Ce este un botnet și este computerul dvs. parte dintr-unu?

Ce este un botnet și este computerul dvs. parte dintr-unu? / Securitate

Unul dintre termenii mei preferați în domeniul cibernetic este “botnet.” Ea implică tot felul de imagini: roboți interconectați, legiuni de muncitori în rețea simultan alimentând spre un singur scop. Destul de distractiv, imaginea pe care cuvântul o evocă este similară cu cea a botnet-ului, cel puțin în termeni rotunzi.

Botneții reprezintă o cantitate serioasă de putere de calcul în întreaga lume. Și acea putere este în mod regulat (poate chiar în mod consistent) sursa de malware, răscumpărare, spam și multe altele. Dar cum apar botneturile? Cine le controlează? Și cum le putem opri??

Ce este un botnet?

Definiția botnetului SearchSecurity afirmă că “un botnet este o colecție de dispozitive conectate la internet, care pot include dispozitive PC, servere, dispozitive mobile și dispozitive de internet care sunt infectate și controlate de un tip comun de malware. Utilizatorii sunt adesea ignorați de un botnet care le infectează sistemul.”

Ultima teză a definiției este esențială. Dispozitivele din cadrul unui botnet nu sunt, de obicei, acolo de bună voie. Dispozitivele infectate cu anumite variante de programe malware sunt controlate de actori de la distanțe de amenințare, adică de infractorii cibernetici. Malware-ul ascunde activitățile de botnet rău-intenționat pe dispozitiv, făcând proprietarul să nu știe de rolul lor în rețea. S-ar putea să trimiteți spam-uri care să ofere apendice comprimate de mărimi - fără nici o îndoială.

Ca atare, ne referim adesea la dispozitivele botnet infectate Este PC-ul dvs. un zombie? Și ce este un computer zombie, oricum? [Explică-i pe MakeUseOf] Este PC-ul tău un zombie? Și ce este un computer zombie, oricum? [Explică-i pe MakeUseOf] Te-ai întrebat vreodată de unde provine tot spamul de pe Internet? Probabil că veți primi zilnic sute de e-mail-uri nesolicitate spam. Asta inseamna ca exista sute si mii de oameni acolo, asezat ... Citeste mai mult ca “zombi.”

Ce face Botnet?

Un botnet are mai multe funcții comune, în funcție de dorința operatorului botnet:

  1. Spam: Trimiterea unor volume imense de spam în întreaga lume. De exemplu, cota medie a spam-ului în traficul global de e-mail între ianuarie și septembrie a fost de 56,69%. Când firma de cercetare de securitate FireEye a oprit temporar tranziția botnetului Srizbi notoriu, după ce infamul McColo a ieșit offline, spam-ul mondial a scăzut cu un număr foarte mare (și, de fapt, când a ieșit offline, spam-ul global a scăzut temporar cu aproximativ 50%.
  2. malware: Furnizarea de programe malware și spyware către mașinile vulnerabile. Resursele botnet sunt cumpărate și vândute de factorii răufăcători pentru a-și continua întreprinderile criminale.
  3. Date: Capturarea parolelor și a altor informații private. Acest lucru se leagă de cele de mai sus.
  4. Faceți clic pe fraudă: Un dispozitiv infectat accesează site-uri web pentru a genera afișări false de trafic web și publicitate.
  5. Bitcoin: Controalele Botnet direcționează dispozitivele infectate către Bitcoin și alte criptocuritate pentru a genera profit în liniște.
  6. DDoS: Operatorii botnet direcționează puterea dispozitivelor infectate la anumite ținte, luându-le offline în atacurile distribuite-denial-of-service.

Operatorii botnet își transformă de obicei rețelele într-o serie de astfel de funcții pentru a genera profit. De exemplu, operatorii de botnet care trimit spamuri medicale cetățenilor din SUA dețin și farmaciile care livrează bunurile. (Da, există produse reale la sfârșitul e-mailului. Spam Nation al lui Brian Krebs este un aspect excelent în acest sens.)

