Botnet - Botnet

Stacheldraht DDoS hujumini ko'rsatadigan botnet diagrammasi. (E'tibor bering, bu shuningdek, botnetning mijoz-server modeli turiga misoldir.)

A botnet soni Internet - har biri bittadan yoki bir nechta ishlayotgan ulangan qurilmalar botlar. Botnetlardan ijro etish uchun foydalanish mumkin Xizmat ko'rsatishni taqiqlash (DDoS) hujumlar, ma'lumotlarni o'g'irlash,[1] spam yuboring va tajovuzkorning qurilmaga va uning ulanishiga kirishiga ruxsat bering. Egasi buyruq va boshqarish (C&C) dasturi yordamida botnetni boshqarishi mumkin.[2] "Botnet" so'zi a portmanteau so'zlaridan "robot "va"tarmoq "Ushbu atama odatda salbiy yoki zararli ma'noda ishlatiladi.

Umumiy nuqtai

Botnet - bu mantiqiy to'plam Internet - kompyuterlar kabi ulangan qurilmalar, smartfonlar yoki IoT xavfsizligi buzilgan qurilmalar va boshqarish uchinchi tomonga berilgan. "Bot" deb nomlanuvchi har bir buzilgan qurilma, a-dan dasturiy ta'minot kirib kelganida yaratiladi zararli dastur (zararli dasturiy ta'minot) tarqatish. Botnet boshqaruvchisi ushbu buzilgan kompyuterlarning faoliyatini standartlarga asoslangan aloqa kanallari orqali boshqarishi mumkin tarmoq protokollari, kabi ARM va Gipermatn uzatish protokoli (HTTP).[3][4]

Botnetlar tobora ko'payib bormoqda ijaraga berildi tomonidan kiber jinoyatchilar turli maqsadlar uchun tovar sifatida.[5]

Arxitektura

Botnet arxitekturasi vaqt o'tishi bilan aniqlanib, buzilishdan qochish maqsadida rivojlanib bordi. An'anaga ko'ra, bot dasturlari mavjud serverlar orqali aloqa qiladigan mijozlar sifatida tuziladi. Bu imkon beradi botchi (botnetni boshqaruvchi shaxs) trafikni buzadigan masofadan turib barcha boshqaruvni amalga oshirish.[6] Yaqinda ko'plab botnetlar aloqa qilish uchun mavjud peer-to-peer tarmoqlariga ishonishadi. Ushbu P2P bot dasturlari mijoz-server modeli bilan bir xil amallarni bajaradi, lekin ular bilan aloqa qilish uchun markaziy server talab qilinmaydi.

Mijoz-server modeli

Mijoz-server modeliga asoslangan tarmoq, bu erda alohida mijozlar markazlashtirilgan serverlardan xizmatlar va resurslarni so'rashadi

Internetdagi birinchi botnetlar o'z vazifalarini bajarish uchun mijoz-server modelidan foydalanganlar. Odatda, ushbu botnetlar Internet Relay Chat tarmoqlari, domenlari yoki veb-saytlari orqali ishlaydi. Yuqtirilgan mijozlar oldindan belgilangan joyga kirishadi va serverdan keladigan buyruqlarni kutishadi. Bot-podachi serverga buyruqlar yuboradi, bu ularni mijozlarga etkazadi. Mijozlar buyruqlarni bajaradilar va ularning natijalari haqida bot botiriga xabar berishadi.

IRC botnetlari bilan kasallangan mijozlar yuqtirilgan IRC-serverga ulanadi va bot-podachi tomonidan C&C uchun oldindan belgilangan kanalga qo'shilishadi. Bot-podachi IRC-server orqali kanalga buyruqlar yuboradi. Har bir mijoz buyruqlarni oladi va ularni bajaradi. Mijozlar o'z harakatlarining natijalari bilan xabarlarni ARM kanaliga qaytarib yuboradilar.[6]

Foydalanuvchilararo

O'zaro bog'langan tugunlar ("tengdoshlar") markazlashtirilgan ma'muriy tizimdan foydalanmasdan o'zaro resurslarni almashadigan "peer-to-peer" (P2P) tarmog'i.

IRC botnetlarini aniqlash va boshini kesishga qaratilgan sa'y-harakatlarga javoban bot-chorvachilar zararli dasturlarni "peer-to-peer" tarmog'iga joylashtirishni boshladilar. Ushbu botlarda raqamli imzolardan foydalanish mumkin, shunda botnetni faqat shaxsiy kalitga kirish huquqiga ega bo'lgan kishi boshqarishi mumkin.[7] Masalan, qarang. ZeuS-ga o'tish va ZeroAccess botnet.

Yangi botnetlar P2P tarmoqlarida to'liq ishlaydi. P2P-botlar markazlashgan server bilan muloqot qilish o'rniga, buyruqlarni tarqatish serveri va buyruqlarni qabul qiluvchi mijoz sifatida ham ishlaydi.[8] Bu markazlashtirilgan botnetlar uchun muammo bo'lgan har qanday muvaffaqiyatsizlikka yo'l qo'ymaydi.

Boshqa virusli kompyuterlarni topish uchun bot boshqa virusli kompyuter bilan aloqa qilguncha tasodifiy IP-manzillarni sinchkovlik bilan tekshiradi. Aloqa qilingan bot, uning dasturiy ta'minot versiyasi va ma'lum botlarning ro'yxati kabi ma'lumotlarga javob beradi. Agar botlarning versiyasidan biri boshqasidan pastroq bo'lsa, ular yangilash uchun fayl uzatishni boshlashadi.[7] Shunday qilib, har bir bot virusga chalingan mashinalar ro'yxatini ko'paytiradi va vaqti-vaqti bilan ma'lum bo'lgan barcha botlarga murojaat qilib o'zini yangilaydi.

Asosiy komponentlar

Botnet yaratuvchisi ("nomi bilan tanilgan"botchi "yoki" bot master ") botnetni masofadan boshqaradi. Bu buyruq-buyruq (C&C) deb nomlanadi. Amaliyot uchun dastur yashirin kanal jabrlanuvchining mashinasida (zombi kompyuterda) mijozga.

