Botnet

A botnet (az angol "ro bot net  " összehúzódása : "robotok hálózata") olyan számítógépes botok , az internethez kapcsolt programok hálózata, amelyek más hasonló programokkal kommunikálnak bizonyos feladatok elvégzése érdekében.

Történelmileg botnet említett IRC botnetek . A botnet jelentése kiterjedt a botnetek hálózataira is , amelyeket különösen a kriptopénz bányászatára használnak, de rosszindulatú célokra is , például spam és számítógépes vírusok küldésére , vagy szolgáltatásmegtagadási (DDoS) támadásokra.

Törvényes felhasználás

Az IRC-n ezek a beszélgetési csatornák kezelésére szolgálnak, vagy különféle szolgáltatásokat kínálnak a felhasználóknak, például játékokat, statisztikákat a csatornán stb. Ha kapcsolódik egy hálózathoz lehetővé teszi számukra, hogy egymásnak állapotát csatorna operátor biztonságos módon, hogy hatékonyan ellenőrizni árvíz támadások , vagy más támadások . A felhasználói listák, tiltások és mindenféle információ megosztása hatékonyabbá teszi őket.

Vannak más jogszerű használatát, botnetek, mint például a web indexelés  : az adatmennyiség meg kell vizsgálni, és a szükséges használatát párhuzamosítását használatát igényli bot hálózatok .

Visszaélések és rosszindulatú felhasználások

Az első sodródik megjelent IRC hálózatok: IRC botnetek ( Eggdrop 1993 decemberében, majd 1998 áprilisában GTbot) alkalmaztunk összecsapások hogy átvegye az irányítást a csatorna.

Ma ezt a kifejezést gyakran használják, hogy kijelölje a hálózat bot gép , mert IRC egyike volt az első eszköz által használt rosszindulatú hálózatok kommunikálnak egymással, átirányításával az elsődleges használata IRC. Közülük az első a W32 / Pretty.worm, más néven PrettyPark volt, 32 bites Windows környezetekre célozva, és átvette az Eggdrop és a GTbot ötleteit. Akkor még nem tartották őket nagyon veszélyesnek, és csak 2002-ben kártékony botnetek (Agobot, SDBot, majd 2003-ban SpyBot) késztették az embereket arra, hogy beszéljenek róluk, és hogy a fenyegetés fellendült.

Bármely, az internethez csatlakoztatott gép valószínűleg célpontja lesz a zombi géppé válásnak  : Windows gépek, amelyek a szennyezett gépek többségét képviselik, de kisebb mértékben Linux, Apple gépek, sőt játékkonzolok vagy eszközök.

2007-ben Vint Cerf úgy ítélte meg, hogy minden negyedik számítógép egy botnet része.

A közelmúltban ez a jelenség az okostelefon típusú telefonterminálokon és különösen az Android operációs rendszeren fejlődött ki, ahol 2010 decemberében megjelent a "Geinimi" nevű kínai trójai .

A rosszindulatú botnetek fő felhasználási területei

A botnetek fő jellemzője több különálló, néha nagyon sok gép összevonása, ami hatékonyabbá teszi a kívánt tevékenységet (mivel lehetőségünk van sok erőforrás felhasználására), de nehezebben is leállítható.

Botnetek használata

A rosszindulatú botneteket főleg a következőkre használják:

• Spam továbbítása illegális kereskedelem vagy információk (például részvényárfolyamok) manipulálása céljából;
• Végezzünk adathalász műveletek  ;
• Más gépek azonosítása és megfertőzése vírusok és rosszindulatú programok ( rosszindulatú programok ) terjesztésével;
• Vegyen részt csoportos szolgáltatásmegtagadási ( DDoS ) támadásokban ;
• Sértő kattintások generálása egy weboldalon lévő hirdetési linkre ( kattintási csalás );
• Információk rögzítése a veszélyeztetett gépekről (lopás, majd információ továbbértékesítése);
• Használja a gépek számítási teljesítményét vagy hajtson végre elosztott számítási műveleteket, különösen a jelszavak feltörésére  ;
• Felhasználói munkamenetek ellopása hitelesítő adatok kitöltésével  ;
• Tiltott kereskedelmi műveletek végrehajtása a tiltott vagy hamisított termékek értékesítési webhelyeihez való hozzáférés kezelésével gyors , egyszeri vagy kettős áramlású vagy RockPhish technikákkal;
• A kriptovaluták , például a bitcoin bányászata .

A hackerek motivációja

Spam  : további levelek küldésére.

DDoS  : küldjön további támadásokat egy szerverre, hogy az ne működjön.

BruteForcing  : Gyorsabb jelszó keresése.

Kriptopénzbányászat .