Spam Nation: Povestea interioară a criminalității organizate - de la epidemia globală la ușa dvs. din față Spam Nation: Povestea interioară a criminalității organizate - de la epidemia globală la ușa ta din față Cumpara acum la Amazon 6,00 dolari

Botnicii majori au schimbat puțin direcția în ultimii ani. Dacă medicamentele și alte tipuri similare de spam au fost extrem de profitabile de mult timp, represalii guvernamentale din mai multe țări au erodat profiturile. Astfel, numărul de e-mailuri care au un atașament rău intenționat a crescut la unul din fiecare 359 de e-mail-uri, potrivit Symantec's July 2017 Reporting Intelligence.

Ce arata Botnetul?

Știm că un botnet este o rețea de computere infectate. Cu toate acestea, componentele de bază și arhitectura botnet reală sunt interesante de luat în considerare.

Arhitectură

Există două arhitecturi principale de botnet:

  • Model client-server: Un botnet client-server utilizează în mod obișnuit un client de chat (anterior IRC, dar botnet-urile moderne au folosit Telegrama și alte servicii criptate de mesagerie), domeniul sau site-ul pentru a comunica cu rețeaua. Operatorul trimite un mesaj către server, trimițând-o clienților care execută comanda. Deși infrastructura botnet diferă de la bază la foarte complexă, efortul concentrat poate dezactiva un botnet client-server.
  • De la persoană la persoană: Un botnet peer-to-peer (P2P) încearcă să oprească programele de securitate și cercetătorii care identifică serverele C2 specifice, prin crearea unei rețele descentralizate. O rețea P2P este mai avansată 10 Termeni de rețea pe care probabil nu ați știut-o și ce înseamnă ei 10 termeni de rețea pe care probabil nu ați știut niciodată și ce înseamnă ei Aici vom explora 10 termeni obișnuiți de rețea, ce înseamnă ei și unde este posibil să întâlniți lor. Citiți mai multe, în anumite privințe, decât un model client-server. În plus, arhitectura lor diferă de modul în care se imaginează cel mai mult. În loc de o singură rețea de dispozitive infectate interconectate care comunică prin adrese IP, operatorii preferă să utilizeze dispozitivele zombie conectate la noduri, la rândul lor, conectate una la cealaltă și către serverul principal de comunicații. Ideea este că există pur și simplu prea multe noduri interconectate dar separate pentru a se lua simultan.

Comanda si control

Comandă și control (uneori scrise C & C sau C2) protocoale vin în diferite forme:

  • Telnet: Telnet botnet-urile sunt relativ simple, folosind un script pentru a scana intervalele IP pentru login-urile implicite ale telnet și serverului SSH pentru a adăuga dispozitive vulnerabile pentru a adăuga boti.
  • IRC: Rețelele IRC oferă o metodă de comunicare extrem de scăzută de bandă pentru protocolul C2. Abilitatea de a schimba rapid canalele oferă o anumită securitate suplimentară pentru operatorii botnet, dar, de asemenea, înseamnă că clienții infectați sunt ușor de tăiat de pe botnet dacă nu primesc informații actualizate despre canal. Traficul IRC este relativ ușor de examinat și izolat, ceea ce înseamnă că mulți operatori s-au îndepărtat de această metodă.
  • domenii: Unele botnte mari utilizează domenii mai degrabă decât un client de mesagerie pentru control. Dispozitivele infectate accesează un anumit domeniu care oferă o listă de comenzi de control, permițând cu ușurință modificări și actualizări în zbor. Dezavantajul este cerința de lățime de bandă imensă pentru botneturi mari, precum și relativitatea ușoară cu care domenii suspecte de control sunt închise. Unii operatori utilizează așa-numita gazdă antiglont pentru a funcționa în afara jurisdicției țărilor cu legea strictă în materie penală în domeniul internetului.
  • P2P: Protocolul P2P implementează de obicei semnarea digitală utilizând criptarea asimetrică (o cheie publică și una privată). În timp ce operatorul deține cheia privată, este extrem de dificil (în esență imposibil) ca oricine altcineva să emită comenzi diferite în botnet. În mod similar, lipsa unui singur server C2 definit face atacarea și distrugerea unui botnet P2P mai dificil decât omologii săi.
  • Alții: De-a lungul anilor, am văzut operatorii botnet care folosesc câteva canale interesante de comandă și control. Cei care vin imediat în minte sunt canalele media sociale, cum ar fi botnetul Android Twitoor, controlat prin Twitter, sau Mac.Backdoor.iWorm care a exploatat subreditoarea listă a serverului Minecraft pentru a prelua adresele IP pentru rețeaua sa. Instagram nu este sigur nici. În 2017, Turla, un grup de spionaj cibernetic, cu legături strânse cu serviciile de informații rusești, a folosit comentarii despre fotografiile Britney Spears Instagram pentru a stoca locația unui server de distribuție malware C2.

