Ботнет

Ботне́т (англ. botnet від robot і network) — це комп'ютерна мережа, що складається з деякої кількості хостів, із запущеними ботами — автономним програмним забезпеченням. Найчастіше бот у складі ботнета є програмою, яка приховано встановлюється на комп'ютері жертви і дозволяє зловмисникові виконувати певні дії з використанням ресурсів інфікованого комп'ютера. Зазвичай використовуються для протиправної діяльності — розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні, отримання персональної інформації про користувачів, крадіжка номерів кредитних карток та паролів доступу. Кожен комп'ютер в мережі діє як «бот» і управляється шахраєм для передачі шкідливих програм або шкідливого контенту для запуску атаки. Ботнет деколи називають «армією зомбі», так як комп'ютери контролюються кимось іншим, крім їх власника^[1].

Схема створення та використання ботнету: 1 Зараження незахищених комп'ютерів, 2 Включення їх в ботнет, 3 Власники ботнету продають послуги бот-мереж, 4/5 Використання Ботнету, наприклад, для розсилки спаму

Технічний опис

Залучення комп'ютерів до ботнету

Комп'ютер може потрапити в мережу ботнету через встановлення певного програмного забезпечення, без відома користувача. Трапляється це зазвичай через:

• Інфікування комп'ютера вірусом через вразливість в ПЗ (помилки в браузерах, поштових клієнтах, програмах перегляду документів, зображень, відео).
• Недосвідченість або неуважність користувача — шкідливе ПЗ маскується під «корисне програмне забезпечення».
• Використання санкціонованого доступу до комп'ютера (рідко).
• Підбір адміністративного пароля до мережевих ресурсів зі спільним доступом (наприклад, до $ADMIN, що дозволяє віддалено виконати програму) — переважно в локальних мережах.

Механізм маскування

Механізм захисту від видалення аналогічний більшості вірусів та руткітів, зокрема:

• маскування під системний процес;
• підміна системних файлів для самомаскування;
• інжекція коду безпосередньо в адресний простір системного процесу або процесу користувача
• перехоплення системних викликів для маскування наявності в системі файлів ботнету та посилань на нього;
• перехоплення системних процедур роботи з мережею для маскування трафіку ботнету під трафік користувача або системних утиліт.
• використання поліморфного коду, що ускладнює сигнатурний аналіз
• маскування під корисне ПЗ (прискорювачі Інтернет, програми для завантаження на диск онлайн-відео та -аудіо та ін.)

Механізм самозахисту

• створення перешкод нормальній роботі антивірусного ПЗ
• перезавантаження комп'ютера та інші порушення нормальної роботи при спробі доступу до виконуваних файлів або ключів автозапуска, в яких прописані файли програмного забезпечення ботнету;

Механізм автозапуску

Для автозапуску найчастіше використовуються наступні технології:

• використання нестандартних методів запуску (використовуються шляхи автозапуску від старого програмного забезпечення, підміна налагоджувальника процесів);
• використання двох процесів які перезапускають один одного, у випадку зняття одного з цих процесів інший процес знову його запустить;
• підміна системних файлів, що автоматично завантажуються операційною системою;
• реєстрація в ключах автозапуску або в списку модулів розширення функціональності системи;

Механізм керування ботнетом

Раніше керування передбачало «очікування» певних команд по певному порту, або участь в IRC-чаті. При відсутності команд програма «спить» очікуючи на команду власника, можливо намагається саморозмножуватись. При отриманні команди від «власника» ботнету, починає виконувати вказану команду. В ряді випадків за командою завантажується виконуваний файл (таким чином, є можливість «оновлювати» програму і завантажувати модулі які додають функціональність).

Наразі отримали поширення ботнети які керуються через вебсайт або по принципу p2p-мереж^[2].

