Minlərlə, hətta milyonlarla cihazı idarə etmək kiber hücumçulara zərərli proqram təminatını çatdırmaq və ya DDoS hücumu həyata keçirmək üçün istifadə olunur.

Botnet nədir

Botnet, təcavüzkarın DDoS hücumlarını və digər tapşırıqları bir dəstə kimi həyata keçirmək üçün güzəştə getdiyi internetə qoşulmuş cihazların toplusudur. İdeya ondan ibarətdir ki, hər bir kompüter eyni robotlardan ibarət daha böyük şəbəkədə ağılsız robota çevrilir və bu, botnet sözünün mənasını verir. "Zərərli proqram şübhəsiz, qanuni kompüteri yoluxdurur və o, botnet operatoruna yoluxmuş kompüterin indi kor-koranə əmrlərə əməl etməyə hazır olduğunu bildirir" deyə Şimali Amerika Rəhbər Komitəsinin Sədri Naser Fəttah izah edir. "Bütün bunlar kompüter sahibinin xəbəri olmadan baş verir. Məqsəd kollektiv şəkildə böyük hücumları avtomatlaşdıra və sürətləndirə bilən botnetin ölçüsünü artırmaqdır." Bir anda hansı növ hücumların mümkün olduğunu təfərrüatlarına daxil edəcəyik, lakin əvvəlcə botnetlərin necə yaradıldığına və hansı formada olduğuna nəzər salaq.

Botnet arxitekturası

Botnet internet üzərindən işləyən paylanmış hesablama sisteminin nümunəsidir - bu ideyanın real dünyada geniş istifadəsinin kifayət qədər erkən nümunəsidir. Nəzarətçilər və ya çobanlar adlanan botnet idarə edən insanlar və ya komandalar öz ordusuna istəməyən kompüterləri cəlb etməli və sonra mənfəət üçün fəaliyyətlərini koordinasiya etməlidirlər. Arxitekturada botnetlərin formalaşmasına və davam etdirilməsinə kömək edən bir sıra komponentlər var.

Botnet zərərli proqramı. Hakerlər zərərli proqramlar vasitəsilə hədəf kompüterlərə nəzarət edirlər. Zərərli proqramların maşınlara daxil ola biləcəyi müxtəlif vektorlar var, bunlar fişinq və suvarma çuxurları hücumlarından tutmuş yamaqsız zəifliklərin istismarına qədər. Bu zərərli kod təcavüzkarın sahibinin xəbəri olmadan təhlükə altında olan maşını hərəkətə keçməyə məcbur etməyə imkan verir. Forcepoint-in vitse-prezidenti Cim Fulton izah edir: "Zərərli proqram özü çox vaxt nəyisə oğurlamağa və ya zərər verməyə çalışmır". "Əvəzində o, gizli qalmağa çalışır ki, botnet proqramı sakitcə işləməyə davam edə bilsin."

Botnet dronları. Bir cihaz təcavüzkar tərəfindən ələ keçirildikdən sonra, o, dron adlanır - bu, müəyyən bir muxtariyyətə və bəzi hallarda süni intellektə malik olsa da, botnet ordusunun başqa bir əsgəridir. Schellman-ın baş eksperti Andy Rogers deyir: "Bir botnet dronu müəyyən intellektə malik digər kompüterləri və cihazları işə götürə bilər ki, bu da tapmağı və dayandırmağı çətinləşdirir". "O, həssas hostları tapacaq və onları istifadəçinin xəbəri olmadan botnetə dəvət edəcək."

