Botnet

Botnetii sunt considerati unele dintre cele mai mari amenințări la adresa internetului. Această notă va acoperi capacitățile lor și modul în care sunt controlate.

Ce este un botnet?

Un botnet este un set de computere infectate de unul sau mai mulți roboți. Un bot este o bucată de software rău intenționat care primește comenzi de la un maestru. Această denumire „bot” provine de la vechiul serviciu de chat Internet Relay Chat (IRC), unde utilizatorii ar putea dezvolta așa-numitele „bots” care ar putea menține canalele, să livreze linii amuzante la cerere, etc. Primii botnets au fost construiți direct ca IRC roboții.

Un computer se infectează fie atunci când un vierme sau un virus instalează botul, fie când utilizatorul vizitează un site web dăunător care exploatează o vulnerabilitate în browser.

Funcționalități bot

Odată ce malware-ul bot rulează pe un computer, acesta are acces la resursele computerului ca proprietarul său. Boții pot apoi să citească și să scrie fișiere, să execute programe, să intercepteze apăsările de taste, să acceseze camera, să trimită e-mailuri etc.

De exemplu, Zeus este un botnet popular. Capabilitățile sale includ: Reporniți sau opriți computerul; Ștergeți fișierele de sistem, ceea ce face computerul inutilizabil; Dezactivați sau restaurați accesul la o anumită adresă URL; Injectați conținut HTML necinstit în pagini care se potrivesc cu o adresă URL definită; Descărcați și executați un fișier; Execută un fișier local; Adăugați sau eliminați o mască de fișier pentru căutare locală (de exemplu, ascundeți fișierele amenințării); Încărcați un fișier sau folder; Fura certificate digitale; Actualizați fișierul de configurare; Redenumiți executabilul; Încărcați sau ștergeți cookie-urile Flash; Modificați pagina de pornire a Internet Explorer.

Un botnet cu dimensiuni mari poate inunda rețele cu suficient trafic pentru a le pune offline (DDoS): Akamai a analizat un botnet care poate furniza trafic de până la 150 Gbps.

Comandă și control

Infractorii trebuie să-și poată controla boții și să le dea ordine. În acest scop, roboții se raportează la serverele de comandă și control (C&C sau CC sau C2). Aceste servere CC sunt punctul slab al botnetului: fără ele, roboții sunt doar drone inutile. Infractorii cibernetici dezvoltă modalități din ce în ce mai sofisticate pentru ca roboții să-și primească ordinele.

Centralizare

Acest model este cel mai vechi și mai simplu. Boții se raportează periodic la un server central. Aceasta era o cameră de chat IRC, dar alte protocoale au evoluat. Linia de jos este aceeași: dacă serverul central dispare, roboții sunt inutili. Dacă apărătorii preiau controlul serverului central, ei sunt în măsură să oprească întregul botnet. Găsirea serverului central este ușoară pentru apărători, fie analizând un bot, fie traficul pe care îl trimite.

Proxies

Pentru a îngreuna sarcina de a găsi serverul C&C, creatorii de bot au început să includă proxy-uri în arhitectura lor. Boții individuali nu contactează direct serverul C&C, ci mașini intermediare care servesc ca relee sau proxy. Aceste proxy pot fi fie servere operate de maestrul botnet, fie mașini infectate.

Există mai multe avantaje pentru această arhitectură:

    Apărătorii trebuie să analizeze un proxy pentru a găsi serverul C&C;
    Adăugarea mai multor proxy este ușoară, ceea ce face infrastructura mai rezistentă.

Cu toate acestea, există încă un singur punct de eșec sub forma serverului C&C în sine.

De la persoană la persoană

Evoluția finală a arhitecturii botnet este trecerea la peer-to-peer. Boții contactează alți roboți și nu serverul C&C. Comenzile de informare și control sunt propagate în rețea de la bot la bot. Pentru a menține controlul asupra botnetului, stăpânul său trebuie doar să poată contacta orice mașină infectată. Acest lucru face ca preluarea întregului botnet să fie o sarcină foarte dificilă.

Economia Botnet

Botneții sunt acum parte a economiei subterane. Stăpânii de Botnet își închiriază botneții altor infractori în diverse scopuri:

    Trimitere spam;
    Efectuare atacuri DDoS;
    Să fure informații bancare;
    Găzduire fișiere ilegale;
    Etc.

Prețurile variază în funcție de tipul de serviciu, fiabilitatea necesară și durata. De exemplu, o oră de DDoS este disponibilă pentru 38 USD.

Concluzie

Această notă a prezentat elementele de bază ale botneților și capacitățile acestora și a explicat modul în care acesta e controlat. Se pot spune mult mai multe despre vectorii de infecție, economie etc. Aceste subiecte pot deveni subiectul notelor viitoare.