Що таке зомбі-мережі?

Ботнети існують вже близько 10 років, і приблизно стільки ж експерти попереджають про ту небезпеку, яку вони представляють. Тим не менше, проблема ботнетів і раніше залишається недооціненою, і багато користувачів (до тих пір поки їм не відключать Інтернет, поки вони не виявлять зникнення грошей з кредитних карт або у них не вкрадуть поштову скриньку або аккаунт IM – Instant messaging – сервіс, призначений для обміну повідомленнями в режимі реального часу) погано розуміють, у чому полягає реальна загроза зомбі-мереж.

Ботнет – це мережа комп'ютерів, заражених шкідливою програмою поведінки Backdoor. Backdoor'и дозволяють кіберзлочинцям віддалено керувати зараженими машинами (кожної окремо, частиною комп'ютерів, що входять в мережу, або всією мережею цілком) без відома користувача. Такі програми називаються ботами.

Ботнети володіють потужними обчислювальними ресурсами, є грізним кіберзброї і хорошим способом заробляння грошей для зловмисників. При цьому зараженими машинами, що входять у мережу, господар ботнету може управляти звідки завгодно: з іншого міста, країни або навіть з іншого континенту, а організація Інтернету дозволяє робити це анонімно.

Управління комп'ютером, який заражений ботом, може бути прямим і опосередкованим. У разі прямого управління зловмисник може встановити зв'язок з інфікованим комп'ютером і керувати ним, використовуючи вбудовані в тіло програми-бота команди. У разі опосередкованого управління бот сам з'єднується з центром управління або іншими машинами в мережі, посилає запит і виконує отриману команду.

У будь-якому випадку господар зараженої машини, як правило, навіть не підозрює про те, що вона використовується зловмисниками. Саме тому заражені шкідливою програмою-ботом комп'ютери, що знаходяться під таємним наглядом кіберзлочинців, називають ще зомбі-комп'ютерами, а мережу, до якої вони входять, – зомбі-мережею. Найчастіше зомбі-машинами стають персональні комп'ютери домашніх користувачів.

Використання ботнетів
Ботнети можуть використовуватися зловмисниками для вирішення кримінальних завдань різного масштабу: від розсилки спаму до атак на державні мережі.

Розсилка спаму. Це найбільш поширений і один з найпростіших варіантів експлуатації ботнетів. За експертними оцінками, в даний час більше 80% спаму розсилається з зомбі-машин. Спам з ботнетів не обов'язково розсилається власниками мережі. За певну плату спамери можуть взяти ботнет в оренду.

Саме спамери можуть по достоїнству оцінити ефективність ботнету: за нашими даними, середньостатистичний спамер заробляє 50-100 тисяч доларів на рік. Багатотисячні ботнети дозволяють спамерам здійснювати з заражених машин мільйонні розсилки протягом короткого часу. Крім забезпечення швидкості та масштабності розсилок, ботнети вирішують ще одну проблему спамерів. Адреси, з яких активно розсилається спам, часто потрапляють в чорні списки поштових серверів, і листи, які приходять з них, блокуються або автоматично позначаються як спам. Розсилка спаму з сотень тисяч зомбі-машин дозволяє не використовувати для розсилки одні й ті ж адреси.

Ще один «бонус» ботнетів – можливість збору адрес електронної пошти на заражених машинах. Вкрадені адреси продаються спамерам або використовуються при розсилці спаму самими господарями ботнету. При цьому зростаючий ботнет дозволяє отримувати нові й нові адреси.

Кібершантаж. Ботнети широко використовуються і для проведення DDoS атак (Distributed Denial of Service – розподілена атака типу «відмова в обслуговуванні»). У ході такої атаки з заражених ботом машин створюється потік помилкових запитів на атакується сервер в Мережі. В результаті сервер через перевантаження стає недоступним для користувачів. За зупинку атаки зловмисники, як правило, вимагають викуп.

Сьогодні багато компаній працюють тільки через Інтернет, і для них недоступність серверів означає повну зупинку бізнесу, що, природно, призводить до фінансових втрат. Щоб якнайшвидше повернути стабільність своїм серверам, такі компанії швидше виконають вимоги шантажистів, ніж звернуться в поліцію за допомогою. Саме на це і розраховують кіберзлочинці, тому DDoS-атак стає все більше.

DDoS-атаки можуть використовуватися і як засіб політичного впливу. У цих випадках атакуються, як правило, сервери державних установ або урядових організацій. Небезпека такого роду атак полягає ще й у тому, що вони можуть носити провокаційний характер: кібератака серверів однієї країни може здійснюватися з серверів інший, а управлятися з території третьої держави.

Анонімний доступ в Мережу. Зловмисники можуть звертатися до серверів у Мережі, використовуючи зомбі-машини, і від імені заражених машин вчиняти кіберзлочини – наприклад, зламувати веб-сайти або переводити вкрадені грошові кошти.

Продаж і оренда ботнетів. Один з варіантів незаконного заробітку за допомогою ботнетів грунтується на здачу ботнету в оренду або продажу готової мережі. Створення ботнетів для продажу є окремим напрямком кіберзлочинністю бізнесу.

Фішинг. Адреси фішингових сторінок може досить швидко потрапити в чорні списки. Ботнет дає можливість Фішер швидко міняти адресу фішингової сторінки, використовуючи заражені комп'ютери в ролі проксі-серверів. Це дозволяє приховати реальну адресу веб-сервера фішера.

