A botnet (az angol "ro bot net " összehúzódása : "robotok hálózata") olyan számítógépes botok , az internethez kapcsolt programok hálózata, amelyek más hasonló programokkal kommunikálnak bizonyos feladatok elvégzése érdekében.
Történelmileg botnet említett IRC botnetek . A botnet jelentése kiterjedt a botnetek hálózataira is , amelyeket különösen a kriptopénz bányászatára használnak, de rosszindulatú célokra is , például spam és számítógépes vírusok küldésére , vagy szolgáltatásmegtagadási (DDoS) támadásokra.
Az IRC-n ezek a beszélgetési csatornák kezelésére szolgálnak, vagy különféle szolgáltatásokat kínálnak a felhasználóknak, például játékokat, statisztikákat a csatornán stb. Ha kapcsolódik egy hálózathoz lehetővé teszi számukra, hogy egymásnak állapotát csatorna operátor biztonságos módon, hogy hatékonyan ellenőrizni árvíz támadások , vagy más támadások . A felhasználói listák, tiltások és mindenféle információ megosztása hatékonyabbá teszi őket.
Vannak más jogszerű használatát, botnetek, mint például a web indexelés : az adatmennyiség meg kell vizsgálni, és a szükséges használatát párhuzamosítását használatát igényli bot hálózatok .
Az első sodródik megjelent IRC hálózatok: IRC botnetek ( Eggdrop 1993 decemberében, majd 1998 áprilisában GTbot) alkalmaztunk összecsapások hogy átvegye az irányítást a csatorna.
Ma ezt a kifejezést gyakran használják, hogy kijelölje a hálózat bot gép , mert IRC egyike volt az első eszköz által használt rosszindulatú hálózatok kommunikálnak egymással, átirányításával az elsődleges használata IRC. Közülük az első a W32 / Pretty.worm, más néven PrettyPark volt, 32 bites Windows környezetekre célozva, és átvette az Eggdrop és a GTbot ötleteit. Akkor még nem tartották őket nagyon veszélyesnek, és csak 2002-ben kártékony botnetek (Agobot, SDBot, majd 2003-ban SpyBot) késztették az embereket arra, hogy beszéljenek róluk, és hogy a fenyegetés fellendült.
Bármely, az internethez csatlakoztatott gép valószínűleg célpontja lesz a zombi géppé válásnak : Windows gépek, amelyek a szennyezett gépek többségét képviselik, de kisebb mértékben Linux, Apple gépek, sőt játékkonzolok vagy eszközök.
2007-ben Vint Cerf úgy ítélte meg, hogy minden negyedik számítógép egy botnet része.
A közelmúltban ez a jelenség az okostelefon típusú telefonterminálokon és különösen az Android operációs rendszeren fejlődött ki, ahol 2010 decemberében megjelent a "Geinimi" nevű kínai trójai .
A botnetek fő jellemzője több különálló, néha nagyon sok gép összevonása, ami hatékonyabbá teszi a kívánt tevékenységet (mivel lehetőségünk van sok erőforrás felhasználására), de nehezebben is leállítható.
A rosszindulatú botneteket főleg a következőkre használják:
Spam : további levelek küldésére.
DDoS : küldjön további támadásokat egy szerverre, hogy az ne működjön.
BruteForcing : Gyorsabb jelszó keresése.
Gazdasági motivációA gazdasági szempont a legfontosabb: a botnet mérete és a könnyen ellenőrizhetőség olyan elemek, amelyek hozzájárulnak a bűncselekmények vonzásához, mind a botnet tulajdonosának (néha "zavarónak" vagy "botmesternek" hívják), mint a felhasználók, akik legtöbbször egy botnet szolgáltatásait veszik igénybe egy adott feladat végrehajtása érdekében (spam küldése, számítógépes támadás, szolgáltatásmegtagadás, információlopás stb.). 2009 áprilisában egy 1 900 000 gépből álló botnet, amelyet a Finjian vállalat feltárt, becsült napi 190 000 dolláros bevételt termelt „botmestereinek”.
Ideológiai motivációA gazdasági szempontokon kívül a számítógépes támadások propaganda vagy megtorlás fegyverévé válhatnak, különösen fegyveres konfliktusok vagy szimbolikus események során. Például az Oroszország és Grúzia közötti 2008-as konfliktus során a grúz hálózatot többféle formában támadták (elérhetetlenné tétele vagy a hivatalos oldalak legyőzése érdekében ). 2007-ben Észtország ellen is nagy támadás történt: a kalózok motivációja az orosz katonák előtt tisztelgő emlékmű eltávolítása lenne az észt főváros központjából. 2010 elején Vietnam állítólag egy botnet mögött áll, amelynek célja a politikai nézeteltérések elhallgattatása.
Személyes motivációA bosszú vagy a zsarolás szintén része lehet a támadók motivációjának, anélkül, hogy feltétlenül a pénzügyi szempont lenne az elsődleges fontosságú: egy rosszul fizetett alkalmazott vagy legyőzött online játékosok bosszút állhatnak a munkáltatón vagy a játék nyertesén.
A személyi számítógépekről vagy szerverekről összeállított botneteket most már okostelefonok vagy bármilyen típusú csatlakoztatott objektumok alkotják .
A botnetnek az életnek több fázisa van. A moduláris felépítés lehetővé teszi, hogy ezeket a fázisokat hatalmas hatékonysággal tudja kezelni, különösen amint a megcélzott gép veszélybe kerül. A fertőzés fázisa nyilvánvalóan mindig az első, de ezeknek a fázisoknak a sorrendje nem mindig lineáris, és a botnet felépítésétől függ.
