Jak działa botnet

Co to jest botnet?

Botnet to sieć komputerów zainfekowanych złośliwym oprogramowaniem, które są kontrolowane przez operatora botów. Operator (zwany także Bot herderem) to osoba, która obsługuje infrastrukturę botnetu i wykorzystuje zainfekowane komputery do przeprowadzania ataków mających na celu awarię sieci celu (np. poprzez atak DDoS), wstrzyknięcie złośliwego oprogramowania, zbieranie danych uwierzytelniających lub wykonywanie zadań wymagających dużej mocy obliczeniowej procesora. Każde pojedyncze urządzenie w sieci botnet nazywane jest botem. Operator może skierować każdego bota do przeprowadzenia skoordynowanej akcji, której źródło będzie całkowicie zdecentralizowane. Botnet składa się z wielu botów, dzięki czemu atakujący może przeprowadzać operacje na dużą skalę. Boty bardzo często są wykorzystywane do generowania spamu i generowania złośliwego ruchu na potrzeby rozproszonych ataków typu “odmowa usługi” (DDoS).

Jakie urządzenia mogą być częścią botnetu

Każde urządzenie podłączone do Internetu może zostać zaatakowane i podłączone do botnetu. Urządzenia, które mogą stać się częscią botnetu, to m.in:

Komputery
urządzenia mobilne (np. smartfony)
urządzenia Internetu rzeczy (IoT)
Infrastruktura internetowa (np. routery WiFi)
Kopiarki/drukarki podłączone do sieci.

Ponieważ praktycznie każde urządzenie jest narażone, zarówno osoby fizyczne, jak i firmy muszą podjąć wszelkie środki ostrożności niezbędne do zabezpieczenia wszystkich swoich urządzeń, zwłaszcza tych, których bezpieczeństwo jest zwykle pomijane, takich jak smartwatche. Dobrym przykładem, którym można się posłużyć do zobarazowania skali jest botnet Mirai. Szacuje się, że botnet Mirai zainfekował w 2016 roku aż 2,5 miliona urządzeń takich jak inteligentne lodówki, maszyny przemysłowe czy urządzenia IoT w postaci parkometrów. Jak podawał CERT Polska w swoim raporcie z 2016 roku, w Polsce obserwowano nawet do 14 tys. przejętych urządzeń dziennie.

Zobacz:  Cyberprzestępczość w Polsce.

Na czym polega atak przy użyciu botnetu

Gdy cyberprzestępca (lub bot herder) przejmie kontrolę nad grupą zainfekowanych urządzeń (tworzących botnet), może zdalnie nakazać każdemu urządzeniu jednoczesne wykonywanie skoordynowanych działań, w tym złośliwych i przestępczych działań, takich jak:

Ataki DDoS: Rozproszone ataki typu “odmowa usługi” wykorzystują liczbę urządzeń w botnecie do wysyłania ogromnej ilości żądań lub ładunków w celu przeciążenia docelowego serwera lub strony internetowej, czyniąc usługę niedostępną dla legalnych użytkowników. Nawet duże firmy, takie jak Sony i Electronic Arts, padły ofiarą ataków DDoS na dużą skalę spowodowanych przez botnety i mogłyby skorzystać z lepszych usług ochrony DDoS.

Ataki spamowe: Większość ataków spamowych online (spam w wiadomościach e-mail, spam w sekcjach komentarzy, spam w formularzach itp.) jest przeprowadzana przez botnety. Ataki spamowe są często wykorzystywane do rozprzestrzeniania złośliwego oprogramowania i phishingu, a istnieją botnety, które mogą wysyłać dziesiątki miliardów wiadomości spamowych dziennie.

Naruszenie bezpieczeństwa danych: Niektóre botnety są specjalnie zaprojektowane do kradzieży poufnych i cennych informacji, takich jak dane bankowe, numery kart kredytowych itp. Na przykład botnet ZeuS został zaprojektowany głównie w celu kradzieży informacji o kontach z różnych witryn handlu elektronicznego, bankowości i mediów społecznościowych.

Monitorowanie: Skompromitowane urządzenia zombie będą monitorować działania użytkownika i mogą skanować hasła i informacje finansowe, aby przekazywać raporty herderowi botów.

Rozprzestrzenianie botnetu: Botnet wyszukuje luki w zabezpieczeniach innych urządzeń, stron internetowych i sieci, aby rozprzestrzeniać złośliwe oprogramowanie na inne maszyny i powiększać botnet.

