Один из моих любимых терминов кибербезопасности — «ботнет». Он создает всевозможные образы: взаимосвязанные роботы, легионы сетевых работников, одновременно стремящихся к единой цели. Как ни странно, изображение, которое вызывает слово, похоже на то, что представляет собой ботнет — по крайней мере, в окольных терминах.
Ботнеты составляют серьезную вычислительную мощь во всем мире. И эта сила регулярно (возможно, даже постоянно) является источником вредоносных программ, вымогателей, спама и многого другого. Но как появляются ботнеты? Кто их контролирует? И как мы можем их остановить?
Что такое ботнет?
В определении ботнета SearchSecurity говорится, что «ботнет — это набор подключенных к Интернету устройств, который может включать в себя ПК, серверы, мобильные устройства и интернет-устройства, которые заражены и контролируются распространенным типом вредоносных программ. Пользователи часто не знают, что ботнет заражает их систему ».
Последнее предложение определения является ключевым. Устройства внутри ботнета обычно не охотно там находятся. Устройства, зараженные определенными вариантами вредоносного ПО, контролируются удаленными субъектами угроз, или киберпреступниками. Вредоносная программа скрывает вредоносные действия ботнета на устройстве, поэтому владелец не знает о своей роли в сети. Вы могли бы рассылать спам, предлагая таблетки, увеличивающие придатки, тысячами — без малейших намеков.
мы часто ссылаемся на зараженные ботнет-устройства. как «зомби».
Что делает ботнет?
Ботнет имеет несколько общих функций в зависимости от желания оператора ботнета:
- Спам: рассылка огромных объемов спама по всему миру. Например, средняя доля спама в мировом почтовом трафике в период с января по сентябрь составила 56,69 процента. Когда исследовательская фирма FireEye временно приостановила переход пресловутой бот-сети Srizbi после того, как печально известный хостинг McColo перешел в автономный режим, глобальный спам упал на огромное количество (и фактически, когда он, наконец, перешел в автономный режим, глобальный спам временно уменьшился примерно на 50 процентов).
- Вредоносное ПО: доставка вредоносных и шпионских программ на уязвимые компьютеры. Ресурсы ботнетов покупаются и продаются злоумышленниками для дальнейшего развития их преступных предприятий.
- Данные: захват паролей и другой частной информации. Это связано с вышесказанным.
- Мошенничество с кликами: зараженное устройство посещает веб-сайты, чтобы генерировать ложный веб-трафик и показы рекламы
- Биткойн: контроллеры ботнетов направляют зараженные устройства для майнинга биткойнов и других криптовалют, чтобы спокойно получать прибыль.
- DDoS: операторы ботнетов направляют мощность зараженных устройств на конкретные цели, отключая их от атак с распределенным отказом в обслуживании.
Операторы ботнетов обычно переключают свои сети на ряд этих функций для получения прибыли. Например, операторы ботнетов, рассылающие медицинский спам гражданам США, также владеют аптечками, которые доставляют товары. (О, да, в конце письма есть реальные продукты. Spam Nation Брайана Кребса — отличный пример для этого.)
За последние несколько лет основные ботнеты слегка изменили направление. В то время как медицинский и другие подобные виды спама долгое время были чрезвычайно прибыльными, правительственные репрессии в нескольких странах подорвали прибыль. Таким образом, согласно отчету Symantec за 2017 год , количество писем, содержащих вредоносные вложения, увеличилось до одного на каждые 359 писем.
Как выглядит ботнет?
Мы знаем, что ботнет — это сеть зараженных компьютеров. Тем не менее, основные компоненты и фактическая архитектура ботнета интересны для рассмотрения.
Архитектура
Существует две основные архитектуры ботнетов:
- Модель клиент-сервер: в бот-сети клиент-сервер обычно используется чат-клиент (ранее IRC, но современные бот-сети использовали Telegram и другие зашифрованные службы обмена сообщениями), домен или веб-сайт для связи с сетью. Оператор отправляет сообщение на сервер, передавая его клиентам, которые выполняют команду. Хотя инфраструктура ботнета отличается от базовой до очень сложной, сосредоточенные усилия могут отключить ботнет клиент-сервер.
- Одноранговый: одноранговый (P2P) ботнет пытается остановить программы безопасности и исследователей, идентифицирующих конкретные серверы C2, путем создания децентрализованной сети. Сеть P2P более продвинута , в некотором смысле, чем модель клиент-сервер. Кроме того, их архитектура отличается от того, как большинство представляет. Вместо единой сети взаимосвязанных зараженных устройств, обменивающихся данными по IP-адресам, операторы предпочитают использовать зомби-устройства, подключенные к узлам, которые, в свою очередь, связаны друг с другом и главным сервером связи. Идея состоит в том, что просто слишком много взаимосвязанных, но отдельных узлов, чтобы отключить их одновременно.
