ботнет что это такое простыми словами
Ботнеты и их типы: что известно в 2018 году
Мы постоянно используем Интернет, чтобы управлять своими цифровыми устройствами в работе и трансляции жизни в социальные сети.
Наряду с нашим подключением к Интернету появляется связь с такими побочными эффектами, как вирусы, спам, хакерские атаки и цифровое мошенничество. Количество фишинговых сайтов, вредоносных писем, разрушительных вирусов возросло во всем мире.
Из различных угроз, с которыми отдельные лица и многие компании сталкиваются в наши дни через Интернет, ботнет является наиболее распространенным.
Ботнет — это сеть компьютеров, которые управляются хакерами удаленно.
Ботнеты используются преступниками для распространения программ-вымогателей на ваш ноутбук, телефон, планшет, компьютер. Они могут быть не обнаружены даже антивирусом, и вы можете долгое время не догадываться, что ваше устройство является частью ботнета.
Что такое ботнет в 2018 году?
Классическое понимание:
Слово «ботнет» представляет собой сочетание двух слов «робот» и «сеть».
Здесь киберпреступник, выполняющий роль ботмастера, использует троянские вирусы, чтобы нарушить безопасность нескольких компьютеров и подключить их к сети в злонамеренных целях. Каждый компьютер в сети действует как «бот» и управляется мошенником для передачи вредоносных программ, спама или вредоносного контента для запуска атаки. Ботнет порой называют «армией зомби», т.к. компьютеры контролируются кем-то иным, кроме их владельца.
Происхождение ботнетов главным образом зародилось в каналах интернет-чатов (IRC).
В конце концов, спамеры стали использовать уязвимости, присутствующие в сетях IRC,
и разработали ботов.
Это было сделано специально для выполнения злонамеренных действий, таких как регистрация, эмуляция действий «заинтересованного клиента», кража пароля и многое другое.
Структура ботнета обычно принимает одну из двух форм: модель «клиент-сервер» или одноранговую модель (P2P, «Peer-to-peer»).
В структуре бот-системы «клиент-сервер», создается базовая сеть, в которой один сервер выступает в роли ботмастера. Ботмастер контролирует передачу информации от каждого клиента для установки команд и управления над клиентскими устройствами.
Модель «клиент-сервер» работает с помощью специального программного обеспечения и позволяет ботмастеру сохранять постоянный контроль над зараженными устройствами.
Эта модель имеет несколько недостатков: ее можно легко обнаружить, и она имеет только одну контрольную точку. В этой модели, если сервер уничтожен, ботнет погибает.
Одноранговая модель (PTP, Peer-to-peer)
Чтобы преодолеть недостаток использования одного централизованного сервера, были созданы ботнеты современного типа. Они взаимосвязаны в форме одноранговой структуры.
В модели бот-сети P2P каждое подключенное устройство работает независимо как клиент и как сервер, координируя между собой обновление и передачу информации между ними.
Структура бот-сети P2P сильнее из-за отсутствия единого централизованного управления.
Типы атак ботнетов
Распределенный отказ в обслуживании
Ботнет может использоваться для атаки распределенного отказа в обслуживании (DDoS) с целью уничтожения сетевых подключений и сервисов.
Это делается путем перегрузки вычислительных ресурсов.
Наиболее часто применяемыми атаками, являются атаки TCP SYN и UDP.
DDoS-атаки не ограничиваются только веб-серверами, но могут быть направлены на любую службу, подключенную к Интернету. Серьезность атаки может быть увеличена путем использования рекурсивных HTTP-потоков на веб-сайте жертвы, что означает, что боты рекурсивно следуют по всем ссылкам в HTTP-пути.
Эта форма называется «паутиной», и практикуется для более эффективного увеличения нагрузки.
Одна из крупнейших DDoS-атак ботнета 2018 года была связана с IoT и использовала вирус ботнета Mirai.
