Ботнеты есть уже около 10 лет, и примерно столько же специалисты предупреждают о той угрозы, которую они представляют. Все же, неувязка ботнетов как и раньше остается недооцененной, и многие юзеры (до того времени пока им не отключат Интернет, пока они не найдут исчезновение средств с кредитных карт либо у их не украдут почтовый ларь либо аккаунт IM — Instant messaging — сервис, созданный для обмена сообщениями в режиме реального времени) плохо понимают, в чем состоит настоящая угроза зомби-сетей.
Ботнет — это сеть компов, зараженных вредной программкой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компов, входящих в сеть, либо всей сетью полностью) в отсутствие ведома юзера. Такие программки именуются ботами.
Ботнеты владеют сильными вычислительными ресурсами, являются суровым кибероружием и неплохим методом зарабатывания средств для злоумышленников. При всем этом зараженными машинами, входящими в сеть, владелец ботнета может управлять откуда угодно: из другого города, страны либо даже с другого материка, а организация Интернета позволяет делать это анонимно.
Управление компом, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злодей может установить связь с инфицированным компом и управлять им, используя интегрированные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления либо другими машинами в сети, отправляет запрос и делает полученную команду.
В любом случае владелец зараженной машины, чаше всего, даже не подозревает о том, что она употребляется злодеями. Вот поэтому зараженные вредной программой-ботом компьютеры, находящиеся под потаенным контролем киберпреступников, именуют еще зомби-компьютерами, а сеть, в которую они входят, — зомби-сетью. В большинстве случаев зомби-машинами становятся индивидуальные компьютеры домашних юзеров.
Внедрение ботнетов
Ботнеты могут употребляться злодеями для решения преступных задач различного масштаба: от раПолезные ссылки мусора до атак на муниципальные сети.
Рассылка мусора. Это более всераспространенный и один из самых обычных вариантов эксплуатации ботнетов. По экспертным оценкам, в текущее время более 80% мусора рассылается с зомби-машин. Мусор с ботнетов не непременно рассылается обладателями сети. За определенную плату спамеры могут взять ботнет в аренду.
Конкретно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, средний спамер зарабатывает 50-100 тыщ долларов в год. Многомилионные ботнеты позволяют спамерам производить с зараженных машин миллионные раПолезные ссылки в направление недлинного времени. Не считая обеспечения скорости и масштабности рассылок, ботнеты решают еще одну делему спамеров. Адреса, с которых интенсивно рассылается мусор, часто попадают в темные списки почтовых серверов, и письма, приходящие с их, блокируются либо автоматом помечаются как мусор. Рассылка мусора с сотен тыщ зомби-машин позволяет не применять для раПолезные ссылки одни и те же адреса.
Очередной «бонус» ботнетов — возможность сбора адресов электрической почты на зараженных машинах. Украденные адреса продаются спамерам или применяются при рассылке мусора самими хозяевами ботнета. При всем этом возрастающий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты обширно употребляются и для проведения DDoS атак (Distributed Denial of Service — распределенная атака класса «отказ в обслуживании»). В процессе таковой атаки с зараженных ботом машин создается поток неверных запросов на атакуемый сервер в Сети. В итоге сервер из-за перегрузки становится труднодоступным для юзеров. За остановку атаки злоумышленники, чаше всего, требуют выкуп.
Сейчас многие компании работают только через Интернет, и для их недоступность серверов значит полную остановку бизнеса, что, естественно, приводит к денежным потерям. Чтоб поскорее возвратить стабильность своим серверам, такие компании быстрее выполнят требования шантажистов, чем обратятся в полицию за помощью. Конкретно на это и рассчитывают киберпреступники, потому DDoS-атак становится больше.
DDoS-атаки могут употребляться и как средство политического воздействия. В этих случаях атакуются, чаше всего, серверы муниципальных учреждений либо правительственных организаций. Опасность подобного рода атак состоит к тому же в том, что они могут носить провокационный нрав: кибератака серверов одной страны может осуществляться с серверов иной, а управляться с местности третьего страны.
Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления — к примеру, взламывать сайты либо переводить украденные деньги.
