ZeusTracker, в среднем антивирусное ПО распознаёт код чуть более 38 процентов установленных ботнетов на платформе ZeuS. Так что всё это действительно работает, и мошенники по всему миру активно пользуются ботнетами. Разумеется, сети, управляемые непрофессионалами, намного быстрее раскрываются, в том числе и правоохранительными органами, но от этого число желающих обмануть судьбу не уменьшается.

Во всей этой истории пугает вовсе не дешевизна «входного билета» в мир современной киберпреступности и даже не то, что для создания собственного ботнета больше не требуется даже элементарных навыков программирования. Пугает то, с какой лёгкостью люди нажимают странные ссылки и заходят на случайные сайты. А ведь именно это остаётся основным способом заражения компьютера и превращения его в боевую единицу сети роботов, управляемой злоумышленниками.

Что такое ботнеты и почему в ближайшее время от них не избавиться

Управление тысячами или даже миллионами устройств дает киберзлоумышленникам превосходную возможность распространять вредоносное ПО или проводить DDoS-атаки.

 

Определение ботнета

Ботнет – это набор подключенных к Интернету устройств любого типа, взломанных злоумышленником. Ботнеты действуют как мультипликатор силы для отдельных злоумышленников, киберпреступных групп или целых государств, стремящихся нарушить работу целевой системы или взломать ее. Ботнеты, которые обычно применяются в распределенных атаках типа «отказ в обслуживании» (DDoS), также могут использовать свои коллективные вычислительные мощности для рассылки больших объемов спама, кражи учетных данных в широких масштабах или шпионажа за людьми или организациями.

Злоумышленники создают бот-сети, заражая подключенные устройства вредоносными программами, а затем управляя ими с помощью C&C-сервера. После того, как злоумышленник скомпрометировал устройство в определенной сети, все уязвимые устройства в этой сети подвергаются риску заражения.

Ботнет-атака может иметь разрушительные последствия. В 2016 году ботнет Mirai блокировал интернет-сети таких компаний, как Twitter, Netflix, CNN и других крупных сайтов, а также крупных российских банков и всей Либерии. Ботнет использовал незащищенные устройства Интернета вещей (IoT), такие как камеры безопасности, устанавливая вредоносные программы, которые затем атаковали DYN-серверы, маршрутизирующие интернет-трафик.

Индустрия среагировала мгновенно: производители устройств, регуляторы, телекоммуникационные компании и интернет-провайдеры действовали сообща, чтобы изолировать взломанные устройства, отключить и исправить их, а также убедиться, что подобный ботнет никогда больше не будет сконструирован.

Шучу. Этого не случилось. Напротив, ботнетов становится все больше.

Даже ботнет Mirai все еще жив. Согласно отчету, опубликованному Fortinet в августе 2018 года, Mirai был одним из самых активных ботнетов во втором квартале этого года.

С момента опубликования исходного кода два года назад ботнеты Mirai даже добавили новые функции, в том числе возможность превращать зараженные устройства в множество вредоносных прокси-серверов и криптомайнеров. По словам Fortinet, они также продолжают добавлять эксплойты, нацеленные как на известные, так и на неизвестные уязвимости.

По словам Тони Джандоменико, исследователя и старшего стратега по безопасности компании Fortinet, криптомайнинг показывает себя существенным изменением во вселенной ботнетов. Это позволяет злоумышленникам использовать компьютерное оборудование и электричество жертвы, чтобы заработать биткойны, монеро и другие криптовалюты. «Это самый значительный вызов за последние несколько месяцев», – говорит он. «Плохие парни экспериментируют, чтобы выяснить, как они могут использовать бот-сети IoT для заработка денег».

Mirai – это только начало. Осенью 2017 года исследователи Check Point заявили, что обнаружили новый ботнет, известный под именами IoTroop или Reaper, способный навредить устройствам IoT даже быстрее, чем Mirai. У него есть потенциал разрушить весь Интернет, как только создатели запустят его.

Mirai заразил уязвимые устройства, которые использовали стандартные логины и пароли. Reaper выходит за рамки этого, нацеливаясь как минимум на девять различных уязвимостей от почти десятка различных производителей устройств, включая таких крупных игроков, как D-Link, Netgear и Linksys. Кроме того, он достаточно гибок, поскольку злоумышленники могут легко обновить код ботнета, чтобы сделать его более опасным.

Согласно исследованию Recorded Future, Reaper использовался в атаках на европейские банки в этом году, включая ABN Amro, Rabobank и Ing.