İnternetə qoşulan bütün növ cihazlar, kompüterlərdən mobil telefonlara, IoT cihazlarına qədər dronlara çevrilə bilər. LookingGlass Cyber-in təhdid kəşfiyyatının baş direktoru Dave Marcus deyir ki, əslində internetə qoşulmuş təhlükəsizlik kameraları və ya kabel modemləri kimi sonuncu tip cihazlar təcavüzkarlar üçün xüsusi maraq kəsb edə bilər. "Belə cihazlar, insanlar bir dəfə yandırdığınız üçün orada olduqlarını unutmağa meyllidirlər və bunun üçün hər şey var" deyə izah edir. "Və ya marşrutlaşdırıcılar və açarlar kimi cihazlara gəldikdə, insanlar yenilənmək istəmirlər

PerimeterX-in həmtəsisçisi və texniki direktoru İdo Safruti deyir ki, botnet nəzarətçisinin nöqteyi-nəzərindən əsas odur ki, çoxlu dron var və onlar adi maşınlara bənzəyirlər. "Qanuni" insanların cihazlarını zərərli proqramlarla yoluxdurmaqla, botnet operatoru qanuni istifadəçilər kimi görünən yaşayış IP ünvanlarından istifadə edərək resurslar əldə edir və tapşırıqları yerinə yetirə bilən pulsuz hesablama resursları əldə edir."

Botnet komanda və nəzarət (C2). Tapmacanın son hissəsi bu botların idarə olunduğu mexanizmdir. İlkin botnetlər ümumiyyətlə mərkəzi serverdən idarə olunurdu, lakin bu, mərkəzi nəzarətçini izləməklə və onu kəsməklə bütün şəbəkəni məhv etməyi nisbətən asanlaşdırdı. Müasir botnetlər peer-to-peer modelində işləyir, burada əmrlər internet üzərindən fərqli zərərli proqram imzalarını tanıyan zaman drondan drona ötürülür. Bot çobanlarından və botlar arasında ünsiyyət müxtəlif protokollardan istifadə edə bilər. Köhnə məktəb söhbət protokolu olan Internet relay chat (IRC) hələ də tez-tez istifadə olunur, çünki o, nisbətən yüngüldür və o qədər çox resursdan istifadə etmədən botlara asanlıqla quraşdırıla bilər ki, istifadəçilər performans hitini görəcəklər. Ancaq bir sıra digər protokollar da istifadə olunur, o cümlədən Telnet və adi HTTP, trafikin aşkarlanmasını çətinləşdirir. Bəzi botnetlər Twitter və ya GitHub kimi ictimai saytlarda yerləşdirilən əmrlərlə daha yaradıcı koordinasiya vasitələrindən istifadə edir.

Botnetlərin özləri paylandığı kimi, botnetin arxitekturasında müxtəlif komponentlərin yaradılması işi də eynidir. YouAttest-in baş direktoru Qarret Qrajek deyir: "Hakerlər mütəxəssislərdir və əksər qruplar digər hakerlər dəstləri ilə birlikdə filial kimi işləyirlər". "Zərərli proqram dünyasında yeni dərc olunmamış zəiflikdən istifadə edən bir qrup, daha sonra botnet yükünü yaradan başqa bir qrup və komanda və idarəetmə mərkəzinə nəzarət edən bir qrup ola bilər."

Botnet nə edir?

Paylanmış xidmətdən imtina və ya DDoS hücumları, bəlkə də botnet hücumunun ən çox tanınan və populyar növüdür. Yüzlərlə və ya minlərlə təhlükəsi olan maşının hamısının qanuni görünən veb trafiki olan serverə və ya digər onlayn resursa daxil olmağa cəhd etdiyi və bu proses zamanı onu istismardan çıxarmağa cəhd etdiyi bu hücumlar həqiqətən botnet olmadan baş verə bilməz. Onları işə salmaq da nisbətən asandır, çünki yoluxmuş demək olar ki, hər hansı bir cihaz internet imkanlarına və ən azı ibtidai veb brauzerinə malik olacaq.