Продажа и аренда ботнетов. Один из вариантов нелегального заработка с помощью ботнетов основывается на сдаче ботнета в аренду либо продаже готовой сети. Создание ботнетов для реализации является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страничек могут достаточно стремительно попасть в темные списки. Ботнет дает возможность фишерам стремительно поменять адрес фишинговой странички, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража секретных данных. Этот вид преступной деятельности, пожалуй, никогда не закончит завлекать киберпреступников, а при помощи ботнетов улов в виде разных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и иных секретных данных юзеров возрастает в тыщи раз. Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программку — к примеру, троянца, ворующего пароли. В таком случае инфицированными троянской программкой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники сумеют заполучить пароли со всех зараженных машин. Украденные пароли перепродаются либо употребляются, а именно, для массового инфецирования веб-страниц (к примеру, пароли для всех отысканных FTP-аккаунтов) с целью предстоящего распространения вредной программы-бота и расширения зомби-сети.
Команды для ботов
Команды, которые делают боты, бывают самые различные, однако, чаше всего, они входят в нижеприведенный перечень. Наименования команд могут отличаться в различных реализациях ботов, однако сущность остается той же.
Update: загрузить и выполнить обозначенный исполняемый файл либо модуль с обозначенного сервера. Эта команда является базисной, так как конкретно она реализуется прежде всего. Она позволяет обновлять исполняемый файл бота по приказу владельца зомби-сети, в случае в том случае владелец желает установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программками (вирусами, червяками), также устанавливать другие боты на компьютер. При помощи этой команды на все компьютеры вместе с этим могут быть установлены троянские программки, которые отыскивают все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.
Flood: начать процесс сотворения потока неверных запросов на обозначенный сервер в Сети с целью вывода из строя сервера либо перегрузки интернет-канала обозначенного сектора глобальной Сети. Создание подобного потока может вызывать суровые проблемы сервера, приводящие к его недоступности для обыденных юзеров. Таковой класс атаки с внедрением ботнетов носит заглавие DDoS-атаки. Типов разных вариантов сотворения неверных сетевых запросов существует сильно много.
Spam: загрузить шаблон спам-сообщения и начать рассылку мусора на обозначенные адреса (для каждого бота выделяется своя порция адресов).
Proxy: применять данный компьютер как прокси-сервер. Часто эта функция не выделяется в отдельную команду, а сходу включается в общий функционал бота. Это одна из прикладных функций, позволяющая применять хоть какой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злодея, управляющего ботнетом.
Есть и другие команды, но они не входят в число более фаворитных и потому реализованы только в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана юзера, смотреть за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения юзера (употребляется для кражи аккаунтов и секретных данных) , пересылать обозначенный файл с компьютера юзера, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе юзера и его окружении, запрашивать перечень компов, входящих в ботнет, и т. п.
Типы ботнетов
Систематизация ботнетов сейчас достаточна ординарна. Она основывается на архитектуре ботнетов и протоколах, применяемых для управления ботами.
Систематизация ботнетов. Архитектура
До сего времени были известны только два класса архитектуры ботнетов.
1. Ботнеты с единым центром. В ботнетах с таковой архитектурой все зомби-компьютеры соединяются с одним центром управления, либо C&C (Command&Control Centre). C&C ждет подключения новых ботов, регистрирует их в собственной базе, смотрит за их состоянием и выдает им команды, избранные обладателем ботнета из перечня всех вероятных команд для бота. Соответственно, в C&C видны все присоединенные зомби-компьютеры, а для управления централизованной зомби-сетью владельцу сети нужен доступ к командному центру.
Ботнеты с централизованным управлением являются самым всераспространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они резвее реагируют на команды. Вобщем, биться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета довольно закрыть C&C.
2. Децентрализованные ботнеты, либо P2P-ботнеты (от англ. «peer-to-peer», что значит «соединение класса «точка-точка» «). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть перечень адресов нескольких «соседей», и при получении команды от кого-то из их он передает ее остальным, тем распространяя команду далее. В данном случае злодею, чтоб управлять всем ботнетом, довольно иметь доступ хотя бы к одному компу, входящему в зомби-сеть.