Boshqarish protokollari

ARM tarixiy jihatdan C&C vositasi hisoblanadi aloqa protokoli. Bot-podachi infektsiyalangan mijozlarning qo'shilishi uchun IRC kanalini yaratadi. Kanalga yuborilgan xabarlar barcha kanal a'zolariga etkaziladi. Bot podachi kanal mavzusini botnetga buyruq berish uchun o'rnatishi mumkin. Masalan, xabar : herder! [email protected] MAVZU #kanal DDoS www.victim.com bot chavandozidan #channel-ga tegishli barcha yuqtirgan mijozlar www.victim.com veb-saytida DDoS hujumini boshlash to'g'risida ogohlantiradi. Javobning misoli : bot1! [email protected] PRIVMSG #kanal Men DDoSing qilaman www.victim.com bot mijozi hujumni boshlaganligi haqida bot-chorvachini ogohlantiradi.[7]

Ba'zi botnetlar taniqli protokollarning maxsus versiyalarini amalga oshiradilar. Amaldagi farqlar botnetlarni aniqlash uchun ishlatilishi mumkin. Masalan, Mega-D biroz o'zgartirilgan xususiyatlar SMTP spam qobiliyatini sinash uchun dastur. Pastga tushirish Mega-D "s SMTP server xuddi shu narsaga tayanadigan botlarning to'liq to'plamini o'chirib qo'yadi SMTP server.[9]

Zombi kompyuter

Informatika fanida, a zombi kompyuter Internetga ulangan, xaker, kompyuter virusi yoki troyan oti tomonidan buzilgan va u yoki boshqa turdagi zararli vazifalarni uzoqdan boshqarishda bajarish uchun ishlatilishi mumkin bo'lgan kompyuter. Zombi kompyuterlarining botnetlari ko'pincha elektron pochta orqali spam tarqatish va xizmatdan voz kechish hujumlarini boshlash uchun ishlatiladi. Zombi kompyuterlarining aksariyat egalari ularning tizimidan shu tarzda foydalanilayotganligini bilishmaydi. Egasi bilmaslik tendentsiyasiga ega bo'lganligi sababli, ushbu kompyuterlar metafora bilan zombi bilan taqqoslanadi. Bir nechta botnet mashinalari tomonidan muvofiqlashtirilgan DDoS hujumi ham zombi guruhi hujumiga o'xshaydi. Ko'pgina kompyuter foydalanuvchilari kompyuterlari botlardan zararlanganligini bilishmaydi.[10]

Tizimning "botnet" ga qo'shilishi natijasida hisoblash resurslarini o'g'irlash jarayoni ba'zan "scrumping" deb nomlanadi.[11]

Buyruq va boshqaruv

Botnet Command and control (C&C) protokollari an'anaviy IRC yondashuvlaridan tortib to murakkab versiyalarigacha bir qancha usullar bilan amalga oshirildi.

Telnet

Telnet botnetlari oddiy C&C botnet protokolidan foydalanadilar, unda botlar botnetni joylashtirish uchun asosiy buyruq serveriga ulanadi. Botlar botnetga skanerlash skriptidan foydalangan holda qo'shiladi, skanerlash buyrug'i tashqi serverda ishlaydi va telnet va SSH serverlarining standart kirishlari uchun IP diapazonlarini tekshiradi. Kirish topilgandan so'ng u infektsiyalar ro'yxatiga qo'shiladi va skaner serveridan SSH orqali zararli infektsiya liniyasi bilan yuqadi. SSH buyrug'i ishga tushirilganda, u serverga zarar etkazadi va serverni boshqarish serveriga ping yuborishni buyuradi va uning zararli kodidan uning quliga aylanadi. Serverlar serverga yuqtirilgandan so'ng, bot boshqaruvchisi xost-serverdagi C&C paneli yordamida katta hajmdagi DDoS hujumlarini boshlashi mumkin.

ARM

IRC tarmoqlari oddiy, past tarmoqli kengligi bilan aloqa usullarini qo'llaydi va ularni botnetlarni joylashtirish uchun keng foydalanadi. Ular qurilishda nisbatan sodda bo'lib, DDoS hujumlari va spam-kampaniyalarini muvofiqlashtirish uchun o'rtacha muvaffaqiyat bilan ishlatilgan, shu bilan birga kanallarni o'chirib qo'ymaslik uchun kanallarni doimiy ravishda almashtirish imkoniyati mavjud edi. Biroq, ba'zi hollarda, faqat ba'zi bir kalit so'zlarni blokirovka qilish IRC-ga asoslangan botnetlarni to'xtatishda samarali bo'ldi. The RFM 1459 (ARM ) standart botnetlar bilan mashhur. "MaXiTE Bot" birinchi mashhur botnet kontroller skriptida shaxsiy boshqaruv buyruqlari uchun IRC XDCC protokoli ishlatilgan.

IRC-dan foydalanishda bitta muammo shundaki, har bir bot mijozi botnetdan foydalanish uchun IRC serverini, portini va kanalini bilishi kerak. Zararli dasturlarga qarshi tashkilotlar ushbu serverlar va kanallarni aniqlay oladi va o'chirib qo'yishi mumkin, bu esa botnet hujumini samarali ravishda to'xtatadi. Agar shunday bo'ladigan bo'lsa, mijozlar yuqtirishadi, ammo ular odatda harakatsiz yotishadi, chunki ko'rsatmalar olish imkoniyati yo'q.[7] Ushbu muammoni yumshatish uchun botnet bir nechta serverlardan yoki kanallardan iborat bo'lishi mumkin. Agar serverlardan yoki kanallardan biri o'chirib qo'yilsa, botnet boshqasiga o'tadi. IRC trafigini hidlash orqali qo'shimcha botnet serverlarini yoki kanallarini aniqlash va buzish hali ham mumkin. Botnet raqibi, hatto potentsial ravishda boshqarish sxemasi haqida bilimga ega bo'lishi va buyruqlarni to'g'ri berib, bot podasini taqlid qilishi mumkin.[12]

P2P

IRC tarmoqlari va domenlaridan foydalanadigan ko'pgina botnetlar vaqt o'tishi bilan olib tashlanishi mumkinligi sababli, xakerlar uni olib tashlashni qiyinlashtiradigan usul sifatida C&C bilan P2P botnetlariga o'tdilar.