Вирус предназначался для десятков тысяч менее защищенных интернет-устройств и контролировал их, превращая в ботов для запуска DDoS-атаки.
Mirai породил множество производных запросов и продолжил расширяться, делая атаку более сложной.
Это навсегда изменило ландшафт угроз с точки зрения используемых методов.
Спам и мониторинг трафика
Ботов можно использовать в качестве анализатора для выявления наличия конфиденциальных данных на зараженных машинах или компьютерах-зомби. Они также могут найти бот-сети конкурента (если они установлены на той же машине), и могут быть своевременно взломаны. Некоторые боты предлагают открыть прокси-сервер SOCKS v4 / v5 (универсальный протокол прокси для сети на основе TCP / IP). Когда прокси-сервер SOCKS включен на скомпрометированной машине, его можно использовать для различных целей, например, для рассылки спама.
Боты используют анализатор пакетов для отслеживания информации или данных, переданных скомпрометированной машиной. Сниффер может получить конфиденциальную информацию, такую как имя пользователя и пароль.
С помощью кейлоггера ботмастеру легко получить конфиденциальную информацию и украсть данные пользователя. Используя программу кейлоггер, злоумышленник может собрать только те ключи, которые набраны в последовательности клюевых слов, таких как PayPal, Yahoo и другое.
Разновидность шпионского ПО, идентифицируемая как OSX / XSLCmd, перенесенная из Windows в OS X, включает в себя возможность ведения блогов и захвата экрана.
Массовая кража личных данных
Различные виды ботов могут взаимодействовать для совершения крупномасштабной кражи личных данных, что является одним из наиболее быстро растущих преступлений. С помощью ботов можно маскироваться под известный бренд и просить пользователя предоставить личные данные, такие как пароль банковского счета, данные кредитной карты, данные о налогообложении.
Массовая кража личных данных может быть осуществлена с использованием фишинговых писем, которые вынуждают жертв вводить учетные данные для входа на веб-сайты, как eBay, Amazon или даже известные коммерческие банки.
Злоупотребление платой за клик
Программа Google Ads позволяет веб-сайтам показывать рекламные объявления Google и тем самым зарабатывать на них деньги. Google платит деньги владельцам веб-сайтов на основании количества кликов, полученных от рекламы. Скомпрометированные машины используются для автоматического нажатия на ссылки, увеличивая количество фейковых кликов.
Рекламное программное обеспечение используется для привлечения пользователей за счет рекламы на веб-страницах или в приложениях. Они появляются на компьютерах без ведома или разрешения пользователей, а оригинальная реклама заменяется мошенническим рекламным ПО, которое заражает систему любых пользователей, кто на нее нажимает.
Рекламное программное обеспечение выглядит как безвредная реклама, но использует шпионское ПО для сбора данных браузера.
Ботнет сети: как это работает и как на них зарабатывают
Атаки ботнета Mirai на американского DNS-провайдера Dyn в 2016 году вызвали широкий резонанс и привлекли повышенное внимание к ботнетам. Однако, по сравнении с тем, как современные киберпреступники используют ботнеты сегодня, атаки на компанию Dyn могут показаться детскими шалостями. Преступники быстро научились использовать ботнеты для запуска сложных вредоносных программ, позволяющих создавать целые инфраструктуры из зараженных компьютеров и других устройств с выходом в Интернет для получения незаконной прибыли в огромных масштабах.
В последние годы правоохранительные органы добились определенных успехов в борьбе с преступной деятельностью, связанной с использованием ботнетов, но пока этих усилий, конечно же, недостаточно, чтобы пробить достаточную брешь в ботнетах под управлением киберпреступников. Вот несколько известных примеров:
Как работает ботнет?
Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты. Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими. Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.
За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно. Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности. Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.
С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:
Как создать ботнет?
Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета. Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad. Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).
Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов. Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения. С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.
