Новый ботнет что это
Как не стать частью ботнета: советы по защите роутеров от специалистов по безопасности Infosec, Qrator Labs и «Р-Техно» Статьи редакции
В августе 2021 года ботнет Mēris, созданный при помощи сетевого оборудования MikroTik, начал крупнейшую в истории интернета DDoS-атаку, рассказывал «Яндекс». Эксперты по сетевой безопасности считают, что частью ботнета может стать каждый, а его жертвой — сервер любой компании.
8 сентября «Яндекс» рассказал, что его сервисы подверглись DDoS-атаке. Ботнет Mēris (с латышского «чума») атаковал серверы компании в течение месяца. Атака провалилась.
Mēris насчитывает до 250 тысяч скомпрометированных устройств в разных странах мира. В его состав входят маршрутизаторы и роутеры марки MikroTik.
Мощность Mēris оценивается в 20 млн RPS (запросов в секунду). Ботнет, по данным «Яндекса», с августа атакует веб-серверы в Новой Зеландии, США и России. В компании назвали его «угрозой в масштабах страны».
В тот же день владельцы ботнета попытались вывести из строя «Хабр».
Масштабные DDoS-атаки ботнетов случались и раньше.
Оборудование MikroTik популярно в России и на постсоветском пространстве благодаря хорошей скорости передачи данных и невысокой цене, считает специалист по администрированию сетей, сертифицированный компанией Cisco, Михаил Гнедой.
По его словам, это оборудование также подходит для организации сетей в малых и средних компаниях. Устройства MikroTik относятся к классу полупрофессиональных, при этом они более функциональны, чем маршрутизаторы Linksys, и дешевле сложных решений от Cisco.
Проблемы с сетевым оборудованием возникают не только у владельцев Mikrotik, рассказал vc.ru практикующий специалист по тестированию информационных систем Алексей Рыбалко.
По его словам, сама возможность создания ботнетов возникает из-за человеческого фактора. Пользователи домашних роутеров не следят за безопасностью устройств, а администраторы компаний не проверяют свои сети.
Например, в январе 2021 года пользователь «Хабра» обнаружил узявимость служебной сети РЖД: благодаря слабым паролям в оборудовании MikroTik любой заинтересованный человек мог получить доступ к камерам видеонаблюдения, сервисам и документам компании.
Часто действует принцип «надо чтоб заработало в срок», поэтому по сути развёртывается а-ля «опытная эксплуатация» или «пилот», без балансировки, с открытием сразу всех портов, с дачей одной административной учётной записи с максимальными правами под все роли и задачи.
И это нормально — для быстрого пилотного внедрения. Но потом это уходит на «продуктив»: систему нагружают по-полной, а акценты инженеров, которые развёртывали инфраструктуру, смещаются в сторону решения других задач. А основа — она так и остаётся в таком виде, к её переработке могут не вернуться никогда. Пока не «клюнет».
Потом выясняется, что пароль на учётку админа или доступа к СУБД оставили 12345, порты открыты для сетевых сканеров, а консоль управления подписана самоподписанным сертификатом. Это только крупные ляпы, пентестер найдёт гораздо больше разных мест для проникновения.
Ранее похожую мысль у себя в Telegram-канале высказывал бывший топ-менеджер «Яндекса» Григорий Бакунов.
Проблема в том, что каждый современный маршрутизатор представляет собой микрокомпьютер, рассказал vc.ru руководитель компании «Р-Техно» Роман Ромачев. RouterOS в устройствах MikroTik — это урезанный вариант Unix-подобной ОС.
Трое опрошенных vc.ru специалистов по сетевой и информационной безопасности соглашаются, что ситуация с роутерами MikroTik в целом сходна с известными проблемами «интернета вещей».
Никто не мешает запустить что-то на них и исполнять код.
Производительности хватит, при этом ботнетом будут заражаться именно пользовательское оборудование, как наименее защищённое.
При этом обнаружить нежелательную активность того или иного устройства MikroTik достаточно сложно: пользователь не заметит, что его роутером управляют извне, отмечают в Infosec.
Однако, по данным отчёта «Яндекса» и комментариям MikroTik, найти нежелательную активность в роутере всё же можно, если обратиться к его настройкам в мобильном приложении или в программе Winbox для настольных систем, замечает Гнедой.
