Jump to content

Ботнет

(Перенаправлено с ботнетов )

Диаграмма ботнета Stacheldraht, показывающая DDoS-атаку. (Обратите внимание, что это также пример клиент-серверной модели ботнета.)

Ботнет это группа подключенных к Интернету устройств, на каждом из которых работает один или несколько ботов . Ботнеты могут использоваться для выполнения распределенных атак типа «отказ в обслуживании » (DDoS), кражи данных, [1] рассылать спам и предоставлять злоумышленнику доступ к устройству и его подключению. Владелец может управлять ботнетом с помощью программного обеспечения управления и контроля (C&C). [2] Слово «ботнет» представляет собой сочетание слов « робот » и « сеть ». Этот термин обычно используется с негативным или злонамеренным подтекстом.

Обзор

[ редактировать ]

Ботнет — это логическая совокупность подключенных к Интернету устройств, таких как компьютеры, смартфоны или Интернета вещей устройства (IoT), безопасность которых была нарушена и контроль передан третьей стороне. Каждое скомпрометированное устройство, известное как «бот», создается при проникновении на устройство программного обеспечения из дистрибутива вредоносного ПО (вредоносного ПО). Контроллер ботнета может управлять деятельностью этих скомпрометированных компьютеров через каналы связи, образованные стандартизированными сетевыми протоколами , такими как IRC и протокол передачи гипертекста (HTTP). [3] [4]

сдают ботнеты в аренду Киберпреступники все чаще в качестве товара для различных целей. [5] в том числе в качестве служб загрузки/стрессирования .

Архитектура

[ редактировать ]

Архитектура ботнетов со временем развивалась, стремясь избежать обнаружения и нарушения работы. Традиционно программы-боты создаются как клиенты , которые взаимодействуют через существующие серверы. Это позволяет пастуху ботов (контроллеру ботнета) осуществлять все управление из удаленного места, что запутывает трафик. [6] Многие современные ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти программы-боты P2P выполняют те же действия, что и модель клиент-сервер, но для связи им не требуется центральный сервер.

Модель клиент-сервер

[ редактировать ]
Сеть, основанная на модели клиент-сервер , в которой отдельные клиенты запрашивают услуги и ресурсы у централизованных серверов.

Первые ботнеты в Интернете использовали модель клиент-сервер для выполнения своих задач. [7] Обычно эти ботнеты работают через Интернет-чата сети , домены или веб-сайты . Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд от сервера. Пастух ботов отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о результатах бот-пастуху.

В случае IRC-ботнетов зараженные клиенты подключаются к зараженному IRC- серверу и присоединяются к каналу, заранее назначенному для C&C пастухом ботов. Бот-пастух отправляет команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно в IRC-канал с результатами своих действий. [6]

Пиринговый

[ редактировать ]
Одноранговая сеть (P2P), в которой взаимосвязанные узлы («одноранговые узлы») совместно используют ресурсы друг с другом без использования централизованной административной системы.

В ответ на усилия по обнаружению и обезглавливанию IRC-ботнетов погонщики ботов начали развертывать вредоносное ПО в одноранговых сетях. Эти боты могут использовать цифровые подписи , так что только тот, кто имеет доступ к закрытому ключу, может контролировать ботнет. [8] например, в Gameover ZeuS и ботнете ZeroAccess .

Новые ботнеты полностью работают через P2P-сети. Вместо того, чтобы общаться с централизованным сервером, P2P-боты действуют как сервер распределения команд, так и клиент, который получает команды. [9] Это позволяет избежать единой точки отказа, что является проблемой для централизованных ботнетов.

Чтобы найти другие зараженные машины, P2P-боты незаметно проверяют случайные IP-адреса, пока не идентифицируют другую зараженную машину. Бот, с которым связался, отвечает, предоставляя такую ​​информацию, как версия программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем у другого, они инициируют передачу файла для обновления. [8] Таким образом, каждый бот увеличивает свой список зараженных машин и обновляется, периодически общаясь со всеми известными ботами.

Основные компоненты

[ редактировать ]

Создатель ботнета (известный как « пастух ботов » или «мастер ботов») управляет ботнетом удаленно. Это известно как командование и контроль (C&C). Программа для проведения операции должна связаться по скрытому каналу с клиентом на машине жертвы (компьютере-зомби).

Протоколы управления

[ редактировать ]

IRC исторически является предпочтительным средством управления и контроля из-за его протокола связи . Пастух ботов создает IRC-канал, к которому могут присоединиться зараженные клиенты. Сообщения, отправленные на канал, транслируются всем участникам канала. Пастух ботов может установить тему канала для управления ботнетом. Например, сообщение :[email protected] TOPIC #channel DDoS www.victim.com от бота-пастуха предупреждает всех зараженных клиентов, принадлежащих #channel, о начале DDoS-атаки на сайт www.victim.com. Пример ответа :[email protected] PRIVMSG #channel I am DDoSing www.victim.com клиент-бот предупреждает бот-пастуха о начале атаки. [8]

Некоторые ботнеты реализуют собственные версии известных протоколов. Различия в реализации можно использовать для обнаружения ботнетов. Например, Mega-D имеет слегка измененную реализацию протокола SMTP для тестирования возможностей спама. Отключение SMTP-сервера Mega-D отключает весь пул ботов, использующих один и тот же SMTP-сервер. [10]

Зомби-компьютер

[ редактировать ]

