ボットネット: ボットネットとは何か、どのように動作するか
公開: 2023-02-21侵害されたコンピューターの大規模なネットワークとして、ボットネットは何年も前から存在しています。 大規模なサイバー攻撃を実行してマルウェアを拡散するために使用できる、感染したマシンのネットワーク全体を作成するという考えは、今日のインターネットを間違いなく変えました。
ボットネットは、WordPress の Web サイトやサーバーだけでなく、ネットワークやコンピューター システム全体を標的とするサイバー攻撃の大多数の背後にある原動力です。 疑いの余地なく、現代のサイバー セキュリティの世界は、ダーク ウェブを支配する経済全体の心臓部として、ボットのネットワークを中心に展開しています。
エコシステムは非常に進化したため、ボットネットの存在により、サービスとしての攻撃またはサービスとしてのボットネットとして知られる、サイバー セキュリティ業界に新しいトレンドが生まれました。 ボットネットの作成者は、制御下にある侵害されたマシンのコンピューティング パワーとリソースをサード パーティに貸し出し、さまざまな種類のサイバー攻撃を開始します。
WordPress サイトはボットによる攻撃の犠牲になり、想像以上に頻繁にボットネットに引き込まれます。 実際、WordPress の Web サイトがハッキングされるほとんどの場合、侵害された他の Web サイトやサーバーのネットワークの一部になります。 ボットネット マルウェアは、ボット マスターが Web サイトを使用して攻撃を開始することを決定するまで、システム内で休止状態になります。 マルウェア感染がもたらす明らかな悪影響に加えて、ボットネットの一部になると、ハッカーがサーバー リソースを使用して新しい攻撃を行うため、Web サイトが非常に遅くなります。
さらに悪いことに、ボットネットから離れるのは簡単なことではありません。 攻撃者は、WordPress Web サイトを可能な限り長く利用するために、慎重に作成されたバックドアを必ず残します。 これが、ボットネットがどのように機能し、WordPress サイトを保護する方法を正確に知ることが不可欠である理由です.
ボットのネットワークに関するこの包括的なガイドでは、ボットネットの歴史とアーキテクチャを深く掘り下げ、現代の高度に分散されたボット主導のサイバー攻撃の背後にある謎を明らかにします。 今日存在する最も有名なボットネットのいくつかと、それらがもたらす破壊から自分自身と自分のビジネスを守る方法について学びます。
ボットネットとは何ですか?
ボットネット (ボットのネットワーク) は、攻撃者がコンピューティング リソースの統合されたプールを使用して大規模なサイバー攻撃を開始できるようにする、同じ種類のマルウェアに感染した侵害されたコンピューターの分散システムです。 ボットネットの所有者は、サイバー攻撃を実行する以外に、ネットワークに感染したコンピューターを使用して、暗号通貨のマイニングや広告やビデオの視聴回数の増加など、他の活動を実行できます。
ボットネットの運営は違法であり、ボットの既知のネットワークの多くは最終的に閉鎖され、その所有者は逮捕されました。 特定のボットネットの所有者を特定することはしばしば困難ですが、不可能ではありません。
ボットネットの規模とボットネットを構成するデバイスの種類は?