Так, из отчёта следует, что на скомпрометированных устройствах открыты порты 2000 и 5678, а также установлено SOCKS-соединение с ботоводом.
Все специалисты по сетевой безопасности также рекомендуют следить за списками открытых портов в настройках маршрутизаторов. А подозрительные соединения отключать.
Кроме того, собеседники vc.ru советуют пользоваться встроенными в роутеры фаерволами: системами фильтрации входящих соединений.
Обнаружить свой маршрутизатор в ботнете также можно при помощи анализаторов трафика, например, Wireshark, TCPdump, NetworkMiner. Однако, по словам трёх специалистов по сетевой безопасности, пользователи и системные администраторы небольших компаний занимаются мониторингом активности оборудования нерегулярно.
10 сентября компания Qrator Labs, которая расследовала действия нового ботнета, представила сервис, для проверки роутеров MikroTik. «Лаборатория Касперского» выпускала похожее веб-приложение для борьбы с ботнетом Simda в 2015 году.
Уязвимое место сетевого оборудования — прошивка, считают эксперты. Чаще всего атакующие находят в сети устройства со старыми версиями прошивок и эксплуатируют их известные уязвимости.
Так, Бакунов замечал, что устройства MikroTik не обновляются автоматически, и в результате на многих из них установлены уязвимые версии ПО. За обновлениями должны следить сами пользователи или администраторы корпоративных сетей, но, судя по всему, не все этим занимаются, посетовал он.
С ним в целом согласен Роман Ромачев: он отметил, что пользователи должны следить за тем, чтобы на сетевом оборудовании были установлены последние версии прошивок. «Все остальные способы защиты неэффективны», — заявил vc.ru представитель Infosec.
При этом Ромачев не доверяет автоматическим системам обновления: он советует самостоятельно скачивать новые версии прошивок и устанавливать их с флеш-накопителей.
Однако в ботнет Mēris входят устройства с разными версиями RouterOS, замечает Михаил Гнедой, ссылаясь на отчёт «Яндекса». Эту же особенность ботнета увидели пользователи форума MikroTik.
При этом не все конфигурации совместимы между собой, добавляет Гнедой. Например, при настройке его собственной домашней Wi-Fi-сети из двух ретрансляторов и управляющего маршрутизатора MikroTik при клонировании конфигураций возникали неполадки.
Еще одной точкой входа для хакера может стать discovery-сервис (MNDP), как правило включенный на многих устройствах по умолчанию для упрощения настройки, говорит Алексей Рыбалко.
В феврале 2020 года сразу пять таких уязвимостей устранила компания Cisco: discovery-протокол CDP давал злоумышленникам удалённый доступ к IP-телефонам и маршрутизаторам, но только из локальной сети.
Ботнет сети: как это работает и как на них зарабатывают
Атаки ботнета Mirai на американского DNS-провайдера Dyn в 2016 году вызвали широкий резонанс и привлекли повышенное внимание к ботнетам. Однако, по сравнении с тем, как современные киберпреступники используют ботнеты сегодня, атаки на компанию Dyn могут показаться детскими шалостями. Преступники быстро научились использовать ботнеты для запуска сложных вредоносных программ, позволяющих создавать целые инфраструктуры из зараженных компьютеров и других устройств с выходом в Интернет для получения незаконной прибыли в огромных масштабах.
В последние годы правоохранительные органы добились определенных успехов в борьбе с преступной деятельностью, связанной с использованием ботнетов, но пока этих усилий, конечно же, недостаточно, чтобы пробить достаточную брешь в ботнетах под управлением киберпреступников. Вот несколько известных примеров:
Как работает ботнет?
Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты. Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими. Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.
За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно. Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности. Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.
С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:
Как создать ботнет?
Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета. Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad. Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).
Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов. Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения. С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.