В информатике компьютер -зомби — это компьютер, подключенный к Интернету, который был скомпрометирован хакером , компьютерным вирусом или троянским конем и может использоваться для выполнения вредоносных задач под удаленным управлением. Ботнеты компьютеров-зомби часто используются для распространения спама по электронной почте и запуска атак типа «отказ в обслуживании» (DDoS). Большинство владельцев компьютеров-зомби не подозревают, что их систему используют таким образом. Поскольку владелец, как правило, не подозревает об этом, эти компьютеры метафорически сравнивают с зомби . Скоординированная DDoS-атака нескольких машин ботнета также напоминает атаку орды зомби. [11]

Процесс кражи вычислительных ресурсов в результате присоединения системы к «ботнету» иногда называют «скрампингом». [12]

Мировые правоохранительные органы совместно с Министерством юстиции и ФБР ликвидировали ботнет 911 S5, ответственный за кражи и различные киберпреступления на сумму 5,9 миллиардов долларов. Гражданину Китая ЮнХе Вану, обвиняемому в управлении ботнетом, грозит до 65 лет тюремного заключения. Власти конфисковали активы на сумму 60 миллионов долларов, включая предметы роскоши и недвижимость. [13]

Командование и контроль

[ редактировать ]

Протоколы управления и контроля (C&C) ботнетов были реализованы разными способами: от традиционных подходов IRC до более сложных версий.

Телнет

[ редактировать ]

Ботнеты Telnet используют простой протокол C&C, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью сценария сканирования , который запускается на внешнем сервере и сканирует диапазоны IP- адресов для входа в систему по умолчанию на сервере telnet и SSH . Как только логин найден, сканирующий сервер может заразить его через SSH вредоносным ПО, которое пингует управляющий сервер.

IRC

[ редактировать ]

Сети IRC используют простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты по конструкции и с умеренным успехом используются для координации DDoS-атак и спам-кампаний, имея при этом возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 ( IRC ) популярен среди ботнетов. Первый известный популярный скрипт контроллера ботнета «MaXiTE Bot» использовал протокол IRC XDCC для частных команд управления.

Одна из проблем использования IRC заключается в том, что каждый бот-клиент должен знать IRC-сервер, порт и канал, чтобы быть полезным для ботнета. Организации по защите от вредоносного ПО могут обнаружить и отключить эти серверы и каналы, эффективно останавливая атаку ботнетов. Если это произойдет, клиенты все равно будут заражены, но обычно они бездействуют, поскольку у них нет возможности получать инструкции. [8] Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаружить и вывести из строя дополнительные серверы или каналы ботнетов, перехватив IRC-трафик. Злоумышленник-ботнет потенциально может даже получить знания о схеме управления и подражать пастуху ботов, правильно выдавая команды. [14]

P2P

[ редактировать ]

Поскольку большинство ботнетов, использующих сети и домены IRC, со временем могут быть отключены, хакеры перешли на P2P-ботнеты с C&C, чтобы сделать ботнет более устойчивым к завершению.

Некоторые также использовали шифрование как способ защитить или заблокировать ботнет от других. В большинстве случаев, когда они используют шифрование, это криптография с открытым ключом , и это создает проблемы как при ее реализации, так и при ее взломе.

Домены

[ редактировать ]

Многие крупные ботнеты при построении склонны использовать домены, а не IRC (см. ботнет Rustock и ботнет Srizbi ). Обычно они размещаются на надежных хостингах . Это один из самых ранних типов C&C. Компьютер-зомби получает доступ к специально созданной веб-странице или домену(ам), которые обслуживают список управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что крупным ботнетом можно эффективно управлять и обслуживать его с помощью очень простого кода, который можно легко обновлять.

Недостатки использования этого метода заключаются в том, что он использует значительную часть полосы пропускания в больших масштабах, а домены могут быть быстро конфискованы государственными учреждениями без особых усилий. Если домены, контролирующие ботнеты, не захвачены, они также могут стать легкой мишенью для компрометации с помощью атак типа «отказ в обслуживании» .

DNS Fast-flux можно использовать, чтобы затруднить отслеживание серверов управления, которые могут меняться изо дня в день. Серверы управления также могут переключаться с домена DNS на домен DNS, при этом алгоритмы генерации домена используются для создания новых имен DNS для серверов контроллеров.

Некоторые ботнеты используют бесплатные службы DNS- хостинга, такие как DynDns.org , No-IP.com и Afraid.org, чтобы указать поддомен на IRC-сервер, на котором размещены боты. Хотя эти бесплатные службы DNS сами по себе не являются хостом для атак, они предоставляют контрольные точки (часто жестко запрограммированные в исполняемом файле ботнета). Удаление таких сервисов может вывести из строя весь ботнет.

Другие

[ редактировать ]

Обзвон популярных сайтов [15] такие как GitHub , [16] Твиттер , [17] [18] Реддит , [19] Инстаграм , [20] протокол XMPP мгновенных сообщений с открытым исходным кодом [21] и Tor скрытые сервисы [22] — это популярные способы избежать фильтрации исходящего трафика при взаимодействии с C&C-сервером. [23]

Строительство

[ редактировать ]

Традиционный

[ редактировать ]

Этот пример иллюстрирует, как ботнет создается и используется для злонамеренной выгоды.

  1. Хакер приобретает или создает троянскую программу и/или набор эксплойтов и использует их для заражения компьютеров пользователей, полезной нагрузкой которых является вредоносное приложение — бот .
  2. Бот инструктирует зараженный компьютер подключиться к определенному серверу управления (C&C). (Это позволяет ботмастеру вести журналы того, сколько ботов активны и находятся в сети.)
  3. Затем бот-мастер может использовать ботов для сбора нажатий клавиш или использовать захват форм для кражи онлайн-учетных данных, а также может сдавать ботнет в аренду для DDoS-атак и/или спама в качестве услуги или продавать учетные данные в Интернете с целью получения прибыли.
  4. В зависимости от качества и возможностей ботов значение увеличивается или уменьшается.