На практике построение децентрализованного ботнета не бог весть как комфортно, так как каждому новенькому зараженному компу нужно предоставить перечень тех ботов, с которыми он будет связываться в зомби-сети. Еще проще поначалу навести бот на централизованный сервер, где он получит перечень ботов-«соседей», а потом уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном шаге боты употребляют C&C. Биться с децентрализованными ботнетами еще труднее, так как в действующем ботнете центр управления отсутствует.
Систематизация ботнетов. Применяемые сетевые протоколы
Для передачи боту команд владельца ботнета нужно, как минимум, установить сетевое соединение меж зомби-компьютером и компом, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компов в сети. Потому существует систематизация ботнетов, основанная на применяемом протоколе общения.
По типу применяемых сетевых протоколов ботнеты делятся на последующие группы.
Эволюция ботнетов
История ботнетов началась в 1998-1999 годах, когда появились 1-ые программки поведения Backdoor — небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программки, в каких реализованы принципно новые технологические решения. NetBus и BackOrifice2000 в первый раз несли полный набор функций удаленного управления зараженным компом, что позволяло злодеям работать с файлами на удаленном компьютере, запускать новые программки, получать снимки экрана, открывать/закрывать CD-привод и т.д.
Вначале сделанные как троянские программки, бэкдоры работали в отсутствие разрешения либо извещения юзера. Для управления зараженным компом злодей был должен сам установить соединение с каждой инфицированной машиной. 1-ые бэкдоры работали в локальных сетях на базе стека протоколов TCP/IP и, на самом деле, являлись демонстрацией вариантов использования Windows API для удаленного управления компом.
Клиентские программки для удаленного управления компьютерами уже сначала 2000-х имели возможность вместе с этим управлять сходу несколькими машинами. Но, в отличие от современных бэкдоров, программки NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ожидали подключений владельца (Backdoor’ы, применяемые для построения ботнетов сейчас, устанавливают соединения сами).
Потом, кто-то из злоумышленников выдумал сделать так, чтоб зараженные бэкдорами компьютеры сами выходили на связь и их всегда есть возможность было видеть онлайн (при условии, что они включены и работают). Вероятнее всего, этот «кто-то » был взломщиком, так как боты последнего поколения использовали обычный для взломщиков канал связи — IRC (Internet Relay Chat). Возможно, разработку новых ботов очень упростило то, что в самой системе IRC вначале функционировали боты с открытым начальным кодом, однако не направленные на удаленное управление системой, а с другим функционалом (эти программки отвечали на запросы юзеров, к примеру, выдавали информацию о погоде либо о времени последнего возникновения определенного юзера в чате).
Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве гостей выходить на связь через определенный IRC-канал и ожидать указаний от владельца ботнета. Владелец имел возможность в хоть какое время показаться онлайн, узреть перечень ботов, отослать команды сходу всем зараженным компьютерам либо выслать отдельное сообщение одной машине. Это был 1-ый механизм реализации ботнета с централизованным управлением, позднее нареченный C&C (Command & Control Centre).
Разработка подобных ботов была легкой благодаря простоте синтаксиса протокола IRC. Для того чтоб применять IRC-сервер, необязательно нужна спец клиентская программка. Довольно иметь универсальный сетевой клиент, таковой как приложение Netcat либо Telnet.
О возникновении IRC-ботнетов стало понятно достаточно стремительно. Как о их появились публикации в хакерских журнальчиках, появились «угонщики» ботнетов люди, которые обладали, может быть, теми же познаниями, что и обладатели ботнетов, однако охотились за более легкой наживой. Они находили такие IRC-каналы, где было подозрительно много гостей, заходили на их, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в итоге получали полный единоличный контроль над «чужой» сетью зараженных машин.
Последующим шагом развития ботнетов стало перемещение центров управления во всемирную сеть. Поначалу хакеры разработали средства удаленного управления сервером, которые были основаны на подобных фаворитных скрипт-движках, как Perl и PHP, в редчайших случаях — ASP, JSP и нескольких других. Потом кто-то сделал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компом. Схема удаленного управления компом в локальной сети в обход подобных средств защиты, как прокси и NAT, была размещена в Интернете и стремительно стала пользующейся популярностью в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с внедрением локальных опций компьютера. В том случае юзер устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматом активировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). Исходя из убеждений программера, это было обычным и легкодоступным решением.
Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуток позднее был разработан обычный скрипт управления маленький сетью компов, а злоумышленники отыскали метод применять такие управляемые сети в алчных целях.
Веб-ориентированные ботнеты оказались очень комфортным решением, которое популярно и сейчас. Обилием компов есть возможность управлять с хоть какого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен совладать даже школьник. Предстоящее развитие Интернета и улучшение технологий веб-разработки также стимулировали внедрение веб-ботнетов.
Были пробы сделать ботнеты, управляемые через каналы IM-служб. Однако IM-ботнеты не получили широкого распространения, а именно поэтому, что они требуют регистрации номеров IM, а в критериях, когда системы защиты от автоматической регистрации аккаунтов повсевременно изменяются, зарегистрировать огромное количество аккаунтов автоматом достаточно трудно.
На этом эволюция ботнетов не завершилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет традиционной архитектуры (много ботов и один центр управления) очень уязвим, потому что находится в зависимости от критичного узла — центра управления, при выключении которого сеть есть возможность считать потерянной. Решения в виде одновременного инфецирования компов различными ботами, нацеленными на различные центры управления, время от времени срабатывают, однако такие ботнеты еще труднее поддерживать, так как необходимо смотреть сходу за двумя-тремя центрами управления.
Очень действенными и небезопасными исходя из убеждений профессионалов могут стать ботнеты с архитектурой P2P, в каких центра управления нет. Обладателю сети довольно дать команду одной из машин, далее боты передают команду сами. В принципе каждый компьютер в ботнете может объединиться с хоть каким другим компом, входящим в ту же сеть. Опыты по созданию подобных ботнетов проводились достаточно издавна, но 1-ый крупномасштабный ботнет на базе P2P-архитектуры появился исключительно в 2007 году. И конкретно P2P-ботнеты на данный момент занимают внимание исследователей информационной безопасности.
P2P-ботнеты
«Штормовой» ботнет
В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, сделанный на базе вредной программки, известной как Storm Worm. Создатели «штормового» червяка распространяли свое детище очень интенсивно: по-видимому, они сделали целую фабрику по созданию новых версий вредной программки. Начиная с января 2007 года мы раз в день получаем 3-5 разных вариантов Storm Worm (по систематизации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).
Некие специалисты считают, что Storm Worm представляет собой вредоносную программку для построения зомби-сетей последнего поколения. О том, что бот был разработан и распространяется специалистами в собственной области, а архитектура и защита зомби-сети отлично обмыслены, свидетельствуют последующие свойства «штормового» ботнета:
Storm-ботнет принес много заморочек. Кроме массовой раПолезные ссылки мусора, его подозревают в участии в разных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям неких исследователей, даже во время кибератаки на веб-сайты эстонских правительственных учреждений в 2007 году не вышло без роли «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает противные чувства у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что настоящие размеры «штормового» ботнета так и остались потаенной. В том случае другие зомби-сети, целиком либо отчасти опирающиеся на C&C, есть возможность узреть полностью (в C&C виден каждый присоединенный зомби-компьютер) , то перечня зараженных машин, входящих в «штормовой» ботнет, не видел никто из профессионалов. По различным оценкам, размеры ботнета Storm Worm имели возможность составлять от 50 тыщ до 10 миллионов зомби-машин.
К концу 2007 года Storm-ботнет словно растаял, хотя мы как и раньше раз в день получаем немного новых версий бота. Некие специалисты считают, что зомби-сеть реализовали по частям, другие считают, что ботнет оказался невыгодным: его разработка и поддержка не окупались получаемой прибылью.
Mayday
Еще одним увлекательным ботнетом, который технологически немного отличается от собственных предшественников, является Mayday. Такое заглавие бот (по систематизации «Лаборатории Касперского — Backdoor.Win32.Mayday) и сделанная на его базе сеть получили благодаря тому, что имя домена, к которому обращалась вредная программка в одной из собственных модификаций, включало в себя слово «mayday».