Как интернет вещей (IoT) стал клондайком для создания ботнетов
С точки зрения количества зараженных устройств и генерируемого ими во время атак трафика, взрывоподобный эффект имело массовое использование незащищенных IoT-устройств, что привело к появлению беспрецедентным по своим масштабам ботнетов. Так, примеру, летом 2016 года до и непосредственно во время Олимпийских Игр в Рио-де-Жанейро один из ботнетов, созданный на основе программного кода LizardStresser, в основном использовал порядка 10 тыс. зараженных IoT-устройств (в первую очередь — веб-камеры) для осуществления многочисленных и продолжительных во времени DDoS-атак с устойчивой мощностью более 400 Гбит/с, достигшей значения 540 Гбит/с во время своего пика. Отметим также, что, согласно оценкам, оригинальный ботнет Mirai смог скомпрометировать около 500 тыс. IoT-устройств по всему миру.
Несмотря на то, что после подобных атак многие производители внесли некоторые изменения, IoT-устройства в большинстве своем все еще поставляются с предустановленными заводскими настройками имени пользователя и пароля либо с известными уязвимостями в безопасности. Кроме того, чтобы сэкономить время и деньги, часть производителей периодически дублируют используемое аппаратное и программное обеспечение для разных классов устройств. Как результат: пароли по умолчанию, используемые для управления исходным устройством, могут быть применены для множества совершенно других устройств. Таким образом, миллиарды незащищенных IoT-устройств уже развернуты. И, несмотря на то, что прогнозируемый рост их количества замедлился (хоть и незначительно), ожидаемое увеличение мирового парка «потенциально опасных» IoT-устройств в обозримом будущем не может не шокировать (см. график ниже).
Многие IoT-устройства прекрасно подходят для неправомочного использования в составе преступных ботнетов, так как:
Вот еще один недавний пример, который поможет осознать ту мощь, которой могут обладать современные криминальные инфраструктуры ботнета: в ноябре 2017 года ботнет Necurs осуществил рассылку нового штамма вируса-шифровальщика Scarab. В результате массовой компании было отправлено около 12,5 млн. инфицированных электронных писем, то есть скорость рассылки составила более чем 2 млн. писем в час. К слову, этот же ботнет был замечен в распространении банковских троянов Dridex и Trickbot, а также вирусов-вымогателей Locky и Jans.
Выводы
Сложившаяся в последние годы благодатная ситуация для киберпреступников, связанная с высокой доступностью и простотой использования более сложного и гибкого вредоносного программного обеспечения для ботнетов в сочетании со значительным приростом количества незащищенных IoT-устройств, сделало криминальные ботнеты основным компонентом растущей цифровой подпольной экономики. В этой экономике есть рынки для сбыта полученных нелегальным путем данных, осуществления вредоносных действий против конкретных целей в рамках предоставления услуг по найму, и даже для собственной валюты. И все прогнозы аналитиков и специалистов по безопасности звучат крайне неутешительно — в обозримом будущем ситуация с неправомерным использованием ботнетов для получения незаконной прибыли только ухудшится.
Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!
Что такое ботнет и как предотвратить заражение вашего ПК
Ваш компьютер используется для нападения на других? Все, что вам нужно знать о ботнетах и зомби.
Ваш компьютер в последнее время ведет себя странно? Работает намного медленнее, чем обычно? Какие-нибудь необъяснимые сообщения об ошибках, появляющиеся случайным образом? Или ваш вентилятор внезапно переходит в режим овердрайва, даже если ваш компьютер должен простаивать? Не то чтобы мы хотели вас тревожить, но есть небольшая вероятность, что ваш компьютер превратился в зомби.
Не воспринимайте это буквально, это не значит, что он проснется ночью и убьет вас во сне, пока транслирует «Триллер» Майкла Джексона. «Компьютеры-зомби» – это термин, используемый, когда злоумышленник получает контроль над вашим компьютером без вашего ведома и либо крадет ваши данные, либо заставляет ваш компьютер делать то, что он обычно не должен, например рассылать спам. Или, скорее всего, делает и то, и другое: ворует вашу конфиденциальную информацию и атакует другие компьютеры.
Компьютер-зомби похож на традиционный троянский конь. Разница между ними заключается в том, что вместо установки кейлоггера и кражи ваших личных данных (что он все равно может делать) зомби будут работать с другими зомби, образуя так называемый «ботнет» (или «армию зомби»). Термин «ботнет» происходит от словосочетания «робот » и «сеть». Ботнеты — это целые сети компьютеров, которые контролируются и которым даны инструкции для выполнения множества действий, таких как:
И все это может произойти, даже если вы даже не подозреваете об этом.