Новые боты могут автоматически сканировать свою среду и распространяться, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнета. [24]

Компьютеры могут быть включены в ботнет, когда на них выполняется вредоносное программное обеспечение. Этого можно добиться, заманив пользователей на попутную загрузку , используя уязвимости веб-браузера или обманом заставив пользователя запустить программу- троян , которая может появиться из вложения электронной почты. Это вредоносное ПО обычно устанавливает модули, которые позволяют оператору ботнета управлять компьютером. После загрузки программного обеспечения оно позвонит домой (отправит пакет повторного подключения ) на главный компьютер. При повторном подключении, в зависимости от того, как оно записано, троянец может удалить себя или остаться для обновления и обслуживания модулей.

Другие

[ редактировать ]

В некоторых случаях ботнет может быть временно создан добровольными хактивистами , например, при реализации низкоорбитальной ионной пушки , которая использовалась участниками 4chan во время проекта Chanology в 2010 году. [25]

Китая» «Великая китайская пушка позволяет модифицировать законный трафик просмотра веб-страниц на магистральных интернет-магистралях Китая для создания большого эфемерного ботнета для атаки на крупные цели, такие как GitHub, в 2015 году. [26]

Обычное использование

[ редактировать ]
  • Распределенные атаки типа «отказ в обслуживании» — одно из наиболее распространенных применений ботнетов, при котором несколько систем отправляют как можно больше запросов к одному компьютеру или службе Интернета, перегружая его и не позволяя ему обслуживать законные запросы. Примером может служить атака на сервер жертвы. Сервер жертвы бомбардируется запросами ботов, которые пытаются подключиться к серверу и тем самым перегружают его. Google Царь по борьбе с мошенничеством Шуман Госемаджумдер заявил, что такого рода атаки, вызывающие сбои в работе крупных веб-сайтов, будут продолжать регулярно происходить из-за использования ботнетов в качестве услуги. [27]
  • Шпионское ПО — это программное обеспечение, которое отправляет своим создателям информацию о действиях пользователя — обычно пароли, номера кредитных карт и другую информацию, которая может быть продана на черном рынке. Скомпрометированные машины, расположенные в корпоративной сети, могут быть более ценными для бот-пассажа, поскольку они часто могут получить доступ к конфиденциальной корпоративной информации. Несколько целевых атак на крупные корпорации были направлены на кражу конфиденциальной информации, например ботнет Aurora. [28]
  • Почтовый спам — это сообщения электронной почты, замаскированные под сообщения от людей, но являющиеся рекламными, раздражающими или вредоносными.
  • Мошенничество с кликами происходит, когда компьютер пользователя посещает веб-сайты без ведома пользователя с целью создания ложного веб-трафика для личной или коммерческой выгоды. [29]
  • По данным CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors in the Internet, мошенничество с рекламой часто является следствием вредоносной активности ботов. [30] Коммерческие цели ботов включают в себя влиятельных лиц, использующих их для повышения своей предполагаемой популярности, а также онлайн-издателей, использующих ботов для увеличения количества кликов по объявлению, что позволяет сайтам получать больше комиссионных от рекламодателей.
  • Атаки с подтасовкой учетных данных используют ботнеты для входа во многие учетные записи пользователей с украденными паролями, как, например, в атаке на General Motors в 2022 году. [31]
  • Майнинг биткойнов использовался в некоторых из последних ботнетов, которые включают майнинг биткойнов в качестве функции для получения прибыли оператору ботнета. [32] [33]
  • В нескольких ботнетах также обнаружена функциональность самораспространения, направленная на поиск предварительно сконфигурированных инструкций управления и контроля (ЧПУ), содержащих целевые устройства или сеть, с целью дальнейшего заражения. Некоторые ботнеты используют эту функцию для автоматизации своих заражений.

Рынок

[ редактировать ]

Сообщество контроллеров ботнетов постоянно конкурирует за то, у кого больше всего ботов, самая высокая общая пропускная способность и самые «высококачественные» зараженные машины, такие как университетские, корпоративные и даже государственные машины. [34]

Хотя ботнеты часто называют в честь создавшего их вредоносного ПО, несколько ботнетов обычно используют одно и то же вредоносное ПО, но управляются разными организациями. [35]

Фишинг

[ редактировать ]

Ботнеты могут использоваться для многих электронных мошенничеств. Эти ботнеты могут использоваться для распространения вредоносных программ, таких как вирусы, с целью получения контроля над компьютером/программным обеспечением обычного пользователя. [36] Взяв под контроль чей-то персональный компьютер, он получает неограниченный доступ к своей личной информации, включая пароли и данные для входа в учетные записи. Это называется фишинг . Фишинг — это получение данных для входа в учетные записи «жертвы» с помощью ссылки, на которую «жертва» нажимает, которая отправляется по электронной почте или в текстовом сообщении. [37] Опрос, проведенный Verizon, показал, что около двух третей случаев электронного шпионажа связаны с фишингом. [38]

Контрмеры

[ редактировать ]

Географическое рассредоточение бот-сетей означает, что каждый новобранец должен быть индивидуально идентифицирован/собран/восстановлен, что ограничивает преимущества фильтрации .

