Использование ботнетов
Обычно
считается, что робот, он же бот (bot, англ) —
специальная программа для автоматизации рутинных задач, чаще всего используется
в Интернете.
Ботнет (botnet, англ) – это сеть компьютеров,
зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно
управлять зараженными машинами. (каждой в отдельности, частью компьютеров,
входящих в сеть, или всей сетью целиком) без ведома пользователя.
История
ботнетов началась в 1998-1999 годах, когда появились первые программы Backdoor. Эти программы реализовали принципиально
новые технологические решения и имели полный набор функций удаленного
управления зараженным компьютером. Это позволяло злоумышленникам работать с
файлами на удаленном компьютере, запускать новые программы, получать снимки
экрана, открывать/закрывать CD-привод и т.д.
Изначально
созданные как троянские программы, бэкдоры работали без разрешения или
уведомления пользователя. Для управления зараженным компьютером злоумышленник
должен был сам установить соединение с каждой инфицированной машиной. Первые
бэкдоры работали в локальных сетях.
Клиентские
программы для удаленного управления компьютерами уже в начале 2000-х могли
одновременно управлять сразу несколькими машинами. Кто-то из злоумышленников
придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на
связь и их всегда можно было видеть онлайн (при условии, что они включены и
работают). Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей
выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в
любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем
зараженным компьютерам или отправить отдельное сообщение одной машине.
Разработка
таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна
специализированная клиентская программа. Достаточно иметь универсальный сетевой
клиент, такой как приложение Netcat или Telnet.
О появлении IRC-ботнетов стало известно довольно быстро.
Как только о них появились публикации в хакерских журналах, появились и
«угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и
владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много
посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали
управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный
единоличный контроль над «чужой» сетью зараженных машин.
Следующим
этапом развития ботнетов стало перемещение центров управления во всемирную
паутину. Сначала хакеры разработали средства удаленного управления сервером,
которые были основаны на скрипт - движках Perl и PHP, ASP, JSP и некоторых других.
Затем кто-то
создал такое соединение компьютера в локальной сети с сервером в Интернете,
которое позволяло откуда угодно управлять компьютером. Схема удаленного
управления компьютером в локальной сети в обход таких средств защиты, как
прокси и NAT,
была опубликована в Интернете и быстро стала популярной в определенных кругах.
Полулегальные
разработки средств удаленного управления, направленные на получение в обход
защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию
веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт
управления небольшой сетью компьютеров, а злоумышленники нашли способ
использовать такие управляемые сети в корыстных целях.
Веб-ориентированные
ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня.
Множеством компьютеров можно управлять с любого устройства, имеющего доступ в
Интернет, в том числе с мобильного телефона, а с веб-интерфейсом способен
справиться даже школьник.
Ботнеты
обладают мощными вычислительными ресурсами, являются грозным кибероружием и
хорошим способом зарабатывания денег для злоумышленников. При этом зараженными
машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из
другого города, страны или даже с другого континента, а организация Интернета
позволяет делать это анонимно.
Управление
компьютером, который заражен ботом, может быть прямым и опосредованным. В
случае прямого управления злоумышленник может установить связь с инфицированным
компьютером и управлять им, используя встроенные в тело программы-бота команды.
В случае опосредованного управления бот сам соединяется с центром управления
или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае
хозяин зараженной машины, как правило, даже не подозревает о том, что она
используется злоумышленниками. Именно поэтому зараженные вредоносной
программой-ботом компьютеры, находящиеся под тайным контролем
киберпреступников, называют еще зомби-компьютерами,
а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами
становятся персональные компьютеры домашних пользователей.
Ботнеты могут
использоваться злоумышленниками для решения криминальных задач разного
масштаба: от рассылки спама до атак на государственные сети.
Рассылка
спама. Это наиболее
распространенный и один из самых простых вариантов эксплуатации ботнетов. По
экспертным оценкам, в настоящее время более 80% спама рассылается с
зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За
определенную плату спамеры могут взять ботнет в аренду.
Многотысячные
ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки
в течение короткого времени. Кроме обеспечения скорости и масштабности
рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно
рассылается спам, зачастую попадают в черные списки почтовых серверов, и
письма, приходящие с них, блокируются или автоматически помечаются как спам.
Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки
одни и те же адреса.