Возможности ботнетов
Интересный факт: если вы пользуетесь Интернетом с конца 90-х — начала 2000-х, вы, скорее всего, помните mIRC, популярную чат-программу. На самом деле mIRC использовал безобидные бот-сети – как и все другие программы обмена текстовыми сообщениями Internet Relay Chat. Однако большинство ботнетов создаются со злонамеренными целями. Ботнеты могут использоваться для:
1. Рассылки спама по электронной почте –- если у спамера есть доступ к ботнету, это очень рентабельно, и им это будет почти ничего не стоить.
2. Запустите распределенную атаку отказа в обслуживании (DDoS) на веб-сайте, в компании, правительстве и т. д. – это происходит путем отправки такого количества запросов на контент, что сервер не может справиться и отключается (иначе говоря, отключается). Даже очень крупным веб-сайтам сложно оставаться в сети, когда ботнеты нацелены на их серверы. Поскольку вредоносное ПО и инфраструктура, предназначенная для борьбы с киберпреступностью, стали коммерчески доступными, затраты снизились и позволили большему количеству злоумышленников получить доступ к такого рода службам.
«Средняя стоимость аренды ботнета в течение часа каждый месяц с использованием пакета подписки DDoS составляет около 38 долларов США, а комиссия составляет всего 19,99 доллара США».
3. Совершение мошенничества с рекламой
Компьютеры по всему миру могут генерировать поддельные клики по рекламе — это помогает мошенникам собрать серьезные суммы денег. Согласно недавнему отчету Ассоциации национальных рекламодателей, маркетологи всего мира могут из-за этого потерять в этом году до 7,2 миллиарда долларов.
4. Поддержка активности фишинговых сайтов и частая смена их доменов, чтобы они оставались анонимными и незамеченными правоохранительными органами.
5. Распространять вредоносное, вымогательское или шпионское ПО. Помимо прямого финансового ущерба, это также может способствовать дальнейшему расширению ботнета. Zeus была одной из самых мощных финансовых вредоносных программ в Интернете. Готовый к развертыванию ботнет для кибератак. Его основная функция заключалась в краже онлайн-учетных данных, особенно связанных с банковскими операциями. «Zeus очень сложно обнаружить даже с помощью новейшего антивируса и другого программного обеспечения для обеспечения безопасности, поскольку он скрывается, используя скрытые методы. Считается, что это основная причина, по которой вредоносная программа Zeus стала крупнейшим ботнетом в Интернете: только в США заражено около 3,6 миллиона компьютеров».
Вот еще один недавний пример: ботнет Simda заразил более 770 000 компьютеров в более чем 190 странах (среди них: США, Великобритания, Канада, Россия, Турция). Он был активен в течение многих лет и использовался для распространения пиратского программного обеспечения и различных типов вредоносных программ, включая кражу финансовых учетных данных. Создатели конкретных типов вредоносных программ просто арендовали их у создателей Simda и платили им вознаграждение за каждую атаку.
Как киберпреступники создают и развивают бот-сети
Как ваш компьютер может быть задействован в ботнете
Ранее мы говорили, что наиболее распространенным методом привлечения компьютеров в ботнет является вредоносное ПО. Владельцы ботнета сделают все, чтобы вредоносный код бота попал на ваш компьютер. Есть несколько способов добиться этого:
Социальные сети/приложения для обмена сообщениями. Подобно электронным письмам – они заставляют вас переходить по ссылкам, полученным вами в социальной сети.
Как не допустить, чтобы ваш компьютер стал частью ботнета
Во-первых, проще предотвратить заражение вашего компьютера и стать его частью ботнета, чем обнаружить его, когда уже слишком поздно, и попытаться его спасти. Итак, вот основные правила, которым вы должны следовать, чтобы не стать частью ботнета:
1. Не нажимайте ни на какие подозрительные ссылки, в которых вы не уверены/не знаете, куда они ведут – даже те, которые вы получили от друзья, семья или друзья из социальных сетей. Их учетные записи могли быть скомпрометированы, поэтому безопаснее набраться терпения и спросить их, в чем дело, прежде чем спешить переходить по ссылкам.