Экспертам по компьютерной безопасности удалось уничтожить или подорвать сети управления и контроля вредоносных программ, среди прочего, путем захвата серверов или отключения их от Интернета, отказа в доступе к доменам, которые должны были использоваться вредоносным ПО для связи с его инфраструктурой управления и управления, и, в некоторых случаях, взлом самой сети C&C. [39] [40] [41] В ответ на это операторы C&C прибегли к использованию таких методов, как наложение своих сетей C&C на другую существующую безопасную инфраструктуру, такую ​​​​как IRC или Tor , использование одноранговых сетевых систем, которые не зависят от каких-либо фиксированных серверов, и использование открытого ключа. шифрование для предотвращения попыток взлома или подмены сети. [42]

Norton AntiBot был нацелен на потребителей, но большинство из них ориентированы на предприятия и/или интернет-провайдеров. Методы на основе хоста используют эвристику для определения поведения ботов, которое обходит обычное антивирусное программное обеспечение . Сетевые подходы, как правило, используют методы, описанные выше; отключение C&C-серверов, нулевые записи DNS-маршрутизации или полное отключение IRC-серверов. BotHunter — это программное обеспечение, разработанное при поддержке Исследовательского управления армии США , которое обнаруживает активность ботнетов внутри сети путем анализа сетевого трафика и сравнения его с закономерностями, характерными для вредоносных процессов.

Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно запуская один миллион ядер Linux (по масштабу аналогичный ботнету) в качестве виртуальных машин в высокопроизводительном компьютерном кластере из 4480 узлов для эмуляции очень большой сети, что позволяет им наблюдать, как ботнеты работают и экспериментируют со способами их остановки. [43]

Обнаружение атак автоматических ботов становится все сложнее с каждым днем, поскольку злоумышленники запускают все новые и более сложные поколения ботов. Например, автоматизированная атака может задействовать большую армию ботов и применить методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегрузить сайты десятками тысяч запросов с разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день. [44] В этих случаях многие инструменты пытаются использовать объемное обнаружение, но у автоматических атак ботов теперь есть способы обойти триггеры объемного обнаружения.

Одним из методов обнаружения этих атак ботов является так называемая «система на основе сигнатур», в которой программное обеспечение пытается обнаружить шаблоны в пакете запроса. Однако атаки постоянно развиваются, поэтому этот вариант может оказаться нежизнеспособным, если в тысячах запросов невозможно различить закономерности. Существует также поведенческий подход к борьбе с ботами, который в конечном итоге пытается отличить ботов от людей. Выявляя нечеловеческое поведение и распознавая известное поведение ботов, этот процесс можно применять на уровне пользователя, браузера и сети.

Наиболее эффективным методом использования программного обеспечения для борьбы с вирусом было использование программного обеспечения- приманки , чтобы убедить вредоносное ПО в том, что система уязвима. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.

15 июля 2014 года Подкомитет по преступности и терроризму Комитета [45] Что касается судебной власти, Сенат США провел слушания по угрозам, исходящим от бот-сетей, а также усилиям государства и частного сектора по их разрушению и демонтажу. [46]

Рост количества уязвимых устройств Интернета вещей привел к увеличению количества атак ботнетов на основе Интернета вещей. Для решения этой проблемы был представлен новый сетевой метод обнаружения аномалий для Интернета вещей под названием N-BaIoT. Он фиксирует снимки поведения сети и использует глубокие автокодировщики для выявления аномального трафика от скомпрометированных устройств Интернета вещей. Метод был протестирован путем заражения девяти устройств Интернета вещей ботнетами Mirai и BASHLITE, что продемонстрировало его способность точно и оперативно обнаруживать атаки, исходящие от взломанных устройств Интернета вещей внутри ботнета. [47]

Кроме того, сравнение различных способов обнаружения ботнетов действительно полезно для исследователей. Это помогает им увидеть, насколько хорошо работает каждый метод по сравнению с другими. Такое сравнение хорошо, потому что оно позволяет исследователям справедливо оценить методы и найти способы их улучшить. [48]

Исторический список ботнетов

[ редактировать ]

Первый ботнет был впервые признан и раскрыт EarthLink во время судебного процесса с печально известным спамером Ханом С. Смитом. [49] в 2001 году. Ботнет был создан для массовой рассылки спама, и на его долю в то время приходилось почти 25% всего спама. [50]

Примерно в 2006 году, чтобы предотвратить обнаружение, размер некоторых ботнетов уменьшился. [51]

