Что такое ботнет?

История возникновения

Первые боты создавались для того, чтобы помочь в управлении IRC-каналами. Администрирование каналов в сети IRC может занимать много времени, поэтому администраторы создавали специальных ботов, которые помогали управлять работой популярных каналов. Одним из первых таких ботов был Eggdrop, написанный в 1993 году.

Со временем IRC-боты стали использоваться для вредоносных целей. Их главной задачей стала атака IRC-серверов и других пользователей в IRC-сетях. Это позволило совершать DoS-атаки. Использование ботов помогало скрыть атакующего, так как пакеты отправлялись от бота, а не с компьютера злоумышленника. Также появилась возможность группировать несколько зараженных компьютеров для организации DDoS-атак. Для атаки крупных целей требовались большие сети ботов. Поэтому злоумышленники начали использовать троянские программы и другие скрытые методы, чтобы увеличить число зараженных компьютеров в сети.

Современные боты представляют собой различные гибриды угроз, интегрированных в систему управления и контроля. Они могут распространяться как черви, скрываться от операционной системы как большинство вирусов, а также включают в себя различные методы атак. Другая серьезная проблема заключается в том, что в создании современных ботов принимают участие сразу несколько человек. Таким образом, появляется несколько различных вариантов одного и того же бота, что затрудняет их распознавание антивирусными программами.

Архитектура

Ботнеты могут иметь разную архитектуру в зависимости от способа организации связи между ботами и управляющим центром. Существуют две основные модели: клиент-серверная и децентрализованная.

Клиент-серверная модель

Первые ботнеты использовали модель клиент-сервер для выполнения своих задач. В этой модели боты подключаются к одному или нескольким серверам, которые выступают в роли управляющего центра. Серверы могут использовать различные протоколы для обмена данными с ботами, такие как IRC, HTTP, FTP и т.д. Злоумышленник может отправлять команды с сервера на боты, а также получать от них информацию о зараженных компьютерах.

Преимуществом этой модели является простота управления и мониторинга ботнета. Недостатком является то, что серверы являются уязвимыми точками в сети, которые могут быть обнаружены и отключены специалистами по безопасности или правоохранительными органами. Также злоумышленник рискует быть идентифицированным по IP-адресу сервера.

Децентрализованная модель

Для повышения устойчивости ботнетов к обнаружению и разрушению злоумышленники стали использовать децентрализованную модель, в которой нет центрального сервера. В этой модели боты обмениваются данными друг с другом по принципу peer-to-peer (P2P). Каждый бот может выступать в роли клиента или сервера в зависимости от ситуации. Злоумышленник может внедрять команды в сеть через любой бот, а они будут распространяться по всем остальным ботам.

Преимуществом этой модели является то, что ботнет становится более устойчивым к атакам и блокировкам, так как нет единой точки отказа. Недостатком является то, что управление и мониторинг ботнета становится сложнее, так как требуется больше ресурсов для передачи данных между ботами.

Техническое описание

Для того чтобы создать и использовать ботнет, злоумышленнику необходимо выполнить три основных шага: получить управление над компьютерами, обеспечить самозащиту и автозапуск ботов, а также организовать механизм управления ботнетом.

Получение управления

Для того чтобы заразить компьютер вредоносным ПО и превратить его в бота, злоумышленник может использовать различные методы. Например:

• Эксплуатация уязвимостей в операционной системе или приложениях. Злоумышленник может сканировать сеть на предмет наличия компьютеров с известными уязвимостями и попытаться проникнуть на них с помощью специальных инструментов (эксплойтов). Примером такого метода является атака через протокол SMB, которая использовалась вирусами WannaCry и NotPetya.
• Распространение через съемные носители или локальную сеть. Злоумышленник может использовать флешки, диски, мобильные телефоны и другие съемные устройства, чтобы перенести бота на другой компьютер. Для этого он может воспользоваться функцией автозапуска (Autorun) или скрыть бота под видом легитимного файла. Также злоумышленник может заразить компьютеры в локальной сети, используя протоколы SMB, NetBIOS и т.д.
• Загрузки. Злоумышленник может отправить жертве ссылку на файл, содержащий вредоносный код, или прикрепить его к электронному письму, сообщению в социальной сети или мессенджере. Если жертва откроет файл или перейдет по ссылке, то ее компьютер будет заражен ботом.
• Эксплойты. Злоумышленник может использовать уязвимости в операционной системе, браузере или других приложениях, чтобы внедрить вредоносный код на компьютер жертвы. Для этого он может создать специально подготовленную веб-страницу или документ, который при открытии активирует эксплойт и заражает компьютер ботом.
• Троянские программы. Злоумышленник может скрыть бота внутри другой программы, которая кажется полезной или интересной для жертвы. Например, это может быть игра, утилита, обновление или кряк. Когда жертва запустит такую программу, она также запустит бота.