ネットワークのサイズに関しては、ボットネットは大きく異なります。 ボットネットを形成する感染エンティティの種類についても同じことが言えます。 感染した Web サイトは数件から数十万件のコンピューティング システムにまで及ぶ可能性があります。 これは、ボットネットを操作する攻撃者がどのシステムを最も標的にするかによって異なります。
ボットネットを形成する主なデバイスの種類は次のとおりです。
- パーソナル コンピュータおよびモバイル デバイス。 異なるオペレーティング システムを実行しているデスクトップ コンピューター、ラップトップ、スマートフォン、およびタブレット。
- モノのインターネット (IoT) デバイス。 スマート ホーム デバイス、フィットネス トラッカー、スマートウォッチ。
- ネットワーク コア デバイス。 ルーターなどのパケットスイッチ。
- サーバーと個々の Web サイト。
ほとんどの場合、ハッカーは PC、モバイル デバイス、およびサーバーを標的にしてボットネット マルウェアに感染させ、既存のボット ネットワークに接続します。 ただし、WordPress Web サイトもボットネットを形成するエンティティになる可能性があります。 このように、サイトのコンテンツはハッカーの標的にはなりませんが、サイトのサーバー リソースはボットネットにとって非常に価値があります。 これらの状況の主な違いは、侵害されたシステムに対して攻撃者が得る制御のレベルです。
ボットネットにリソースを追加する目的で WordPress Web サイトが侵害された場合、ほとんどの場合、攻撃者はサーバーへのルートまたは管理者レベルのアクセスを取得できません。 これは、サーバー リソースの数と、侵害された Web サイトまたは Web サイトを所有するシステム ユーザーが持つシステム アクセスのレベルに制限されることを意味します。
ボットネットはどのように作成されますか?
ボットネットは、コンピューター システムに悪意のあるソフトウェアを感染させることによって作成されます。ほとんどの場合、ユーザーが誤ってダウンロードしたり、悪意のあるペイロード ハッカーが既に侵害されたサーバーや Web サイトにインストールしたりする可能性のあるトロイの木馬ウイルスの形で発生します。 ボットネットとしても知られるこの特殊なタイプのマルウェアを使用して、ハッカーは感染した被害者のシステムを制御し続け、それを使用してネットワーク経由で命令を送信することで不正行為を実行します。
ボットネット マルウェアがインストールされると、侵害されたシステムはそれをさらに配布し、不正なネットワークに接続されるより多くのコンピューターを感染させます。 ボットネットが絶え間なく拡大する主な理由の 1 つは、侵害されたシステムへのアクセスを維持することの難しさです。 ボットネットによって作成されたバックドアは、いつでも発見して削除できます。つまり、エンドポイントはボットのネットワークから切断され、ハッカーによって制御されなくなります。
ボットネット マルウェアの一般的な配布方法
ボットネット マルウェアは正確にどのように配布されますか? ボットネット マルウェアは、多くの場合、ソーシャル エンジニアリング、脆弱性の悪用、システムへの不正アクセスを取得して悪意のあるペイロードをアップロードするブルート フォース攻撃の実行など、さまざまな手法を使用して拡散できます。
パソコンとモバイル機器
驚くべきことに、ハッカーがパソコンやモバイル デバイスを制御する際に悪意のある電子メールの添付ファイルを送信する方法が最も多く使用されています。 Excel スプレッドシートや Microsoft Word 文書などのファイル、およびファイル アーカイブは、ボットネット マルウェアが配布される最も一般的な方法です。 最も悪名高いボットネット マルウェアの 1 つである Emotet は、悪意のある電子メールの添付ファイルを介して配布されると考えられています。
ただし、被害者が添付ファイルをダウンロードしたとしても、デバイスでボットネット マルウェアがアクティブになるだけでは十分ではありません。 ユーザーは、マクロの実行やファイル編集の有効化など、一見無害に見える特定のアクティビティを確認する必要があります。これらのアクティビティは、感染を引き起こし、攻撃者にターゲット コンピューターへの完全なシステム アクセス (そこに保存されているすべてのデータを含む) を許可します。