Дата создания Дата демонтажа Имя Расчетное нет. ботов Объем спама (млрд/день) Псевдонимы
1999!a999,999,999100000!a
2003 МАКСИТ 500-1000 серверов 0 MaXiTE XDCC Bot, сценарий MaXiTE IRC TCL, MaxServ
2004 (начало) Бэйгл 230,000 [52] 5.7 Бигль, Участники, Lodeight
Марина Ботнет 6,215,000 [52] 92 Дэймон Брайант, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Торпиг 180,000 [53] Синовал, Ансерин
Шторм 160,000 [54] 3 Нувар, Пикомм, Желатин
2006 (около) 2011 (март) Расток 150,000 [55] 30 Р.К.Русток, Кострат
Донбот 125,000 [56] 0.8 Бузус, Бахсой
2007 (около) Cutwail 1,500,000 [57] 74 Пандекс, Мутант (относится к: Вигон, Пушдо)
2007 Акбот 1,300,000 [58]
2007 (март) 2008 (ноябрь) Сризби 450,000 [59] 60 Cbeplay, Обменник
Летический 260,000 [52] 2 никто
Ксарвестер 10,000 [52] 0.15 Рлслоуп, Пиксолиз
2008 (около) Салити 1,000,000 [60] Сектор, Курица
2008 (около) 2009-декабрь Марипоса 12,000,000 [61]
2008 (около) Кракен 495,000 [62] 9 Авария
2008 (ноябрь) Конфикер 10,500,000+ [63] 10 DownUp, DownAndUp, DownAdUp, Кидо
2008 (ноябрь) 2010 (март) Валедак 80,000 [64] 1.5 Валед, Валедпак
Маазбен 50,000 [52] 0.5 Никто
Onewordsub 40,000 [65] 1.8
Гег 30,000 [52] 0.24 Тофзее, Мондера
Нукрипт 20,000 [65] 5 Луски, Локский
Вопла 20,000 [65] 0.6 Покер, Трудяга, Криптик
2008 (около) Аспрокс 15,000 [66] Данмек, Гидрафлюкс
0 Спамтру 12,000 [65] 0.35 Спам-DComServ, Ковесмер, Xmiler
2008 (около) Гамболы
2009 (май) Ноябрь 2010 г. (не завершено) БредоЛаб 30,000,000 [67] 3.6 Офис
2009 (Вокруг) 2012-07-19 Grum 560,000 [68] 39.9 Тедру
Мега-Д 509,000 [69] 10 Ozdok
2009 (август) Праздники 250,000 [70] 2.25 Спам
2010 (март) Вулканбот
2010 (январь) Низкая безопасность 11,000+ [52] 0.5 LowSecurity, FreeMoney, Ring0.Инструменты
2010 (около) ТДЛ4 4,500,000 [71] ТДСС, Алуреон
Зевс 3 600 000 (только в США) [72] Збот, PRG, Wsnpoem, Горхакс, Кнебер
2010 (Несколько: 2011, 2012) Келихос 300,000+ 4 Хлукс
2011 или ранее 2015-02 Рамнит 3,000,000 [73]
2012 (Вокруг) Хамелеон 120,000 [74] Никто
2014 Некурс 6,000,000
2016 (август) Мирай 380,000 Никто
2022 Богомол [75] 5000
  • Исследователи из Калифорнийского университета в Санта-Барбаре взяли под контроль ботнет, который оказался в шесть раз меньше, чем ожидалось. В некоторых странах пользователи часто меняют свой IP-адрес несколько раз в день. Исследователи часто используют оценку размера ботнета по количеству IP-адресов, что может привести к неточным оценкам. [76]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Thingbots: будущее ботнетов в Интернете вещей» . Разведка безопасности . 20 февраля 2016 г. Архивировано из оригинала 7 января 2023 г. . Проверено 28 июля 2017 г.
  2. ^ «ботнет» . Архивировано из оригинала 7 января 2023 года . Проверено 9 июня 2016 г.
  3. ^ Рамник, Пури (8 августа 2003 г.). «Боты и ботнет: обзор» . Институт САНС . Архивировано из оригинала 12 июля 2015 года . Проверено 12 ноября 2013 г.
  4. ^ Путман, CGJ; Абхишта; Ньювенхейс, LJM (март 2018 г.). «Бизнес-модель ботнета». 2018 26-я Международная конференция Euromicro по параллельной, распределенной и сетевой обработке (PDP) . стр. 441–445. arXiv : 1804.10848 . Бибкод : 2018arXiv180410848P . дои : 10.1109/PDP2018.2018.00077 . ISBN  978-1-5386-4975-6 . S2CID   13756969 .
  5. ^ Данчев, Данчо (11 октября 2013 г.). «Начинающие киберпреступники предлагают коммерческий доступ к пяти мини-ботнетам» . Вебрут . Архивировано из оригинала 1 июля 2015 года . Проверено 28 июня 2015 г.
  6. ^ Перейти обратно: а б Шиллер, Крейг А.; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон, Вирджиния: Syngress. стр. 29–75. дои : 10.1016/B978-159749135-8/50004-4 . ISBN  9781597491358 .
  7. ^ «Ботнеты: определение, типы, как они работают» . Забастовка толпы . Архивировано из оригинала 10 января 2023 года . Проверено 18 апреля 2021 г.
  8. ^ Перейти обратно: а б с д Херон, Саймон (1 апреля 2007 г.). «Методы управления и контроля ботнетов». Сетевая безопасность . 2007 (4): 13–16. дои : 10.1016/S1353-4858(07)70045-4 .
  9. ^ Ван, Пин (2010). «Пиринговые ботнеты» . В Штампе, Марк; Ставрулакис, Питер (ред.). Справочник по информационной и коммуникационной безопасности . Спрингер. ISBN  9783642041174 . Архивировано из оригинала 22 июня 2024 года . Проверено 28 июля 2016 г.
  10. ^ Сай Чо, Д. Бабич, Р. Шин и Д. Сонг. Вывод и анализ формальных моделей протоколов управления и контроля ботнетов. Архивировано 24 сентября 2016 г. на Wayback Machine , конференция ACM по компьютерной и коммуникационной безопасности 2010 г.