 

Почему мы не можем остановить ботнеты

Среди проблем, связанных с остановкой ботнетов, можно перечислить широкую доступность и постоянные покупки небезопасных устройств, практическую невозможность блокировки зараженных устройств и отключения их от сети Интернет, а также трудности с отслеживанием и преследованием создателей ботнетов. Когда покупатель приходит в магазин с целью приобрести камеру наблюдения или другое подключенное к сети устройство, он смотрит на функции, ищет узнаваемые бренды и, самое главное, он смотрит на цену.

Вопросы безопасности обычно отходят на второй план. «Поскольку [IoT-устройства] очень дешевы, вероятность наличия хорошего обслуживания и быстрых обновлений невысока», – говорит Райан Спаниер, директор по исследованиям в Kudelski Security.

Между тем, поскольку люди продолжают покупать недорогие, небезопасные устройства, число уязвимых конечных точек продолжает расти. По оценкам исследовательской компании IHS Markit, общее количество подключенных устройств вырастет с почти 27 миллиардов в 2017 году до 125 миллиардов в 2030 году.

Спаниер говорит, что производителям не хватает стимулов меняться. Большинство производителей сталкиваются с последствиями продажи небезопасных устройств. «Хотя с прошлого года ситуация начала постепенно исправляться», – говорит он, – «Правительство США оштрафовало пару производителей».

Например, FTC подала в суд на D-Link в 2017 году за продажу маршрутизаторов и IP-камер из-за наличия в них значительных недостатков безопасности, которые производитель в состоянии был исправить, например, жестко закодированных учетных данных для входа. Тем не менее, федеральный судья отклонил половину жалоб FTC, потому что FTC не смог представить конкретных случаев, когда потребители действительно пострадали.

 

Как обнаружить бот-сети: целевой трафик

Ботнеты обычно управляются центральным командным сервером. Теоретически отключение этого сервера, а затем отслеживание трафика обратно на зараженные устройства для их очистки и защиты выглядит простой задачей, но это совсем не так.

Когда ботнет настолько велик, что влияет на Всемирную сеть, интернет-провайдеры могут объединиться, чтобы выяснить, что происходит, и обуздать трафик. По словам Спаниера, так было в случае с ботнетом Mirai. «Пока ботнет небольшой, что-то вроде спама, интернет-провайдеры особо о нем не беспокоятся», – говорит он. «У некоторых интернет-провайдеров, особенно для домашних сетей, есть способы оповещения своих пользователей, но они настолько незначительны, что не влияют на ботнет. Кроме того отследить трафик ботнетов довольно трудно. Mirai было легко увидеть из-за того, как быстро он распространялся, и исследователи безопасности старались поделиться информацией как можно быстрее».

По словам Джейсона Брвеника, технического директора NSS Labs, Inc., затрагиваются вопросы соблюдения конфиденциальности, а также эксплуатационные аспекты. Потребитель может иметь несколько устройств в своей сети, совместно использующих одно соединение, в то время как предприятие может иметь тысячи и более. «Нет способа изолировать устройство, на которое это повлияло», – говорит Брвеник.

Ботнеты пытаются скрыть свое происхождение. Например, Akamai отслеживает бот-сеть, IP-адреса которой связаны с компаниями из списка Fortune 100 – адреса, которые, как подозревает Akamai, могут быть подделаны.

Некоторые фирмы, занимающиеся информационной безопасностью, пытаются работать с провайдерами инфраструктуры для выявления зараженных устройств. «Мы работаем с Comcast, Verizon, всеми интернет-провайдерами в мире и говорим им, что необходимо найти всех владельцев зараженных устройств и вылечить эти устройства», – говорит Адам Мейерс, вице-президент разведки в CrowdStrike, Inc.

Подобные сети, где кто-то должен выйти и установить патчи, могут включать миллионы устройств. Зачастую отсутствует возможность удаленного обновления. Многие камеры видеонаблюдения и другие подключенные датчики находятся в удаленных местах. «Починить подобные устройства невероятно сложно», – говорит Мейерс.

Кроме того, некоторые устройства могут больше не поддерживаться или могут быть построены таким образом, что их исправление не представляется возможным. Устройства обычно продолжают выполнять работу даже после заражения, поэтому у владельцев нет особой мотивации выбрасывать их и покупать новые. «Качество видео не ухудшается настолько, что это можно заменить», – утверждает Мейерс.