この方法とは別に、ボットネット マルウェアは、クロスサイト スクリプティング攻撃を使用して配布されたり、ユーザーがインストールするように招待された正当なソフトウェアを装ったりすることもできます。 個人のデバイスを感染させるために、標的のユーザーが関心を持っている Web サイトを侵害することは、一般に水飲み場攻撃として知られており、ボットネットの所有者によって広く使用されています。
サーバーとウェブサイト
通常、サーバーや Web サイトは、パーソナル コンピューターやモバイル デバイスのようにボットネット マルウェアに感染することはありません。 攻撃者は通常、脆弱性を悪用して被害者のサーバーへのシステム レベルまたは Web サイト レベルのアクセスを取得し、悪意のあるソフトウェアをアップロードして、それを制御できるようにします。
攻撃者によって侵害された Web サイトは、悪意のあるコードを挿入することにより、ボットネット マルウェアをさらに配布するために使用されます。 感染したサイトにアクセスしたユーザーは、デバイスにマルウェアをダウンロードしてアクティブ化し、ボットの同じネットワークの一部になります。 サイトが iThemes Security のようなセキュリティ ソリューションによって適切に保護されていることを確認することは、これらの攻撃からサイトを防御するのに役立つだけでなく、サイトが他の人に感染しないようにして、ボットネットを追跡するのを阻止するのにも役立ちます。
クライアントサーバーとピアツーピア: ボットネットのアーキテクチャ
ボットネットは通常、クライアント サーバーとピア ツー ピア (P2P) アーキテクチャの 2 つの主要なネットワーク アプリケーション モデルのいずれかに基づいて構築されます。 クライアント/サーバー モデルは、ボットネットだけでなく、ほとんどの Web アプリケーションが利用する最も一般的なアーキテクチャであり続けています。
クライアント サーバー アーキテクチャは、ボット ヘルダーとも呼ばれる攻撃者のマシンが、ボットネットを形成するゾンビ (ボット) に指示を送信する集中型モデルを作成するために使用されます。 一方、ゾンビ コンピュータは互いに直接通信しません。 大規模なボットネットは、管理プロセスを容易にするために、複数のボット ヘルダー (プロキシ) によって実行される可能性があります。
場合によっては、ボットネットはピアツーピア通信を採用する分散型モデルを使用できます。 分散型ボットネットでは、あるゾンビ コンピューターから別のゾンビ コンピューターに命令が渡され、その後ボットのネットワーク全体にコマンドが拡散されます。 P2P アーキテクチャにより、ヘルダーを特定し、ボット マスターの身元を明らかにすることがより複雑になります。
ゾンビ コンピューターへの接続を開始するボット ヘルダーに加えて、感染したデバイスは多くの場合、定期的にボット マスターに要求を送信して、新しい指示をチェックします。 ほとんどのボットネット マルウェアは、検出を逃れるために長期間非アクティブな状態を維持するように構成されています。
ボットネットの心臓部としてのコマンド アンド コントロール (C2) サーバー
ゾンビ マシンにコマンドを発行するために使用されるボット所有者のコンピューターを表すボット ヘルダーは、コマンド アンド コントロール サーバー (C2) として知られています。 コマンド アンド コントロール サーバーは、各ボットネットの中心に位置し、攻撃者がクライアント/サーバーまたはピアツーピア ネットワーク アプリケーション アーキテクチャを使用して侵害されたシステムと通信できるようにします。
新しいゾンビ コンピューターがボットネットに追加されると、コマンド アンド コントロール センターは、攻撃者が感染したデバイス上でハンズオン キーボードの存在を確立するための通信チャネルを強制的に作成します。 これは、リモート アクセス ツールによって実現されます。
C2C サーバーは、感染したホストに指示を送信するために、DNS など、信頼できるがほとんど監視されないトラフィックを使用することがよくあります。 法執行機関による発見を回避するために、コマンド アンド コントロール サーバーの場所はボット マスターによって頻繁に変更され、ドメイン生成アルゴリズム (DGA) などの悪意のある手法が頻繁に使用されます。