Крадіжка конфіденційних даних. Цей вид кримінальної діяльності, мабуть, ніколи не перестане приваблювати кіберзлочинців, а за допомогою ботнетів улов у вигляді різних паролів (для доступу до E-Mail, ICQ, FTP-ресурсам, веб-сервісів) та інших конфіденційних даних користувачів збільшується в тисячі разів. Бот, яким заражені комп'ютери на зомбі-мережі, може скачати іншу шкідливу програму – наприклад, троянця, ворующего паролі. У такому випадку інфікованими троянською програмою виявляться всі комп'ютери, що входять в цю зомбі-мережу, і зловмисники зможуть роздобути паролі зі всіх заражених машин. Вкрадені паролі перепродаються або використовуються, зокрема, для масового зараження веб-сторінок (наприклад, паролі для всіх знайдених FTP-акаунтів) з метою подальшого розповсюдження шкідливої програми-бота і розширення зомбі-мережі.

Команди для ботів
Команди, які виконують боти, бувають найрізноманітніші, але, як правило, вони входять до наведеного нижче списку. Назви команд можуть відрізнятися в різних реалізаціях ботів, але суть залишається тією ж.

Update: завантажити і виконати зазначений виконуваний файл або модуль з вказаного сервера. Ця команда є базовою, оскільки саме вона реалізується в першу чергу. Вона дозволяє оновлювати виконуваний файл бота за наказом господаря зомбі-мережі, у разі якщо господар хоче встановити модернізовану версію бота. Ця ж команда дозволяє заражати комп'ютер іншими шкідливими програмами (вірусами, хробаками), а також встановлювати інші боти на комп'ютер. За допомогою цієї команди на всі комп'ютери одночасно можуть бути встановлені троянські програми, які шукають усі паролі, коли-небудь введені на даному комп'ютері і збережені в його пам'яті, і пересилають їх на сервер в Інтернеті.

Flood: розпочати процес створення потоку помилкових запитів на вказаний сервер в Мережі з метою виведення з ладу сервера або перевантаження інтернет-каналу зазначеного сегменту глобальної Мережі. Створення подібного потоку може викликати серйозні неполадки сервера, що призводять до його недоступності для звичайних користувачів. Такий тип атаки з використанням ботнетів носить назву DDoS-атаки. Типів різних варіантів створення помилкових мережевих запитів існує дуже багато.

Spam: завантажити шаблон спам-повідомлення і почати розсилку спаму на зазначені адреси (для кожного бота виділяється своя порція адрес).

Proxy: використовувати даний комп'ютер як проксі-сервер. Найчастіше ця функція не виділяється в окрему команду, а відразу включається в загальний функціонал бота. Це одна із прикладних функцій, що дозволяє використовувати будь-який комп'ютер з ботнету як проксі-сервер з метою приховування реальної адреси зловмисника, керуючого ботнетом.

Існують і інші команди, проте вони не входять до числа найбільш популярних і тому реалізовані лише в окремих ботах. Ці додаткові команди дозволяють одержувати копії зображення з екрану користувача, стежити за введенням паролів з клавіатури, запитувати файл з протоколом мережевого спілкування користувача (використовується для крадіжки аккаунтів і конфіденційних даних), пересилати вказаний файл з комп'ютера користувача, запитувати серійні номери програмного забезпечення, отримувати докладну інформацію про систему користувача і його оточенні, запитувати список комп'ютерів, що входять в ботнет, і т. п.

Типи ботнетів
Класифікація ботнетів сьогодні достатня проста. Вона грунтується на архітектурі ботнетів і протоколах, що використовуються для управління ботами.

Класифікація ботнетів. Архітектура

До цих пір були відомі лише два типи архітектури ботнетів.

1. Ботнети з єдиним центром. У ботнет з такою архітектурою всі зомбі-комп'ютери з'єднуються з одним центром управління, або C & C (Command & Control Centre). C & C очікує підключення нових ботів, реєструє їх у своїй базі, стежить за їх станом і видає їм команди, вибрані власником ботнету зі списку всіх можливих команд для бота. Відповідно, в C & C видні всі підключені зомбі-комп'ютери, а для управління централізованої зомбі-мережею господареві мережі необхідний доступ до командного центру.

Ботнети з централізованим управлінням є найпоширенішим типом зомбі-мереж. Такі ботнети легше створювати, ними легше управляти, і вони швидше реагують на команди. Втім, боротися з ботнетами з централізованим управлінням теж легше: для нейтралізації всього ботнету достатньо закрити C & C.

2. Децентралізовані ботнети, або P2P-ботнети (Від англ. «Peer-to-peer», що означає «з'єднання типу" точка-точка "«). У разі децентралізованого ботнету боти з'єднуються не з центром управління, а з декількома зараженими машинами з зомбі-мережі. Команди передаються від бота до боту: у кожного бота є список адрес декількох «сусідів», і при отриманні команди від будь-кого з них він передає її іншим, тим самим поширюючи команду далі. У цьому випадку зловмисникові, щоб керувати всім ботнетом, досить мати доступ хоча б до одного комп'ютера, що входить в зомбі-мережу.

На практиці побудова децентралізованого ботнету не дуже зручно, оскільки кожному новому зараженого комп'ютера необхідно надати список тих ботів, з якими він буде зв'язуватися в зомбі-мережі. Набагато простіше спочатку направити бот на централізований сервер, де він отримає список ботів-"сусідів», а потім вже переключити бот на взаємодію через P2P-підключення. Така змішана топологія також відноситься до типу P2P, хоча на окремому етапі боти використовують C & C. Боротися з децентралізованими ботнетами набагато складніше, оскільки в чинному ботнеті центр управління відсутня.

Класифікація ботнетів. Використовувані мережеві протоколи
Для передачі боту команд господаря ботнету необхідно, як мінімум, встановити мережне з'єднання між зомбі-комп'ютером і комп'ютером, передавальним команду.


Category: Інтернет

Comments (Прокоментуй!)

There are no comments yet. Why not be the first to speak your mind.

Leave a Reply