Командование и управление
Командные и контрольные (иногда записанные C & C или C2) протоколы бывают разных форм:
- Telnet: ботнеты Telnet относительно просты, используя скрипт для сканирования диапазонов IP-адресов по умолчанию для входа в систему через telnet и SSH-сервер, чтобы добавить уязвимые устройства для добавления ботов.
- IRC: Сети IRC предлагают метод связи с чрезвычайно низкой пропускной способностью для протокола C2. Возможность быстрого переключения каналов обеспечивает дополнительную безопасность для операторов ботнета, но также означает, что зараженные клиенты легко отключаются от ботнета, если они не получают обновленную информацию о канале. Трафик IRC относительно легко исследовать и изолировать, что означает, что многие операторы отошли от этого метода.
- Домены. В некоторых крупных ботнетах для контроля используются домены, а не клиент обмена сообщениями. Зараженные устройства получают доступ к определенному домену, обслуживающему список команд управления, что позволяет легко вносить изменения и обновления на лету. Недостатком является огромное требование к пропускной способности для больших ботнетов, а также относительная легкость, с которой подозреваемые домены управления закрываются. Некоторые операторы используют так называемый пуленепробиваемый хостинг для работы за пределами юрисдикции стран со строгим уголовным интернет-законодательством.
- P2P: протокол P2P обычно реализует цифровую подпись с использованием асимметричного шифрования (один открытый и один закрытый ключ). То есть, пока оператор владеет закрытым ключом, кому-либо еще крайне сложно (по существу, невозможно) вводить различные команды для ботнета. Точно так же отсутствие единственного определенного сервера C2 делает атаку и уничтожение ботнета P2P более трудным, чем его аналоги.
- Другие: За прошедшие годы мы увидели, что операторы ботнетов использовали несколько интересных каналов управления и контроля. Мгновенно приходят на ум каналы социальных сетей, такие как ботнет Android Twitoor, управляемый через Twitter, или Mac.Backdoor.iWorm, который использовал субредит списка серверов Minecraft для получения IP-адресов для своей сети. Instagram тоже не безопасен. В 2017 году Turla, группа кибершпионажа, имеющая тесные связи с российскими спецслужбами, использовала комментарии к фотографиям Бритни Спирс в Instagram для хранения местоположения сервера распространения вредоносного ПО C2.
Zombies
Последняя часть головоломки ботнета — зараженные устройства (например, зомби).
Операторы ботнетов целенаправленно сканируют и заражают уязвимые устройства, чтобы расширить свою рабочую мощность. Мы перечислили основные виды использования ботнета выше. Все эти функции требуют вычислительной мощности. Кроме того, операторы ботнетов не всегда дружат друг с другом, переключая мощность своих зараженных компьютеров друг на друга.
Подавляющее большинство владельцев зомби-устройств не знают о своей роли в бот-сети. Временами, однако, вредоносное ПО ботнетов действует как проводник для других вариантов вредоносного ПО.
Это видео ESET дает хорошее объяснение того, как расширяются ботнеты:
Типы устройств
Сетевые устройства подключаются к сети с поразительной скоростью. И ботнеты охотятся не только за ПК или Mac. Как вы узнаете больше в следующем разделе, устройства Internet of Things столь же восприимчивы (если не больше) к вариантам вредоносных программ ботнетов. Особенно, если их разыскивают из-за их ужасной безопасности.
Смартфоны и планшеты тоже не защищены. За последние несколько лет Android видел несколько ботнетов. Android — легкая цель попадает в : это открытый исходный код, несколько версий операционной системы и множество уязвимостей одновременно. Не радуйтесь так быстро, пользователи iOS. Было несколько вариантов вредоносных программ, нацеленных на мобильные устройства Apple, хотя обычно они ограничивались взломанными iPhone с уязвимостями в безопасности.
Еще одно основное целевое устройство ботнета — уязвимый маршрутизатор. Маршрутизаторы, использующие старую и небезопасную прошивку, являются легкими целями для ботнетов, и многие владельцы не осознают, что их интернет-портал заражен. Точно так же просто ошеломляющее количество интернет-пользователей не может изменить настройки по умолчанию на своих маршрутизаторах. после установки. Как и устройства IoT, это позволяет вредоносным программам распространяться с ошеломляющей скоростью, с небольшим сопротивлением при заражении тысяч устройств.
Снятие ботнета
Снятие ботнета не является легкой задачей по ряду причин. Иногда архитектура ботнета позволяет оператору быстро восстановить. В других случаях ботнет слишком велик, чтобы его можно было сделать одним махом. Большинство действий по уничтожению бот-сетей требуют координации между исследователями безопасности, правительственными учреждениями и другими хакерами, иногда полагаясь на советы или неожиданные бэкдоры.
Основная проблема, с которой сталкиваются исследователи в области безопасности, заключается в относительной легкости, с которой операторы подражателей начинают операции с использованием одного и того же вредоносного ПО.