作成された上位 3 つの最大かつ最も人気のあるボットネット
ボットネットは 2000 年代初頭に出現し、それ以来進化してきたと考えられています。 最初に知られているボットネットの 1 つが 2001 年に発見されました。ボットの巨大なネットワークが作成され、スパム キャンペーンを開始し、当時送信されたすべての迷惑メールの約 25% を占めていました。
それ以来、多数の大規模なボットネットが発見され、解体されています。 しかし、侵害された数十万または数百万のコンピューターを含むボットのネットワークは今日でも存在し、大規模なサイバー攻撃を実行するために積極的に使用されています。
現在存在する上位 3 つのボットネットは、Mantis、Srizbi、および Emotet ボットネットです。
Mantis ボットネット
2022 年、CloudFlare は、そのネットワークが大規模な DDoS 攻撃の標的になり、毎秒 2,600 万の Web リクエストがインフラストラクチャにヒットしたと報告しました。 CloudFlare は、これまでに緩和した最大の DDos 攻撃と呼び、Mantis ボットネットが約 5000 ボットしか使用していないことを明らかにしました。これは、ボットネットの総計算能力のほんの一部にすぎません。
さらに言えば、すべてのリクエストは HTTPS 経由で送信されました。これは、DDoS 攻撃の観点からすると、はるかにコストがかかり、達成が困難です。 これにより、Mantis ボットネットは、現在運用されているボットの最も強力なネットワークの 1 つになりました。
Srizbi ボットネット
Srizbi ボットネットは 10 年以上存在しており、ボットの他のすべての主要なネットワークを合わせたスパムの半分以上を送信していると考えられています。 このボットネットは、約 50 万の感染したエンドポイントを管理していると推定されており、いわゆる Srizbi トロイの木馬を配布することで急速に拡大しています。
Emotet ボットネット
Emotet は、感染したコンピューターからクレジット カード情報を盗むことを目的としたバンキング型トロイの木馬として始まりましたが、すぐに巨大なボットネットに進化し、世界中で 50 万を超えるエンドポイントが侵害されました。 Emotet マルウェアは、感染したコンピューターから送信された悪意のある電子メールの添付ファイルを介して配布されることが知られています。 Emotet は、ダーク Web で最も人気のあるボットネットの 1 つであり、ハッキングされたさまざまなグループに貸し出すことができます。これについては、この記事で詳しく説明します。
ボットネットによって実行される 5 つの一般的なタイプの攻撃
ボットネットは、さまざまな不正行為の実行に使用できる汎用ツールです。 侵害されたコンピューターのネットワークを使用して他のネットワーク エンドポイントを攻撃し、マルウェアを拡散することに加えて、ボットの所有者はゾンビ デバイスから機密情報を盗むことができます。 これにより、ボットネットはサイバー犯罪の中心的存在となっています。
ボットネットが使用されている上位 5 種類のサイバー攻撃は次のとおりです。
- 分散型サービス拒否 (DDoS) 攻撃とブルート フォース攻撃。
- フィッシング攻撃。
- スパム キャンペーン。
- マルウェアの配布。
- データの盗難とランサムウェア攻撃。
DDoS 攻撃とブルート フォース攻撃
分散型サービス拒否攻撃とブルート フォース攻撃は、ボットネットによって実行される最も一般的なサイバー攻撃です。 攻撃者は、ゾンビ デバイスのネットワークが作成するコンピューティング リソースのプールを使用して、数十万のサーバーと Web サイトを標的とする大規模な攻撃を開始し、1 秒間に数百万の悪意のある Web リクエストを送信します。
フィッシング
侵害された Web サイトのネットワークは、大規模なフィッシング攻撃を開始するためによく使用されます。 コマンド アンド コントロール サーバーは、ボットネット全体に一連のフィッシング ページを配布します。これらのページは、ユーザーをだましてログイン資格情報やその他の機密情報を提供させるために使用されます。