Зачастую владельцы так и не узнают, что их устройства являются частью ботнета. «Потребители не имеют средств для мониторинга активности бот-сетей в своих личных сетях», – говорит Крис Моралес, руководитель отдела аналитики безопасности в Vectra Networks, Inc.

По словам Моралеса, предприятия имеют в своем распоряжении больше инструментов, но поиск бот-сетей обычно не является их главным приоритетом. «Группы безопасности отдают приоритет атакам, нацеленным на их собственные ресурсы, а не атакам, исходящим от их сети к внешним целям», – говорит он.

Производители устройств, обнаружившие в своих IoT-устройствах недостаток, который они не в состоянии исправить, в случае достаточной мотивации могут их отозвать, но даже подобные действия могут не иметь большого эффекта. «Очень немногие люди возвращают устройства, пока те не угрожают непосредственно их безопасности, даже если появляются оповещения», – говорит Брвеник из NSS Labs. «Если на вашей камере видеонаблюдения, направленной на подъездную дорожку выскакивает предупреждение системы безопасности, и вы получаете уведомление, вы можете подумать: «Ну и что, что они видят мою дорожку?»

 

Как предотвратить ботнет-атаки

Совет по защите цифровой экономики (CSDE) в сотрудничестве с Советом индустрии информационных технологий, USTelecom и другими организациями недавно выпустил всеобъемлющее руководство по защите предприятий от ботнетов.

Ниже представлены главные рекомендации.

 

Обновляйте, обновляйте, и еще раз обновляйте

Ботнеты используют незакрытые уязвимости для распространения с устройства на устройство, чтобы нанести максимальный ущерб предприятию. Первой линией защиты должно быть обновление всех систем. CSDE рекомендует предприятиям устанавливать обновления, как только они выходят. Автоматические обновления будут идеальным вариантом.

Некоторые предприятия предпочитают откладывать обновления до тех пор, пока у них не появится время проверить совместимость и другие проблемы. Это может привести к значительным задержкам, а некоторые системы могут быть полностью забыты и даже не попадут в список обновлений.

Предприятия, которые не используют автоматические обновления, возможно захотят пересмотреть свою политику. «Производители успешно тестируют продукты на стабильность и функциональность, – говорит Крейг Уильямс, менеджер по работе с клиентами Talos в Cisco Systems, Inc.

Компания Cisco является одним из основателей CSDE и внесла значительный вклад в создание руководства по борьбе с ботнетами. «Риски, которые существовали изначально, значительно снизились», – говорит Уильямс.

Не только приложения и операционные системы нуждаются в автоматическом обновлении. «Убедитесь, что ваши аппаратные устройства также настроены на автоматическое обновление», – говорит он.

Устаревшие продукты, как аппаратные, так и программные, могут больше не обновляться, и руководство по борьбе с ботнетами рекомендует предприятиям прекратить их использование. Производители также не обеспечивают поддержку пиратских продуктов.

 

Ограничьте доступ

Руководство рекомендует предприятиям использовать многофакторную систему аутентификации и проверку на основе рисков, а также минимальные привилегии и другие передовые методы контроля доступа. По словам Уильямса, после заражения одного устройства бот-сети распространяются, помимо прочего, используя учетные данные. Блокируя доступ, ботнеты можно локализовать в одном месте, где они наносят меньше урона и где их легче уничтожить.

Одним из наиболее эффективных шагов, которые могут предпринять компании, является использование физических ключей для аутентификации. Например, Google начал требовать, чтобы все его сотрудники использовали физические ключи безопасности в 2017 году. С тех пор, согласно руководству, ни одна рабочая учетная запись не была фишинговой.

«К сожалению, многие компании не могут себе этого позволить», – говорит Уильямс. В дополнение к первоначальным затратам на технологию высоки риски потери сотрудниками ключей.

Аутентификация на основе смартфона помогает преодолеть этот разрыв. По словам Вильямса, это экономически выгодно и добавляет значительный уровень безопасности. «Злоумышленникам придется физически скомпрометировать телефон человека», – говорит он. «Можно выполнить код на телефоне сотрудника для перехвата SMS, но такое случается довольно редко».

 

Не пытайтесь справиться в одиночку

Руководство по борьбе с ботами обращает внимание на несколько сфер, в которых предприятиям было бы выгодно обратиться за помощью к внешним партнерам. Например, существует множество таких каналов, как CERT, по которым предприятия могут обмениваться информацией об угрозах, отраслевые группы, правительственные и правоохранительные органы, а также спонсируемые поставщиками платформы.