Ba'zilar botnetni boshqalardan himoya qilish yoki bloklashning bir usuli sifatida shifrlashdan foydalanganlar, ko'pincha ular shifrlashda foydalanadilar ochiq kalitli kriptografiya va uni amalga oshirishda ham, uni buzishda ham qiyinchiliklarga duch keldi.

Domenlar

Ko'pgina yirik botnetlar o'zlarining qurilishlarida IRC-dan ko'ra domenlardan foydalanishga moyildirlar (qarang. Qarang) Rustock botnet va Srizbi botnet ). Ular odatda mezbonlikda o'q o'tkazmaydigan xosting xizmatlar. Bu C&C ning dastlabki turlaridan biridir. A zombi kompyuter boshqariladigan buyruqlar ro'yxatiga xizmat qiluvchi maxsus ishlab chiqilgan veb-sahifa yoki domen (lar) ga kirish huquqini beradi. Veb-sahifalar yoki domenlardan C&C sifatida foydalanishning afzalliklari shundaki, katta botnetni osonlikcha yangilanishi mumkin bo'lgan juda oddiy kod yordamida samarali boshqarish va saqlash mumkin.

Ushbu usuldan foydalanishning kamchiliklari shundaki, u keng miqyosda o'tkazuvchanlik kengligidan foydalanadi va domenlar davlat idoralari tomonidan juda ko'p qiyinchilik va kuch sarflamasdan tezda egallab olinadi. Agar botnetlarni boshqaruvchi domenlar qo'lga olinmasa, ular bilan murosa qilish oson bo'lgan maqsadlardir xizmatni rad etish xurujlari.

Tez oqim DNS kundan-kunga o'zgarishi mumkin bo'lgan boshqaruv serverlarini kuzatib borishni qiyinlashtiradigan usul sifatida foydalanish mumkin. Boshqarish serverlari DNS domenidan DNS domeniga o'tish mumkin domen yaratish algoritmlari boshqaruvchi serverlari uchun yangi DNS nomlarini yaratish uchun foydalanilmoqda.

Ba'zi botnetlar bepul foydalanadi DNS a uchun DynDns.org, No-IP.com va Afraid.org kabi xosting xizmatlari subdomain botlarni joylashtiradigan IRC-server tomon. Ushbu bepul DNS xizmatlari o'zlari hujumlarni amalga oshirmasa ham, ular mos yozuvlar nuqtalarini taqdim etadilar (ko'pincha botnet dasturida qattiq kodlangan). Bunday xizmatlarni olib tashlash butun botnetni nogiron qilishi mumkin.

Boshqalar

Katta ijtimoiy media saytlariga qayta qo'ng'iroq qilish[13] kabi GitHub,[14] Twitter,[15][16] Reddit,[17] Instagram,[18] The XMPP ochiq manbali tezkor xabar protokoli[19] va Tor yashirin xizmatlar[20] oldini olishning mashhur usullari chiqish filtrlash C&C serveri bilan aloqa o'rnatish.[21]


Qurilish

An'anaviy

Ushbu misol botnet qanday qilib zararli daromad uchun yaratilganligi va ishlatilishini tasvirlaydi.

  1. Hacker troyan dasturini sotib oladi yoki quradi va / yoki ekspluatatsiya vositasini ishlatadi va undan foydalanib, zararli dastur hisoblangan foydalanuvchilarning kompyuterlariga zarar etkazishni boshlaydi. bot.
  2. The bot zararlangan kompyuterga ma'lum bir buyruq-buyruq (C&C) serveriga ulanishni buyuradi. (Bu botmasterga qancha botlarning faolligi va Internetdagi jurnallarini saqlashga imkon beradi.)
  3. Keyin botmaster botlardan klaviatura tugmachalarini bosish yoki onlayn hisobga olish ma'lumotlarini o'g'irlash uchun shaklni tortib olish uchun ishlatishi mumkin va botnetni DDoS va / yoki spam sifatida xizmat sifatida ijaraga olishi yoki foyda olish uchun hisob ma'lumotlarini Internetda sotishi mumkin.
  4. Botlarning sifati va qobiliyatiga qarab qiymati oshiriladi yoki kamayadi.

Yangi botlar o'zlarining atrof-muhitlarini avtomatik ravishda skanerlashi va zaifliklar va zaif parollar yordamida o'zlarini ko'paytirishi mumkin. Odatda, bot qanchalik ko'p zaifliklarni skanerlashi va tarqatishi mumkin bo'lsa, botnet boshqaruvchisi hamjamiyati uchun shunchalik qimmatroq bo'ladi.[22]

Zararli dasturiy ta'minotni ishga tushirishda kompyuterlar botnet-ga qo'shilishi mumkin. Bunga foydalanuvchilarni "a" ni jalb qilish orqali jalb qilish orqali erishish mumkin haydovchi tomonidan yuklab olish, ekspluatatsiya qilish veb-brauzerning zaif tomonlari, yoki foydalanuvchini aldab, ishga tushirishga Troyan oti dastur, bu elektron pochta birikmasidan kelib chiqishi mumkin. Ushbu zararli dastur odatda kompyuterga botnet operatori tomonidan buyruq berish va boshqarish imkonini beradigan modullarni o'rnatadi. Dastur yuklab olingandan so'ng, u uyga qo'ng'iroq qiladi (qayta ulanishni yuboring) paket ) asosiy kompyuterga. Qayta ulanish o'rnatilganda, uning yozilishiga qarab, troyan keyinchalik o'zini o'chirib tashlashi yoki modullarni yangilash va saqlash uchun mavjud bo'lib qolishi mumkin.

