Интересно ВИРУСОЛОГИЯ ЧАСТЬ 3 - БОТНЕТ

CMDfromBAT

"Рыбак" со стажем
Moderator
Сообщения
286
Оценка реакций
542
1605807982171.png
Привет форумчанин
Продолжая серию статей на тему вирусологии, поговорим о таком ядерном оружии, как ботнет
Все вы не раз слышали о ботнете. Но знаете ли что это вообще? Для чего он нужен? И как не стать его жертвой. Если нет, то обязательно читайте эту статью. На самом деле, ботнет – это своеобразная зомби-сеть. В ней находятся обычные юзеры, которые качают всякую херню на свой комп. А точнее, зараженное программное обеспечение, которое без ведома владельца выполняет определенные задачи. Вы качаете какой-то необходимый вам файл, например, курсач. И он там действительно находится, но в придачу на ваш комп заливается вредоносное ПО. О котором вы, конечно, не подозреваете.
Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.



Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.


Хакер может за короткий срок установить такие боты на компы миллионам людей по всему миру, естественно, без их спроса. При этом возможности программ очень велики. Это может быть обычный сбор персональной информации, ведение нелегальной деятельности, майнинг ферм, кража паролей. Владелец компа может ни о чем не догадываться, пока у него не отключится Интернет или не пропадут бабки со счетов



Кому выгодны ботнеты?

Короче, все компы, которые находятся в одной сети и контролируются одним человеком — серьезное оружие. Человек, который управляет всем этим, имеет возможность реально поднять бабки. Руководить всем процессом он может из любой точки планеты. Главное, чтобы был интернет и комп, точнее, любое устройство с которого можно выйти в интернет. Сегодня ботнеты выполняют более серьезные задачи. К примеру, человек, который занимается рассылкой спама с «зараженных» компьютеров, может зарабатывать до 100-200 тысяч евро в год. При этом по башке прилетит не хакеру, а владельцу компа, потому что с его устройства рассылался спам. Например, аккаунт на Майл ру или в социальной сети ВКонтакте могут забанить за рассылку спама, а пользователь может быть не в курсе дела и при этом искренне возмущаться.



Сегодня ботнет очень активно используется для шантажа. Все компы включенные в сеть, можно использовать для DDoS-атаки на конкретный сайт. Из-за этой атаки сайт упадет и перестанет функционировать. Это может продолжаться бесконечно, пока пострадавший не выплатит определенную сумму или не выдаст какую-либо информацию.



Владелец сайта почтовых рассылок Smartresponder Максим Хигер вынужден был выплатить немалую сумму хакеру из Лондона, который по новейшей технологии организовал DDoS-атаку на его сайт. Пока между ними шли переговоры, сайт Smartresponder был несколько дней недоступен. Сегодня часто атакуются даже хорошо защищенные государственные, банковские и другие серьезные сайты.



Злоумышленники часто используют возможности ботнетов для анонимного доступа в интернет под чужими IP для воровства паролей и взлома сайтов. При этом такие мощные сети могут сдаваться в аренду для выполнения конкретных задач.



Так же ботнет часто используют для майнинга криптовалюты. Чтобы майнить нужно иметь большое количество компов для решения задач. А кто как не зомби-пользователи могут в этом помочь?



Заражен ли мой компьютер ботом?
Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически докладывает брандмауэр или антивирусное ПО;



— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;



— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно).



Пути заражения ботнетом
Прямой взлом компа или локальной сети путём перебора паролей, чтобы получить доступ от имени админа. Чаще всего такие атаки совершаются специально на частные сети крупных компаний для шпионажа. Они требуют много ресурсов для хакеров, поэтому для взлома обычных пользователей практически не применяются.

Так же комп легко заразить, если в коде ПО есть дырка или уязвимость. Масштабы могут быть поразительные. Например, хакер обнаруживает дыру где-нибудь в виндоус 10 и все, кто пользуются ей автоматически находятся под угрозой. Обычно при выявлении таких уязвимостей разработчики ПО реагируют довольно быстро и исправляют их при помощи обновлений. Так что, всегда обновляйте свой комп!