2. Не загружайте вложения, которые вы никогда не запрашивали.
3. Вам нужен хороший антивирус и антишпионское ПО, установленное из надежного источника. Избегайте онлайн-рекламы, которая сообщает вам, что ваш компьютер заражен – это замаскированное вредоносное ПО.
4. Если у вас уже есть антивирусное и антишпионское ПО, проверьте, активированы ли они, исправлены ли они и обновлены ли они. Проведите полное сканирование с помощью антивируса. Иногда код бота деактивирует ваш антивирус.
5. Также убедитесь, что ваш брандмауэр включен. Установите максимальный уровень безопасности – для этого все приложения, ищущие доступ в Интернет, будут уведомлять вас, позволяя отслеживать входящий и исходящий трафик.
5. Как проверить, являетесь ли вы участником ботнета. Ваш компьютер или подключение к Интернету работает медленнее, чем обычно? Ваш компьютер начал работать беспорядочно? Часто вылетает? Получаете ли вы необъяснимые сообщения об ошибках? Не работал ли вентилятор в режиме ожидания, когда компьютер простаивает? Вы заметили необычную активность в Интернете (например, интенсивное использование сети)? Ваш браузер закрывается часто и неожиданно? Ваш компьютер долго запускался или выключался или не выключался должным образом? Это может указывать на то, что программа работает без вашего ведома и использует изрядное количество ресурсов. Следующим шагом будет проверка диспетчера задач – посмотреть, что там происходит. Вы также можете отключиться от Интернета и посмотреть, есть ли различия. Конечно, все это также может указывать на то, что ваш вентилятор полон пыли и его просто нужно почистить. Или что ваш компьютер устарел и нуждается в обновлении. Однако, если это не так, и вы обнаружите, что ваш компьютер является частью ботнета, стандартный совет — уничтожить все это. Отформатируйте его и переустановите операционную систему. Чтобы свести к минимуму любой потенциальный ущерб, всегда делайте резервные копии всех важных файлов и папок. Это совет, который большинство людей игнорирует.
ЗАКЛЮЧЕНИЕ
Ботнеты – гораздо большая проблема, чем мы можем себе представить. И с точки зрения размера, и с точки зрения воздействия, потому что огромное количество и возможности заставят вас задыхаться. Эта инфраструктура дает киберпреступникам возможность расширить свой охват, начать мощные атаки и нанести непоправимый ущерб. И это то, что каждый пользователь Интернета и компьютеров может предотвратить, приняв необходимые меры безопасности.
Опасные ботнеты, и что о них известно. Примеры угроз
Вы слышали когда-нибудь о таком понятии, как ботнет. Если нет, то в этом нет ничего странного. Для любого рядового интернет-пользователя это нормально. Потому как умысел киберпреступников кроется именно в этом. Ничего, кроме неприятностей, они не несут, поэтому лучше с ними вообще никогда не сталкиваться.
Любыми незаконными способами их разработчикам удается скрывать свою деятельность десятилетиями, зарабатывать на них и приносить большой ущерб обществу.
По оценке Винта Серфа, создателя протокола TCP/IP, около четверти из 600 млн компьютеров по всему миру, подключённых к Интернету, могут находиться в ботнетах. В Индии их составляет рекордное количество
В этом обзоре мы постараемся пролить свет на самые известные и опасные вредоносные ПО. Расскажем об основных видах и покажем на примерах, какой ущерб они наносят. Также расскажем, как можно от них защититься.
Что это такое
Ботнет (англ. botnet) — это компьютерная сеть, в которой каждое устройство с доступом в интернет заражено вредоносной программой и управляется бот-мастером.
Первые ботнеты начали появляться в 2000-х, и с каждым годом их количество стремительно росло. И не просто так. Это прибыльный и поэтому лакомый бизнес для хакеров. Применение таким вредоносным компьютерным сетям находят во многих сферах деятельности, где есть выход в интернет.
Как это происходит: бот, который находится в составе ботнета, атакует и поражает незащищенное устройство или сайт, а затем управляет им в своих целях. Так расширяется сеть и создается новый источник атак. Это может быть персональный компьютер на любой ОС, корпоративный сайт и даже ваш новенький умный пылесос или чайник.