Еще одна область, в которой компании не следует полагаться исключительно на собственные внутренние ресурсы, – это защита от DDoS-атак. «Говоря в общем, вы наверняка захотите блокировать DDoS-атаку, пока она не успела до вас дойти», – говорит Уильямс. «Многие полагают, что если у вас есть система защиты от вторжений или брандмауэр, это предотвратит DDoS-атаку. На самом деле это не так».

 

Углубляйте свою защиту

Сегодня уже недостаточно защищать только свой периметр или конечные устройства. «В наши дни злоумышленники действительно креативны», – говорит Уильямс. «Они могут проникнуть в вашу сеть со стороны разных поставщиков». По его словам, наличие нескольких защитных систем похоже на наличие нескольких замков на двери. Если злоумышленники выяснят, как взломать один замок, другие замки остановят их.

Руководство по борьбе с ботнетами рекомендует предприятиям рассмотреть возможность использования расширенной аналитики для защиты пользователей, данных и сетей, обеспечения правильной настройки мер безопасности и использования сегментации сети и сетевых архитектур, которые надежно управляют потоками трафика. Например, по словам Уильямса, устройства IoT должны находиться в отдельной изолированной части сети.

Например, ботнет Mirai использовал небезопасные подключенные устройства. «Когда у вас есть устройства IoT, которые нельзя подключить к той же сети, к которой подключена остальная часть предприятия, это чревато значительным уровнем риска, который вам совсем не нужен», – говорит он.

 

Ботнет-драгнеты добились некоторого успеха

В конце 2017 года ботнет Andromeda был уничтожен ФБР совместно с правоохранительными органами в Европе. В течение предыдущих шести месяцев ботнет обнаруживался в среднем на более чем миллионе заблокированных устройств каждый месяц.

 

Источник

Ботнет Википедия

Ботнет (англ. botnet, МФА: [ˈbɒtnɛt]; произошло от слов robot и network) — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DoS- и DDoS-атаки).

Боты, как таковые, не являются вирусами. Они представляют собой набор программного обеспечения, который может состоять из вирусов, брандмауэров, программ для удаленного управления компьютером, а также инструментов для скрытия от операционной системы^[1].

Схема создания ботнета и использования его спамером.

История возникновения[ | ]

Первоначально боты создавались для того, чтобы помочь в управлении IRC-каналами. Администрирование каналов в сети IRC может занимать много времени, поэтому администраторы создавали специальных ботов, которые помогали управлять работой популярных каналов^[2]. Одним из первых таких ботов был Eggdrop, написанный в 1993 году^[3].

Со временем IRC-боты стали использоваться для вредоносных целей. Их главной задачей стала атака IRC-серверов и других пользователей в IRC-сетях. Это позволило совершать DoS-атаки. Использование ботов помогало скрыть атакующего, так как пакеты отправлялись от бота, а не с компьютера злоумышленника. Также появилась возможность группировать несколько зараженных компьютеров для организации DDoS-атак. Для атаки крупных целей требовались большие сети ботов. Поэтому злоумышленники начали использовать троянские программы и другие скрытые методы, чтобы увеличить число зараженных компьютеров в сети^[2].

Современные боты представляют собой различные гибриды угроз, интегрированных в систему управления и контроля. Они могут распространяться как

Ботнет — Lurkmore

Ботнет обыкновенный Зомби отакуэ

Ботнет (англ. botnet) — ныне распространенное в этих ваших интернетах явление, представляющее собой сеть самых обычных компьютеров, через уязвимости в ПО или по обычной ламерности юзеров заражённых специализированными, «зомбирующими» вирями (как правило, это бэкдор, позволяющий без ведома хозяина машинерии взять над ней удаленный контроль и анонимно рулить ей с любой интернетизированной точки земного шара), цель которых в первую очередь не форматнуть винчестер c 100 гигами порнухи или вызвать короткое замыкание биоса, но превратить компьютер в эдакого «зомби» (или бота), в таком состоянии которого злоумышленник сможет использовать вычислительные ресурсы оного в своих целях. Как вариант — устроить анонимную прокси, из-за которой к вам могут прийти

В крупнейшие ботнеты входит намного больше 9000 участников. Рекорд на март 2010 — сеть на 12+ млн.

Список возможностей ботнетов сам по себе довольно большой, и способы применения их различаются, но в основном все они исходят из нижеприведённых:

• Downloader: присутствует в 95% вирусов. Подновляет старые версии бота, загружает через сеть практически любой контент (трояны, новые боты и т. д.). С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохранённые в его памяти, и пересылают их на выделенный для этого сервер.