Boshqalar

Ba'zi hollarda botnet vaqtincha ko'ngilli tomonidan yaratilishi mumkin hacktivistlar, masalan, amalga oshirish bilan Past Orbit Ion Cannon tomonidan ishlatilgan 4chan davomida a'zolar Chanologiya loyihasi 2010 yilda.[23]

Xitoy Xitoyning buyuk to'pi saytida qonuniy veb-brauzer trafigini o'zgartirishga imkon beradi Internet magistrallari kabi yirik maqsadlarga hujum qilish uchun katta efemer botnet yaratish uchun Xitoyga GitHub 2015 yilda.[24]

Umumiy xususiyatlar

  • Hozirda ko'plab botnetlar mavjud tarqatilgan xizmatni rad etish xurujlari unda bir nechta tizim bitta Internet-kompyuterga yoki xizmatga iloji boricha ko'proq so'rov yuboradi, uni ortiqcha yuklaydi va qonuniy so'rovlarga xizmat ko'rsatishning oldini oladi. Masalan, jabrlanuvchining serveriga qilingan hujum. Jabrlanuvchining serverini botlar so'rovlar bilan bombardimon qilmoqdalar va serverga ulanishga urinmoqdalar, shuning uchun uni haddan tashqari yuklaydilar.
  • Shpion dasturlari dastur yaratuvchisiga foydalanuvchi faoliyati to'g'risida ma'lumot - odatda parollar, kredit karta raqamlari va qora bozorda sotilishi mumkin bo'lgan boshqa ma'lumotlarni yuboradigan dasturiy ta'minotdir. Korxona tarmog'ida joylashgan murosasiz mashinalar bot-botchi uchun ko'proq qiymatga ega bo'lishi mumkin, chunki ular ko'pincha maxfiy korporativ ma'lumotlarga ega bo'lishlari mumkin. Aurora botnet kabi maxfiy ma'lumotlarni o'g'irlashga qaratilgan yirik korporatsiyalarga bir nechta maqsadli hujumlar.[25]
  • Elektron pochta orqali spam yuborish odamlar xabarlari sifatida yashiringan elektron pochta xabarlari, ammo reklama, bezovta qiluvchi yoki zararli.
  • Firibgarlikni bosing foydalanuvchi shaxsiy yoki tijorat maqsadlarida yolg'on veb-trafik yaratish uchun foydalanuvchi kompyuteridan foydalanuvchini xabardor qilmasdan veb-saytlarga kirganda yuz beradi.[26]
  • Reklama firibgarligi ko'pincha CHEQ, Ad Fraud 2019, Internetdagi yomon aktyorlarning iqtisodiy xarajatlari bo'yicha botlarning zararli faoliyatining natijasidir.[27] Botlarning tijorat maqsadlarida ta'sir o'tkazuvchilar o'zlarining taxmin qilinadigan mashhurligini oshirish uchun foydalanadilar va botlarni ishlatadigan onlayn nashriyotlar reklama bosish sonini ko'paytirish uchun saytlarga reklama beruvchilardan ko'proq komissiya olishlariga imkon beradi.
  • Bitcoin konchilik botnet operatori uchun foyda olish uchun bitcoin qazib olishni o'z ichiga olgan so'nggi botnetlarning bir qismida ishlatilgan.[28][29]
  • Oldindan tuzilgan buyruqbozlik (CNC) buyrug'ini izlash uchun o'z-o'zini yoyish funktsiyasi, ko'proq yuqtirishni maqsad qilgan maqsadli qurilmalar yoki tarmoqni o'z ichiga oladi, shuningdek, bir nechta botnetlarda. Ba'zi botnetlar ushbu funktsiyadan infektsiyalarni avtomatlashtirish uchun foydalanmoqdalar.

Bozor

Botnet-qo'mondonlari hamjamiyati kimning botlari ko'p, umumiy o'tkazuvchanligi eng yuqori va universitet, korporativ va hattoki davlat mashinalari singari yuqtirgan "yuqori sifatli" mashinalari kimga ega ekanligi to'g'risida doimiy va doimiy kurash olib boradi.[30]

Botnetlar ko'pincha ularni yaratgan zararli dastur nomi bilan atalgan bo'lsa, bir nechta botnet odatda bir xil zararli dasturdan foydalanadi, ammo turli xil tashkilotlar tomonidan boshqariladi.[31]

Fishing

Botnetlardan ko'plab elektron firibgarliklar uchun foydalanish mumkin. Ushbu botnetlar oddiy foydalanuvchilarni kompyuter / dasturiy ta'minotni boshqarish uchun viruslar kabi zararli dasturlarni tarqatishda ishlatilishi mumkin[32] Birovning shaxsiy kompyuterini boshqarish orqali ular o'zlarining shaxsiy ma'lumotlariga, shu jumladan parollarga va hisob qaydnomalariga kirish ma'lumotlariga cheksiz kirish huquqiga ega. Bu deyiladi fishing. Fishing - bu "jabrlanuvchi" elektron pochta yoki matn orqali yuborilgan "jabrlanuvchi" bosgan havola orqali "jabrlanuvchining" hisob raqamlariga kirish ma'lumotlarini olish.[33] Tomonidan so'rovnoma Verizon elektron "josuslik" holatlarining uchdan ikki qismi fishingdan kelib chiqishini aniqladi.[34]

Qarshi choralar

Botnetlarning geografik tarqalishi har bir yollovchining individual ravishda aniqlanishi / tuzatilishi / ta'mirlanishi kerakligini anglatadi va uning afzalliklarini cheklaydi. filtrlash.