Как интернет вещей (IoT) стал клондайком для создания ботнетов
С точки зрения количества зараженных устройств и генерируемого ими во время атак трафика, взрывоподобный эффект имело массовое использование незащищенных IoT-устройств, что привело к появлению беспрецедентным по своим масштабам ботнетов. Так, примеру, летом 2016 года до и непосредственно во время Олимпийских Игр в Рио-де-Жанейро один из ботнетов, созданный на основе программного кода LizardStresser, в основном использовал порядка 10 тыс. зараженных IoT-устройств (в первую очередь — веб-камеры) для осуществления многочисленных и продолжительных во времени DDoS-атак с устойчивой мощностью более 400 Гбит/с, достигшей значения 540 Гбит/с во время своего пика. Отметим также, что, согласно оценкам, оригинальный ботнет Mirai смог скомпрометировать около 500 тыс. IoT-устройств по всему миру.
Несмотря на то, что после подобных атак многие производители внесли некоторые изменения, IoT-устройства в большинстве своем все еще поставляются с предустановленными заводскими настройками имени пользователя и пароля либо с известными уязвимостями в безопасности. Кроме того, чтобы сэкономить время и деньги, часть производителей периодически дублируют используемое аппаратное и программное обеспечение для разных классов устройств. Как результат: пароли по умолчанию, используемые для управления исходным устройством, могут быть применены для множества совершенно других устройств. Таким образом, миллиарды незащищенных IoT-устройств уже развернуты. И, несмотря на то, что прогнозируемый рост их количества замедлился (хоть и незначительно), ожидаемое увеличение мирового парка «потенциально опасных» IoT-устройств в обозримом будущем не может не шокировать (см. график ниже).
Многие IoT-устройства прекрасно подходят для неправомочного использования в составе преступных ботнетов, так как:
Вот еще один недавний пример, который поможет осознать ту мощь, которой могут обладать современные криминальные инфраструктуры ботнета: в ноябре 2017 года ботнет Necurs осуществил рассылку нового штамма вируса-шифровальщика Scarab. В результате массовой компании было отправлено около 12,5 млн. инфицированных электронных писем, то есть скорость рассылки составила более чем 2 млн. писем в час. К слову, этот же ботнет был замечен в распространении банковских троянов Dridex и Trickbot, а также вирусов-вымогателей Locky и Jans.
Выводы
Сложившаяся в последние годы благодатная ситуация для киберпреступников, связанная с высокой доступностью и простотой использования более сложного и гибкого вредоносного программного обеспечения для ботнетов в сочетании со значительным приростом количества незащищенных IoT-устройств, сделало криминальные ботнеты основным компонентом растущей цифровой подпольной экономики. В этой экономике есть рынки для сбыта полученных нелегальным путем данных, осуществления вредоносных действий против конкретных целей в рамках предоставления услуг по найму, и даже для собственной валюты. И все прогнозы аналитиков и специалистов по безопасности звучат крайне неутешительно — в обозримом будущем ситуация с неправомерным использованием ботнетов для получения незаконной прибыли только ухудшится.
Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!
Что такое ботнет и как предотвратить заражение вашего ПК
Ваш компьютер используется для нападения на других? Все, что вам нужно знать о ботнетах и зомби.
Ваш компьютер в последнее время ведет себя странно? Работает намного медленнее, чем обычно? Какие-нибудь необъяснимые сообщения об ошибках, появляющиеся случайным образом? Или ваш вентилятор внезапно переходит в режим овердрайва, даже если ваш компьютер должен простаивать? Не то чтобы мы хотели вас тревожить, но есть небольшая вероятность, что ваш компьютер превратился в зомби.
Не воспринимайте это буквально, это не значит, что он проснется ночью и убьет вас во сне, пока транслирует «Триллер» Майкла Джексона. «Компьютеры-зомби» – это термин, используемый, когда злоумышленник получает контроль над вашим компьютером без вашего ведома и либо крадет ваши данные, либо заставляет ваш компьютер делать то, что он обычно не должен, например рассылать спам. Или, скорее всего, делает и то, и другое: ворует вашу конфиденциальную информацию и атакует другие компьютеры.
