Ботнет

Материал из Russian Underground
Перейти к: навигация, поиск

Ботнет (от англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего ботнеты скрытно устанавливается на компьютерах жертв и позволяют злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера или программного обеспечения. Как правило, компьютер становится полностью подконтрольным. В состав ботнетов могут входить IRC-боты, что позволяет использовать их для обмена информацией в нескольких IRC-сетях, заменять друг друга, централизованно управляться. (работа в составе ботнета — стандартная функция IRC-бота Eggdrop).

Обычно ботнеты создаются при помощи компьютерных вирусов, распространяющихся автоматически и захватывающих контроль над поражённым компьютером полностью или частично. Используют же ботнеты в основном для DoS-атак, рассылки спама, кражи банковских данных, либо других неблаговидных целей.

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн. компьютеров, подключённых к Интернет, могут находиться в ботнетах. Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на троянце SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2.

Понятие ботнет обычно используется при негативной оценке совокупности взаимодействующих компьютеров, либо компьютеров, выполняющих одну и ту же задачу по заранее определённому алгоритму.

Содержание

Техническое описание

Получение управления

Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:

  • Заражение компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
  • Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
  • Использование санкционированного доступа к компьютеру (редко).
  • Перебор вариантов администраторского пароля к сетевым разделяемым ресурсам (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.

Механизм самозащиты и автозапуска

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

  • маскировка под системный процесс;
  • использование нестандартных методов запуска (пути автозапуска унаследованные от старых версий ПО, подмена отладчика процессов);
  • использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);
  • подмена системных файлов для самомаскировки;
  • перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

Механизм управления ботнетом

Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определенной команды по заранее заготовленому URL.

В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу p2p-сетей.

Торговля

Ботнеты являются объектом нелегальной торговли, при продаже передаётся пароль к IRC каналу (пароля доступа к интерфейсу программы на компьютере).

Масштабы

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернету, могут находиться в ботнетах. Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2.

Известная атака ботнетов

Наиболее заметной из всех видов деятельности ботнета является DDoS атака. Среди успешных (и почти успешных) атак:

См. также

Ссылки

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Сцена
Материалы
Разное
Donate
Инструменты