Mayday — это очередной ботнет, построенный на архитектуре P2P. После пуска бот соединяется с обозначенным в теле программки веб-сервером, регится в его базе данных и получает перечень всех ботов в зараженной сети (в случае Storm Worm это была только часть перечня). Дальше бот устанавливает соединения класса «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.
На данный момент записанно 6 разных серверов по всему миру (в Англии, США, Нидерландах, Германии) , с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался только один из серверов, на котором было записанно около 3 тыщ ботов. Кроме размеров сети, Mayday очевидно уступает собственному «старшему брату» Storm в нескольких принципиальных позициях: в Mayday-ботнете употребляется простой нешифрованный протокол общения, код вредной программки не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совершенно не с той периодичностью, как в случае Storm Worm. Программка Backdoor.Win32.Mayday была в первый раз задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца появилось чуток больше 20 разных вариантов программки.
Что касается технологических новинок, то необходимо подчеркнуть два необычных подхода, реализованных в ботнете.
Во-1-х, в сети Mayday коммуникация класса «компьютер-компьютер» (P2P) вначале базирована на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.
Большинству юзеров протокол ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста, однако главные функции протокола существенно обширнее. Вот что сказано об ICMP в Wikipedia: «ICMP — сетевой протокол, входящий в стек протоколов TCP/IP. В главном ICMP употребляется для передачи сообщений об ошибках и в других исключительных ситуациях, появившихся при передаче данных. Также на ICMP возлагаются некие сервисные функции».
При помощи ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Так как бот Mayday нацелен на работу в Windows XP SP2, после пуска он изменяет правила сетевого экрана Windows, так чтоб получение ICMP-пакетов было разрешено.
2-ой основной особенностью Mayday-ботнета является его центр управления.
Для работы центров управления веб-ориентированных ботнетов употребляется механизм, узнаваемый как CGI (Common Gateway Interface). Вначале технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позднее появились разные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой юзером интернет-страницы, обеспечивая выполнение программки и вывод результатов ее работы заместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, однако для вывода результатов собственной работы ему требуется интерпретатор — скрипт-движок. Чаше всего, командные центры веб-ориентированных ботнетов разрабатываются злодеями с внедрением скрипт-движков.
Серверное ПО Mayday представляет собой цельный (в отсутствие модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows) , не требующий наличия скрипт-движка в системе.
Разработка CGI-приложения на пару порядков труднее разработки CGI-скрипта, так как просит особенных усилий для реализации размеренного и надежного кода. В текущее время 99% веб-разработок ведется на базе скрипт-движков, а цельные исполняемые CGI-программы создаются только в случае жесткой необходимости улучшить все до мелочей. Чаше всего, таковой подход употребляется большими корпорациями при разработке проектов, которые должны работать в критериях больших нагрузок. Цельные исполняемые CGI-программы употребляются, к примеру, в подобных веб-системах, как e-Bay, Paypal, Yahoo и др.
Одной из вероятных обстоятельств сотворения безмодульного исполняемого файла в случае ботнета Mayday имело возможность быть желание разработчиков усложнить «чужакам» задачку редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание полагать, что такая суровая разработка (код аккуратно причесан, сделанная система классов универсальна) просит отлично организованной команды разработчиков. Более того, для сотворения ПО Mayday-ботнета злодеям, вероятнее всего, пришлось вести работу над 2-мя различными проектами: разработкой программ для Windows и для Linux.
Ботнет-бизнес
Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной неувязкой, есть возможность получить, оценив сегодняшнее состояние рынка ботнетов. Сейчас киберпреступникам, которые желают выстроить ботнет, не необходимы ни особые познания, ни большие валютные суммы. Подпольная ботнет-индустрия по схожей стоимости предоставляет желающим обзавестись ботнетом все нужное: ПО, готовые сети и услуги по анонимному хостингу.
1-ое, что нужно для построения ботнета, — это сам бот, программка, позволяющая удаленно делать на компьютере юзера некие действия в отсутствие ведома юзера. ПО для сотворения ботнета есть возможность просто приобрести в Сети, обнаружив соответственное объявление и обратившись к тому, кто его расположил.
Цены на боты варьируются от $5 до $1000, зависимо от того, как всераспространен бот, детектируется ли он антивирусом, какие команды поддерживает и т.д.