Gazdasági motiváció

A gazdasági szempont a legfontosabb: a botnet mérete és a könnyen ellenőrizhetőség olyan elemek, amelyek hozzájárulnak a bűncselekmények vonzásához, mind a botnet tulajdonosának (néha "zavarónak" vagy "botmesternek" hívják), mint a felhasználók, akik legtöbbször egy botnet szolgáltatásait veszik igénybe egy adott feladat végrehajtása érdekében (spam küldése, számítógépes támadás, szolgáltatásmegtagadás, információlopás stb.). 2009 áprilisában egy 1 900 000 gépből álló botnet, amelyet a Finjian vállalat feltárt, becsült napi 190 000 dolláros bevételt termelt „botmestereinek”.

Ideológiai motiváció

A gazdasági szempontokon kívül a számítógépes támadások propaganda vagy megtorlás fegyverévé válhatnak, különösen fegyveres konfliktusok vagy szimbolikus események során. Például az Oroszország és Grúzia közötti 2008-as konfliktus során a grúz hálózatot többféle formában támadták (elérhetetlenné tétele vagy a hivatalos oldalak legyőzése érdekében ). 2007-ben Észtország ellen is nagy támadás történt: a kalózok motivációja az orosz katonák előtt tisztelgő emlékmű eltávolítása lenne az észt főváros központjából. 2010 elején Vietnam állítólag egy botnet mögött áll, amelynek célja a politikai nézeteltérések elhallgattatása.

Személyes motiváció

A bosszú vagy a zsarolás szintén része lehet a támadók motivációjának, anélkül, hogy feltétlenül a pénzügyi szempont lenne az elsődleges fontosságú: egy rosszul fizetett alkalmazott vagy legyőzött online játékosok bosszút állhatnak a munkáltatón vagy a játék nyertesén.

A botnet felépítése

Célgépek

A személyi számítógépekről vagy szerverekről összeállított botneteket most már okostelefonok vagy bármilyen típusú csatlakoztatott objektumok alkotják .

A botnet kommunikáció aktuális módja

Parancs- és vezérlőcsatornán (C&C) keresztül

• IRC- csatornák (az első történelmileg), gyakran privát csatornán.

Decentralizált csatornákon keresztül

• P2P , hogy már ne függjen egy központi csomóponttól;
• HTTP (néha rejtett csatornákon keresztül ), amelynek fő előnye, hogy már nem igényel állandó kapcsolatot, mint az IRC vagy P2P csatornák esetében, hanem beolvad a hagyományos webes forgalomba;
• A Web 2.0 funkciói: bizonyos kulcsszavak egyszerű keresésével megkeresheti azokat a megrendeléseket vagy parancsközpontokat, amelyekhez a hálózatnak csatlakoznia kell.
• A botnetek hálózata, amely a Twittert használja parancs- és vezérlőközpontként, még napvilágra is került .

Életciklus

A botnetnek az életnek több fázisa van. A moduláris felépítés lehetővé teszi, hogy ezeket a fázisokat hatalmas hatékonysággal tudja kezelni, különösen amint a megcélzott gép veszélybe kerül. A fertőzés fázisa nyilvánvalóan mindig az első, de ezeknek a fázisoknak a sorrendje nem mindig lineáris, és a botnet felépítésétől függ.

Gépfertőzés

Ez logikailag a kezdeti szakasz. A szennyezés gyakran magában foglal egy elsődleges szoftvereszközt, amely nem feltétlenül a végső eszköz. A gép szennyeződése a klasszikus fertőzési mechanizmusokat használja:

• Vírusok , amelyek a következők formájában lehetnek:
  • Csatolt rosszindulatú programok ;
  • Trójai faló (ártalmatlan kinézetű fájl, például .exe alkalmazások vagy normál fájlok);
  • Faille böngésző vagy szoftver;
  • P2P, ahol a rosszindulatú kód érvényes fájlként maszkírozik.
  • Szándékos, mint például a helyi botnetek, amelyek általában növelik az áradási folyamatokat.
• Társadalmi mérnöki tevékenységgel kombinálva a felhasználó megtévesztésére.

Aktiválás

A telepítés után ez a szoftverbázis bejelentheti a gépet egy központnak, amely ezt követően aktívnak fogja tekinteni . Ez a botnet koncepció egyik kulcsa, nevezetesen az, hogy a fertőzött gépet immár távolról is vezérelheti egy (vagy több) harmadik féltől származó gép. Bizonyos esetekben más fázisokra (önvédelem, frissítés stb.) Van szükség a működési szakaszba lépéshez.

Frissítés

Miután a gép megfertőződött és az aktiválás megtörtént, a botnet képes frissíteni önmagát, önállóan módosítani, funkciókat hozzáadni stb. Ez jelentős hatással van a botnet veszélyességére és a harci eszközök leállításának képességére, mert a botnet így módosíthatja vírusos aláírását és egyéb jellemzőit, amelyek felfedezéséhez és azonosításához vezethetnek.