Компьютер-зомби похож на традиционный троянский конь. Разница между ними заключается в том, что вместо установки кейлоггера и кражи ваших личных данных (что он все равно может делать) зомби будут работать с другими зомби, образуя так называемый «ботнет» (или «армию зомби»). Термин «ботнет» происходит от словосочетания «робот » и «сеть». Ботнеты — это целые сети компьютеров, которые контролируются и которым даны инструкции для выполнения множества действий, таких как:
И все это может произойти, даже если вы даже не подозреваете об этом.
Возможности ботнетов
Интересный факт: если вы пользуетесь Интернетом с конца 90-х — начала 2000-х, вы, скорее всего, помните mIRC, популярную чат-программу. На самом деле mIRC использовал безобидные бот-сети – как и все другие программы обмена текстовыми сообщениями Internet Relay Chat. Однако большинство ботнетов создаются со злонамеренными целями. Ботнеты могут использоваться для:
1. Рассылки спама по электронной почте –- если у спамера есть доступ к ботнету, это очень рентабельно, и им это будет почти ничего не стоить.
2. Запустите распределенную атаку отказа в обслуживании (DDoS) на веб-сайте, в компании, правительстве и т. д. – это происходит путем отправки такого количества запросов на контент, что сервер не может справиться и отключается (иначе говоря, отключается). Даже очень крупным веб-сайтам сложно оставаться в сети, когда ботнеты нацелены на их серверы. Поскольку вредоносное ПО и инфраструктура, предназначенная для борьбы с киберпреступностью, стали коммерчески доступными, затраты снизились и позволили большему количеству злоумышленников получить доступ к такого рода службам.
«Средняя стоимость аренды ботнета в течение часа каждый месяц с использованием пакета подписки DDoS составляет около 38 долларов США, а комиссия составляет всего 19,99 доллара США».
3. Совершение мошенничества с рекламой
Компьютеры по всему миру могут генерировать поддельные клики по рекламе — это помогает мошенникам собрать серьезные суммы денег. Согласно недавнему отчету Ассоциации национальных рекламодателей, маркетологи всего мира могут из-за этого потерять в этом году до 7,2 миллиарда долларов.
4. Поддержка активности фишинговых сайтов и частая смена их доменов, чтобы они оставались анонимными и незамеченными правоохранительными органами.
5. Распространять вредоносное, вымогательское или шпионское ПО. Помимо прямого финансового ущерба, это также может способствовать дальнейшему расширению ботнета. Zeus была одной из самых мощных финансовых вредоносных программ в Интернете. Готовый к развертыванию ботнет для кибератак. Его основная функция заключалась в краже онлайн-учетных данных, особенно связанных с банковскими операциями. «Zeus очень сложно обнаружить даже с помощью новейшего антивируса и другого программного обеспечения для обеспечения безопасности, поскольку он скрывается, используя скрытые методы. Считается, что это основная причина, по которой вредоносная программа Zeus стала крупнейшим ботнетом в Интернете: только в США заражено около 3,6 миллиона компьютеров».
Вот еще один недавний пример: ботнет Simda заразил более 770 000 компьютеров в более чем 190 странах (среди них: США, Великобритания, Канада, Россия, Турция). Он был активен в течение многих лет и использовался для распространения пиратского программного обеспечения и различных типов вредоносных программ, включая кражу финансовых учетных данных. Создатели конкретных типов вредоносных программ просто арендовали их у создателей Simda и платили им вознаграждение за каждую атаку.
Как киберпреступники создают и развивают бот-сети
Как ваш компьютер может быть задействован в ботнете
Ранее мы говорили, что наиболее распространенным методом привлечения компьютеров в ботнет является вредоносное ПО. Владельцы ботнета сделают все, чтобы вредоносный код бота попал на ваш компьютер. Есть несколько способов добиться этого:
Социальные сети/приложения для обмена сообщениями. Подобно электронным письмам – они заставляют вас переходить по ссылкам, полученным вами в социальной сети.
