Botnet: cosa sono e come funzionano

Pubblicato: 2023-02-21

Come grandi reti di computer compromessi, le botnet esistono da anni. L'idea di creare un'intera rete di macchine infette che possono essere utilizzate per eseguire attacchi informatici su larga scala e diffondere malware ha senza dubbio cambiato Internet come lo conosciamo oggi.

Le botnet sono la forza trainante dietro la stragrande maggioranza degli attacchi informatici che prendono di mira non solo i siti Web e i server WordPress, ma intere reti e sistemi informatici. Senza ombra di dubbio, il mondo moderno della sicurezza informatica ruota attorno alle reti di bot come cuore dell'intera economia che governa il dark web.

L'ecosistema si è evoluto così tanto che l'esistenza delle botnet ha creato una nuova tendenza nel settore della sicurezza informatica, nota come attacco come servizio o botnet come servizio. I creatori di botnet affitterebbero a terzi la potenza di calcolo e le risorse delle macchine compromesse sotto il loro controllo per lanciare attacchi informatici di diverso tipo.

I siti WordPress sono vittime di attacchi guidati da bot e vengono trascinati nelle botnet più spesso di quanto si possa immaginare. Infatti, la stragrande maggioranza delle volte che un sito Web WordPress viene violato, diventa parte di una rete di altri siti Web e server compromessi. Il malware botnet rimane dormiente nel sistema finché il master del bot non decide di utilizzare il tuo sito Web per lanciare un attacco. Oltre alle ovvie conseguenze negative delle infezioni da malware, far parte di una botnet renderà il tuo sito Web estremamente lento poiché l'hacker ora utilizzerà le risorse del tuo server per alimentare nuovi attacchi.

A peggiorare le cose, lasciare una botnet non è affatto un compito facile. Un utente malintenzionato si assicurerebbe di lasciare backdoor accuratamente predisposte per sfruttare il tuo sito Web WordPress il più a lungo possibile. Questo è il motivo per cui è fondamentale sapere come funzionano esattamente le botnet e come proteggere il tuo sito WordPress.

In questa guida completa alle reti di bot, approfondiamo la storia e l'architettura delle botnet, scoprendo il mistero che si cela dietro i moderni attacchi informatici altamente distribuiti e guidati dai bot. Imparerai a conoscere alcune delle botnet più importanti che esistono oggi e come puoi proteggere te stesso e la tua azienda dalla distruzione che portano.

botnet

Che cos'è una botnet?

Una botnet, che sta per una rete di bot, è un sistema distribuito di computer compromessi infetti dallo stesso tipo di malware che consente all'aggressore di utilizzare il pool consolidato di risorse informatiche per lanciare attacchi informatici su larga scala. Oltre a eseguire attacchi informatici, i proprietari di botnet possono utilizzare i computer infetti dalla rete per eseguire altre attività, come il mining di criptovaluta o l'aumento delle visualizzazioni di una pubblicità o di un video.

L'esecuzione di una botnet è illegale e molte reti note di bot sono state infine chiuse, con l'arresto dei loro proprietari. Nonostante sia spesso difficile identificare il proprietario di una particolare botnet, non è impossibile.

Quanto sono grandi le botnet e che tipo di dispositivi le costituiscono?

Quando si tratta di dimensioni della rete, le botnet variano notevolmente. Lo stesso vale per i tipi di entità infette che formano una botnet. Possono esserci da un paio di siti Web infetti a centinaia di migliaia di sistemi informatici compromessi. Questo dipende da quali sistemi è maggiormente preso di mira da un utente malintenzionato che gestisce una botnet.

Ecco i principali tipi di dispositivi che formano le botnet:

  • Personal computer e dispositivi mobili . Computer desktop, laptop, smartphone e tablet con diversi sistemi operativi.
  • Dispositivi Internet delle cose (IoT) . Dispositivi domestici intelligenti, fitness tracker e smartwatch.
  • Dispositivi principali di rete . Switch di pacchetto come i router.
  • Server e singoli siti Web .

La maggior parte delle volte, gli hacker prendono di mira personal computer, dispositivi mobili e server per infettarli con malware botnet e collegarli alla rete esistente di bot. Tuttavia, i siti Web WordPress possono anche essere entità che formano una botnet. In questo modo, il contenuto del tuo sito non è l'obiettivo degli hacker, ma le risorse del server del tuo sito sono estremamente preziose in una botnet. La principale differenza tra queste situazioni è il livello di controllo che un utente malintenzionato ottiene sul sistema compromesso.