Önvédelem

Eredetileg vagy egy frissítési fázist követően a botnet arra törekszik, hogy biztosítsa magának a tevékenység folytatásához szükséges eszközöket, valamint az elrejtést. Ez magában foglalhatja:

• Rootkitek telepítése  ;
• A rendszer módosítása (hálózati szűrési szabályok módosítása, biztonsági eszközök deaktiválása stb.);
• Önmódosítás (aláírásának módosítására);
• A botnetet megzavaró egyéb rosszindulatú programok eltávolítása;
• A fogadó rendszer sérülékenységeinek kihasználása stb.

Terjedés

A botnet mérete mind a hatékonyságot, mind a hozzáadott értéket biztosítja a botnet szponzorai és felhasználói számára. Ezért gyakori, hogy a telepítést követően a zombi gép megpróbálja kibővíteni a botnetet:

• Vírusos terjesztés útján, gyakran spam kampány során (linkek, rosszindulatú programok a csatolt fájlokban stb.)
• Szkenneléssel:
  • Kihasználni azokat a hibákat, amelyeket tudni fog felismerni;
  • Ahhoz, hogy használni ismert vagy már telepítve backdoors ;
  • Elvégzésére brute force támadások , stb

Működési szakasz

A botnet telepítése és deklarálása után a zombi gép engedelmeskedhet a támadó által kívánt műveletek végrehajtására adott utasításoknak (szükség esetén további eszközök telepítésével távoli frissítés útján):

• Spam küldése  ;
• Hálózati támadások;
• Részvétel a dinamikus DNS-kiszolgáló szolgáltatásban vagy a DDNS ( gyors fluxus );
• Rendszererőforrások használata elosztott számításhoz ( jelszó megszakítása ) stb.

A botnet példájának illusztrációja

Az e-mail küldéséhez használt botnet így működik  :

Botnet mérete

Rendkívül nehéz megbízható és pontos adatokkal rendelkezni, mivel a legtöbb botnet csak közvetetten detektálható. Egyes szervezetek, mint például a shadowserver.org, megpróbálnak számokat felállítani a hálózati tevékenységből, a parancsnoki központok észleléséből stb.

Hálózatok száma (botnetek)

A becslések szerint 2010 februárjától 4000 és 5000 között aktív botnetek voltak. Ezt az értéket alacsony tartománynak kell tekinteni, mivel a botnetek egyre inkább lopakodnak, és a teljes internetes hálózat felügyelete lehetetlen.

Hálózat mérete

A botnet mérete változó, de egyre gyakoribb, hogy egy hálózat zombi gépek ezreiből áll . 2008-ban, az RSA konferencia során a top 10 hálózat 10 000-315 000 gépet tartalmazott, az e-mail küldés kapacitása napi 300 millió és 60 milliárd között mozgott (a Srizbi esetében, az ország legnagyobb botnetje).

2009 végén a MessageLabs a következő top 10-et adta:

A top 10 botnet 2009-ben

Botnet neve	Gépek száma	Kapacitás levélenként percenként
Rustock	540 000–810 000	14 000 000
Cutwail	1 100 000–1 600 000	12 800 000
Bagle	520 000 - 780 000	12 000 000
Bobax	110 000–160 000	10 000 000
Grum	580 000 - 860 000	6 800 000
Maazben	240 000–360 000	1,5 millió
Festi	140 000–220 000	900 000
Mega-D	50 000 - 70 000	690 000
Xarvester	20 000 - 36 000	615 000
Gheg	50 000 - 70 000	300 000

A fertőzött gépek teljes száma

A MessageLabs 2009-es jelentésében azt is becsülte, hogy 5 millió gép került veszélybe egy spam botnet hálózatban .

Küzdelem a botnetek fellépése ellen

A botnet összetétele, amely néha nagyon sok gépből áll, megnehezíti a műveletek és források nyomon követhetőségét. Minél nagyobb a botnet, annál nehezebb leállítani és leállítani azt is, mivel mind a botnetet aktiváló ágensek terjedésének megállítására, mind a sérült gépek megtisztítására van szükség.

Az idősebb generációk gyakran támaszkodnak egy központosított vagy könnyen deaktiválható vezérlőközpontra (a fix IP-cím vagy a domain név betiltható, az IRC-csatorna bezárható stb.). Most a peer-to-peer lehetővé teszi a kommunikációs rendszer rugalmasságát, és az eltérített Web 2.0 funkciók nagyon bonyolulttá teszik a lehallgatást: a botnet keres egy kulcsszót az interneten, és annak segítségével meghatározza az adatközpont helyét. meg kell kapnia a megrendeléseit.