Jak działa botnet

Wiemy już, do czego przestępcy najczęściej wykorzystują botnety oraz czym są. Jak więc działa sieć botów używana w celu ataku? Jak cyberprzestępcy atakują przy użyciu botnetów?

Etapy tworzenia botnetu bardzo dobrze opisuje Crowdstrike. Proponując definicje następujących kroków:

  • Ekspozycja
  • Zainfekowanie i rozwój
  • Aktywacja

Na etapie 1 przestępca znajduje lukę w zabezpieczeniach strony internetowej, aplikacji lub zachowania użytkownika w celu narażenia użytkowników na działanie złośliwego oprogramowania. Bot herder chce, aby użytkownicy pozostali nieświadomi infekcji złośliwym oprogramowaniem. Przestępcy wykorzystywać luki w zabezpieczeniach oprogramowania lub stron internetowych, aby dostarczać złośliwe oprogramowanie za pośrednictwem wiadomości e-mail, plików do pobrania lub koni trojańskich.

Zobacz:  Darknet: ciemna strona internetu

W etapie 2 urządzenia ofiar są infekowane złośliwym oprogramowaniem, które może przejąć kontrolę nad ich urządzeniami. Początkowa infekcja złośliwym oprogramowaniem umożliwia hakerom tworzenie urządzeń zombie. Jeśli jest to scentralizowany botnet, herder kieruje zainfekowane urządzenie do serwera C&C. Jeśli jest to botnet P2P urządzenia zombie próbują połączyć się z innymi zainfekowanymi urządzeniami.

Na etapie 3, gdy bot herder zainfekuje wystarczającą liczbę botów, może zmobilizować swoje ataki. Urządzenia zombie pobierają wówczas najnowszą aktualizację z kanału C&C (lub sieci P2P), aby otrzymać swoje rozkazy. Następnie bot wykonuje swoje polecenia i angażuje się w złośliwe działania. Operator botów może nadal zdalnie zarządzać i rozwijać swój botnet w celu przeprowadzania różnych złośliwych działań. Botnety nie są ukierunkowane na konkretne osoby, ponieważ głównym celem bot herdera jest zainfekowanie jak największej liczby urządzeń, aby móc przeprowadzać złośliwe ataki.

Architektura botnetu

Architektura botnetów może być naprawdę różna, przestępcy starają się wymyślać coraz to nowsze techniki pozwalające zmniejszyć szanse na wykrycie i wyśledzenie botnetu. Mozna jednak wyróżnić dwa podstawowe modele, które pozwalają na butowe sieci botów.

Botnet: model klient-serwer

Model klient-serwer to tradycyjny model, który działa przy pomocy serwera dowodzenia i kontroli (C&C) oraz protokołów komunikacyjnych, takich jak na przykład IRC (Internet Relay Chat). Przez standardowe protokoły, operator wysyła zautomatyzowane polecenia do zainfekowanych urządzeń botów.

Przed zaangażowaniem się w cyberatak, twórca botenetu często programuje boty tak, aby pozostawały uśpione i czekały na polecenia z serwera C&C. Gdy herder botów wyda polecenie serwerowi, jest ono następnie przekazywane klientom. Następnie klienci uruchamiają polecenia i przekazują wynik swoich akcji do serwera. Ciekawym przykładem tego modelu był malware Flashback, wykorzystujący Twitter jako serwer C&C. Nie był to pierwszy tego typu przypadek, już w 2010 roku badacze z Sunbelt Software odkryli narzędzie do tworzenia botnetów o nazwie TwitterNet Builder, które wykorzystywało serwis mikroblogowy właśnie w tym celu.

Zobacz:  Botnety - zagrożenia i przeciwdziałanie

Botnet: model P2P

Zamiast korzystać z serwerów C&C, botnety mogą też komunikować się poprzez sieć P2P – kontrolowanie zainfekowanych botów odbywa się poprzez sieć peer-to-peer, która opiera się na zdecentralizowanym podejściu.

Jak widać na powyższym obrazku, boty są topologicznie połączone i działają zarówno jako serwery C&C, jak i klienci. Obecnie przestępcy cześciej stosują właśnie to podejście, aby uniknąć wykrycia i pojedynczego punktu awarii. W botnecie P2P boty dzielą się zaktualizowanymi poleceniami i najnowszymi wersjami złośliwego oprogramowania.

Oceń artykuł

Inne wpisy

Odwiedź nasze media społecznościowe

13,880FaniLubię
243ObserwującyObserwuj
293SubskrybującySubskrybuj

Ostatnie artykuły

× Chat