Kompyuter xavfsizligi bo'yicha mutaxassislar zararli dasturlarni boshqarish va boshqarish tarmoqlarini, boshqa yo'llar bilan bir qatorda, serverlarni tortib olish yoki ularni Internetdan uzib qo'yish orqali yo'q qilishga yoki zararli dasturlar tomonidan C&C infratuzilmasiga murojaat qilish uchun ishlatilishi kerak bo'lgan domenlarga kirishni rad etishga muvaffaq bo'lishdi. va ba'zi hollarda, C&C tarmog'ining o'ziga kirib borishi.[35][36][37] Bunga javoban C&C operatorlari o'zlarining C&C tarmoqlarini boshqa mavjud bo'lgan yaxshi infratuzilma ustiga joylashtirish kabi usullardan foydalanishdi. ARM yoki Tor, foydalanib peer-to-peer tarmog'i har qanday sobit serverlarga bog'liq bo'lmagan tizimlar va ulardan foydalanish umumiy kalitlarni shifrlash tarmoqni buzib kirishga yoki uni buzishga urinishlarni engish uchun.[38]

Norton AntiBot iste'molchilarga qaratilgan, ammo aksariyat maqsadli korxonalar va / yoki Internet-provayderlar. Xostga asoslangan texnikalar odatiylikni chetlab o'tgan bot xatti-harakatlarini aniqlash uchun evristikadan foydalanadi virusga qarshi dastur. Tarmoqqa asoslangan yondashuvlar yuqorida tavsiflangan usullardan foydalanishga moyil; C&C serverlarini o'chirish, DNS yozuvlarini bekor qilish yoki IRC serverlarini to'liq o'chirish. BotHunter ning ko'magi bilan ishlab chiqilgan dasturiy ta'minotdir AQSh armiyasining tadqiqot byurosi, tarmoq trafigini tahlil qilish va zararli jarayonlarga xos bo'lgan naqshlar bilan taqqoslash orqali tarmoq ichidagi botnet faolligini aniqlaydi.

Tadqiqotchilar Sandia milliy laboratoriyalari bir vaqtning o'zida bir million Linux yadrosi - botnetga o'xshash shkala-ni ishga tushirish orqali botnetlarning xatti-harakatlarini tahlil qilmoqdalar virtual mashinalar 4.480 tugunli yuqori mahsuldorlikda kompyuter klasteri ularga juda katta tarmoqni taqlid qilish, ularga botnetlarning ishlashini kuzatish va ularni to'xtatish usullari bilan tajriba o'tkazish.[39]

Avtomatlashtirilgan bot-hujumlarni aniqlash har kuni qiyinlashmoqda, chunki botlarning yangi va zamonaviy avlodlari tajovuzkorlar tomonidan ishga tushirilmoqda. Masalan, avtomatlashtirilgan hujum katta bot armiyasini joylashtirishi va hisoblarni buzish uchun juda aniq foydalanuvchi nomi va parol ro'yxatlari bilan qo'pol kuch ishlatish usullarini qo'llashi mumkin. Ushbu g'oya butun dunyodagi turli xil IP-lardan o'n minglab so'rovlar bilan to'ldirishdir, lekin har bir bot faqat har 10 daqiqada bitta so'rov yuboradi, natijada kuniga 5 milliondan ortiq urinishlar bo'lishi mumkin.[40] Bunday hollarda, ko'plab vositalar volumetrik aniqlash vositalaridan foydalanishga harakat qilmoqdalar, ammo avtomatlashtirilgan bot xujumlari hozirda volumetrik aniqlashning triggerlarini chetlab o'tish usullariga ega.

Ushbu bot hujumlarini aniqlash usullaridan biri bu "imzoga asoslangan tizimlar" deb nomlanadi, bunda dastur so'rov paketidagi naqshlarni aniqlashga harakat qiladi. Ammo hujumlar doimiy ravishda rivojlanib boradi, shuning uchun bu minglab so'rovlardan naqshlarni ajratib bo'lmaydigan bo'lsa, bu mos variant bo'lmasligi mumkin. Botlarni to'xtatish uchun xulq-atvor yondashuvi ham mavjud, bu oxir-oqibat botlarni odamlardan ajratishga harakat qilmoqda. Odamlarga xos bo'lmagan xatti-harakatlarni aniqlash va ma'lum bo'lgan bot xatti-harakatlarini aniqlash orqali ushbu jarayon foydalanuvchi, brauzer va tarmoq darajalarida qo'llanilishi mumkin.

Virusga qarshi kurashish uchun dasturiy ta'minotdan foydalanishning eng qobiliyatli usuli bu foydalanishdir chuqurchalar zararli dasturiy ta'minotni tizim zaifligiga ishontirish uchun dasturiy ta'minot. Keyinchalik zararli fayllar sud ekspertizasi dasturi yordamida tahlil qilinadi.[41]

2014 yil 15 iyulda Amerika Qo'shma Shtatlari Senati Adliya qo'mitasining Jinoyatchilik va terrorizmga qarshi kichik qo'mitasi botnetlar va jamoatchilik tomonidan tahdidlar va ularni buzish va tarqatib yuborish harakatlari to'g'risida tinglov o'tkazdi.[42]

Botnetlarning tarixiy ro'yxati

Birinchi botnet birinchi bo'lib tan olingan va fosh bo'lgan EarthLink taniqli spammer Xan Smit bilan sud jarayonida[43] 2001 yilda ommaviy spam maqsadida o'sha paytdagi barcha spamlarning deyarli 25 foizini tashkil qilgan.[44]

2006 yilga kelib, aniqlashni to'xtatish uchun, ba'zi botnetlar hajmi kattalashib ketdi.[45]

