Современные информационные технологии/4. Информационная безопасность

Овчаренко М.А.

Национальный горный университет, Украина

Ботнеты

Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Классификация ботнетов

1.       Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre), который ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд.

Для нейтрализации ботнета с единым центром достаточно закрыть C&C.

2.       Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer” - соединение типа “точка-точка”). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту.

Нейтрализация децентрализованного ботнета сложнее, чем ботнета с единым центром, так как у него не существует единого центра. Для этого бот направляют на центр управления, где он получает список соседних ботов и с помощью переключения бота на взаимодействие через P2P-подключение возможна нейтрализация остальных зараженных компьютеров.

Механизм самозащиты и автозапуска

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

·                   маскировка под системный процесс;

·                   использование нестандартных методов запуска (пути автозапуска унаследованные от старых версий ПО, подмена отладчика процессов);

·                   подмена системных файлов для самомаскировки;

·                   использование двух самоперезапускающихся процессов, перезапускающих друг друга;

·                   перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения задач от рассылки спама до атак на государственные сети.

1.     Рассылка спама.

Возможность сбора адресов электронной почты на зараженных машинах

Кибершантаж (ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service)).

2.  Анонимный доступ в сети (злоумышленники могут обращаться к серверам в сети, используя зомби-машины, и от имени зараженных компьютеров и совершать киберпреступления).

3.  Продажа и аренда ботнетов.

4.  Фишинг (ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов).

5.  Кража конфиденциальной информации (бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, собирающего пароли).

Методы обнаружения ботнетов

Существуют следующие методы обнаружения ботнетов:

·                   Анализ телеметрии (метод заключается в использовании сводной информации сетевого и транспортного уровня от сетевых устройств).

·                   Анализ журнала сервера DNS (код ботнетов содержит ссылки на DNS-сервер, благодаря чему могут быть найдены и нейтрализованы путем переадресации поддоменов на несуществующий IP-адрес).

·                   Обнаружение аномалий. Данный метод обнаружения ботнетов заключается в описании характеристик обычного трафика и наблюдений за его отклонениями.

·                   Создание системы-приманки (замкнутой контролируемой области), которая имитирует уязвимую сеть, службу или ресурс.

На сегодняшний день ботнеты представляют угрозу безопасности в Интернете. Сети, объединяющие ресурсы многих зараженных компьютеров, обладают опасным потенциалом создания нового и расширения существующего ботнета. Для его обнаружения используют следующие методы: анализ телеметрии, анализ журнала сервера DNS, метод обнаружения аномалий, создание системы-приманки.

 

Литература:

1.       http://www.cisco.com/web/RU/downloads/Botnets.pdf

2.       http://www.securelist.com/ru/analysis?pubid=204007610

3.       http://ru.wikipedia.org/wiki/Ботнет