• Keylogger: перехват набиваемых на клавиатуре символов с последующей отправкой владельцу сети. В последнее время вытесняются FormGrabber’ами (читай ниже).

• FormGraber & WEB Injects: FormGraber перехватывает данные отправляемых форм с вашими паролями и прочими номерами СС и отправляет в командный центр. При этом надёжный протокол HTTPS не спасает. WEB Injects внедрение HTML или злого JS в сайты, посещаемые зараженным юзверем. Например с помощью этой технологии можно попросить ввести номер кредитки и код CVV2 при входе на легитимный сайт онлайн банка, а то и вовсе внедрить JS скрипт автозалива который будет пиздить ваши шекели в автоматическом режиме забив болт на двухфакторную аутентификацию. Самый известный представитель — Zeus и овер 9000 его вариантов. Для желающих посмотреть как оно работает вот пруф (Password : zeus).

• DDoS: атакует ресурс путём перегрузки оного множеством запросов от ботов. Создание подобного потока может вызывать серьёзные неполадки сервера, приводящие к его недоступности для обычных юзверей. Иногда это дело используют и для кибер-шантажа, требуя выкуп для остановки атаки. Разумеется, это дело могут использовать и в политических целях, атакуя правительственные сайты и прочие интересные ресурсы (нетрудно прикинуть, сколько раз за день может подвергаться подобным атакам сайт, скажем, правительства того же США). Одной из успешных в свое время была атака на сервера мелкософта с помощью вируса «MSBlast!», который в один день начал долбить запросами со всех компьютеров адрес microsoft.com, из-за чего сайт ушел в отстой. Алсо, оружие упячкоёбов.

• Spam: (более 80% мирового трафика этого дерьма — заслуга ботнетов) загрузить заранее заготовленный шаблон спам-сообщения и начать рассылку спама на указанные адреса (каждому Благодаря им ты каждый день материшь спам-фильтр провайдера и подметаешь свой почтовый ящик. А может, и сам торчишь там на заднем планеботу выделяется своя порция натыренных у народонаселения адресов, среди которых, скорее всего, уже давно в завсегдатаях находится твой, анонимус).

• Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта возможность ставится не как отдельная фишка, а сразу базовой опцией. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом. Впрочем, ясен пень, такими проксиками уже давным давно пользуются не только их авторы (а вы думали, какова природа тех тормозных халявных проксиков, которые можно найти в интернетах, когда хочется потроллить на форумах любителей сразу банить по айпи поциэнтов?). Кулхацкеры и прочие мастера интернетов могут использовать зомбанутые компьютеры по самому прямому назначению — взламывать от их имени сервера, сайты, переводить денежки и т. д. Существует так-же более продвинутый вариант — backconnect proxy; при этом клиент (бот) самостоятельно подключается к серверу (владельцу ботнэта), что позволяет обойти тот-же NAT.

• Cryptomining криптовалют — новое дыхание ботнетов, теперь железки лохов греются ради прямой прибыли этих ваших красноглазиков, и ведь хер докажешь. пруф№ 1пруф№ 2

Бывают еще и другие, не входящие в этот список фичи, но они не являются такими популярными и реализуются опционально в отдельных версиях ботов. Бывают опции, позволяющие делать скриншот экрана юзера заражённого компьютера, мониторить вводимые с клавиатуры пароли, выводить из строя центрифуги и т. д.

[править] Коммерческое применение

Использование botnet далеко не всегда осуществляется владельцем сети: за нее вполне может вбашлять энное количество денег какая нибудь рекламная конторка и взять сеть в аренду (причём целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом). Кроме того, с успешно зомбированных машин зачастую невозбранно тырятся находящиеся там почтовые адреса, которые затем продаются спамерам и пополняют их рассылочный список. Также, при загрузке на зомбированную машину трояна, с неё можно сграббить все возможные пароли к аськам, сайтам, ФТП и т. д., которые тоже перепродаются либо используются для массового заражения веб-ресурсов (если, например, удастся сграббить пароли от фтп-аккаунтов) в целях пополнения бот-сети.

На самом деле, дела обстоят более готично. Ботнеты — это вам не коллекция ботов для детских шалостей типа флуда, спама, прокси. Хотя несомненно, должны существовать и быдло-ботнеты, предназначенные именно для спама, флуда и т. д. Настоящий ботнет — это сложная распределённая система, которая, кроме выполнения вышеописанных действий, используется для порабощения всё большего числа компьютеров. То есть, она не сидит себе пассивно, не ждёт, пока очередной ламер скачает себе где-то протрояненый кейген или откроет атач письма (этот путь появления новых ботов тоже даёт чуть более половины всех ботов). Она эти самые кейгены и генерит, и распихивает по сети.