  11. ^ Тереза ​​Диксон Мюррей (28 сентября 2012 г.). «Банки не могут предотвратить кибератаки, подобные тем, которые поразили PNC, Ки, Банк США на этой неделе» . Кливленд.com. Архивировано из оригинала 25 июля 2015 года . Проверено 2 сентября 2014 г.
  12. ^ Арнц, Питер (30 марта 2016 г.). «Факты о ботнетах» . Лаборатория Малваребайтс . Архивировано из оригинала 17 июля 2017 года . Проверено 27 мая 2017 г.
  13. ^ «В США уничтожен один из крупнейших в мире ботнетов» . 25 мая 2024 года. Архивировано из оригинала 30 мая 2024 года . Проверено 30 мая 2024 г.
  14. ^ Шиллер, Крейг А.; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон, Вирджиния: Syngress. стр. 77–95. дои : 10.1016/B978-159749135-8/50005-6 . ISBN  978-159749135-8 .
  15. ^ Зельцер, Ленни. «Когда боты используют социальные сети для управления и контроля» . zeltser.com . Архивировано из оригинала 7 октября 2017 года . Проверено 27 мая 2017 г.
  16. ^ Осборн, Чарли. «Hammertoss: Российские хакеры нацелены на облако, Twitter, GitHub для распространения вредоносного ПО» . ЗДНет . Архивировано из оригинала 18 февраля 2017 года . Проверено 7 октября 2017 г.
  17. ^ Сингел, Райан (13 августа 2009 г.). «Хакеры используют Twitter для управления ботнетом» . Проводной . Архивировано из оригинала 7 октября 2017 года . Проверено 27 мая 2017 г.
  18. ^ «Обнаружен первый ботнет для Android, контролируемый Twitter» . 24 августа 2016 года. Архивировано из оригинала 3 июля 2017 года . Проверено 27 мая 2017 г.
  19. ^ Галлахер, Шон (3 октября 2014 г.). «Ботнет на базе Reddit заразил тысячи компьютеров Mac по всему миру» . Арс Техника . Архивировано из оригинала 23 апреля 2017 года . Проверено 27 мая 2017 г.
  20. ^ Чимпану, Каталин (6 июня 2017 г.). «Российские государственные хакеры используют посты Бритни Спирс в Instagram для контроля над вредоносным ПО» . Пипящий компьютер . Архивировано из оригинала 8 июня 2017 года . Проверено 8 июня 2017 г.
  21. ^ Дорэ-Жонкас, Алексис (30 января 2013 г.). «Прогулка по Win32/Jabberbot. C&C для обмена мгновенными сообщениями» . Архивировано из оригинала 2 июня 2017 года . Проверено 27 мая 2017 г.
  22. ^ Константин, Лукиан (25 июля 2013 г.). «Киберпреступники используют сеть Tor для управления своими ботнетами» . Мир ПК . Архивировано из оригинала 3 августа 2017 года . Проверено 27 мая 2017 г.
  23. ^ «Руководство по фильтру трафика ботнетов Cisco ASA» . Архивировано из оригинала 25 мая 2017 года . Проверено 27 мая 2017 г.
  24. ^ Беринато, Скотт (ноябрь 2006 г.). «Атака ботов» . Проводной . Архивировано из оригинала 14 июля 2014 года.
  25. ^ Нортон, Куинн (1 января 2012 г.). «Anonymous 101 Part Deux: Мораль торжествует над Лулзом» . Wired.com. Архивировано из оригинала 2 февраля 2013 года . Проверено 22 ноября 2013 г.
  26. ^ Петерсон, Андреа (10 апреля 2015 г.). «Китай использует новое оружие для онлайн-цензуры в виде «Великой пушки» » . Вашингтон Пост . Архивировано из оригинала 17 апреля 2015 года . Проверено 10 апреля 2015 г.
  27. ^ «Вот почему массовые сбои в работе веб-сайтов будут продолжаться» . Вокс . 24 октября 2016 г. Архивировано из оригинала 10 октября 2022 г. . Проверено 31 июля 2022 г.
  28. ^ «Операция Аврора — Структура командования» . Дамбала.com. Архивировано из оригинала 11 июня 2010 года . Проверено 30 июля 2010 г.
  29. ^ Эдвардс, Джим (27 ноября 2013 г.). «Вот как это выглядит, когда ботнет для мошенничества с кликами тайно контролирует ваш веб-браузер» . Архивировано из оригинала 23 июля 2017 года . Проверено 27 мая 2017 г.
  30. ^ ФТК. «Боты в социальных сетях и обманчивая реклама» (PDF) . Архивировано (PDF) из оригинала 22 июня 2024 года . Проверено 26 июля 2020 г.
  31. ^ Берт, Джефф. «Атака на GM с подбросом учетных данных раскрывает данные владельцев автомобилей» . www.theregister.com . Архивировано из оригинала 31 июля 2022 года . Проверено 31 июля 2022 г.
  32. ^ Николс, Шон (24 июня 2014 г.). «У вас есть ботнет? Думаете использовать его для майнинга биткойнов? Не беспокойтесь» . Архивировано из оригинала 14 сентября 2017 года . Проверено 27 мая 2017 г.
  33. ^ «Майнинг биткойнов» . BitcoinMining.com. Архивировано из оригинала 19 апреля 2016 года . Проверено 30 апреля 2016 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  34. ^ «Троянский конь и часто задаваемые вопросы о вирусах» . DSLReports. Архивировано из оригинала 20 октября 2012 года . Проверено 7 апреля 2011 г.
  35. Отношения ботнетов «многие ко многим». Архивировано 4 марта 2016 г. в Wayback Machine , Дамбала , 8 июня 2009 г.