スパム
大規模なスパム キャンペーンを開始することは、ボットネットが提供する最初の目的の 1 つです。 ボットネットの所有者は、マルウェアを配布したり、フィッシング攻撃を助長したりするために、感染した Web サイトへのリンクや悪意のある添付ファイルを含む一連の迷惑メールを作成します。
マルウェアの配布
マルウェアの配布は、ボットネットが長期にわたって存続し、より多くのデバイスに侵入できるようにするための鍵です。 ゾンビ コンピューターは、大規模なネットワークの脆弱性を絶えずスキャンし、その後、脆弱性を悪用してボットネット マルウェアを配布します。 感染した Web サイトやボットネットを形成するサーバーは、悪意のある Web ページや悪意のあるリダイレクトをホストするために使用され、マルウェアが同じ目的で訪問者のデバイスにダウンロードされるようにします。
データ盗難とランサムウェア攻撃
ボットネットの所有者は、特定の組織とそのネットワークを標的にして機密情報を盗み、ランサムウェアをインストールすることがあります。 取得したデータは、金銭を強要したり、被害企業の評判や業務を台無しにしたり、ダーク Web で販売したりするために使用される可能性があります。 大規模なコンピューター ネットワークへの不正アクセスを取得するために、攻撃者はソーシャル エンジニアリングと上記の詐欺行為を組み合わせて使用できます。
サービスとしての攻撃: ボットネットがダーク Web で貸し出される方法
ボットネットは、ボットネットの所有者から購入またはレンタルできる管理された犯罪サービスとして、ダーク Web で人気を集めています。 ハッカーは、ボットの新しいネットワークを作成する代わりに、すでに確立されているボットネットのコンピューティング リソースにアクセスして、不正なキャンペーンを実行できます。 これにより、サイバー セキュリティの世界に新しい用語がもたらされます。サービスとしての攻撃です。これは、サービスとしてのインフラストラクチャ (IaaS) の確立された概念にいくつかの点で似ています。
今日、ダーク Web は、ボットネットとボットネット マルウェアを中心に展開する経済全体によって支配されています。 ハッカーは、ボットのネットワークを貸し出したり販売したりするだけでなく、侵害された Web サイトやサーバーへのアクセスを販売して、既存のボットネットを拡大し、ボットネット マルウェアを広めます。
WordPress サイトがボットネットの一部になるのを防ぐ方法は? トップ 3 のセキュリティに関する推奨事項
世界で最も人気のあるコンテンツ管理システムである WordPress は、ボットネットやボットによるサイバー攻撃の優先度の高い標的となっています。 WordPress サイトは非常に一般的であるため、それらを使用してボットネット マルウェアを配布し、ネットワーク攻撃を実行することは、悪意のある攻撃にとって魅力的な方法であり続けています。
ボットによる攻撃が成功した結果、多くの WordPress Web サイトが侵害され、その背後にあるボットネットの一部になります。 攻撃者が残したバックドアを削除するのは非常に困難な場合があり、感染した Web サイトが数か月または数年にわたって攻撃者の制御下に置かれる可能性があります。
ボットネットの一部になると、ビジネスの評判が著しく損なわれ、巨額の金銭的損失につながる可能性があり、場合によっては、データ侵害の結果として法的な影響を受ける可能性があります. 攻撃面を減らすことは、一般的な攻撃ベクトルに対して十分な保護を確保するための鍵です。
自動更新を構成し、信頼できるソースからのみソフトウェアをインストールする
攻撃者は、脆弱性を悪用するために Web サイトを常にスキャンしています。 WordPress に関して言えば、Web サイトを危険にさらす主なセキュリティ上の欠陥は、時代遅れで信頼性の低いソフトウェアです。 これには、インストールされている WordPress コア、テーマ、プラグイン、および使用中の PHP バージョンが含まれます。
WordPress エコシステムのすべての重要な側面に対して定期的な更新がリリースされ、発見されたすべての重要な脆弱性に迅速にパッチが適用されます。 信頼できるプラグインとテーマの開発会社は、製品の高いレベルのセキュリティを維持するようにしています.