Zombies

Ultima piesă a puzzle-ului botnet este dispozitivul infectat (adică zombie).

Operatorii Botnet scanează în mod intenționat și infectează dispozitivele vulnerabile pentru a-și extinde puterea de operare. Am enumerat principalele utilizări de botnet de mai sus. Toate aceste funcții necesită putere de calcul. Mai mult, operatorii de botnet nu sunt întotdeauna prietenoși unul cu celălalt, transformând puterea mașinilor infectate unul pe altul.

Marea majoritate a proprietarilor dispozitivelor de zombie nu cunosc rolul lor în botnet. Cu toate acestea, uneori, malware-ul botnet acționează ca un canal pentru alte variante de malware.

Acest videoclip ESET oferă o explicație frumoasă cu privire la modul în care botneturile se extind:

Tipuri de dispozitive

Dispozitivele conectate la rețea vin online cu o rată surprinzătoare. Și botneturile nu sunt doar pentru vânătoarea unui PC sau a unui Mac. După cum veți citi mai mult în secțiunea următoare, dispozitivele Internet of Things sunt la fel de susceptibile (dacă nu chiar mai mult) de variantele malware de tip botnet. Mai ales dacă sunt solicitați din cauza securității lor îngrozitoare.

Dacă i-am spus părinților mei să-și întoarcă noul TV inteligent pe care l-au cumpărat pentru că IOT este nesigur, asta mă face o fiică bună sau o fiică rău?
Am întrebat dacă pot asculta comenzi vocale, au spus da; Am făcut un sunet tâmpit. Au spus că vom vorbi mâine.

- Tanya Janca (@shehackspurple) 28 decembrie 2017

De asemenea, smartphone-urile și tabletele nu sunt sigure. Android a văzut mai multe botnete în ultimii ani. Android este o țintă ușoară Cum ajunge malware-ul în telefonul dvs. inteligent? Cum ajunge malware-ul în smartphone-ul dvs.? De ce furnizorii de programe malware doresc să vă infecteze smartphone-ul cu o aplicație infectată și cum se întâmplă într-o aplicație mobilă într-o aplicație mobilă? Citește mai mult: este open source, are mai multe versiuni de sistem de operare și numeroase vulnerabilități la un moment dat. Nu vă bucurați atât de repede, utilizatorii iOS. Au existat câteva variante de malware care vizează dispozitive mobile Apple, deși se limitează, de obicei, la iPhone-uri jailbroken cu vulnerabilități de securitate.

Un alt obiectiv de bază pentru dispozitivul botnet este un router vulnerabil 10 Moduri Router-ul dvs. nu este la fel de sigur pe cât credeți 10 Moduri Router-ul dvs. nu este la fel de sigur pe cât credeți Aici sunt 10 moduri în care router-ul dvs. ar putea fi exploatat de hackeri și de un atacator wireless . Citeste mai mult . Routere care rulează firmware vechi și nesigure sunt ținte ușoare pentru botneturi, iar mulți proprietari nu vor realiza că portalul lor internet poartă o infecție. În mod similar, o sumă pur și simplu uimitoare de utilizatori de internet nu reușesc să schimbe setările implicite pe routerele lor. 3 Parolele implicite trebuie să se schimbe și de ce 3 parole implicite trebuie să se schimbe și de ce parolele sunt incomode, dar necesare. Mulți oameni tind să evite parolele ori de câte ori este posibil și sunt fericiți să utilizeze setările implicite sau aceeași parolă pentru toate conturile lor. Acest comportament poate face datele dvs. și ... Citește mai mult după instalare. La fel ca dispozitivele IoT, acest lucru permite malware-ului să se răspândească într-un ritm uluitor, cu o rezistență redusă la infectarea a mii de dispozitive.