Как не допустить, чтобы ваш компьютер стал частью ботнета
Во-первых, проще предотвратить заражение вашего компьютера и стать его частью ботнета, чем обнаружить его, когда уже слишком поздно, и попытаться его спасти. Итак, вот основные правила, которым вы должны следовать, чтобы не стать частью ботнета:
1. Не нажимайте ни на какие подозрительные ссылки, в которых вы не уверены/не знаете, куда они ведут – даже те, которые вы получили от друзья, семья или друзья из социальных сетей. Их учетные записи могли быть скомпрометированы, поэтому безопаснее набраться терпения и спросить их, в чем дело, прежде чем спешить переходить по ссылкам.
2. Не загружайте вложения, которые вы никогда не запрашивали.
3. Вам нужен хороший антивирус и антишпионское ПО, установленное из надежного источника. Избегайте онлайн-рекламы, которая сообщает вам, что ваш компьютер заражен – это замаскированное вредоносное ПО.
4. Если у вас уже есть антивирусное и антишпионское ПО, проверьте, активированы ли они, исправлены ли они и обновлены ли они. Проведите полное сканирование с помощью антивируса. Иногда код бота деактивирует ваш антивирус.
5. Также убедитесь, что ваш брандмауэр включен. Установите максимальный уровень безопасности – для этого все приложения, ищущие доступ в Интернет, будут уведомлять вас, позволяя отслеживать входящий и исходящий трафик.
5. Как проверить, являетесь ли вы участником ботнета. Ваш компьютер или подключение к Интернету работает медленнее, чем обычно? Ваш компьютер начал работать беспорядочно? Часто вылетает? Получаете ли вы необъяснимые сообщения об ошибках? Не работал ли вентилятор в режиме ожидания, когда компьютер простаивает? Вы заметили необычную активность в Интернете (например, интенсивное использование сети)? Ваш браузер закрывается часто и неожиданно? Ваш компьютер долго запускался или выключался или не выключался должным образом? Это может указывать на то, что программа работает без вашего ведома и использует изрядное количество ресурсов. Следующим шагом будет проверка диспетчера задач – посмотреть, что там происходит. Вы также можете отключиться от Интернета и посмотреть, есть ли различия. Конечно, все это также может указывать на то, что ваш вентилятор полон пыли и его просто нужно почистить. Или что ваш компьютер устарел и нуждается в обновлении. Однако, если это не так, и вы обнаружите, что ваш компьютер является частью ботнета, стандартный совет — уничтожить все это. Отформатируйте его и переустановите операционную систему. Чтобы свести к минимуму любой потенциальный ущерб, всегда делайте резервные копии всех важных файлов и папок. Это совет, который большинство людей игнорирует.
ЗАКЛЮЧЕНИЕ
Ботнеты – гораздо большая проблема, чем мы можем себе представить. И с точки зрения размера, и с точки зрения воздействия, потому что огромное количество и возможности заставят вас задыхаться. Эта инфраструктура дает киберпреступникам возможность расширить свой охват, начать мощные атаки и нанести непоправимый ущерб. И это то, что каждый пользователь Интернета и компьютеров может предотвратить, приняв необходимые меры безопасности.
Всё про ботнеты
В этой статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов.
Ботнеты существуют уже около 10 лет, и приблизительно столько же эксперты предупреждают о той опасности, которую они представляют. Тем не менее, проблема ботнетов по-прежнему остается недооцененной, и многие пользователи (до тех пор пока им не отключат Интернет, пока они не обнаружат исчезновение денег с кредитных карт или у них не украдут почтовый ящик или аккаунт IM) плохо понимают, в чем состоит реальная угроза зомби-сетей.
Что такое ботнет
Итак, прежде всего, давайте разберемся, что такое ботнет или зомби-сеть.
Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Использование ботнетов
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.
Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.
DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.
Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления – например, взламывать веб-сайты или переводить украденные денежные средства.
Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.
Команды для ботов
Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.
Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.
Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.
Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).
Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.
Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.
Типы ботнетов
Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.
Классификация ботнетов. Архитектура
До сих пор были известны лишь два типа архитектуры ботнетов.
Рис. 2 Децентрализованная топология (P2P)
На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
Классификация ботнетов. Используемые сетевые протоколы
Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.
По типу используемых сетевых протоколов ботнеты делятся на следующие группы.
Эволюция ботнетов
История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor – небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программы, в которых реализованы принципиально новые технологические решения. NetBus и BackOrifice2000 впервые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.
Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером.
Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Однако, в отличие от современных бэкдоров, программы NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ждали подключений хозяина (Backdoor’ы, используемые для построения ботнетов сегодня, устанавливают соединения сами).
Затем кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Скорее всего, этот «кто-то» был хакером, потому что боты нового поколения использовали традиционный для хакеров канал связи – IRC (Internet Relay Chat). Вероятно, разработку новых ботов сильно упростило то, что в самой системе IRC изначально функционировали боты с открытым исходным кодом, но не направленные на удаленное управление системой, а с другим функционалом (эти программы отвечали на запросы пользователей, например, выдавали информацию о погоде или о времени последнего появления определенного пользователя в чате).
Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине. Это был первый механизм реализации ботнета с централизованным управлением, позже названный C&C (Command & Control Centre).
Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.
О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.
Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с использованием локальных настроек компьютера. Если пользователь устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматически активизировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). С точки зрения программиста, это было простым и доступным решением.
Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.
Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен справиться даже школьник. Дальнейшее развитие Интернета и совершенствование технологий веб-разработки также стимулировали использование веб-ботнетов.
Были попытки создать ботнеты, управляемые через каналы IM-служб. Но IM-ботнеты не получили широкого распространения, в частности потому, что они требуют регистрации номеров IM, а в условиях, когда системы защиты от автоматической регистрации аккаунтов постоянно меняются, зарегистрировать множество аккаунтов автоматически довольно сложно.
На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет классической архитектуры (много ботов и один центр управления) чрезвычайно уязвим, так как зависит от критического узла – центра управления, при отключении которого сеть можно считать потерянной. Решения в виде одновременного заражения компьютеров разными ботами, ориентированными на разные центры управления, иногда срабатывают, но такие ботнеты гораздо сложнее поддерживать, поскольку нужно следить сразу за двумя-тремя центрами управления.
Весьма эффективными и опасными с точки зрения экспертов могут стать ботнеты с архитектурой P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Эксперименты по созданию таких ботнетов проводились довольно давно, однако первый крупномасштабный ботнет на основе P2P-архитектуры появился только в 2007 году. И именно P2P-ботнеты сейчас занимают внимание исследователей информационной безопасности.
P2P-ботнеты
«Штормовой» ботнет
В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).
Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:
Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.
К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.
Mayday
Еще одним интересным, на наш взгляд, ботнетом, который технологически несколько отличается от своих предшественников, является Mayday. Такое название бот (по классификации «Лаборатории Касперского – Backdoor.Win32.Mayday) и созданная на его основе сеть получили благодаря тому, что имя домена, к которому обращалась вредоносная программа в одной из своих модификаций, включало в себя слово «mayday».
Mayday – это очередной ботнет, построенный на архитектуре P2P. После запуска бот соединяется с указанным в теле программы веб-сервером, регистрируется в его базе данных и получает список всех ботов в зараженной сети (в случае Storm Worm это была лишь часть списка). Далее бот устанавливает соединения типа «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.