Lakin təcavüzkarların öz botnetləri ilə edə biləcəyi bir çox başqa şeylər var - və son məqsəd botnet yaradıcılarının yoluxdurmağa çalışacaqları cihazların növlərini müəyyən edə bilər, LookingGlass Cyber-dən Marcus izah edir. "Əgər mən botnetimi bitcoin mədənçiliyi üçün istifadə etmək istəsəm, dünyanın müəyyən bir hissəsində IP ünvanlarının ardınca gedə bilərəm, çünki bu maşınlar bir az daha güclüdür - onların GPU və CPU var və insanlar mütləq bunu etmək niyyətində deyillər. Arxa planda mədənçilikdirsə, təsirinə diqqət yetirin" deyir.

"Beləliklə, belə çıxır: Mən o maşından etimadnamələri toplamaq üçün də istifadə edəcəyəm? Bəlkə ondan spam göndərmək üçün istifadə etmək istəyərəm? Fişinq kampaniyası üçün? Suvarma çuxuru saytı?" Ancaq unutmayın ki, bu cür hücumların qurbanları botnet nəzarətçisinin qəzəbinə tuş gəlsələr də, məqsəd botların sahiblərinin heç vaxt maşınlarının günahsız olduğunu bilməmələridir. "Bu, operatorun nə qədər qaça biləcəyini düşünməsindən asılıdır" dedi Markus. "Bir çox fərqli işlər görən yüksək funksional zərərli proqram parçası ilə siz həmin maşında aşkarlanma şansınızı artırırsınız, çünki sahibi "Bu maşında nəsə xəta var, yavaş işləyir" deyəcək."

Botnet nümunələri

DDoS hücumları bu gün ən çox diqqəti cəlb edə bilsə də, ilk botnetin arxasındakı məqsəd spam idi. Khan C. Smith 2001-ci ildə spam imperiyasını gücləndirmək üçün botlar ordusu yaratdı və bu müddətdə milyonlarla dollar qazandı. Nəhayət, ISP EarthLink tərəfindən 25 milyon dollar müqabilində uğurla məhkəməyə verildi.

Son illərin ən mühüm botnetlərindən biri 2016-cı ildə internetin böyük bir hissəsini qısa müddətə oflayn sındıran Mirai idi. Mirai Nyu-Cersi kollec tələbəsi tərəfindən yazılmış və Minecraft serverlərinin sahibləri arasında müharibədən çıxmışdır, lakin kod belədir. bu gün vəhşi təbiətdə və hələ də hücumlarda istifadə olunur. Mirai xüsusi olaraq internetə qoşulmuş qapalı dövrə televiziya kameralarını hədəf alıb, onları dronlara çevirərək, IoT cihazlarının nə qədər vacib bir hücum səthinə çevrildiyini göstərdi.

Immersive Labs-ın kiber təhlükə tədqiqatının direktoru Kevin Breen deyir ki, internetdə botnet ştammlarının çoxsaylı digər nümunələri var. "TrickBot kimi daha böyük botnetlər quraşdırma üçün daha çox sosial mühəndisliyə əsaslanan Emotet kimi zərərli proqramlardan çox istifadə edir" deyə izah edir. "Bunlar adətən daha davamlıdır və onlar bank troyanları və ransomware kimi əlavə zərərli proqram təminatının yerləşdirilməsi üçün istifadə olunur. Biz hüquq-mühafizə orqanlarının son bir neçə ildə bu böyük maliyyə cinayəti botnetlərini müəyyən müvəffəqiyyətlə pozmaq üçün bir neçə cəhd görmüşük. Bununla belə, artıq zaman, botnetlər həmişə bərpa olunur."