Luând jos un botnet

Descoperirea unui botnet nu este o sarcină ușoară, din mai multe motive. Uneori, arhitectura botnet permite unui operator să se reconstruiască rapid. În alte momente, botnet-ul este pur și simplu prea mare pentru a lua jos într-o singură lovitură. Majoritatea preluărilor botnet necesită o coordonare între cercetătorii din domeniul securității, agențiile guvernamentale și alți hackeri, uneori bazându-se pe sfaturi sau pe spate neașteptate.

O problemă majoră cu care se confruntă cercetătorii în domeniul securității este relativa ușurință cu care operatorii de copiere încep să utilizeze același program malware.

GameOver Zeus

Voi folosi botnetul GameOver Zeus (GOZ) ca exemplu de eliminare. GOZ a fost unul dintre cele mai mari botnete recente, considerat a avea peste un milion de dispozitive infectate la vârf. Utilizarea primara a botnet-ului a fost furtul monetar (distribuirea CryptoLocker ransomware) Istoria Ransomware: Unde a inceput si unde se intampla o istorie a Ransomware: Unde a inceput si unde merge Ransomware dateaza de la mijlocul anilor 2000 si ca multe amenintari la adresa securitatii calculatoarelor, originile din Rusia și Europa de Est înainte de a evolua pentru a deveni o amenințare din ce în ce mai puternică. Dar ce înseamnă viitorul pentru ransomware?) și spam-ul și, folosind un algoritm sofisticat de generare de domenii de tip peer-to-peer, păreau de neoprit.

Un algoritm de generare de domenii permite botnetului să pre-genereze liste lungi de domenii pentru a fi utilizate ca a “puncte de întâlnire” pentru malware-ul botnet. Punctele de întâlnire multiple fac ca oprirea răspândirii să fie aproape imposibilă, deoarece numai operatorii cunosc lista de domenii.

În 2014, o echipă de cercetători în domeniul securității, care lucra împreună cu FBI și alte agenții internaționale, a forțat în cele din urmă GameOver Zeus offline, în Operațiunea Tovar. Nu a fost ușor. După ce a observat secvențele de înregistrare a domeniului, echipa a înregistrat aproximativ 150.000 de domenii în cele șase luni până la începerea operațiunii. Aceasta a fost pentru a bloca orice înregistrare de domeniu viitoare de la operatorii de botnet.

Apoi, câțiva ISP-uri au dat controlul de operare al nodurilor proxy ale GOZ, utilizate de operatorii botnet pentru a comunica între serverele de comandă și control și rețeaua botnet reală. Elliot Peterson, investigatorul principal al FBI privind operațiunea Tovar, a declarat: “Am reușit să-i convingem pe roboți că ar fi bine să vorbim, dar toți colegii, procurorii și supernodurile controlate de băieții răi au fost răi să vorbească și ar trebui ignorați.”

Proprietarul botnetului Evgeniy Bogachev (aliasul online Slavik) a realizat că retragerea a fost în vigoare după o oră și a încercat să se lupte pentru încă patru sau cinci ore înainte “concede” înfrângere.

În urma, cercetătorii au reușit să spargă criptarea notoriu CryptoLocker ransomware, creând instrumente gratuite de decriptare pentru victime CryptoLocker Is Dead: Iată cum puteți obține fișierele înapoi! CryptoLocker este mort: Iată cum puteți obține fișierele înapoi! Citeste mai mult .

Botneții IoT sunt diferiți

Măsurile de combatere a GameOver Zeus au fost extinse dar necesare. Aceasta ilustrează faptul că puterea pură a unui botnet creat în mod inteligent necesită o abordare globală a atenuării, care necesită “tactici juridice și tehnice inovatoare cu instrumentele tradiționale de aplicare a legii” precum și “relații de lucru puternice cu experții din industria privată și cu partenerii de aplicare a legii din peste 10 țări din întreaga lume.”

Dar nu toate botneturile sunt la fel. Pe măsură ce un botnet își atinge sfârșitul, un alt operator învață de la distrugere.