Самозащита и автозапуск

Для того чтобы ботнет продолжал функционировать, необходимо обеспечить защиту ботов от удаления и обнаружения. Для этого злоумышленники используют различные техники, такие как:

• Скрытие от антивирусных программ. Боты могут использовать различные методы обфускации кода, шифрования данных, полиморфизма и метаморфизма, чтобы затруднить их анализ и распознавание антивирусными программами. Также боты могут пытаться отключить или блокировать работу антивирусных программ на зараженном компьютере.
• Скрытие от операционной системы. Боты могут использовать различные методы руткитов, чтобы скрыть свои файлы, процессы, реестры и сетевую активность от операционной системы и пользователей. Также боты могут инжектировать свой код в другие процессы или драйверы, чтобы замаскироваться под легитимные приложения.
• Автозапуск при загрузке системы. Боты могут использовать различные методы для того, чтобы автоматически запускаться при каждой загрузке системы. Например, боты могут добавлять свои записи в реестр Windows, в папку автозагрузки, в планировщик задач или в BIOS.

Управление ботнетом

Для того чтобы управлять ботнетом и выполнять различные задачи с его помощью, злоумышленнику необходимо иметь специальное программное обеспечение для управления и контроля (C&C). Это ПО может быть установлено на одном или нескольких серверах, или на других ботах в зависимости от архитектуры ботнета. С помощью C&C злоумышленник может отправлять команды на боты, получать от них информацию о зараженных компьютерах, обновлять или удалять ботов и т.д. Команды могут быть отправлены по различным протоколам, таким как IRC, HTTP, FTP, SMTP и т.д. Также могут использоваться шифрование и стеганография для сокрытия команд от посторонних глаз.

Борьба с ботнетами

Борьба с ботнетами является сложной и многогранной задачей, которая требует совместных усилий специалистов по безопасности, правоохранительных органов, интернет-провайдеров и пользователей. Для борьбы с ботнетами можно использовать следующие методы:

• Обнаружение ботнета. Для того чтобы обнаружить ботнет, необходимо анализировать сетевую активность и поведение компьютеров на предмет наличия признаков заражения. Например, можно использовать антивирусные программы, сетевые сканеры, системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS).
• Предотвращение заражения. Для того чтобы предотвратить заражение компьютеров ботами, необходимо соблюдать правила кибергигиены, такие как: использовать надежные антивирусные программы и обновлять их регулярно, устанавливать патчи и обновления для операционной системы и приложений, не открывать подозрительные вложения и ссылки, не использовать пиратское ПО и съемные носители, не давать административные права непроверенным программам и т.д.
• Разрушение ботнет-сети. Для того чтобы разрушить ботнет-сеть, необходимо выявить и отключить управляющие серверы или боты, которые выполняют роль C&C. Для этого могут использоваться различные методы, такие как: перехват команд от злоумышленника, внедрение поддельных команд в сеть, блокировка доступа к серверам или ботам, конфискация оборудования и арест злоумышленников.

Примеры ботнетов

Ботнетов достаточно много, как небольших, так и масштабных, с миллионами элементов в своей сети. В качестве примера можно привести те из них, что были наиболее активными в 2018 году (и продолжают быть активными в 2019 году):

• Andromeda - один из самых старых и устойчивых ботнетов, который включал 80 различных семейств вредоносных программ. Он использовался для распространения спама, кражи данных, DDoS-атак и других целей. В декабре 2017 года он был частично разрушен в результате совместной операции специалистов по безопасности и правоохранительных органов из разных стран.
• Emotet - один из самых опасных ботнетов на сегодняшний день, который распространяется через спам-письма с вложениями или ссылками на Word-документы с макросами. Он используется для кражи данных, установки других вредоносных программ (таких, как Trickbot и Ryuk), а также для DDoS-атак.
• Mirai - один из самых известных ботнетов, который заражает устройства интернета вещей (IoT), такие, как IP-камеры, маршрутизаторы и т.д. Он используется для проведения мощных DDoS-атак на крупные сайты и сервисы, такие как Twitter, Netflix, GitHub и т.д.
• Necurs - один из самых больших ботнетов по числу зараженных компьютеров (около 6 миллионов). Он используется для распространения спама и других вредоносных программ (таких, как Locky и Dridex), а также для проведения DDoS-атак.
• Satori - один из клонов Mirai, который также заражает устройства IoT. Он используется для проведения DDoS-атак на различные цели, такие как игровые сервера, сайты криптовалют и т.д.

Вывод

Ботнеты являются одной из самых серьезных угроз в современном киберпространстве. Они могут наносить огромный вред как отдельным пользователям, так и целым организациям и государствам. Для борьбы с ботнетами необходимо использовать комплексные меры по обнаружению, предотвращению и разрушению ботнет-сетей, а также повышать уровень киберграмотности и кибербезопасности среди пользователей. Также необходимо сотрудничать с другими специалистами по безопасности, интернет-провайдерами и правоохранительными органами для обмена информацией и координации действий. Только так можно защитить себя и свои данные от атак ботнетов.