GépfertőzésEz logikailag a kezdeti szakasz. A szennyezés gyakran magában foglal egy elsődleges szoftvereszközt, amely nem feltétlenül a végső eszköz. A gép szennyeződése a klasszikus fertőzési mechanizmusokat használja:
A telepítés után ez a szoftverbázis bejelentheti a gépet egy központnak, amely ezt követően aktívnak fogja tekinteni . Ez a botnet koncepció egyik kulcsa, nevezetesen az, hogy a fertőzött gépet immár távolról is vezérelheti egy (vagy több) harmadik féltől származó gép. Bizonyos esetekben más fázisokra (önvédelem, frissítés stb.) Van szükség a működési szakaszba lépéshez.
FrissítésMiután a gép megfertőződött és az aktiválás megtörtént, a botnet képes frissíteni önmagát, önállóan módosítani, funkciókat hozzáadni stb. Ez jelentős hatással van a botnet veszélyességére és a harci eszközök leállításának képességére, mert a botnet így módosíthatja vírusos aláírását és egyéb jellemzőit, amelyek felfedezéséhez és azonosításához vezethetnek.
ÖnvédelemEredetileg vagy egy frissítési fázist követően a botnet arra törekszik, hogy biztosítsa magának a tevékenység folytatásához szükséges eszközöket, valamint az elrejtést. Ez magában foglalhatja:
A botnet mérete mind a hatékonyságot, mind a hozzáadott értéket biztosítja a botnet szponzorai és felhasználói számára. Ezért gyakori, hogy a telepítést követően a zombi gép megpróbálja kibővíteni a botnetet:
A botnet telepítése és deklarálása után a zombi gép engedelmeskedhet a támadó által kívánt műveletek végrehajtására adott utasításoknak (szükség esetén további eszközök telepítésével távoli frissítés útján):
Az e-mail küldéséhez használt botnet így működik :
Rendkívül nehéz megbízható és pontos adatokkal rendelkezni, mivel a legtöbb botnet csak közvetetten detektálható. Egyes szervezetek, mint például a shadowserver.org, megpróbálnak számokat felállítani a hálózati tevékenységből, a parancsnoki központok észleléséből stb.
Hálózatok száma (botnetek)A becslések szerint 2010 februárjától 4000 és 5000 között aktív botnetek voltak. Ezt az értéket alacsony tartománynak kell tekinteni, mivel a botnetek egyre inkább lopakodnak, és a teljes internetes hálózat felügyelete lehetetlen.
Hálózat méreteA botnet mérete változó, de egyre gyakoribb, hogy egy hálózat zombi gépek ezreiből áll . 2008-ban, az RSA konferencia során a top 10 hálózat 10 000-315 000 gépet tartalmazott, az e-mail küldés kapacitása napi 300 millió és 60 milliárd között mozgott (a Srizbi esetében, az ország legnagyobb botnetje).
2009 végén a MessageLabs a következő top 10-et adta:
Botnet neve | Gépek száma | Kapacitás levélenként percenként |
---|---|---|
Rustock | 540 000–810 000 | 14 000 000 |
Cutwail | 1 100 000–1 600 000 | 12 800 000 |
Bagle | 520 000 - 780 000 | 12 000 000 |
Bobax | 110 000–160 000 | 10 000 000 |
Grum | 580 000 - 860 000 | 6 800 000 |
Maazben | 240 000–360 000 | 1,5 millió |
Festi | 140 000–220 000 | 900 000 |
Mega-D | 50 000 - 70 000 | 690 000 |
Xarvester | 20 000 - 36 000 | 615 000 |
Gheg | 50 000 - 70 000 | 300 000 |
A MessageLabs 2009-es jelentésében azt is becsülte, hogy 5 millió gép került veszélybe egy spam botnet hálózatban .
A botnet összetétele, amely néha nagyon sok gépből áll, megnehezíti a műveletek és források nyomon követhetőségét. Minél nagyobb a botnet, annál nehezebb leállítani és leállítani azt is, mivel mind a botnetet aktiváló ágensek terjedésének megállítására, mind a sérült gépek megtisztítására van szükség.
Az idősebb generációk gyakran támaszkodnak egy központosított vagy könnyen deaktiválható vezérlőközpontra (a fix IP-cím vagy a domain név betiltható, az IRC-csatorna bezárható stb.). Most a peer-to-peer lehetővé teszi a kommunikációs rendszer rugalmasságát, és az eltérített Web 2.0 funkciók nagyon bonyolulttá teszik a lehallgatást: a botnet keres egy kulcsszót az interneten, és annak segítségével meghatározza az adatközpont helyét. meg kell kapnia a megrendeléseit.
Több összehangolt intézkedések, amelyek a Microsoft biztonsági osztálya erősen érintett lehetővé tették, hogy szét két nagy hálózatok: Waledac és Rustock (műveletek úgynevezett B49 és B107 -kal). 2011 márciusáig a Rustock körülbelül 1 millió géppel rendelkezett, amelyek a globális spam 47,5% -át generálták (a Symantec adatai szerint ), és forráskódja 106 IP-címet használt fel az irányításához.
Szokásos gépvédelmi intézkedések (víruskereső, HIDS / HIPS, jelszó, felhasználói jogkezelés, spamellenes, frissítéskezelés stb.)