Они создаются и используются для вымогательства денежных средств, кражи персональных данных, майнинга, слива рекламных бюджетов (автоматического скликивания объявлений).
Сами по себе боты — это не вирусы. Это ПО, а точнее, набор, который состоит или может состоять из вирусных программ, инструментов взлома ОС, брандмауэров, ПО для перехвата информации или удаленного управления устройством.
Владельцы зараженных устройств могут даже не подозревать, что их компьютер или чайник уже являются частью сети ботнет. К счастью, разработчики антивирусных программ и ПО в сфере кибербезопасности, банки и такие сервисы, как BotFaqtor, вычисляют их и разрабатывают защитные программы. И даже несмотря на то, что различным структурам удается сократить их распространение, борьба с ними уже превратилась в игру в кошки-мышки. Мошенники находят лазейки и избегают системы защиты.
Как работают ботнеты
Они появляются не за один вечер. На становление целой сети им нужно охватить как можно больше компьютеров своих жертв, превратить их в зомби, или рабов. И чтобы стать частью ботнета, компьютер намеренно заражается вредоносной программой.
Работающих способов заразить компьютер существует множество. Хакеры придумывают всё новые и новые варианты распространения вредоносного ПО. Самые популярные — рассылка e-mail с опасной «начинкой» или проникновение через уязвимые места легального ПО на устройство. Пользователь может не подозревать о таком соседстве до тех пор, пока «внедренца» не обнаружит антивирус. Печально то, что большинство новых сетей долгое время остаются незамеченными.
Факт: к операции по раскрытию сети и прекращению распространения ботнет Emotet из семейства троянских вирусов были привлечены Европол, ФБР и Национальное агентство по борьбе с преступностью Великобритании. Он был создан в 2014 году и проникал в ПК на ОС Windows различных организаций через фишинговые электронные письма, в которые был вложен Word-документ со ссылкой на скачивание вредоносного ПО.
Когда бот-пастух (также его называют бот-мастер) заполучает в свою сеть достаточное количество устройств или компьютеров, он переходит к удаленному управлению ими.
Кто ими управляет
Управляют ботнетами группы людей или же один человек. Бот-мастер направляет специальные команды на отдельные устройства и говорит им, что делать. Среди таких команд может быть всё, что угодно: от посещения сайта и выполнения какого-нибудь куска кода до заражения другого устройства в сети.
Нередко ботнеты сдаются в аренду другим киберпреступникам для выполнения ряда более ресурсоёмких задач.
Что самое интересное, выявить бот-мастера очень сложно, а многие из них и вовсе остаются анонимными навсегда. Хакеры умело скрывают свои личности.
Виды
Теперь давайте узнаем, зачем кому-то вообще управлять целой армией компьютеров. Зачем нужны все эти ботнеты. А ведь они пользуются большим спросом среди киберпреступников по всему миру. Вместо одного компьютера, который бы делал всю работу, здесь используется целая сеть устройств, расположенных в разных точках планеты, — так меньше вероятность быть обнаруженным.
У каждого новообращенного бота свой IP-адрес, из-за чего мастера сложно найти и заблокировать. Поскольку эти адреса постоянно меняются, программное обеспечение непрестанно борется с входящим вредоносным сетевым трафиком.
Ботнеты широко применяются для проведения DDoS-атак (Distributed Denial of Service – распределенное доведение до «отказа в обслуживании»). Это самый популярный вариант.
Данный тип атак применяется для того, чтобы «положить» сайт конкурента или целый сервер. Сайты могут оставаться недоступными долгое время, в связи с чем бизнес терпит серьезные убытки.
Естественно, делается это всё не из альтруистических побуждений. Киберпреступники, управляющие, берут мзду с посекундной оплатой: к примеру, DDoS-атака продолжительностью 10 800 секунд будет стоить для заказчика
Но не всегда это прямой заказ. Зачастую хакеры шантажируют владельцев бизнеса и выдвигают им свои условия. Если те будут не согласны и не заплатят, то преступники начнут кибератаку.