Откуда появляются новые боты. Злоумышленник ломает сайт. Ну как ломает. Запускает сканер уязвимости по всяким там блогам, форумам, CMS. Находит дырявый сайт и модифицирует его. Контент сайта не меняется, выглядит взломанный сайт так же, просто к нему дописывают код эксплоита. Код эксплоита в зашифрованной форме хранит ссылку на загрузчик вируса. Пользователь заходит не на порнуху, не на кряки, а на самый обычный форум, и через дырку браузера автоматически (без всяких там предложений скачать) запускает загрузчик вируса. В загрузчике вируса прописана ссылка, откуда он должен скачать «боевую часть», что он, собственно, и делает: скачивает и запускает. После этого новый компьютер присоединяется к ботнету.

Иногда для того чтобы пополнить ботнет новой тушкой совсем необязательно заражать компьютер жертвы троянами. Авторы ботнетов вполне отдают себе отчет в том, что антивирусы палят любые изменения операционной системы у жертвы. Эволюцию ботнетов можно разделить на несколько этапов: первоначально, во времена зарождения ботнетов, когда весь софт был пиратским, а обновления системы были отключены так как после определенных обновлений слетала активация ворованной венды, компьютер не мудрствуя лукаво заражали троянами. Благо антивирусник если и был, то был точно таким же ворованным. Потом по мере появления кошерных бесплатных антивирей, система перестала быть целью для экспериментов, а группа риска переместилась на программы, требующие для своей работы постоянный коннект с сетью — всевозможные браузеры, асечки (привет QIP!) и прочие подобные софтины. Началась повальная эпоха клонов асечки, клонов браузеров, которая по привычке продолжается до сих пор. В некоторых случаях, когда потенциальная программа-жертва умела работать с плагинами или аддонами, вставляли именно их — вспомним всевозможные говнотулбары и прочую вредоносную хуйню подобного плана. Но прогресс на месте не стоит, и многие могли заметить повальный бум говноигр на флэше, и всевозможных говноретрансляторов радио, расплодившихся в интернете. Все становится понятным, если вспомнить что флэш есть ни что иное как закрытый программный код, исполняемый на компьютере клиента. Представьте себе картину — ничего не подозревающий юзер сидит играет в браузерную игру или слушает радио он-лайн, а хитрый флеш в это время скрытно от нашего ушастого, занимается своими темными делами.

Единственный реальный способ что-то сделать с ботнетом — это взять контроль над ним. Этим и занимаются «люди в черном». Причем делают это очень оригинально: специально заражают свои компы; вводят их в существующий ботнет, отслеживают, как происходит управление. И в конце концов, собрав полную информацию о протоколах, берут ботнет в свои руки. Будем наивно надеяться, что они всё-таки уничтожают ботнеты, а не конфискуют для своих нужд…

Однако, не все то зло, каким кажется. Частным случаем ботнета является научная компьютерная сеть. Проще говоря — ботанам какого-либо задротского универа стает мало своего несчастного, забитого проном, мейнфрейма для расчетов, скажем, вероятности нежелательной беременности самки тихоокеанского сухогруза при встрече с дельфином, и они на своем/универском сайте слезно просят о помощи в вычислениях при помощи небольшой программули. Рассочувствовашийся юзер бегом качает прогу и запускает ее на своем ведре, тем самым добровольно вступив в ряды «ученых». Радостные гики потирают потные лапки, а комп нашего подопытного шкварчит процессором, выясняя ту самую вероятность (точнее выполняя мизерный процент необходимых вычислений). Обычно за такие эксперименты комьюнити задротов награджает «оператора» юнита ботнета какой-нибудь плюшкой (грамотой/сертификатом/еще одним ботом).

Бытует мнение, что вся глобальная сеть Интернет является одним большим ботнетом, спроектированным на основе старого пиндосского ARPAnet’а и доведённая до ума по приказу ZOG’а, и в данный момент с помощью этой сети они наблюдают за тобой, юный Анон. Так может быть, лучше таки поменьше сидеть в этих ваших интернетах? Впрочем, ZOG вездесущ, и в реале от него тоже не скроешься.

• Ареал обитания ботнета Waledac, уничтоженного 25го февраля 10 года

• Схема управления ботнетом (трастринг)

	Ботнет — это не баг, это фича!