Нами было зарегистрировано 6 различных серверов по всему миру (в Великобритании, США, Нидерландах, Германии), с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался лишь один из серверов, на котором было зарегистрировано около 3 тысяч ботов (напомним, что, по самым скромным оценкам, в «штормовой» ботнет входили десятки тысяч зараженных машин). Помимо размеров сети, Mayday явно уступает своему «старшему брату» Storm в нескольких важных позициях: в Mayday-ботнете используется примитивный нешифрованный протокол общения, код вредоносной программы не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совсем не с той периодичностью, какую мы видим в случае Storm Worm. Программа Backdoor.Win32.Mayday была впервые задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца в нашу коллекцию попало чуть больше 20 различных вариантов программы.
Что касается технологических новинок, то следует отметить два нестандартных подхода, реализованных в ботнете.
Во-первых, в сети Mayday коммуникация типа «компьютер-компьютер» (P2P) изначально основана на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.
Большинству пользователей протокол ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста. Однако основные функции протокола значительно шире. Вот что сказано об ICMP в Wikipedia: «ICMP — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и в других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции».
На рисунке 10 изображен интерфейс программы-сниффера сетевых пакетов, зарегистрировавшей передачу ICMP-пакетов от бота Mayday. Никакой из ботов, известных нам ранее, не использовал ICMP для передачи данных.
Рис. 3. ICMP-пакеты, отправляемые ботом Mayday
С помощью ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Поскольку бот Mayday ориентирован на работу в Windows XP SP2, после запуска он изменяет правила сетевого экрана Windows, так чтобы получение ICMP-пакетов было разрешено.
Второй и, пожалуй, основной особенностью Mayday-ботнета является его центр управления.
Для работы центров управления веб-ориентированных ботнетов используется механизм, известный как CGI (Common Gateway Interface). Изначально технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позже появились различные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой пользователем веб-страницы, обеспечивая выполнение программы и вывод результатов ее работы вместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, но для вывода результатов своей работы ему требуется интерпретатор – скрипт-движок. Как правило, командные центры веб-ориентированных ботнетов разрабатываются злоумышленниками с использованием скрипт-движков.
В сотрудничестве с правоохранительными органами нам удалось получить копию программы, которая работает в командном центре ботнета Mayday. Серверное ПО Mayday представляет собой цельный (без модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows), не требующий наличия скрипт-движка в системе. На первый взгляд, ничего удивительного в разработке авторами Mayday CGI-приложения вместо CGI-скрипта вроде бы нет. Тем не менее, такое решение вызывает ряд вопросов.
Разработка CGI-приложения на пару порядков сложнее разработки CGI-скрипта, поскольку требует особых усилий для реализации стабильного и надежного кода. В настоящее время 99% веб-разработок ведется на основе скрипт-движков, а монолитные исполняемые CGI-программы создаются лишь в случае жесткой необходимости оптимизировать все до мелочей. Как правило, такой подход используется крупными корпорациями при разработке проектов, которые должны работать в условиях огромных нагрузок. Монолитные исполняемые CGI-программы используются, например, в таких веб-системах, как e-Bay, Paypal, Yahoo и др.
Зачем же создавался безмодульный исполняемый файл в случае ботнета Mayday? Одной из возможных причин могло быть желание разработчиков усложнить «чужакам» задачу редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание предполагать, что такая серьезная разработка (код аккуратно причесан, созданная система классов универсальна) требует хорошо организованной команды разработчиков. Более того, для создания ПО Mayday-ботнета злоумышленникам, скорее всего, пришлось вести работу над двумя разными проектами: разработкой программ для Windows и для Linux.
Весной 2008 года «Лабораторией Касперского» не было зафиксировано ни одного нового образца Mayday-бота. Возможно, авторы вредоносной программы взяли таймаут, и Mayday-ботнет еще проявит себя в недалеком будущем.
Ботнет-бизнес
Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной проблемой, можно получить, оценив нынешнее состояние рынка ботнетов. Сегодня киберпреступникам, которые хотят построить ботнет, не нужны ни специальные знания, ни крупные денежные суммы. Подпольная ботнет-индустрия по сходной цене предоставляет желающим обзавестись ботнетом все необходимое: ПО, готовые сети и услуги по анонимному хостингу.