  36. ^ «Использование ботнетов | Проект Honeynet» . www.honeynet.org . Архивировано из оригинала 20 марта 2019 года . Проверено 24 марта 2019 г.
  37. ^ «Что такое фишинг? — Определение с сайта WhatIs.com» . Поисковая безопасность . Архивировано из оригинала 24 марта 2019 года . Проверено 24 марта 2019 г.
  38. ^ Агилар, Марио (14 апреля 2015 г.). «Количество людей, которые попадаются на фишинговые электронные письма, ошеломляет» . Гизмодо . Архивировано из оригинала 24 марта 2019 года . Проверено 24 марта 2019 г.
  39. ^ «Обнаружение и демонтаж инфраструктуры управления и контроля ботнетов с помощью поведенческих профилировщиков и информаторов ботов» . vhosts.eecs.umich.edu .
  40. ^ «РАСКРЫТИЕ ИНФОРМАЦИИ: Обнаружение серверов управления и контроля ботнетов посредством крупномасштабного анализа NetFlow» (PDF) . Ежегодная конференция по приложениям компьютерной безопасности . АКМ. Декабрь 2012 г. Архивировано (PDF) из оригинала 4 марта 2016 г. Проверено 16 июня 2017 г.
  41. ^ BotSniffer: обнаружение каналов управления и контроля ботнетов в сетевом трафике . Материалы 15-го ежегодного симпозиума по безопасности сетей и распределенных систем. 2008. CiteSeerX   10.1.1.110.8092 .
  42. ^ «IRCHelp.org – Конфиденциальность в IRC» . www.irchelp.org . Архивировано из оригинала 22 июня 2024 года . Проверено 21 ноября 2020 г.
  43. ^ «Исследователи загружают миллион ядер Linux, чтобы помочь в исследовании ботнетов» . Новости ИТ-безопасности и сетевой безопасности. 12 августа 2009 года . Проверено 23 апреля 2011 г. [ постоянная мертвая ссылка ]
  44. ^ «Атаки ботнетов методом грубой силы теперь ускользают от объемного обнаружения» . DARKЧтение с Информационной недели . 19 декабря 2016 года. Архивировано из оригинала 14 ноября 2017 года . Проверено 14 ноября 2017 г.
  45. ^ «Подкомитет по преступности и терроризму | Комитет Сената США по судебной власти» . www.judiciary.senate.gov . Архивировано из оригинала 11 декабря 2022 года . Проверено 11 декабря 2022 г.
  46. ^ Соединенные Штаты. Конгресс. Сенат. Комитет по судебной власти. Подкомитет по преступности и терроризму (2018 г.). Уничтожение ботнетов: государственные и частные усилия по разрушению и демонтажу киберпреступных сетей: слушания в Подкомитете по преступности и терроризму Комитета судебной власти Сената США, Сто тринадцатый Конгресс, вторая сессия, 15 июля 2014 г. Вашингтон, округ Колумбия: Издательство правительства США. Архивировано из оригинала 22 июня 2024 года . Проверено 18 ноября 2018 г.
  47. ^ Мейдан, Яир (2018). «Обнаружение атак ботнетов Интернета вещей на основе сети N-BaIoT с использованием глубоких автокодировщиков». Повсеместные вычисления IEEE . 17 (3): 12–22. arXiv : 1805.03409 . дои : 10.1109/MPRV.2018.03367731 . S2CID   13677639 .
  48. ^ Гарсия, С.; Гриль, М.; Стиборек, Дж.; Зунино А. (1 сентября 2014 г.). «Эмпирическое сравнение методов обнаружения ботнетов» . Компьютеры и безопасность 45 : 100–1 дои : 10.1016/j.cose.2014.05.011 . hdl : 11336/6772 . ISSN   0167-4048 . Архивировано 9 декабря. из оригинала Получено 8 декабря.
  49. ^ Кредер, Мэри. «Атланта Бизнес Кроникл, штатный автор» . bizjournals.com. Архивировано из оригинала 22 марта 2019 года . Проверено 22 июля 2002 г.
  50. ^ Мэри Джейн Кредер (22 июля 2002 г.). «EarthLink выигрывает иск на 25 миллионов долларов против нежелательной электронной почты» . Архивировано из оригинала 23 марта 2019 года . Проверено 10 декабря 2018 г.
  51. ^ Полсон, LD (апрель 2006 г.). «Хакеры усиливают вредоносные бот-сети, сокращая их» (PDF) . Компьютер; Краткое содержание новостей . 39 (4). Компьютерное общество IEEE: 17–19. дои : 10.1109/MC.2006.136 . S2CID   10312905 . Архивировано (PDF) из оригинала 12 ноября 2013 года . Проверено 12 ноября 2013 г. По словам Марка Саннера, технического директора MessageLabs, размер бот-сетей достиг своего пика в середине 2004 года, многие из них использовали более 100 000 зараженных компьютеров. По его словам, средний размер бот-сети сейчас составляет около 20 000 компьютеров.
  52. ^ Перейти обратно: а б с д и ж г «Symantec.cloud | Безопасность электронной почты, веб-безопасность, защита конечных точек, архивирование, непрерывность, безопасность обмена мгновенными сообщениями» . Messagelabs.com. Архивировано из оригинала 18 ноября 2020 года . Проверено 30 января 2014 г.
  53. ^ Чак Миллер (5 мая 2009 г.). «Исследователи захватили контроль над ботнетом Torpig» . Журнал SC США. Архивировано из оригинала 24 декабря 2007 года . Проверено 7 ноября 2011 г.