Ботнет для майнинга
В 2009 году, когда впервые был создан Bitcoin, весь мир бросился генерировать новую криптовалюту. Но чтобы ускорить процесс и зарабатывать как можно больше, одного компьютера будет недостаточно. Так и появился майнинг через ботнеты — паразитирование на чужом устройстве, а точнее, на ресурсах его видеокарты для выработки мощностей и генерации цифровых денег.
Если вы стали замечать, что производительность компьютера резко возросла. Не хватает памяти на рядовые программы и операции на ПК. Компьютер разгоняется, аки реактивный самолет. Вероятнее всего, ваша видеокарта уже (парадокс) не ваша — бот крепко засел в устройстве и сжирает мощности, сжигая видеокарту.
И таких ботнетов по созданию ферм существует множество. Если посмотреть на стоимость одного биткоина, можно сделать вывод, что они достаточно широко используются.
Скликивание
Каждое цифровое устройство — компьютер, планшет или мобильный телефон — оставляет свой цифровой след. А это значит, что их можно использовать для кликов по рекламным объявлениям. Каждый переход по объявлению стоит рекламодателю денег, поэтому при помощи ботнетов для скликивания мошенники могут каждый месяц тысячами сливать бюджет рекламодателя.
Проанализируйте количество кликов к количеству заказов и времени нахождения на странице. Обратите внимание на поведение большинства пользователей: может, вы заметили признаки роботизированной прокрутки страницы и однотипные переходы. Вероятнее всего, ваш бюджет просто сливают боты. Кто-то на этом зарабатывает, а вы только теряете. Например, если вы пользуетесь Яндекс.Директ, то на него можно поставить защиту от скликивания. Клики-пустышки будут блокироваться с помощью специальных алгоритмов выявления ботов, а ставки будут скорректированы в вашу пользу.
Другое применение таких ботов — регистрация своих же сайтов в Google AdSense и скликивание объявлений на них. Зачем? Затем, что за каждый клик пользователя по объявлению владелец партнерского сайта получает комиссионное вознаграждение. Представьте, если в руках мошенника находится целая сеть, сколько он может заработать таким способом. Он в плюсе, а рекламодатели в минусе.
Email-спам
Многие из сталкивались со спамом по электронной почте. То вам предлагают бесплатно 5000 биткоинов, то вы выиграли миллион, то ваши пикантные фото оказались на «одном из устройств» и, если вы не заплатите, то они будут выложены в сеть. Всё это — спам-ботнеты.
Как отсеиваются спамные письма: вы получаете подобное письмо с одного из почтовых серверов, помечаете его как «спам» и оно перемещается в специальную папку. В дальнейшем все нежелательные письма с данного почтового сервера будут отправляться в эту папку по умолчанию.
Но если в распоряжении мошенника множество уникальных IP-адресов, то массовая отправка становится более успешной — большинство писем просто не попадает в черный список, их открывают ничего не подозревающие получатели и заражают свой компьютер.
Примеры самых известных ботнетов в мире
Ниже описаны самые масштабные преступные бот-сети, которые принесли или приносят большой ущерб как коммерческим компаниям, так и рядовым гражданам из стран со всего мира. Здесь не описан статус, действует ли сеть сейчас или нет, так как их вариации могут развиваться, менять названия и направления. Даже если одна была закрыта, нет гарантий, что завтра не появится новая на ее основе.
Mirai
100 млн долларов США
Mirai — ботнет, разработанный студентами как инструмент для проведения DDoS-атак. В качестве зомби-целей были выбраны умные бытовые устройства. Его операторы нашли уязвимость в доступе к учетной записи администратора на этих устройствах. Она заключалась в том, что там по умолчанию задавались однотипные логин и пароль, а набор комбинаций для подбора был небольшой.
В 2016 году хакеры использовали регуляторы тепла, холодильники и тостеры для одной из крупнейших DDoS-атак посредством Mirai.
Самыми известными атаками с его помощью считаются атака на веб-сайт журналиста Брайана Кребса, который незадолго до этого опубликовал статью о заработке на таких сетях, и на Dyn DNS, оператора DNS в США.
В 2017 году один из операторов Mirai — Дэниел Кайе (он же BestBuy) — был пойман и осужден сперва в Германии, где получил условный срок, а затем и в Великобритании — уже с реальным сроком.