ソフトウェアの自動更新を構成することは、WordPress Web サイトのセキュリティを確保する上で重要な部分です。 iThemes Security Pro は、すべてのコア、プラグイン、およびテーマの更新を追跡し、リリースされたソフトウェアの新しいバージョンを自動的にインストールできます。 WordPress で構築された複数のブログまたはビジネス Web サイトを所有している場合、iThemes Sync Pro は、更新を操作し、管理するすべての Web サイトの稼働時間と SEO メトリックを追跡するための単一のダッシュボードを提供します。
多要素認証のセットアップ
WordPress を標的としたボットによるブルート フォース攻撃は、驚くほど高い成功率を誇っています。 WordPress 管理ダッシュボードにアクセスできるようになると、攻撃者は Web サイトを完全に制御できるようになります。 パスワードベースの認証のみを使用するということは、ハッカーが正当な Web サイト所有者になりすますことに成功する一歩手前であることを意味します。
パスワードは破られており、ボットネットによるブルート フォース攻撃により、WordPress の管理者アカウントがかなり簡単にクラックされる可能性があります。 iThemes Security Pro が提供する生体認証によるパスキーなどの多要素認証を使用すると、ブルート フォース攻撃が成功した結果として管理者アカウントが乗っ取られるリスクを効果的に排除できます。
ウェブ アプリケーション ファイアウォールを使用する
クラウドベースおよびホストベースの Web アプリケーション ファイアウォールは、WordPress Web サイトを標的とする分散型ボット主導のサイバー攻撃の大部分に対する防御の強力な最前線です。 WAF は、既知のパターンに一致する悪意のある Web リクエストを除外することで、サービス拒否攻撃やブルート フォース攻撃、SQL インジェクションなどのデータ インジェクション攻撃をうまく緩和できます。
多数のマネージド ルールセットを使用して、堅牢な Web アプリケーション ファイアウォールを構成します。 これを多要素認証と組み合わせることで、攻撃対象領域を大幅に減らし、WordPress Web サイトがボットのネットワークの一部になる可能性を大幅に減らすことができます。
iThemes Security Pro で WordPress ウェブサイトを保護しましょう
ボットネットは、インターネット上で開始される大規模なサイバー攻撃のほとんどの背後にあります。 ボットの高度に分散されたネットワークを使用して、ハッカーはサービス拒否攻撃からデータ盗難まで、さまざまな不正行為を実行します。 ボットネットは、被害者のデバイスを完全に制御することを目的とした特殊な種類のマルウェアを配布することで、インフラストラクチャを絶えず拡大しています。
ゾンビ コンピューターは、コマンド アンド コントロール サーバーと呼ばれるボット マスターのデバイスとの組み合わせチャネルを確立します。このデバイスは、さらなる指示の送受信に使用されます。 起訴を回避するために、ボットネットの所有者は、匿名性を維持できるさまざまな高度な手法を採用しています。
WordPress Web サイトは、ボットネットの最大の標的です。 定期的な脆弱性パッチの適用、Web アプリケーション ファイアウォールの使用、および多要素認証の構成によって攻撃対象領域を縮小することは、ボットによる攻撃から WordPress を防御するためのセキュリティ標準です。
WordPress Web サイトの重要な領域を保護する 30 の方法を備えた iThemes Security Pro は、あなたのパーソナル セキュリティ アシスタントになります。 セキュリティ プラグインのパワーと、BackupBuddy が構築を支援する強力なバックアップ戦略を組み合わせることで、ビジネスとその顧客のために優れたレベルのセキュリティを実現できます。
WordPress を安全に保護するための最高の WordPress セキュリティ プラグイン
WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 iThemes Security Pro プラグインは、WordPress のセキュリティから当て推量を取り除き、WordPress Web サイトを簡単に保護および保護できるようにします。 これは、WordPress サイトを常に監視して保護するフルタイムのセキュリティ専門家がスタッフにいるようなものです。
Kiki は情報システム管理の学士号を取得しており、Linux と WordPress で 2 年以上の経験があります。 彼女は現在、Liquid Web と Nexcess のセキュリティ スペシャリストとして働いています。 それ以前は、Kiki は Liquid Web Managed Hosting サポート チームの一員であり、何百人もの WordPress Web サイト所有者を支援し、彼らがよく遭遇する技術的な問題について学びました。 彼女の執筆への情熱により、彼女は自分の知識と経験を共有して人々を助けることができます。 テクノロジーとは別に、キキは宇宙について学んだり、真の犯罪に関するポッドキャストを聞いたりすることを楽しんでいます。