Yaratilgan sanaSana demontaj qilindiIsmYo'q, taxmin qilingan. botlardanSpam hajmi (milliard / kun)Taxalluslar
1999! a999,999,999100000! a
2003MaXiTE500-1000 ta server0MaXiTE XDCC Bot, MaXiTE IRC TCL skript, MaxServ
2004 yil (erta)Bagle230,000[46]5.7Beagle, Mitglieder, Lodeight
Marina Botnet6,215,000[46]92Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig180,000[47]Sinowal, Anserin
Bo'ron160,000[48]3Nuvar, Peacomm, Zhelatin
2006 yil (atrofida)2011 (mart)Rustok150,000[49]30RKRustok, Kostrat
Donbot125,000[50]0.8Buzus, Bachsoy
2007 yil (atrofida)Xamirturush1,500,000[51]74Pandex, Mutant (tegishli: Wigon, Pushdo)
2007Akbot1,300,000[52]
2007 (mart)2008 yil (noyabr)Srizbi450,000[53]60Cbeplay, almashinuvchi
Letik260,000[46]2yo'q
Xarvester10,000[46]0.15Rlsloup, Pixoliz
2008 yil (atrofida)Tuzlanish1,000,000[54]Sektor, Kuku
2008 yil (atrofida)2009 yil-dekabrMaripoza12,000,000[55]
2008 yil (noyabr)Konfikr10,500,000+[56]10DownUp, DownAndUp, DownAdUp, Kido
2008 yil (noyabr)2010 (mart)Valedak80,000[57]1.5Waled, Waledpak
Maazben50,000[46]0.5Yo'q
Onewordsub40,000[58]1.8
Gheg30,000[46]0.24Tofsei, Mondera
Nucrypt20,000[58]5Looski, Lockskiy
Wopla20,000[58]0.6Pokier, Slogger, Cryptic
2008 yil (atrofida)Asprox15,000[59]Danmec, Hydraflux
0Spamtru12,000[58]0.35Spam-DComServ, Covesmer, Xmiler
2008 yil (atrofida)Gumblar
2009 (may)2010 yil noyabr (to'liq emas)BredoLab30,000,000[60]3.6Oficla
2009 yil (atrofida)2012-07-19Xo'rsin560,000[61]39.9Tedroo
Mega-D509,000[62]10Ozdok
Kraken495,000[63]9Kracken
2009 yil (avgust)Festi250,000[64]2.25Spamnost
2010 (mart)Vulkanbot
2010 yil (yanvar)LowSec11,000+[46]0.5LowSecurity, FreeMoney, Ring0. Asboblar
2010 yil (atrofida)TDL44,500,000[65]TDSS, Alureon
Zevs3 600 000 (faqat AQShda)[66]Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010(Bir nechta: 2011, 2012)Kelihos300,000+4Hlux
2011 yoki undan oldinroq2015-02Ramnit3,000,000[67]
2012 (atrofida)Xameleyon120,000[68]Yo'q
2016 (avgust)Mirai380,000Yo'q
2014Nekurslar6,000,000
  • Santa-Barbara Kaliforniya universiteti tadqiqotchilari kutilganidan olti baravar kichik botnetni o'z qo'liga oldi. Ba'zi mamlakatlarda foydalanuvchilar bir kunda bir necha marta IP-manzilini o'zgartirishi odatiy holdir. Botnet hajmini IP-manzillar soniga qarab baholash tadqiqotchilar tomonidan tez-tez qo'llaniladi, ehtimol noto'g'ri baholarga olib keladi.[69]