Заражение компа при санкционированном доступе. Этот вариант заражения может быть как целенаправленным, так и случайным. Представьте, что вы отдали свой комп на ремонт. Чтобы сэкономить вы выбрали самую дешевую цену и даже не убедились в легальности предприятия. И попросили мастера установить вам взломанную прогу. Фотошоп какой-нибудь или ворд. И он случайно вместе с этими прогами установил вам зараженное ПО. Правда он об этом даже не знает, как и вы. А также, если это какой-то начинающий подвальный хакер, он может специально залить вам зараженный ПО и привет, ботнет. Так, что рекомендую вам пользоваться услугами только проверенных мастеров.

Инфицирование через подключение заражённых флэшек. Все просто, всунули флэшку, а на компе не отключён автозапуск съёмных запоминающих устройств, то есть вероятность, что вирус легко проникнет на ваш комп. Наилучшим методом борьбы с таким способом распространения заразы является отключение автозапуска для CD- и USB-носителей.

Заражение путём ввода пользователя в заблуждение. Пожалуй, самый распространённый способ инфицирования компьютеров по всему миру. Здесь в ход идёт и социальная инженерия, и навязчивая реклама, и спам-рассылки, словом всё, что может заставить незадачливого пользователя самостоятельно установить вирус себе на компьютер. Обычно вирусы идут «в нагрузку» к какой-либо полезной программе.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.



Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.



Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.



Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.

Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.



Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.



DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.



Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления – например, взламывать веб-сайты или переводить украденные денежные средства.



Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.



Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.



Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.



Как не попасть в лапы ботнета?
В общем, перспектива стать жертвой ботнета — не радует. Поэтому, вот несколько способов защитить себя от проникновения:

◾использовать брандмауэр и не игнорировать его предупреждения;

◾не открывать подозрительные вложения электронной почты или сообщений в соцсетях;

◾на различных сайтах внимательно смотреть, какие кнопки нажимаешь при скачивании программ;

◾не поддаваться на провокационную рекламу, обещающую крупный выигрыш после скачивания и установки чего-либо;

◾использовать только обновлённое программное обеспечение;

◾не пользоваться автозапуском флешек и дисков;

◾всегда создавать резервные копии самых важных данных и хранить их вне компьютера.

С каждым годом ботнеты развиваются и обнаружить их становиться все сложнее. Даже антивирусы частенько пропускают его мимо себя. Поэтому не стоит полагаться на них. Будьте внимательны, когда скачиваете всякую фигню и не забывайте вовремя обновлять комп!
Примеры известных ботнетов
Mirai и Reaper

Согласно данным отчета, опубликованного компанией Fortinet в августе 2018, Mirai был одним из самых активных ботнетов. Спустя 2 года после его создания у ботнета Mirai появились новые функции, — например, способность превращать инфицированные устройства в комплексы зловредного прокси ПО и майнинговые устройства. Ботнеты часто используются для майнинга криптовалюты. Во время майнинга хакеры могут использовать аппаратное оборудование компьютера жертвы и электричество, чтобы майнить биткоины.



Mirai — это только начало. Осенью 2017 инженеры компании Check Point обнаружили новый ботнет известный под названиями IoTroop и Reaper. Он взламывает устройства в интернете вещей еще быстрее, чем Mirai. Mirai заражал уязвимые устройства, которые использовали дефолтные пароли и имена пользователей. Reaper пошел дальше, взламывая около дюжины устройств разных производителей через уязвимости — включая устройства таких известных компаний, как D-Link, Netgear и Linksys. Ботнет Reaper также гибкий, что позволяет хакерам легко обновлять его код.



Reaper использовали в атаках на европейские банки в прошлом году.

Заключение

На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий. Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники.

На этом на сегодня все, спасибо за ваше время и с вами был CMDfromBAT

Всем удачи