Se un sito Web WordPress viene compromesso allo scopo di aggiungere risorse a una botnet, nella maggior parte dei casi l'attaccante non sarà in grado di ottenere l'accesso di livello root o amministratore al server. Ciò significa che saranno limitati al numero di risorse del server e al livello di accesso al sistema del sito Web compromesso, o meglio dell'utente del sistema che possiede il sito Web.

Come vengono create le botnet?

Le botnet vengono create infettando i sistemi informatici con software dannoso, che nella maggior parte dei casi si presenta sotto forma di un virus cavallo di Troia che un utente può scaricare inavvertitamente o che gli hacker del payload dannoso installano su un server o sito Web già compromesso. Utilizzando questo particolare tipo di malware, noto anche come botnet, un hacker mantiene il controllo sul sistema della vittima infetta e lo utilizza per eseguire attività fraudolente inviando istruzioni attraverso la rete.

Una volta installato, il malware botnet fa in modo che il sistema compromesso lo diffonda ulteriormente, infettando più computer che saranno connessi alla rete fraudolenta. Uno dei motivi principali per cui le botnet si affidano alla costante espansione è la difficoltà di mantenere l'accesso ai sistemi compromessi. La backdoor creata da una botnet può essere scoperta e rimossa in qualsiasi momento, il che significa che l'endpoint sarà disconnesso dalla rete di bot e non sarà più controllato dall'hacker.

Modi comuni in cui viene distribuito il malware botnet

Come viene distribuito esattamente il malware botnet? Il malware botnet può essere diffuso utilizzando un'ampia gamma di tecniche, che spesso includono il social engineering, lo sfruttamento di una vulnerabilità o l'esecuzione di un attacco di forza bruta per ottenere l'accesso non autorizzato al sistema per caricare un payload dannoso.

Personal computer e dispositivi mobili

Sorprendentemente, quando si tratta di ottenere il controllo su personal computer e dispositivi mobili, l'invio di allegati e-mail dannosi è il metodo numero uno utilizzato dagli hacker. File come fogli di calcolo Excel e documenti Microsoft Word, nonché archivi di file, sono i modi più comuni con cui viene distribuito il malware botnet. Si ritiene che uno dei malware botnet più famosi, Emotet, sia distribuito tramite allegati e-mail dannosi.

Tuttavia, anche se la vittima scarica l'allegato, non è sufficiente che il malware botnet sia attivato sul proprio dispositivo. Un utente deve confermare determinate attività apparentemente innocue, come l'esecuzione di macro o l'abilitazione della modifica dei file, che attiveranno l'infezione e garantiranno all'attaccante l'accesso completo al sistema del computer di destinazione, inclusi tutti i dati memorizzati su di esso.

Oltre a questo metodo, il malware botnet può anche essere distribuito utilizzando attacchi di scripting cross-site o camuffato da software legittimo che un utente è invitato a installare. La compromissione di siti Web di interesse per gli utenti mirati al fine di infettare i loro dispositivi personali è comunemente nota come attacco watering hole ed è ampiamente utilizzata dai proprietari di botnet.

Server e siti web

I server e i siti Web in genere non possono essere infettati da malware botnet allo stesso modo dei personal computer e dei dispositivi mobili. Un utente malintenzionato in genere sfrutta una vulnerabilità per ottenere l'accesso a livello di sistema o sito Web a un server vittima e quindi carica software dannoso che gli consentirà quindi di stabilire il controllo su di esso.

I siti Web compromessi dall'aggressore verranno quindi utilizzati per distribuire ulteriormente il malware botnet iniettandovi codice dannoso. Gli utenti che visitano siti infetti vedranno il malware scaricato e attivato sui propri dispositivi che diventeranno parte della stessa rete di bot. Garantire che il tuo sito sia adeguatamente protetto da una soluzione di sicurezza come iThemes Security non solo aiuta il tuo sito a difendersi da questi attacchi, ma aiuta il tuo sito a non infettare altri, bloccando le botnet sulle loro tracce.

Client-server e peer-to-peer: l'architettura di una botnet

Le botnet sono in genere costruite su uno dei due principali modelli di applicazioni di rete: architetture client-server e peer-to-peer (P2P). Il modello client-server rimane l'architettura prevalente non solo per le botnet ma anche per la maggior parte delle applicazioni web.