Список найбільших ботнетів

Дата створення	Ім'я	Кількість ботів	Потенціал для спаму	Подібні ботнети
1999	!a	999,999,999	100000	!a
2009 (Травень)	BredoLab	30,000,00030,000,000[3]	3.6 млрд./день	Oficla
2008 (приблизно)	Mariposa	12,000,000[4]	?	Немає
0?	Conficker	10,000,000+[5]	10 млрд./день	DownUp, DownAndUp, DownAdUp, Kido
0?	Zeus	3,600,000 (лише США)[6]	-1Немає	Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (приблизно)	Cutwail	1,500,000[7]	74 млрд./день	Pandex, Mutant
0?	Grum	565,000[8]	39.9 млрд./день	Tedroo
0?	Kraken	495,000[9]	9 млрд./день	Kracken
2007 (Березень)	Srizbi	450,000[10]	60 млрд./день	Cbeplay, Exchanger
0?	Lethic	260,000[11]	2 млрд./день	Немає
0?	Mega-D	250,000[12]	10 млрд./день	Ozdok
2004 (Початок)	Bagle	230,000[11]	5.7 млрд./день	Beagle, Mitglieder, Lodeight
0?	Bobax	185,000	9 млрд./день	Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
0?	Torpig	180,000[13]	-1 Немає	Sinowal, Anserin
0?	Storm	160,000[14]	3 млрд./день	Nuwar, Peacomm, Zhelatin
2006 (приблизно)	Rustock	150,000[15]	30 млрд./день	RKRustok, Costrat
0?	Donbot	125,000[16]	0.8 млрд./день	Buzus, Bachsoy
2008 (Листопад)	Waledac	80,000[17]	1.5 млрд./день	Waled, Waledpak
0?	Maazben	50,000[11]	0.5 млрд./день	Немає
0?	Onewordsub	40,000[18]	1.8 млрд./день	0?
0?	Gheg	30,000[11]	0.24 млрд./день	Tofsee, Mondera
0?	Nucrypt	20,000[18]	5 млрд./день	Loosky, Locksky
0?	Wopla	20,000[18]	0.6 млрд./день	Pokier, Slogger, Cryptic
2008 (приблизно)	Asprox	15,000[19]	0 ?	Danmec, Hydraflux
0?	Spamthru	12,000[18]	0.35 млрд./день	Spam-DComServ, Covesmer, Xmiler
0?	Xarvester	10,000[11]	0.15 млрд./день	Rlsloup, Pixoliz
2009 (Серпень)	Festi	0 ?	2.25 млрд./день	Немає
2008 (приблизно)	Gumblar	0 ?	0 ?	Немає
0?	Akbot	0 ?	0 ?	Немає
2100	z!	-100,000,000	-99999	z!

Інтернет речей

Докладніше: Інтернет речей

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, вебсайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку досягав 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (так званий інтернет речей). В жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками^[20][21].

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього мав відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебирання^[22]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай. Також дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак^[23].

Боротьба з ботнетами

В період 27-29 травня 2024 року правоохоронці зі США, Франції, Нідерландів, Великої Британії, Ірландії, Данії, Німеччини, Португалії та України провели масштабну спецоперацію «EndGame», в ході якої було видалено та арештовано 91 сервер і заблоковано понад 1000 доменів, пов’язаних зі злочинною діяльністю та які дозволяли кіберзлочинцям виманювати гроші у своїх жертв. Спецоперація, координована зі штаб-квартири Європолу, була націлена на дроперів, зокрема таких, як IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee і Trickbot. Понад 100 серверів ліквідували у Болгарії, Канаді, Німеччині, Литві, Нідерландах, Румунії, Швейцарії, Великій Британії, США та Україні. Понад дві тисячі доменів правоохоронцям вдалося взяти під контроль. Як зазначили в Європолі, це найбільша в історії операція з ліквідації ботнетів — злочинних сервісів, що відіграють важливу роль у розгортанні програм-вимагачів^[24][25][26].

Див. також

• Спам
• Метод «грубої сили»
• Відмова сервісу
• Дропер
• BlackEnergy — троян для формування ботнетів.