Для построения простого веб-ориентированного ботнета нужно иметь хостинговую площадку, где есть возможность расположить центр управления. Хоть какой желающий может приобрести подобную площадку — совместно с услугами службы саппорта и возможностью анонимной работы с сервером (хостер, чаше всего, гарантирует недоступность файлов журнальчика для кого-то, в том числе для «компетентных» органов). Объявлений, схожих приведенному ниже, на форумах в Интернете довольно много.
Когда площадка C&C построена, нужны зараженные ботом машины. Жаждущие могут приобрести уже готовую сеть с «чужим» установленным ботом. Так как случаи кражи ботнетов в среде злоумышленников не уникальность, покупатели, чаше всего, выбирают поменять на собственные и вредоносную программку, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в приобретенной сети предоставляют команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем «чужая» программа-бот заменяется на «свою», и ботнет начинает вести взаимодействие с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и исходя из убеждений их защищенности и анонимности: «старый» C&C и «старый» бот еще до реализации полностью могут попасть в поле зрения профессионалов по компьютерной безопасности.
Выстроить свой ботнет также не составляет особенного труда: для этого есть особые средства. Самые пользующиеся популярностью из их — программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы гостей вредной интернет-страницы, используя уязвимости в программном обеспечении браузеров либо в плагинах к ним. Такие программные пакеты именуются веб-системами массового инфецирования либо просто ExploitPack. После срабатывания эксплойта браузер покорливо загружает из Сети на компьютер юзера исполняемый файл и запускает его. Подобным файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злодею.
Эти средства так доступны, что даже дети с легкостью их отыскивают и пробуют заработать на перепродаже.
ExploitPack вначале были разработаны русскими взломщиками, но отыскали собственных клиентов и в других странах. Эти вредные программки были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и сейчас интенсивно употребляются, к примеру, в Китае.
Неважно какая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее применять. Это понимают и разработчики подобных систем, потому для увеличения популярности собственных детищ и соответственно роста спроса на их разрабатывают обыкновенные механизмы установки и конфигурирования систем — будь то система для C&C либо просто ExploitPack.
Так, к примеру, установка командного центра, чаше всего, состоит из копирования файлов на сторону веб-сервера и воззвания при помощи браузера к скрипту install.php. Существенно упрощает задачку наличие веб-интерфейса инсталлятора: киберпреступникам довольно верно заполнить поля веб-формы, чтоб командный центр был верно сконфигурирован и начал работать.
В киберкриминальном мире отлично понятно, что в какой-то момент антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость инфецирования новых компов существенно снизится. Есть немного методов, при помощи которых хозяева ботнетов пробуют сохранить свои сети. Более действенный — защита вредной программки от детектирования при помощи специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации.
Следовательно, все, что нужно для удачного существования и развития ботнетов, есть в Интернете, и приостановить развитие ботнет-индустрии пока нереально.
Заключение
На сегодня ботнеты являются одним из главных источников незаконного заработка в Интернете и суровым орудием в руках злоумышленников. Ждать, что киберпреступники откажутся от настолько действенного инструмента, не приходится, и специалисты по безопасности с опаской глядят в будущее, ждя предстоящего развития ботнет-технологий.
Опасность ботнетов утежеляется тем, что их создание и внедрение становится все более обычный задачей, с которой в ближнем будущем будут в состоянии совладать даже школьники. А цены на развитом и структурированном ботнет-рынке очень умеренные.
В построении международных ботнетов могут быть заинтересованы не только лишь киберпреступники, да и страны, готовые применять зомби-сети как инструмент политического давления. Не считая того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет стимулировать конфликты меж государствами: довольно устроить кибератаку на серверы одной страны с компов иной.
Сети, объединяющие ресурсы 10-ов, сотен тыщ, а иногда и миллионов зараженных машин, владеют очень небезопасным потенциалом, который пока не употреблялся в полном объеме. Меж тем, вся эта суровая кибермощь опирается на инфицированные компьютеры домашних юзеров. Конкретно они составляют подавляющее большая часть зомби-машин, и конкретно их злоумышленники употребляют в собственных целях.
Источники информаци: