Ботнеты: что это такое и как они работают

Опубликовано: 2023-02-21

Как большие сети скомпрометированных компьютеров, ботнеты существуют уже много лет. Идея создания целой сети зараженных машин, которые можно использовать для проведения крупномасштабных кибератак и распространения вредоносных программ, несомненно, изменила Интернет, каким мы его знаем сегодня.

Ботнеты являются движущей силой подавляющего большинства кибератак, нацеленных не только на веб-сайты и серверы WordPress, но и на целые сети и компьютерные системы. Вне всякого сомнения, современный мир кибербезопасности вращается вокруг сетей ботов как сердца всей экономики, управляющей даркнетом.

Экосистема настолько развилась, что существование ботнетов создало новую тенденцию в индустрии кибербезопасности, известную как атака как услуга или ботнет как услуга. Создатели ботнета сдавали в аренду вычислительные мощности и ресурсы скомпрометированных машин, находящихся под их контролем, третьим лицам для проведения различных кибератак.

Сайты WordPress становятся жертвами атак ботов и попадают в ботнеты чаще, чем вы можете себе представить. Фактически, в подавляющем большинстве случаев взлом веб-сайта WordPress становится частью сети других взломанных веб-сайтов и серверов. Вредоносное ПО для ботнетов бездействует в системе до тех пор, пока мастер ботов не решит использовать ваш веб-сайт для запуска атаки. В дополнение к очевидным негативным последствиям заражения вредоносным ПО, участие в ботнете сделает ваш веб-сайт чрезвычайно медленным, поскольку хакер теперь будет использовать ресурсы вашего сервера для проведения новых атак.

Что еще хуже, выйти из ботнета — совсем непростая задача. Злоумышленник позаботится о том, чтобы оставить тщательно созданные бэкдоры, чтобы как можно дольше использовать преимущества вашего веб-сайта WordPress. Вот почему крайне важно знать, как именно работают ботнеты и как защитить свой сайт WordPress.

В этом всеобъемлющем руководстве по сетям ботов мы глубоко погружаемся в историю и архитектуру ботнетов, раскрывая тайну, которая стоит за современными широко распространенными кибератаками, управляемыми ботами. Вы узнаете о некоторых из самых известных ботнетов, существующих сегодня, и о том, как вы можете защитить себя и свой бизнес от разрушения, которое они несут.

ботнеты

Что такое ботнет?

Ботнет, что означает сеть ботов, представляет собой распределенную систему скомпрометированных компьютеров, зараженных однотипным вредоносным ПО, что позволяет злоумышленнику использовать консолидированный пул вычислительных ресурсов для запуска крупномасштабных кибератак. Помимо проведения кибератак, владельцы ботнетов могут использовать зараженные сетью компьютеры для выполнения других действий, таких как майнинг криптовалюты или увеличение количества просмотров рекламы или видео.

Запуск ботнета является незаконным, и многие известные сети ботов в конечном итоге были закрыты, а их владельцы арестованы. Несмотря на то, что установить владельца того или иного ботнета зачастую сложно, это не невозможно.

Насколько велики ботнеты и какие устройства их формируют?

Когда дело доходит до размера сети, ботнеты сильно различаются. То же самое касается типов зараженных объектов, образующих ботнет. Может быть от пары зараженных веб-сайтов до сотен тысяч скомпрометированных вычислительных систем. Это зависит от того, на какие системы больше всего нацелен атакующий, управляющий ботнетом.

Вот основные типы устройств, образующих ботнеты:

  • Персональные компьютеры и мобильные устройства . Настольные компьютеры, ноутбуки, смартфоны и планшеты с разными операционными системами.
  • Устройства Интернета вещей (IoT) . Умные домашние устройства, фитнес-трекеры и смарт-часы.
  • Сетевые основные устройства . Коммутаторы пакетов, такие как маршрутизаторы.
  • Серверы и отдельные веб-сайты .

В большинстве случаев хакеры нацелены на персональные компьютеры, мобильные устройства и серверы, чтобы заразить их вредоносными программами ботнета и подключить их к существующей сети ботов. Однако веб-сайты WordPress также могут быть объектами, образующими ботнет. Таким образом, содержимое вашего сайта не является целью хакеров, но ресурсы сервера вашего сайта чрезвычайно ценны в ботнете. Основное различие между этими ситуациями заключается в уровне контроля, который злоумышленник получает над скомпрометированной системой.

Если веб-сайт WordPress скомпрометирован с целью добавления ресурсов в ботнет, в большинстве случаев злоумышленник не сможет получить доступ к серверу на уровне root или администратора. Это означает, что они будут ограничены количеством ресурсов сервера и уровнем доступа к системе, который есть у скомпрометированного веб-сайта, а точнее, у системного пользователя, которому принадлежит веб-сайт.

Как создаются ботнеты?

Ботнеты создаются путем заражения компьютерных систем вредоносным программным обеспечением, которое в большинстве случаев имеет форму троянского коня, который пользователь может непреднамеренно загрузить, или вредоносную полезную нагрузку, которую хакеры устанавливают на уже скомпрометированный сервер или веб-сайт. Используя этот особый тип вредоносных программ, также известный как ботнет, хакер сохраняет контроль над зараженной системой жертвы и использует ее для выполнения мошеннических действий, отправляя инструкции по сети.

После установки вредоносное ПО ботнета заставляет скомпрометированную систему распространять его дальше, заражая больше компьютеров, которые будут подключены к мошеннической сети. Одной из основных причин, по которой ботнеты постоянно расширяются, является сложность сохранения доступа к скомпрометированным системам. Бэкдор, созданный ботнетом, может быть обнаружен и удален в любой момент, а это означает, что конечная точка будет отключена от сети ботов и больше не будет контролироваться хакером.

Распространенные способы распространения вредоносных программ ботнетов

Как именно распространяется вредоносное ПО для ботнетов? Вредоносное ПО для ботнетов может распространяться с использованием широкого спектра методов, которые часто включают в себя социальную инженерию, использование уязвимости или проведение атаки методом перебора для получения несанкционированного доступа к системе для загрузки вредоносной полезной нагрузки.

Персональные компьютеры и мобильные устройства

Удивительно, но когда дело доходит до получения контроля над персональными компьютерами и мобильными устройствами, отправка вредоносных вложений электронной почты является методом номер один, который используют хакеры. Файлы, такие как электронные таблицы Excel и документы Microsoft Word, а также файловые архивы, являются наиболее распространенными способами распространения вредоносных программ ботнета. Считается, что одно из самых известных вредоносных программ для ботнетов, Emotet, распространяется через вредоносные вложения электронной почты.

Однако даже если жертва загрузит вложение, этого недостаточно для активации вредоносного ПО ботнета на их устройстве. Пользователь должен подтвердить определенные, казалось бы, безобидные действия, такие как запуск макросов или включение редактирования файлов, которые вызовут заражение и предоставят злоумышленнику полный системный доступ к целевому компьютеру, включая все данные, хранящиеся на нем.

Помимо этого метода, вредоносное ПО ботнета также может распространяться с помощью межсайтовых скриптовых атак или маскироваться под законное программное обеспечение, которое пользователю предлагается установить. Компрометация веб-сайтов, представляющих интерес для целевых пользователей, с целью заражения их личных устройств широко известна как атака водопоя и широко используется владельцами ботнетов.

Серверы и веб-сайты

Серверы и веб-сайты, как правило, не могут быть заражены вредоносными программами ботнета так же, как персональные компьютеры и мобильные устройства. Злоумышленник обычно использует уязвимость, чтобы получить доступ на уровне системы или веб-сайта к серверу жертвы, а затем загружает вредоносное программное обеспечение, которое затем позволяет ему установить над ним контроль.

Веб-сайты, скомпрометированные злоумышленником, затем будут использоваться для дальнейшего распространения вредоносных программ ботнета путем внедрения в них вредоносного кода. Пользователи, посещающие зараженные сайты, будут скачивать и активировать вредоносное ПО на свои устройства, которые станут частью той же сети ботов. Обеспечение надлежащей защиты вашего сайта с помощью решения безопасности, такого как iThemes Security, не только помогает вашему сайту защититься от этих атак, но и помогает вашему сайту не заражать другие, останавливая ботнеты на их пути.

Клиент-сервер и одноранговая сеть: архитектура ботнета

Ботнеты обычно строятся на основе одной из двух основных моделей сетевых приложений: клиент-серверной и одноранговой (P2P) архитектуры. Модель клиент-сервер остается наиболее распространенной архитектурой не только ботнетов, но и большинства веб-приложений.

Архитектура клиент-сервер используется для создания централизованной модели, в которой машина злоумышленника, также известная как бот-пастух, отправляет инструкции зомби или ботам, которые образуют ботнет. Зомби-компьютеры, в свою очередь, напрямую друг с другом не общаются. Большие ботнеты могут управляться несколькими ботами-пастухами — прокси-серверами, чтобы облегчить процесс управления.

В некоторых случаях ботнеты могут использовать децентрализованную модель, использующую одноранговую связь. Децентрализованные ботнеты могут передавать инструкции от одного компьютера-зомби к другому, впоследствии распространяя команды по всей сети ботов. Архитектура P2P усложняет идентификацию пастуха и раскрытие личности хозяина бота.

Наряду с тем, что бот-пастух инициирует подключение к зомби-компьютеру, зараженные устройства часто отправляют запросы бот-мастеру через регулярные промежутки времени, чтобы проверить наличие новых инструкций. Большинство вредоносных программ для ботнетов настроены так, чтобы оставаться неактивными в течение длительного периода времени, чтобы избежать обнаружения.

Сервер управления и контроля (C2) как сердце ботнета

Пастух ботов, который представляет собой компьютер владельца бота, используемый для отдачи команд машинам-зомби, известен как сервер управления и контроля, или C2. Сервер управления и контроля лежит в основе каждой бот-сети и позволяет злоумышленнику взаимодействовать со скомпрометированными системами, используя архитектуры клиент-серверных или одноранговых сетевых приложений.

Как только новый зомби-компьютер добавляется в ботнет, центр управления и контроля заставляет его создать канал связи для злоумышленника, чтобы установить присутствие клавиатуры на зараженном устройстве. Это достигается с помощью инструментов удаленного доступа.

Серверы C2C часто прибегают к использованию доверенного и редко отслеживаемого трафика, такого как DNS, для отправки инструкций зараженным хостам. Чтобы избежать обнаружения правоохранительными органами, расположение серверов управления и контроля часто изменяется мастером бота, и часто используются вредоносные методы, такие как алгоритмы генерации доменов (DGA).

Создано 3 самых крупных и популярных ботнета

Считается, что ботнеты появились в начале 2000-х годов и с тех пор развиваются. Один из первых известных ботнетов был обнаружен в 2001 году. Для запуска спам-кампаний была создана огромная сеть ботов, на долю которых приходилось около двадцати пяти процентов всех нежелательных электронных писем, отправленных в то время.

С тех пор было обнаружено и демонтировано множество крупных ботнетов. Однако некоторые сети ботов, содержащие сотни тысяч и даже миллионы скомпрометированных компьютеров, существуют и сегодня и активно используются для проведения масштабных кибератак.

В тройку самых крупных и популярных существующих сегодня ботнетов входят ботнеты Mantis, Srizbi и Emotet.

Ботнет Mantis

В 2022 году CloudFlare сообщила, что ее сеть подверглась масштабной DDoS-атаке, когда на инфраструктуру приходилось 26 миллионов веб-запросов в секунду. CloudFlare назвала это крупнейшей DDoS-атакой, которую они когда-либо отражали, и сообщила, что ботнет Mantis использовал всего около 5000 ботов, что составляет лишь небольшую часть общей вычислительной мощности ботнета.

Кроме того, все запросы отправлялись через HTTPS, что значительно дороже и труднее реализовать с точки зрения DDoS-атаки. Это сделало ботнет Mantis одной из самых мощных сетей ботов, работающих в настоящее время.

Ботнет Сризби

Ботнет Srizbi существует уже более десяти лет, и считается, что он несет ответственность за рассылку более половины всего спама, рассылаемого всеми другими крупными сетями ботов вместе взятыми. По оценкам, ботнет контролирует около полумиллиона зараженных конечных точек и быстро расширяется за счет распространения так называемого трояна Srizbi.

Ботнет Emotet

Начав с банковского трояна, предназначенного для кражи информации о кредитных картах с зараженных компьютеров, Emotet быстро превратился в огромный ботнет с более чем полумиллионом скомпрометированных конечных точек по всему миру. Известно, что вредоносное ПО Emotet распространяется через вредоносные вложения электронной почты, отправляемые с зараженных компьютеров. Emotet — один из самых популярных ботнетов в даркнете, который можно сдавать в аренду различным взломанным группам, о чем мы подробнее поговорим далее в статье.

5 распространенных типов атак, осуществляемых ботнетами

Ботнеты — это универсальные инструменты, которые можно использовать для выполнения различных мошеннических действий. Помимо использования сети скомпрометированных компьютеров для атаки на другие конечные точки сети и распространения вредоносных программ, владелец бота может украсть конфиденциальную информацию с устройств-зомби. Это делает ботнеты центральным элементом киберпреступности.

Вот пять основных типов кибератак, для которых используются ботнеты:

  • Распределенный отказ в обслуживании (DDoS) и атаки методом перебора.
  • Фишинговые атаки.
  • Спам-кампании.
  • Распространение вредоносных программ.
  • Кража данных и атаки программ-вымогателей.

DDoS-атаки и брутфорс-атаки

Распределенные атаки типа «отказ в обслуживании» и «грубая сила» — наиболее распространенные кибератаки, осуществляемые ботнетами. Используя пул вычислительных ресурсов, созданный сетью зомби-устройств, злоумышленники запускают крупномасштабные атаки, которые могут быть нацелены на сотни тысяч серверов и веб-сайтов, с отправкой миллионов вредоносных веб-запросов в секунду.

Фишинг

Сеть скомпрометированных веб-сайтов часто используется для организации массированных фишинговых атак. Сервер управления и контроля распространяет серию фишинговых страниц по ботнету, которые будут использоваться, чтобы обманом заставить пользователей выдать свои учетные данные для входа в систему и другую конфиденциальную информацию.

Спам

Запуск массовых спам-кампаний — одна из первых целей, которым служат ботнеты. Владелец ботнета будет создавать серию нежелательных электронных писем, содержащих ссылки на зараженные веб-сайты или вредоносные вложения, чтобы распространять вредоносное ПО или способствовать фишинговым атакам.

Распространение вредоносных программ

Распространение вредоносных программ является ключом к тому, чтобы ботнет мог выжить в долгосрочной перспективе, ставя под угрозу большее количество устройств. Зомби-компьютеры постоянно сканируют большие сети на наличие уязвимостей, а затем используют их для распространения вредоносных программ ботнетов. Зараженные веб-сайты и серверы, образующие ботнет, используются для размещения вредоносных веб-страниц или вредоносных перенаправлений, которые вызывают загрузку вредоносных программ на устройства посетителей с той же целью.

Кража данных и атаки программ-вымогателей

Иногда владельцы ботнетов могут использовать определенные организации и их сети для кражи конфиденциальной информации и установки программ-вымогателей. Затем полученные данные можно использовать для вымогательства денег и подрыва репутации и операций компании-жертвы или продать в даркнете. Для получения несанкционированного доступа к крупным компьютерным сетям злоумышленники могут использовать комбинацию социальной инженерии и упомянутых выше мошеннических действий.

Атака как услуга: как ботнеты сдаются в даркнете

Ботнеты набирают популярность в даркнете как управляемая криминальная служба, которую можно купить или арендовать у владельца ботнета. Вместо создания новой сети ботов хакеры могут получить доступ к вычислительным ресурсам уже созданной ботнета для проведения мошеннических кампаний. Это привносит в мир кибербезопасности новый термин — «атака как услуга», который в некотором роде похож на хорошо зарекомендовавшую себя концепцию «инфраструктура как услуга» (IaaS).

Сегодня даркнет управляется целой экономикой, вращающейся вокруг ботнетов и вредоносного ПО для ботнетов. Помимо сдачи в аренду или продажи сетей ботов, хакеры продают доступ к скомпрометированным веб-сайтам и серверам для расширения существующих бот-сетей и распространения вредоносного ПО.

Как защитить свой сайт WordPress от попадания в ботнет? Три главных рекомендации по безопасности

Как самая популярная система управления контентом в мире, WordPress является первоочередной целью для ботнетов и кибератак с участием ботов. Поскольку сайты WordPress настолько распространены, их использование для распространения вредоносного ПО ботнета и проведения сетевых атак остается привлекательным методом для вредоносных атак.

Многие веб-сайты WordPress скомпрометированы в результате успешной атаки с участием ботов, а затем становятся частью стоящего за ней ботнета. Бэкдоры, оставленные злоумышленниками, бывает очень трудно удалить, что может оставить зараженный веб-сайт под контролем злоумышленника на месяцы или даже годы.

Участие в ботнете может нанести серьезный ущерб репутации вашего бизнеса и привести к огромным финансовым потерям, а в некоторых случаях и к юридическим последствиям в результате утечки данных. Уменьшение поверхности атаки является ключом к обеспечению достаточной защиты от распространенных векторов атак.

Настройка автоматического обновления и установка программного обеспечения только из надежных источников

Злоумышленники постоянно сканируют веб-сайты на наличие уязвимостей, которые можно использовать. Когда дело доходит до WordPress, основным недостатком безопасности, подвергающим сайты риску компрометации, является устаревшее и ненадежное программное обеспечение. Это включает в себя ядро ​​WordPress, темы и установленные плагины, а также используемую версию PHP.

Регулярные обновления выпускаются для всех критических аспектов экосистемы WordPress, быстро исправляя все обнаруженные критические уязвимости. Надежные компании-разработчики плагинов и тем обеспечивают высокий уровень безопасности своих продуктов.

Настройка автоматического обновления программного обеспечения является важной частью обеспечения безопасности вашего сайта WordPress. iThemes Security Pro может отслеживать все обновления ядра, плагинов и тем и автоматически устанавливать новые версии выпущенного программного обеспечения. Если у вас есть более одного блога или бизнес-сайта, созданного на WordPress, iThemes Sync Pro предоставляет единую панель управления для работы с обновлениями и отслеживания времени безотказной работы и показателей SEO на всех веб-сайтах, которыми вы управляете.

Настроить многофакторную аутентификацию

Управляемые ботами атаки грубой силы, нацеленные на WordPress, имеют удивительно высокий уровень успеха. Получение доступа к панели администратора WordPress дает злоумышленнику полный контроль над вашим сайтом. Использование только аутентификации на основе пароля означает, что хакеры находятся всего в одном шаге от того, чтобы успешно выдать себя за законного владельца веб-сайта.

Пароли взломаны, а атаки с использованием грубой силы, проводимые ботнетами, могут довольно легко взломать вашу учетную запись администратора WordPress. Использование многофакторной аутентификации, такой как ключи доступа с биометрической аутентификацией, предлагаемые iThemes Security Pro, эффективно устраняет риск захвата вашей учетной записи администратора в результате успешной атаки грубой силы.

Используйте брандмауэр веб-приложений

Облачные и хостовые брандмауэры веб-приложений являются надежной первой линией защиты от подавляющего большинства распределенных кибератак, управляемых ботами, нацеленных на веб-сайты WordPress. Отфильтровывая вредоносные веб-запросы, соответствующие известным шаблонам, WAF могут успешно противостоять атакам типа «отказ в обслуживании» и атакам грубой силы, а также атакам с внедрением данных, таким как SQL-инъекции.

Настройте надежный брандмауэр веб-приложения с помощью нескольких управляемых наборов правил. Это, в сочетании с использованием многофакторной аутентификации, значительно уменьшит поверхность атаки и вероятность того, что ваш сайт WordPress станет частью сети ботов.

Позвольте iThemes Security Pro защитить ваш сайт WordPress

Ботнеты стоят за большинством крупномасштабных кибератак в Интернете. Используя сильно распределенную сеть ботов, хакеры выполняют широкий спектр мошеннических действий, от атак типа «отказ в обслуживании» до кражи данных. Ботнеты постоянно расширяют свою инфраструктуру, распространяя особый тип вредоносных программ, направленных на получение полного контроля над устройствами жертв.

Компьютеры-зомби устанавливают комбинированный канал с устройством хозяина бота, известным как сервер управления и контроля, который будет использоваться для отправки и получения дальнейших инструкций. Чтобы избежать судебного преследования, владельцы ботнетов используют ряд изощренных методов, которые позволяют им оставаться анонимными.

Веб-сайты WordPress являются целью номер один для ботнетов. Сокращение поверхности атаки за счет регулярного исправления уязвимостей, использования брандмауэра веб-приложений и настройки многофакторной аутентификации — это стандарт безопасности для защиты WordPress от атак, управляемых ботами.

iThemes Security Pro с тридцатью способами защиты важных областей вашего веб-сайта WordPress может стать вашим личным помощником по безопасности. Сочетание мощности подключаемого модуля безопасности с надежной стратегией резервного копирования, которую BackupBuddy может помочь вам создать, поможет вам достичь высокого уровня безопасности для вашего бизнеса и его клиентов.