GameOver Zeus
Я собираюсь использовать ботнет GameOver Zeus (GOZ) в качестве примера удаления. GOZ был одним из самых крупных ботнетов последних лет, который, как считается, насчитывал более миллиона зараженных устройств. Основным назначением ботнета была денежная кража ( распространение вымогателя CryptoLocker вымогателей ), спама и, используя сложный алгоритм генерации одноранговых доменов, оказалось не остановить.
Алгоритм генерации доменов позволяет ботнету предварительно генерировать длинные списки доменов для использования в качестве «точек встречи» для вредоносных программ ботнетов. Несколько точек встречи делают остановку распространения практически невозможной, так как список доменов знают только операторы.
В 2014 году группа исследователей в области безопасности, работающая совместно с ФБР и другими международными агентствами, наконец-то вывела GameOver Zeus в оффлайн, в Operation Tovar. Это было нелегко. Заметив последовательность регистрации доменов, команда зарегистрировала около 150 000 доменов за шесть месяцев, предшествовавших началу работы. Это должно было заблокировать любую будущую регистрацию домена от операторов ботнета.
Затем несколько интернет-провайдеров предоставили управление операциями прокси-узлам GOZ, используемым операторами ботнета для связи между серверами управления и контроля и действительным ботнетом. Эллиот Петерсон, ведущий следователь ФБР в «Операции Товар», сказал: «Мы смогли убедить ботов в том, что с нами хорошо общаться, но со всеми коллегами, прокси-серверами и супер-узлами, контролируемыми плохими парнями, было плохо общаться, и они должны быть проигнорированным. ”
Владелец ботнета Евгений Богачев (онлайн-псевдоним Slavik) понял, что удар был на месте через час, и попытался дать отпор еще за четыре или пять часов до «уступки» поражения.
В результате исследователи смогли взломать пресловутое шифрование CryptoLocker с помощью вымогателей, создав бесплатные инструменты дешифрования для жертв
IoT ботнеты разные
Меры по борьбе с GameOver Zeus были обширными, но необходимыми. Это показывает, что огромная мощь искусно созданного ботнета требует глобального подхода к смягчению последствий , требующего «новаторской правовой и технической тактики с использованием традиционных инструментов правоприменения», а также «прочных рабочих отношений с экспертами в частной отрасли и коллегами из правоохранительных органов более чем в 10 странах. страны по всему миру ».
Но не все ботнеты одинаковы. Когда один ботнет достигает своего конца, другой оператор учится на уничтожении.
В 2016 году самым большим и самым плохим ботнетом был Mirai. Перед частичным взлетом ботнет Mirai, основанный на Интернете вещей, поразил несколько важных целей. с ошеломляющими DDoS-атаками. Одна такая атака поразила блог исследователя безопасности Брайана Кребса со скоростью 620 Гбит / с, в результате чего защита DDoS Кребса отбросила его в качестве клиента. Еще одна атака в последующие дни поразила французского провайдера облачного хостинга OVH со скоростью 1,2 Тбит / с в крупнейшей из когда-либо замеченных атак. На изображении ниже показано, сколько стран попало в Mirai .
Хотя Mirai даже не был самым большим ботнетом, который когда-либо видел, он вызывал самые большие атаки. Мирай опустошительно использовал множество смехотворно небезопасных устройств IoT. , используя список из 62 небезопасных паролей по умолчанию для накопления устройств (admin / admin был первым в списке, см. Рисунок).
Исследователь безопасности Маркус Хатчинс (также известный как MalwareTech) объясняет, что отчасти причина огромной мощи Mirai заключается в том, что большинство устройств IoT находятся там, ничего не делая, пока их не попросят. Это означает, что они почти всегда в сети и почти всегда имеют сетевые ресурсы для совместного использования. Традиционный оператор ботнета будет анализировать свои периоды пиковой мощности и время атаки соответственно. IoT ботнетов, не так много.
Таким образом, с подключением к сети более плохо настроенных устройств IoT увеличивается вероятность эксплуатации.
Оставаться в безопасности
Мы узнали о том, что делает ботнет, как они растут и многое другое. Но как вы можете остановить ваше устройство стать частью одного? Итак, первый ответ прост: обновить систему . Регулярные обновления исправляют уязвимые дыры в вашей операционной системе, в свою очередь сокращая возможности для эксплуатации.
Второй — скачать и обновить антивирусную программу, а также антивирусную программу. Существует множество бесплатных антивирусных пакетов, которые предлагают отличную защиту от воздействия. Инвестируйте в программы для защиты от программ, например Malwarebytes Подписка на Malwarebytes Premium обойдется вам в 24,95 долл. В год, обеспечивая защиту от вредоносных программ в режиме реального времени. На мой взгляд, стоит вложений.
Наконец, возьмите дополнительную безопасность браузера. Наборы эксплойтов Drive-by — неприятность, но их легко избежать, если вы используете расширение для блокировки скриптов, такое как uBlock Origin.
Был ли ваш компьютер частью ботнета? Как ты понял? Вы узнали, какая инфекция использовала ваше устройство? Дайте нам знать ваш опыт ниже!