  54. ^ «Сеть Storm Worm сократилась примерно до одной десятой своего прежнего размера» . Tech.Blorge.Com. 21 октября 2007 г. Архивировано из оригинала 24 декабря 2007 г. Проверено 30 июля 2010 г.
  55. ^ Чак Миллер (25 июля 2008 г.). «Ботнет Rustock снова рассылает спам» . Журнал SC США. Архивировано из оригинала 4 апреля 2016 года . Проверено 30 июля 2010 г.
  56. ^ Стюарт, Джо (13 января 2009 г.). «Спам-ботнеты, за которыми стоит следить в 2009 году» . Secureworks.com . SecureWorks. Архивировано из оригинала 5 марта 2016 года . Проверено 9 марта 2016 г.
  57. ^ «Pushdo Botnet — Новые DDOS-атаки на крупные веб-сайты — Гарри Уолдрон — ИТ-безопасность» . msmvps.com. 2 февраля 2010 года. Архивировано из оригинала 16 августа 2010 года . Проверено 30 июля 2010 г.
  58. ^ «Новозеландского подростка обвиняют в контроле бот-сети из 1,3 миллиона компьютеров» . Безопасность H. 30 ноября 2007 г. Архивировано из оригинала 8 марта 2013 г. . Проверено 12 ноября 2011 г.
  59. ^ «Технологии | Спам растет после краткой передышки» . Новости Би-би-си . 26 ноября 2008 г. Архивировано из оригинала 22 мая 2010 г. . Проверено 24 апреля 2010 г.
  60. ^ «Sality: история одноранговой вирусной сети» (PDF) . Симантек. 3 августа 2011 г. Архивировано из оригинала (PDF) 24 сентября 2015 г. . Проверено 12 января 2012 г.
  61. ^ «Как ФБР и полиция разоблачили массивный ботнет» . theregister.co.uk. Архивировано из оригинала 5 марта 2010 года . Проверено 3 марта 2010 г.
  62. ^ «Новый массивный ботнет в два раза больше Storm — безопасность/периметр» . Темное чтение. 7 апреля 2008 г. Архивировано из оригинала 11 июня 2016 г. . Проверено 30 июля 2010 г.
  63. ^ «Расчет размера вспышки Downadup — блог F-Secure: новости из лаборатории» . F-secure.com. 16 января 2009 г. Архивировано из оригинала 23 мая 2016 г. . Проверено 24 апреля 2010 г.
  64. ^ «Ботнет Waledac «уничтожен» уничтожением MS» . Регистр. 16 марта 2010 года. Архивировано из оригинала 18 апреля 2011 года . Проверено 23 апреля 2011 г.
  65. ^ Перейти обратно: а б с д Грегг Кейзер (9 апреля 2008 г.). «Топовые ботнеты контролируют 1 млн захваченных компьютеров» . Компьютерный мир. Архивировано из оригинала 13 августа 2014 года . Проверено 23 апреля 2011 г.
  66. ^ «Ботнет натравливает солдат-зомби на ненадежные веб-сайты» . Регистр. 14 мая 2008 г. Архивировано из оригинала 11 мая 2011 г. . Проверено 23 апреля 2011 г.
  67. ^ «Infosecurity (Великобритания) — уничтоженный ботнет BredoLab, связанный со Spamit.com» . .canada.com. Архивировано из оригинала 11 мая 2011 года . Проверено 10 ноября 2011 г.
  68. ^ «Исследование: небольшие самодельные ботнеты, распространенные в корпоративных сетях» . ЗДНет. Архивировано из оригинала 11 мая 2011 года . Проверено 30 июля 2010 г.
  69. ^ Уорнер, Гэри (2 декабря 2010 г.). «Ботмастер Мега-Д Олег Николаенко предстанет перед судом» . Киберпреступность и время отбывания наказания. Архивировано из оригинала 7 января 2016 года . Проверено 6 декабря 2010 г.
  70. ^ Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Мир ПК . Архивировано из оригинала 1 июля 2015 года . Проверено 11 марта 2016 г.
  71. ^ «Как обнаружить и удалить руткит TDL4 (TDSS/Alureon)» . kasperskytienda.es. 3 июля 2011 года. Архивировано из оригинала 14 марта 2016 года . Проверено 11 июля 2011 г.
  72. ^ «10 самых разыскиваемых ботнетов Америки» . Networkworld.com. 22 июля 2009 г. Архивировано из оригинала 22 июня 2024 г. Проверено 10 ноября 2011 г.
  73. ^ «Операция полиции ЕС ликвидировала вредоносную компьютерную сеть» . физ.орг . Архивировано из оригинала 7 октября 2019 года . Проверено 7 октября 2019 г.
  74. ^ «Обнаружено: ботнет обходится рекламодателям в медийную рекламу более чем в шесть миллионов долларов в месяц» . Паук.io. 19 марта 2013 года. Архивировано из оригинала 9 июля 2017 года . Проверено 21 марта 2013 г.
  75. ^ «Этот крошечный ботнет проводит самые мощные DDoS-атаки» . ЗДНет . Архивировано из оригинала 31 июля 2022 года . Проверено 31 июля 2022 г.
  76. ^ Эспинер, Том (8 марта 2011 г.). «Размер ботнета может быть преувеличен, — говорит Enisa | Security Threats» . Zdnet.com. Архивировано из оригинала 23 октября 2012 года . Проверено 10 ноября 2011 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Botnet&oldid=1232782400"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 933e3eab41b8ec0a5faaf7aed0c591f3__1720182900
URL1:https://arc.ask3.ru/arc/aa/93/f3/933e3eab41b8ec0a5faaf7aed0c591f3.html
Заголовок, (Title) документа по адресу, URL1:
Botnet - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)