Több összehangolt intézkedések, amelyek a Microsoft biztonsági osztálya erősen érintett lehetővé tették, hogy szét két nagy hálózatok: Waledac és Rustock (műveletek úgynevezett B49 és B107 -kal). 2011 márciusáig a Rustock körülbelül 1 millió géppel rendelkezett, amelyek a globális spam 47,5% -át generálták (a Symantec adatai szerint ), és forráskódja 106 IP-címet használt fel az irányításához.

Érzékelés

• Ujjlenyomatok
• Forgalmi megfigyelés
• Naplóelemzés

Megelőzés

• Feketelisták
  • RBL
  • DNSBL
  • Botnet listák
• Szokásos hálózati védelmi intézkedések (particionálás, korlátozások stb.)

Szokásos gépvédelmi intézkedések (víruskereső, HIDS / HIPS, jelszó, felhasználói jogkezelés, spamellenes, frissítéskezelés stb.)

Vírusirtó

• ESET Sirefef EV Cleaner

• Panda Sirefef / ZAccess fertőtlenítő eszköz

Megjegyzések és hivatkozások

1. F. Ducrot, M. Danho, X. Marronnier, „  SZÁMÍTÓGÉP BIZTONSÁG, 61. szám  ” , CNRS,2007. október
2. (in) McAfee vírus adatbázist, W32 / Pretty.worm
3. B. Braud, "  A Mac Zombie Machines első hálózatát felfedezték  ", 01netPRO,2009. április 17
4. "  bosszúálló DDoS támadások elkövetett Xbox Live  " , PCInpact,2009. február
5. B. Braud, „A  Zombie Worm kis Linux routereket vesz fel  ”, 01netPRO,2009. március 25
6. "  a botnet összes számítógépének egynegyede  " , Ars Technica,2007. január
7. leMondeInformatique.fr, "  Geinimi: az Androidot célzó zavaró trójai program  " , leMondeInformatique.fr, 2010(megtekintés : 2012. szeptember 18. )
8. „  A DDoS kulisszái mögött  ” [ archívum2010. január 2] , zataz.com,2008. szeptember 10(megtekintés : 2010. március 4. )
9. "A  Microsoft valóban összetörte a Waledac botnetet?"  » , 01netPRO,2010. február 26
10. "  És most a Mirai botnet képes kibányászni a Bitcoins-t!"  " ,2017. április 11
11. (in) "  Hogyan működtet egy cybergang 1,9 millió fertőzött számítógépes hálózatot  " , Finjan Vital Security,2009. április 22
12. "A  kutatók betörtek egy botnet hátsó irodájába  " , 01netPRO,2009. április 23
13. N. Simonin, "  Számítógépes támadások Grúziában  " ,2008. szeptember 29
14. (in) J. Kirk, "  Észtország visszanyeri a masszív DDoS támadás  " , COmputerSecurity világ2007. május
15. (in) "  Oroszország megerősíti bevonása Észtországgal DDoS támadások  " SC Magazine,2009. március
16. Ethan Zuckerman : "  Van-e Vietnámnak rosszindulatú program-felügyelete?"  " ,2010. április 10
17. (in) "  hacker ítélték két év szövetségi börtönben  " , Department of Justice, Eastern District of California
18. J. Saiz (SecurityVibes), "A  botnetek a Web 2.0-ra lépnek  " ,2008. július 21
19. (in) Julian B. Grizzard Vikram Sharma, Chris apácakolostor, Brent Byunghoon Kang, David Dagon "  Peer-to-Peer botnetek: Áttekintés és esettanulmány  " ,2007
20. (in) Joe Stewart, a rendező malware kutatás SecureWorks, "  Inside the Storm: protokollok és titkosítási a Storm botnet  " ,2008 : Storm bemutatása, a rejtett csatorna technikával
21. J. Saiz (SecurityVibes), „  Avi Chesla:„ Az új robotrobbanás az Ajaxhoz kerül  ” ,2008. július 21
22. Ranieri Romera (TrendLabs), „  Mehika Twitter Botnet megcélozza a Twitter felhasználókat  ” ,2010. szeptember 13
23. (in) "  A rosszindulatú IRC-robotok fejlődése  " , Symantec Security Response,2004(hozzáférés : 2010. február 16. )
24. http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
25. "  Egymillió robot PC 100 milliárd spam  " , NetEco,2008. április 10
26. (en) "  MessageLabs Intelligence: 2009. évi éves biztonsági jelentés  " ,2009(megtekintés : 2010. február 14. )
27. (in) "  Megszűnt a Rustock botnet spamelés?  " , Symantec,2011. március 17
28. "A  Microsoft lefejezi a világ egyik legnagyobb botnetjét,  " 01net.com,2011. március 21

Lásd is

Kapcsolódó cikkek

• Rootkit
• Vírusirtó
• Sirefef

Külső linkek

• (en) Shadowserver.org, a botnet tevékenységét figyelő szervezet
• (in) Botnets.fr Wiki botnetek tanulmányozása