L'architettura client-server viene utilizzata per creare un modello centralizzato, in cui la macchina dell'attaccante, nota anche come bot herder, invia istruzioni agli zombi, o bot, che formano una botnet. I computer zombi, a loro volta, non comunicano direttamente tra loro. Le botnet di grandi dimensioni possono essere gestite da più bot herder (proxy) per semplificare il processo di gestione.

In alcuni casi, le botnet possono utilizzare il modello decentralizzato che impiega la comunicazione peer-to-peer. Le botnet decentralizzate possono far passare le istruzioni da un computer zombie a un altro, diffondendo successivamente i comandi attraverso l'intera rete di bot. L'architettura P2P rende più complicato identificare il pastore e scoprire l'identità del bot master.

Insieme al bot herder che avvia una connessione a un computer zombie, i dispositivi infetti spesso inviano richieste al bot master a intervalli regolari per verificare la presenza di nuove istruzioni. La maggior parte dei malware botnet è configurata per rimanere inattiva per un lungo periodo di tempo per sfuggire al rilevamento.

Il server di comando e controllo (C2) come cuore di una botnet

Il bot herder, che rappresenta il computer del proprietario del bot utilizzato per impartire comandi alle macchine zombie, è noto come server di comando e controllo, o C2. Il server di comando e controllo si trova al centro di ogni botnet e consente all'aggressore di comunicare con i sistemi compromessi utilizzando l'architettura client-server o l'architettura delle applicazioni di rete peer-to-peer.

Una volta che un nuovo computer zombi viene aggiunto a una botnet, il centro di comando e controllo lo costringe a creare un canale di comunicazione per consentire all'attaccante di stabilire una presenza pratica della tastiera sul dispositivo infetto. Ciò si ottiene tramite strumenti di accesso remoto.

I server C2C ricorrono spesso all'utilizzo di traffico attendibile e raramente monitorato, come il DNS, per inviare istruzioni agli host infetti. Per evitare la scoperta da parte delle forze dell'ordine, le posizioni dei server di comando e controllo vengono spesso modificate dal master del bot e spesso vengono utilizzate tecniche dannose come gli algoritmi di generazione del dominio (DGA).

Le 3 botnet più grandi e popolari create

Si ritiene che le botnet siano emerse nei primi anni 2000 e da allora si siano evolute. Una delle prime botnet conosciute è stata scoperta nel 2001. È stata creata un'enorme rete di bot per lanciare campagne di spamming che rappresentavano circa il venticinque percento di tutte le e-mail indesiderate inviate in quel momento.

Da allora sono state scoperte e smantellate numerose grandi botnet. Tuttavia, alcune reti di bot contenenti centinaia di migliaia o addirittura milioni di computer compromessi esistono ancora oggi e vengono utilizzate attivamente per eseguire attacchi informatici su larga scala.

Le prime tre botnet più grandi e popolari esistenti oggi sono le botnet Mantis, Srizbi ed Emotet.

Botnet Mantide

Nel 2022, CloudFlare ha riferito che la sua rete è stata presa di mira da un massiccio attacco DDoS, con 26 milioni di richieste Web al secondo che hanno colpito l'infrastruttura. CloudFlare lo ha definito il più grande attacco DDos mai mitigato e ha rivelato che la botnet Mantis utilizzava solo circa 5000 bot, che è solo una piccola parte della potenza di calcolo totale della botnet.

Per andare oltre, tutte le richieste sono state inviate tramite HTTPS, che è significativamente più costoso e difficile da ottenere in termini di attacco DDoS. Ciò ha reso la botnet Mantis una delle più potenti reti di bot attualmente in funzione.

Srizbi botnet

La botnet Srizbi esiste da oltre un decennio e si ritiene che sia responsabile dell'invio di oltre la metà di tutto lo spam inviato da tutte le altre principali reti di bot messe insieme. Si stima che la botnet abbia sotto controllo circa mezzo milione di endpoint infetti e si stia espandendo rapidamente distribuendo il cosiddetto trojan Srizbi.

Emotet botnet

Iniziato come un trojan bancario volto a rubare informazioni sulle carte di credito da computer infetti, Emotet si è rapidamente evoluto in un'enorme botnet con oltre mezzo milione di endpoint compromessi in tutto il mondo. È noto che il malware Emotet viene distribuito tramite allegati e-mail dannosi inviati da computer infetti. Emotet è una delle botnet più popolari sul dark web che può essere affittata a vari gruppi hackerati, di cui parleremo più dettagliatamente più avanti nell'articolo.