Еще одна
возможность ботнетов –сбор адресов
электронной почты на зараженных машинах. Украденные адреса продаются спамерам
либо используются при рассылке спама самими хозяевами ботнета. При этом
растущий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты широко используются и для
проведения DDoS
атак (Distributed
Denial of Service – распределенная атака типа «отказ в
обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток
ложных запросов на атакуемый сервер в Сети. В результате сервер из-за
перегрузки становится недоступным для пользователей. За остановку атаки
злоумышленники, как правило, требуют выкуп.
Сегодня многие
компании работают только через Интернет, и для них недоступность серверов
означает полную остановку бизнеса, что, естественно, приводит к финансовым
потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании
скорее выполнят требования шантажистов, чем обратятся в полицию за помощью.
Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.
DDoS-атаки
могут использоваться и как средство политического воздействия. В этих случаях
атакуются, как правило, серверы государственных учреждений или
правительственных организаций. Опасность такого рода атак состоит еще и в том,
что они могут носить провокационный характер: кибератака серверов одной страны
может осуществляться с серверов другой, а управляться с территории третьего
государства.
Анонимный
доступ в Сеть.
Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от
имени зараженных машин совершать киберпреступления - например, взламывать
веб-сайты или переводить украденные денежные средства.
Продажа и
аренда ботнетов. Один из
вариантов незаконного заработка при помощи ботнетов основывается на сдаче
ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи
является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страниц могут довольно
быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять
адрес фишинговой страницы, используя зараженные компьютеры в роли
прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража
конфиденциальных данных. Этот
вид криминальной деятельности, пожалуй, никогда не перестанет привлекать
киберпреступников, а с помощью ботнетов улов в виде различных паролей (для
доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих
конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым
заражены компьютеры в зомби-сети, может скачать другую вредоносную программу –
например, троянца, ворующего пароли. В таком случае инфицированными троянской
программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники
смогут заполучить пароли со всех зараженных машин. Украденные пароли
перепродаются или используются, в частности, для массового заражения
веб-страниц с целью дальнейшего распространения вредоносной программы-бота и
расширения зомби-сети.
Классификация ботнетов по архитектуре
До сих пор были
известны лишь два типа архитектуры ботнетов.
Ботнеты с
единым центром. В
ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром
управления. Этот центр ожидает подключения новых ботов, регистрирует их в своей
базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета
из списка всех возможных команд для бота. Соответственно, в нем видны все
подключенные зомби-компьютеры, а для управления централизованной зомби-сетью
хозяину сети необходим доступ к командному центру.
Ботнеты с
централизованным управлением являются самым распространенным типом зомби-сетей.
Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на
команды. Впрочем, бороться с ботнетами с централизованным управлением тоже
легче: для нейтрализации всего ботнета достаточно закрыть центр управления.
Децентрализованные
ботнеты. В случае
децентрализованного ботнета боты соединяются не с центром управления, а с
несколькими зараженными машинами из зомби-сети. Команды передаются от бота к
боту: у каждого бота есть список адресов нескольких «соседей», и при получении
команды от кого-либо из них он передает ее остальным, тем самым распространяя
команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом,
достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
На практике
построение децентрализованного ботнета не очень удобно, поскольку каждому
новому зараженному компьютеру необходимо предоставить список тех ботов, с
которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот
на централизованный сервер, где он получит список ботов-«соседей», а затем уже
переключить бот на взаимодействие через децентрализованную технологию
подключения.
Бороться с
децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете
центр управления отсутствует.
Классификация ботнетов по используемым сетевым протоколам
Для передачи
боту команд хозяина ботнета необходимо, как минимум, установить сетевое
соединение между зомби-компьютером и компьютером, передающим команду. Все
сетевые взаимодействия основаны на сетевых протоколах, определяющих правила
общения компьютеров в сети. Поэтому существует классификация ботнетов,
основанная на используемом протоколе общения.
По типу
используемых сетевых протоколов ботнеты делятся на следующие группы.
IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами
осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся
с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от
своего хозяина.
IM-ориентированные. Не очень популярный вид ботнетов.
Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных
используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др.
Поскольку
большинство IM-служб
не позволяют входить в систему с разных компьютеров, используя один и тот же
аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой
автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно
ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе
ботов, одновременно присутствующих в Сети.
Веб-ориентированные. Относительно новая и быстро
развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным
веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты
популярны в силу относительной легкости их разработки, большого числа
веб-серверов в Интернете и простоты управления через веб-интерфейс.
Другие. Кроме перечисленных выше существуют и
другие виды ботнетов, которые соединяются на основе своего собственного
протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.
|