Shuningdek qarang

Adabiyotlar

  1. ^ "Thingbots: Internetdagi botnetlarning kelajagi". Xavfsizlik razvedkasi. 2016 yil 20-fevral. Olingan 28 iyul 2017.
  2. ^ "botnet". Olingan 9 iyun 2016.
  3. ^ Ramneek, Puri (2003 yil 8-avgust). "Bots &; botnet: umumiy nuqtai" (PDF). SANS instituti. Olingan 12 noyabr 2013.
  4. ^ Putman, C. G. J.; Abxishta; Nieuvenxuis, L. J. M. (mart 2018). "Botnetning biznes modeli". Parallel, tarqatilgan va tarmoqqa asoslangan ishlov berish bo'yicha 26-chi Euromicro xalqaro konferentsiyasi (PDP): 441–445. arXiv:1804.10848. Bibcode:2018arXiv180410848P. doi:10.1109 / PDP2018.2018.00077. ISBN  978-1-5386-4975-6.
  5. ^ Danchev, Dancho (2013 yil 11 oktyabr). "Ajam kiberjinoyatchilar beshta mini botnetga tijorat orqali kirish imkoniyatini taqdim etadilar". Olingan 28 iyun 2015.
  6. ^ a b Shiller, Kreyg A.; Binkli, Jim; Xarli, Devid; Evron, Gadi; Bredli, Toni; Uillems, Karsten; Xoch, Maykl (2007 yil 1-yanvar). Botnetlar. Burlington: Sinxronlik. 29-75 betlar. doi:10.1016 / B978-159749135-8 / 50004-4. ISBN  9781597491358.
  7. ^ a b v d Heron, Simon (2007 yil 1 aprel). "Botnetni boshqarish va boshqarish texnikasi". Tarmoq xavfsizligi. 2007 (4): 13–16. doi:10.1016 / S1353-4858 (07) 70045-4.
  8. ^ Vang, Ping va boshq. (2010). "Peer-to-peer" botnetlari. Markada, Mark; Stavroulakis, Piter (tahrir). Axborot-kommunikatsiya xavfsizligi bo'yicha qo'llanma. Springer. ISBN  9783642041174.CS1 maint: mualliflar parametridan foydalanadi (havola)
  9. ^ C.Y. Cho, D. Babich, R. Shin va D. Song. Botnet buyruq va boshqaruv protokollarining rasmiy modellarini xulosa qilish va tahlil qilish, 2010 yil Kompyuter va aloqa xavfsizligi bo'yicha ACM konferentsiyasi.
  10. ^ Tereza Dikson Myurrey (2012 yil 28 sentyabr). "Banklar bu hafta PNC, Key, AQSh banklariga zarba beradiganlar kabi kiberhujumlarning oldini ololmaydilar". Cleveland.com. Olingan 2 sentyabr 2014.
  11. ^ Arntz, Pieter (2016 yil 30 mart). "Botnetlar to'g'risida faktlar". Olingan 27 may 2017.
  12. ^ Shiller, Kreyg A.; Binkli, Jim; Xarli, Devid; Evron, Gadi; Bredli, Toni; Uillems, Karsten; Xoch, Maykl (2007 yil 1-yanvar). Botnetlar. Burlington: Sinxronlik. 77-95 betlar. doi:10.1016 / B978-159749135-8 / 50005-6. ISBN  978-159749135-8.
  13. ^ Zeltser, Lenni. "Botlar buyruq va boshqaruv uchun ijtimoiy tarmoqlardan foydalanganda".
  14. ^ Osborne, Charli. "Hammertoss: Rossiyalik xakerlar bulut, Twitter, GitHub-ni zararli dasturlarning tarqalishida nishonga olishmoqda". ZDNet. Olingan 7 oktyabr 2017.
  15. ^ Singel, Rayan (2009 yil 13-avgust). "Xakerlar Twitter-dan botnetni boshqarish uchun foydalanadilar". Olingan 27 may 2017.
  16. ^ "Birinchi Twitter tomonidan boshqariladigan Android botnet topildi". 2016 yil 24-avgust. Olingan 27 may 2017.
  17. ^ Gallagher, Shon (2014 yil 3 oktyabr). "Reddit bilan ishlaydigan botnet dunyo bo'ylab minglab Mac-larga zarar etkazdi". Olingan 27 may 2017.
  18. ^ Cimpanu, Katalin (2017 yil 6-iyun). "Rossiya davlat xakerlari Britni Spirs Instagram-dagi postlaridan zararli dasturlarni boshqarish uchun foydalanadilar". Olingan 8 iyun 2017.
  19. ^ Dorais-Jonkas, Aleksis (2013 yil 30-yanvar). "Win32 / Jabberbot orqali yurish. Tezkor xabarlar C&C". Olingan 27 may 2017.
  20. ^ Konstantin, Lucian (2013 yil 25-iyul). "Kiberjinoyatchilar Tor tarmog'idan o'z botnetlarini boshqarish uchun foydalanmoqdalar". Olingan 27 may 2017.
  21. ^ "Cisco ASA Botnet trafik filtri qo'llanmasi". Olingan 27 may 2017.
  22. ^ Botlarning hujumi da Simli
  23. ^ Norton, Kvinn (2012 yil 1-yanvar). "Anonim 101-qism Deux: axloq odoblari Lulz ustidan g'alaba qozondi". Simli.com. Olingan 22 noyabr 2013.
  24. ^ Peterson, Andrea (2015 yil 10-aprel). "Xitoy" Buyuk Cannon "shaklida onlayn tsenzuraga qarshi yangi qurolni tarqatmoqda'". Washington Post. Olingan 10 aprel 2015.
  25. ^ "Avrora operatsiyasi - Buyruqning tuzilishi". Damballa.com. Arxivlandi asl nusxasi 2010 yil 11 iyunda. Olingan 30 iyul 2010.
  26. ^ Edvards, Jim (2013 yil 27-noyabr). "Klik-firibgarlik botnet veb-brauzeringizni yashirincha boshqarganda, bu shunday ko'rinishga ega". Olingan 27 may 2017.
  27. ^ https://www.ftc.gov/system/files/documents/reports/social-media-bots-ad Advertising-ftc-report-congress/socialmediabotsreport.pdf
  28. ^ Nichols, Shaun (2014 yil 24-iyun). "Botnet oldingizmi? Uni Bitcoin-ni qazib olish uchun ishlatishni o'ylaysizmi? Xavotir olmang". Olingan 27 may 2017.
  29. ^ "Bitcoin Mining". BitcoinMining.com. Arxivlandi asl nusxasidan 2016 yil 30 aprelda. Olingan 30 aprel 2016.
  30. ^ "Trojan horse, and Virus FAQ". DSL hisobotlari. Olingan 7 aprel 2011.
  31. ^ Ko'pdan ko'pgacha botnet aloqalari Arxivlandi 2016 yil 4 mart Orqaga qaytish mashinasi, Damballa, 2009 yil 8-iyun.
  32. ^ "Botnetlardan foydalanish | Honeynet loyihasi". www.honeynet.org. Olingan 24 mart 2019.
  33. ^ "Fishing nima? - WhatIs.com dan ta'rif". SearchSecurity. Olingan 24 mart 2019.
  34. ^ Agilar, Mario. "Fishing-elektron pochtaga tushganlar soni hayratlanarli". Gizmodo. Olingan 24 mart 2019.
  35. ^ "Xulq-atvorli profillar va bot-informatorlar yordamida botnet buyrug'i va boshqarish infratuzilmasini aniqlash va demontaj qilish". vhosts.eecs.umich.edu.
  36. ^ "Ochish: Botnet buyrug'i va boshqarish serverlarini katta hajmli NetFlow tahlili orqali aniqlash" (PDF). Kompyuter xavfsizligi bo'yicha yillik anjuman. ACM. 2012 yil dekabr.