5 tipi comuni di attacchi effettuati da botnet

Le botnet sono strumenti versatili che possono essere utilizzati per eseguire varie attività fraudolente. Oltre a utilizzare la rete di computer compromessi per attaccare altri endpoint di rete e diffondere malware, il proprietario del bot può rubare informazioni sensibili dai dispositivi zombie. Ciò rende le botnet il fulcro del crimine informatico.

Ecco i cinque principali tipi di attacchi informatici per i quali vengono utilizzate le botnet:

  • Attacchi DDoS (Distributed Denial of Service) e forza bruta.
  • Attacchi di phishing.
  • Campagne di spam.
  • Distribuzione malware.
  • Furto di dati e attacchi ransomware.

Attacchi DDoS e forza bruta

Gli attacchi Distributed Denial of Service e Brute Force sono gli attacchi informatici più comuni effettuati dalle botnet. Utilizzando un pool di risorse informatiche creato da una rete di dispositivi zombie, gli aggressori lanciano attacchi su larga scala che possono prendere di mira centinaia di migliaia di server e siti Web, con milioni di richieste Web dannose inviate al secondo.

Phishing

Una rete di siti Web compromessi viene spesso utilizzata per lanciare massicci attacchi di phishing. Il server di comando e controllo distribuisce una serie di pagine di phishing attraverso la botnet che verranno utilizzate per indurre gli utenti a rivelare le proprie credenziali di accesso e altre informazioni sensibili.

Spam

Il lancio di massicce campagne di spam è uno dei primi scopi serviti dalle botnet. Il proprietario della botnet creerebbe una serie di e-mail indesiderate contenenti collegamenti a siti Web infetti o allegati dannosi al fine di distribuire malware o facilitare attacchi di phishing.

Distribuzione malware

La distribuzione del malware è fondamentale per garantire che una botnet possa sopravvivere a lungo termine, compromettendo più dispositivi. I computer zombi scansionano costantemente reti di grandi dimensioni alla ricerca di vulnerabilità, sfruttandole successivamente per distribuire malware botnet. I siti Web e i server infetti che formano una botnet vengono utilizzati per ospitare pagine Web dannose o reindirizzamenti dannosi che attiveranno il download di malware sui dispositivi del visitatore con lo stesso scopo.

Furto di dati e attacchi ransomware

A volte i proprietari di botnet possono prendere di mira organizzazioni specifiche e le loro reti per rubare informazioni riservate e installare ransomware. I dati ottenuti possono quindi essere utilizzati per estorcere denaro e rovinare la reputazione e le operazioni dell'azienda vittima o venduti sul dark web. Per ottenere l'accesso non autorizzato a reti di computer di grandi dimensioni, gli aggressori possono utilizzare una combinazione di ingegneria sociale e attività fraudolente sopra menzionate.

Attacco come servizio: come vengono affittate le botnet sul Dark Web

Le botnet stanno guadagnando popolarità nel dark web come servizio criminale gestito che può essere acquistato o affittato dal proprietario di una botnet. Invece di creare una nuova rete di bot, gli hacker possono accedere alle risorse informatiche di una botnet già consolidata per eseguire campagne fraudolente. Questo introduce un nuovo termine nel mondo della sicurezza informatica: attacco come servizio, che è per certi versi simile al concetto consolidato di infrastruttura come servizio (IaaS).

Oggi il dark web è governato da un'intera economia che ruota attorno alle botnet e al malware botnet. Oltre ad affittare o vendere reti di bot, gli hacker vendono l'accesso a siti Web e server compromessi per espandere le botnet esistenti e propagare il malware botnet.

Come proteggere il tuo sito WordPress dal diventare parte di una botnet? I 3 principali consigli per la sicurezza

Essendo il sistema di gestione dei contenuti più popolare al mondo, WordPress rappresenta un obiettivo ad alta priorità per botnet e attacchi informatici guidati da bot. Poiché i siti WordPress sono così comuni, utilizzarli per distribuire malware botnet ed eseguire attacchi di rete continua a essere un metodo allettante per attacchi dannosi.

Molti siti Web WordPress vengono compromessi a seguito di un attacco guidato da bot riuscito e quindi diventano parte della botnet dietro di esso. Le backdoor lasciate dagli aggressori possono essere estremamente difficili da rimuovere, il che può lasciare un sito Web infetto sotto il controllo di un utente malintenzionato per mesi o addirittura anni.

Far parte di una botnet può danneggiare in modo significativo la reputazione della tua azienda e portare a enormi perdite finanziarie e, in alcuni casi, implicazioni legali a seguito di violazioni dei dati. Ridurre la superficie di attacco è fondamentale per garantire una protezione sufficiente contro i vettori di attacco comuni.