Andromeda
Впервые сеть Andromeda появилась в 2011 году, однако запомнилась она по самой масштабной и разрушительной атаке 2016 года. Пользователи получали спамные письма на почтовый ящик, по своему неведению устанавливали вредоносное ПО, заражая вирусной начинкой своё устройство.
Ботнет использовал разные способы распространения: фишинговые кампании, спам, warez-сайты, сайты скачивания контента.
В операции по закрытию и остановке распространения Андромеды участвовали ФБР, Интерпол, Европол, Евроюст, Объединенная целевая группа по борьбе с киберпреступностью и другие коммерческие компании. В 2017 году была обезврежена сеть из 464 отдельных ботнетов. Создателем оказался житель Гомельской области (Республика Беларусь) Сергей Ярец (он же Ar3s).
ZeuS
В его основе заложена троянская программа, которая направлена на перехват паролей от платежных систем пользователей. Украденные данные в дальнейшем используются для кражи денежных средств. ZeuS был разработан под все возможные версии ОС Windows. Может работать без подключения к драйверам. Самое опасное то, что заразиться устройство может даже из гостевой учётной записи.
Жертвами ZeuS стали жители 196 стран. Способы заражения использовались разные: e-mail спам, ссылки-ловушки и впервые социальные сети.
В соцсети Facebook пользователям рассылался спам с фотосообщениями. Каждое сообщение вело на вредоносные сайты, зараженные ботнетом.
Программа внедряется в зараженную систему, крадет регистрационные данные от учетной записи в онлайн-банкинге, переводит деньги на счета других таких же жертв. Это делается для того, чтобы скрыть бот-мастера.
Как сообщают аналитики, вредоносный ZeuS является виновником 90% всех случаев банковского мошенничества в мире.
3ve (Eve)
3ve рассылала вредоносное ПО, которое заражало компьютерные устройства. Распространялось через имейл-спам и псевдозагрузку контента. Как только ПК жертвы поражался вирусной программой, ей отправлялись команды на скликивание рекламных объявлений. Поскольку ботнет использовал собственные сайты для размещения в Google AdSense, то в первую очередь бот-мастера направляли трафик на свои же сайты-пустышки для имитации действий реальных пользователей. Так они строили фальшивые рекламные сети.
3ve ежедневно могла генерировать порядка 3 млрд псевдозапросов по ставкам на рекламных биржах. У операторов было свыше 60 000 аккаунтов, 10 000 фальшивых сайтов для показа рекламы, более 1000 серверов в дата-центрах. Количество IP-адресов, которые они контролировали, составляло более одного миллиона.
Его создателями и операторами были граждане России и Казахстана. Сеть была раскрыта, сервера и домены отобраны, а бот-мастера (нашли не всех) привлечены к ответственности.
Существует ли защита от ботнет
Как видите, все эти вредоносные сети приносят огромный ущерб, и ваш бизнес от этого никак не защищен. И не важно, на что они могут быть направлены — на ваш сайт, рекламные объявления или e-mail.
Если защита от DDoS-атак есть — специальное программное обеспечение, которое обнаруживает ботов, — то что делать с рекламными объявлениями? У них ведь нет такого файервола.
Сервис защиты Botfaqtor.ru использует специальные алгоритмы и анализирует трафик вашего сайта по 100 техническим и поведенческим параметрам. Боты блокируются, а ваши деньги остаются в целости и сохранности.
Бережем ваш бюджет от мошенников
Экономьте до 30% рекламного бюджета! Блокируйте бот-атаки по скликиванию баннеров и попрощайтесь с нечестными конкурентами, которые портят вам статистику. Защитите позиции сайта от SEO-оптимизаторов, которые «топят» ваш сайт накруткой поведенческих.
Поставьте защиту Botfaqtor против ботнетов и мошенников, разработанную специалистами в области кибербезопасности.
Возможно, вам будет интересно:
Как обнаружить скликивание в рекламе: подробная инструкция
Клик-фермы: тысячи лайков из ниоткуда
Буксы для заработка: что это такое, их роль в скликивании рекламы и методы борьбы с ними
Об авторе
Александр
Защищаем ваши сайты от ботов!
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.