  37. ^ BotSniffer: Tarmoq trafigida Botnet buyrug'i va boshqarish kanallarini aniqlash. 15-yillik tarmoq va tarqatilgan tizim xavfsizligi simpoziumi materiallari. 2008 yil. CiteSeerX  10.1.1.110.8092.
  38. ^ "IRCHelp.org - IRC-da maxfiylik". www.irchelp.org. Olingan 21 noyabr 2020.
  39. ^ "Tadqiqotchilar Botnet tadqiqotida yordam berish uchun millionta Linux yadrosini yuklaydilar". IT xavfsizligi va tarmoq xavfsizligi yangiliklari. 2009 yil 12-avgust. Olingan 23 aprel 2011.
  40. ^ "Brute-Force botnet hujumlari endi volumetrik aniqlashdan qochmoqda". ZO'R o'qish Axborot haftasi. 19 dekabr 2016 yil. Olingan 14 noyabr 2017.
  41. ^ Diva, Maykl. "Marketing kampaniyasining samaradorligi va ko'rsatkichlari - Finteza". www.finteza.com. Olingan 7 oktyabr 2019.
  42. ^ Qo'shma Shtatlar. Kongress. Senat. Adliya qo'mitasi. Jinoyatchilik va terrorizm bo'yicha kichik qo'mita (2018). Botnetlarni olib tashlash: kiber-jinoiy tarmoqlarni buzish va yo'q qilish bo'yicha davlat va xususiy harakatlar: Sudlar qo'mitasining jinoyatchilik va terrorizm bo'yicha kichik qo'mitasi, Amerika Qo'shma Shtatlari Senati, Yuz o'n uchinchi Kongress, Ikkinchi sessiya, 2014 yil 15-iyul. Vashington, DC: AQSh hukumatining nashriyoti. Olingan 18 noyabr 2018.
  43. ^ Kreder, Meri. "Atlanta Business Chronicle, Staff Writer". bizjournals.com. Olingan 22 iyul 2002.
  44. ^ Meri Jeyn Kreder (2002 yil 22-iyul). "EarthLink keraksiz elektron pochta xabariga qarshi 25 million dollarlik sud ishida g'olib chiqdi". Olingan 10 dekabr 2018.
  45. ^ Polson, L.D. (2006 yil aprel). "Xakerlar zararli botnetlarni qisqartirish orqali ularni kuchaytirmoqda" (PDF). Kompyuter; Yangiliklar. IEEE Kompyuter Jamiyati. 39 (4): 17–19. doi:10.1109 / MC.2006.136. Olingan 12 noyabr 2013. MessageLab kompaniyasining bosh texnologiya xodimi Mark Sunnerning so'zlariga ko'ra bot tarmoqlarining hajmi 2004 yil o'rtalarida eng yuqori darajaga ko'tarildi, ularning ko'pchiligi 100000 dan ortiq virusli mashinalardan foydalangan.
  46. ^ a b v d e f g "Symantec.cloud | Elektron pochta xavfsizligi, veb-xavfsizlik, so'nggi nuqta himoyasi, arxivlash, doimiylik, tezkor xabar almashish xavfsizligi". Messagelabs.com. Olingan 30 yanvar 2014.[o'lik havola ]
  47. ^ Chak Miller (2009 yil 5-may). "Tadqiqotchilar Torpig botnet boshqaruvini o'g'irlashdi". SC Magazine US. Arxivlandi asl nusxasi 2007 yil 24 dekabrda. Olingan 7-noyabr 2011.
  48. ^ "Storm Worm tarmog'i avvalgi hajmining o'ndan biriga qisqaradi". Tech.Blorge.Com. 21 oktyabr 2007. Arxivlangan asl nusxasi 2007 yil 24 dekabrda. Olingan 30 iyul 2010.
  49. ^ Chak Miller (2008 yil 25-iyul). "Rustock botnet yana spam yubordi". SC Magazine US. Olingan 30 iyul 2010.
  50. ^ Styuart, Jou. "2009 yilda tomosha qilinadigan spam-botnetlar". Secureworks.com. SecureWorks. Olingan 9 mart 2016.
  51. ^ "Pushdo Botnet - yirik veb-saytlarga yangi DDOS hujumlari - Garri Uoldron - IT xavfsizligi". Msmvps.com. 2 Fevral 2010. Arxivlangan asl nusxasi 2010 yil 16 avgustda. Olingan 30 iyul 2010.
  52. ^ "Yangi Zelandiyalik o'spirin 1,3 million kompyuter botnetini boshqarishda ayblanmoqda". H xavfsizligi. 2007 yil 30-noyabr. Olingan 12 noyabr 2011.
  53. ^ "Texnologiya | Qisqa muddat berilganidan keyin spam ko'paymoqda". BBC yangiliklari. 2008 yil 26-noyabr. Olingan 24 aprel 2010.
  54. ^ "Tuzlanish:" Peer-to-peer "virusli tarmog'ining hikoyasi" (PDF). Symantec. 2011 yil 3-avgust. Olingan 12 yanvar 2012.
  55. ^ "Qanday qilib FBI, politsiya katta botnetni buzdi". usta.co.uk. Olingan 3 mart 2010.
  56. ^ "Downadup epidemiyasining hajmini hisoblash - F-Secure Weblog: Laboratoriya yangiliklari". F-secure.com. 2009 yil 16-yanvar. Olingan 24 aprel 2010.
  57. ^ "MS o'chirish natijasida Waledac botnet" yo'q qilindi "". Ro'yxatdan o'tish. 16 mart 2010 yil. Olingan 23 aprel 2011.
  58. ^ a b v d Gregg Keizer (2008 yil 9-aprel). "Eng yaxshi botnetlar 1M o'g'irlangan kompyuterlarni boshqaradi". Computerworld. Olingan 23 aprel 2011.
  59. ^ "Botnet sics zombi askarlari gimpy veb-saytlarida". Ro'yxatdan o'tish. 14 may 2008 yil. Olingan 23 aprel 2011.
  60. ^ "Infosecurity (Buyuk Britaniya) - Spamit.com bilan bog'langan BredoLab botnet tarmog'i". .canada.com. Arxivlandi asl nusxasi 2011 yil 11 mayda. Olingan 10-noyabr 2011.
  61. ^ "Tadqiqot: korporativ tarmoqlarda tarqalgan kichik DIY botnetlari". ZDNet. Olingan 30 iyul 2010.
  62. ^ Warner, Gari (2010 yil 2-dekabr). "Oleg Nikolaenko, Mega-D botmasteri sudda ishtirok etish uchun". Kiberjinoyatchilik va ish vaqti. Olingan 6 dekabr 2010.
  63. ^ "Bo'rondan ikki marta kattaroq yangi massiv botnet - xavfsizlik / perimetr". DarkReading. Olingan 30 iyul 2010.
  64. ^ Kirk, Jeremy (2012 yil 16-avgust). "Spamhaus Grum botnetini o'lgan deb e'lon qiladi, ammo Festi jarrohlik qiladi". Kompyuter dunyosi.
  65. ^ "TDL4 (TDSS / Alureon) va rootkitni aniqlash". kasperskytienda.es. 2011 yil 3-iyul. Olingan 11 iyul 2011.
  66. ^ "Amerikada eng ko'p qidiriladigan 10 botnet". Networkworld.com. 2009 yil 22-iyul. Olingan 10-noyabr 2011.
  67. ^ "Evropa Ittifoqi politsiyasining operatsiyasi zararli kompyuter tarmog'ini olib tashlamoqda". phys.org.
  68. ^ "Kashf etildi: Botnet xarajatlari reklama reklamachilari oyiga olti million dollardan oshdi". Spider.io. 19 mart 2013 yil. Olingan 21 mart 2013.
  69. ^ Espiner, Tom (2011 yil 8 mart). "Botnet hajmi kattalashtirilgan bo'lishi mumkin, deydi Enisa | Xavfsizlik tahdidi | ZDNet UK". Zdnet.com. Olingan 10-noyabr 2011.

Tashqi havolalar