Configura gli aggiornamenti automatici e installa il software solo da fonti attendibili

Gli aggressori eseguono costantemente la scansione dei siti Web alla ricerca di vulnerabilità da sfruttare. Quando si tratta di WordPress, il principale difetto di sicurezza che espone i siti Web a compromessi è un software obsoleto e inaffidabile. Ciò include il core di WordPress, i temi e i plug-in installati, nonché la versione PHP in uso.

Vengono rilasciati aggiornamenti regolari per tutti gli aspetti critici dell'ecosistema WordPress, correggendo rapidamente tutte le vulnerabilità critiche scoperte. Società di sviluppo di plug-in e temi affidabili si assicurano di mantenere un elevato livello di sicurezza per i loro prodotti.

La configurazione degli aggiornamenti software automatici è una parte importante per garantire la sicurezza del tuo sito Web WordPress. iThemes Security Pro può tenere traccia di tutti gli aggiornamenti di core, plug-in e temi e installare automaticamente le nuove versioni del software rilasciato. Se possiedi più di un blog o sito web aziendale costruito su WordPress, iThemes Sync Pro fornisce un'unica dashboard per lavorare con gli aggiornamenti e tenere traccia dei tempi di attività e delle metriche SEO su tutti i siti web che gestisci.

Imposta l'autenticazione a più fattori

Gli attacchi di forza bruta guidati da bot contro WordPress hanno un tasso di successo sorprendentemente alto. Ottenere l'accesso alla dashboard di amministrazione di WordPress offre all'attaccante il pieno controllo del tuo sito web. Utilizzare solo l'autenticazione basata su password significa che gli hacker sono solo a un passo dall'impersonarti con successo come legittimo proprietario del sito web.

Le password sono violate e gli attacchi di forza bruta effettuati dalle botnet possono violare il tuo account amministratore di WordPress abbastanza facilmente. L'utilizzo dell'autenticazione a più fattori, come le passkey con autenticazione biometrica offerte da iThemes Security Pro, elimina efficacemente il rischio di prendere il controllo del tuo account amministratore a seguito di un attacco di forza bruta riuscito.

Utilizzare un firewall per applicazioni Web

I firewall per applicazioni Web basati su cloud e host sono una solida prima linea di difesa contro la stragrande maggioranza degli attacchi informatici distribuiti guidati da bot che prendono di mira i siti Web WordPress. Filtrando le richieste Web dannose che corrispondono a modelli noti, i WAF possono mitigare con successo gli attacchi denial of service e di forza bruta, nonché gli attacchi di data injection come le SQL injection.

Configura un robusto firewall per applicazioni Web con una serie di set di regole gestiti. Questo, combinato con l'utilizzo dell'autenticazione a più fattori, ridurrà drasticamente la superficie di attacco e la probabilità che il tuo sito Web WordPress diventi parte di una rete di bot.

Lascia che iThemes Security Pro protegga il tuo sito Web WordPress

Le botnet sono alla base della maggior parte degli attacchi informatici su larga scala lanciati su Internet. Utilizzando una rete altamente distribuita di bot, gli hacker eseguono un'ampia gamma di attività fraudolente, dagli attacchi denial of service al furto di dati. Le botnet espandono costantemente la loro infrastruttura distribuendo uno speciale tipo di malware volto a ottenere il pieno controllo sui dispositivi delle vittime.

I computer zombi stabiliscono un canale combinato con il dispositivo del bot master, noto come server di comando e controllo, che verrà utilizzato per inviare e ricevere ulteriori istruzioni. Per evitare procedimenti giudiziari, i proprietari di botnet utilizzano una serie di tecniche sofisticate che consentono loro di rimanere anonimi.

I siti Web WordPress sono l'obiettivo numero uno per le botnet. Ridurre la superficie di attacco mediante regolari patch di vulnerabilità, utilizzando un firewall per applicazioni Web e configurando l'autenticazione a più fattori è lo standard di sicurezza per difendere WordPress dagli attacchi guidati dai bot.

Con trenta modi per proteggere le aree critiche del tuo sito Web WordPress, iThemes Security Pro può diventare il tuo assistente personale per la sicurezza. La combinazione della potenza del plug-in di sicurezza con una solida strategia di backup che BackupBuddy può aiutarti a costruire ti aiuterà a raggiungere un livello di sicurezza eccezionale per la tua azienda e i suoi clienti.