În 2016, cel mai mare și cel mai rău botnet a fost Mirai. Înainte de retragerea parțială, botnetul Mirai bazat pe Internetul obiectelor a lovit mai multe ținte proeminente De ce moneda dvs. de criptare nu este la fel de sigură cum credeți de ce moneda dvs. de criptare nu este la fel de sigură pe cât credeți că Bitcoin continuă să atingă noi maxime. Experiența de criptocurrency Ethereum amenință să explodeze în propriul bule. Interesul față de bloc, mină și criptare este la un nivel ridicat. Deci, de ce sunt pasionați de criptocuritate amenințați? Citiți mai multe cu atacurile DDoS uluitoare. Un astfel de atac a lovit blogul lui Brian Krebs, cercetător în domeniul securității, cu 620 Gbps, obligând în cele din urmă protecția DDoS a lui Krebs să renunțe la el ca pe un client. Un alt atac din zilele următoare a lovit furnizorul de servicii de cloud-hosting francez OVH cu 1,2 Tbps în cel mai mare atac pe care l-au văzut vreodată. Imaginea de mai jos ilustrează câte țări a lovit Mirai.

Deși Mirai nu era nici măcar aproape de a fi cel mai mare botnet vreodată văzut, a produs cele mai mari atacuri. Mirai a făcut o utilizare devastatoare a pachetelor de dispozitive ridicol de nesigur IoT Este casa ta inteligentă în pericol de pe Internet de obiecte de vulnerabilități? Este casa dvs. inteligentă în pericol de pe Internet de obiecte de vulnerabilități? Internetul lucrurilor este sigur? Sperați așa, dar un studiu recent a subliniat că preocupările legate de securitate ridicate cu câțiva ani în urmă nu trebuie încă abordate. Casa ta inteligentă ar putea fi în pericol. Citiți mai multe, utilizând o listă cu 62 de parole implicite nesigure pentru a acumula dispozitive (admin / admin a fost partea de sus a listei, mergeți la cifre).

Securitatea cercetătorului Marcus Hutchins (aka MalwareTech) explică faptul că o parte a motivului pentru puterea masivă a lui Mirai este că majoritatea dispozitivelor IoT stau acolo, făcând nimic până când nu le-a cerut. Asta înseamnă că acestea sunt aproape întotdeauna online și aproape întotdeauna au resurse de rețea pentru a le împărtăși. Un operator botnet tradițional ar analiza perioadele de putere de vârf și atacurile de timp în consecință. IoT botnet-uri, nu atât de mult.

Deci, pe măsură ce mai multe dispozitive IoT cu configurație slabă ajung online, șansa de exploatare crește.

Starea în siguranță

Am aflat despre ceea ce face un botnet, cum cresc și mai mult. Dar cum vă opriți aparatul să facă parte dintr-unul? Ei bine, primul răspuns este simplu: actualizați-vă sistemul Cum de a repara Windows 10: Intrebări frecvente pentru începători Cum să repariți Windows 10: Întrebări frecvente pentru începători Aveți nevoie de ajutor cu Windows 10? Răspundem la cele mai frecvente întrebări despre utilizarea și configurarea Windows 10. Citiți mai multe. Actualizările periodice actualizează patch-urile vulnerabile în sistemul dvs. de operare, la rândul lor tăind căile de exploatare.

Al doilea este descărcarea și actualizarea unui program antivirus, precum și un program antimalware. Există numeroase suite gratuite de antivirus care oferă protecție excelentă, cu impact redus. Investiți într-un program antimalware, cum ar fi Malwarebytes Ghidul complet de eliminare a malware-ului Ghidul complet de eliminare a malware-ului Malware este peste tot în aceste zile și eradicarea malware-ului din sistem este un proces îndelungat, care necesită îndrumare. Dacă credeți că computerul dvs. este infectat, acesta este ghidul de care aveți nevoie. Citeste mai mult . Un abonament Malwarebytes Premium vă va stabili suma de 24,95 USD pe an, oferindu-vă protecția împotriva malware-ului în timp real. Ei bine, în valoare de investiție, în opinia mea.

În cele din urmă, apuca unele securitate suplimentară a browserului. Unitățile de exploatare prin exploatare sunt o provocare, dar sunt ușor de evitat atunci când utilizați o extensie de blocare a script-urilor, cum ar fi uBlock Origine.

Computerul a fost parte dintr-un botnet? Cum ți-ai dat seama? Ați aflat care este infecția cu dispozitivul dvs.? Spuneți-ne experiențele dvs. de mai jos!

Explorați mai multe despre: Botnet, Computer Security.