Заглянем на интернет-форумы, специализирующиеся на продаже нелегального софта и услуг, посмотрим, как работает ботнет-индустрия, обслуживающая хозяев зомби-сетей.
Первое, что необходимо для построения ботнета, – это сам бот, программа, позволяющая удаленно выполнять на компьютере пользователя некоторые действия без ведома пользователя. ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление и обратившись к тому, кто его разместил.
Рис. 4. Объявление о продаже бота и панели управления (перевод с русского)
Для построения простейшего веб-ориентированного ботнета необходимо иметь хостинговую площадку, где можно разместить центр управления. Любой желающий может купить такую площадку – вместе с услугами службы поддержки и возможностью анонимной работы с сервером (хостер, как правило, гарантирует недоступность файлов журнала для кого-либо, в том числе для «компетентных» органов). Объявлений, подобных приведенному ниже, на форумах в Интернете достаточно много.
Рис. 5. Предложение хостинг-услуг для построения ботнета
Когда площадка C&C построена, необходимы зараженные ботом машины. Желающие могут купить уже готовую сеть с «чужим» установленным ботом. Поскольку случаи кражи ботнетов в среде злоумышленников не редкость, покупатели, как правило, предпочитают заменить на собственные и вредоносную программу, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в купленной сети дают команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем самым «чужая» программа-бот заменяется на «свою», и ботнет начинает взаимодействовать с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и с точки зрения их защищенности и анонимности: «старый» C&C и «старый» бот еще до продажи вполне могут попасть в поле зрения специалистов по компьютерной безопасности.
К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику.
К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.
Рис. 6. Объявление о продаже MPack, вывешенное 16-летним подростком
Любопытно, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае.
Рис. 7. Оригинальная русская версия IcePack
Рис. 8. Локализованная китайская версия IcePack
Любая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее использовать. Это понимают и разработчики таких систем, поэтому для повышения популярности своих детищ и соответственно увеличения спроса на них разрабатывают простые механизмы установки и конфигурирования систем – будь то система для C&C или просто ExploitPack.
Так, например, установка командного центра, как правило, состоит из копирования файлов на сторону веб-сервера и обращения с помощью браузера к скрипту install.php. Значительно облегчает задачу наличие веб-интерфейса инсталлятора: киберпреступникам достаточно правильно заполнить поля веб-формы, чтобы командный центр был правильно сконфигурирован и начал работать.
Рис. 9. Веб-инсталлятор C&C
В киберкриминальном мире хорошо известно, что рано или поздно антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость заражения новых компьютеров значительно снизится. Есть несколько способов, с помощью которых хозяева ботнетов пытаются сохранить свои сети. Наиболее эффективный – защита вредоносной программы от детектирования с помощью специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации.
Рис. 10. Предложение услуги по обработке программ для сокрытия кода от антивируса
Таким образом, все, что необходимо для успешного существования и развития ботнетов, есть в Интернете, и остановить развитие ботнет-индустрии пока невозможно.
Заключение
Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники. А цены на развитом и структурированном ботнет-рынке весьма умеренные.
В построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой.
Сети, объединяющие ресурсы десятков, сотен тысяч, а порой и миллионов зараженных машин, обладают очень опасным потенциалом, который (к счастью!) пока не использовался в полном объеме. Между тем, вся эта грозная кибермощь опирается на инфицированные компьютеры домашних пользователей. Именно они составляют подавляющее большинство зомби-машин, и именно их злоумышленники используют в своих целях.
Если вы вспомните десять своих друзей и знакомых, у которых есть компьютеры, то, скорее всего, один из них является владельцем машины, входящей в какую-либо зомби-сеть. А может быть, это именно ваш компьютер?!
источники:
Лаборатория Касперского