Botnetlər satılır

Biz artıq botnet "təchizat zəncirinə" daxil olan bir çox ixtisaslaşmış oyunçuları qeyd etdik. Əslində, bu hakerlərin əksəriyyəti botnetlərini şəxsi istifadələri üçün yaratmırlar, əksinə, hər hansı digər proqram tərtibatçıları kimi yaradırlar: onları istifadə etmək istəyən insanlara satmaq. Bu satışlar müxtəlif məxfilik səviyyələrində həyata keçirilir. Məsələn, özlərini eupfemistik olaraq stress və ya yükləyici kimi adlandıran Google xidmətlərini kifayət qədər asanlıqla edə bilərsiniz. Shared Assessments şirkətindən Fəttah deyir: “Bazarda təklif olunan xidmətlər üzrə “stress testi” SaaS həlləri, məsələn, PayPal vasitəsilə şəbəkə və ya sistemin dayanıqlığını qiymətləndirmək üçün alına bilər”. "Bu xidmətlərdən bəziləri ödəyicinin və ya hədəfin yoxlanılmasının olmadığı yerlərdə imkanlarını açıq şəkildə satan bot çobanları ola bilər." Immersive Labs 'Bren qeyd edir ki, botnet proqramını yükləmək istəyənlər onu çox çətinlik çəkmədən də tapa bilərlər. "Doğru terminlərin sürətli Google axtarışı sizə eyni xidmətləri satan, həmçinin mənbə kodu və botnetlərin sızmış versiyalarını təklif edən forumları tapa bilər" deyir. "Bu, adətən kriptovalyutaların yayılması kimi işlərlə maraqlanan skript uşaqları tərəfindən istifadə olunur." Ancaq əsl peşəkarlar qaranlıq internetdə işləyirlər və onları tapmaq çətin ola bilər. Nuspire-da kiber təhlükələr üzrə analitik Coş Smit deyir: "Bu bazarlar adətən yoxlanılır və yalnız dəvətnamələr üçündür". Ancaq orada olduqdan sonra, o deyir ki, proses olduqca müştəri dostudur. "Satıcılar bir çox ümumi rəqəmsal bazarda tapa biləcəyiniz reputasiya puanlarına sahib olacaqlar." "Bu xidmətlərin bir çoxunun istifadəsi asan interfeysi var, burada botneti IP və ya URL-yə yönəldin və "hücum" düyməsini klikləyin" dedi Schellman's Rogers. "Birbaşa brauzerinizdən veb saytı və ya serveri şikəst edə bilərsiniz və əməliyyat üçün kriptovalyuta ilə tamamilə anonim qala bilərsiniz." Əgər bot çobanınızdan daha yüksək toxunuşlu xidmətə üstünlük verirsinizsə, bunu da əldə edə bilərsiniz. "Ransomware dəstələri kimi daha mürəkkəb təhlükə aktyorları miqyasda nizə fişinq kampaniyaları göndərmək üçün TrickBot, Emotet və ya Qakbot kimi böyük botnetin operatorları ilə birbaşa işləyə bilər" dedi Kroll-da Kiber Risk idarəedici direktorunun köməkçisi Laurie Iacono. “Maşınlar yoluxduqdan sonra ilkin zərərli proqram ransomware distribyutorlarına şəbəkəyə sızmağa və ransomware yerləşdirmədən əvvəl imtiyazları artırmağa kömək etmək üçün məlumat toplayır.” Bu neçəyə başa gəlir? StrikeReady-nin CPO-su Anurag Gurtu deyir: "Botnetə girişin dəyəri saatda 10 dollara qədər aşağı ola bilər". Ancaq ödədiyinizi alırsınız. LookingGlass Cyber-dən Markus deyir: "Dünyanın müəyyən bir yerində müəyyən bir növ bota sahib olmaq istəyirsinizsə, o, bir az daha baha başa gəlir". "Dünyanın bəzi yerlərində daha keyfiyyətli maşınlar var. Beləliklə, ABŞ-da maşınlara və IP ünvanlarına əsaslanan botnetin icarəsi AB-dən daha baha başa gəlir, çünki onlar daha qalın qutulardır."

Botnet hücumunun qarşısını necə almaq və ya dayandırmaq olar

Özünüzü botnetlərdən qorumaq prosesi iki fərqli formada ola bilər: siz ya öz cihazlarınızın botlara çevrilməsinin qarşısını alırsınız, ya da botnetlər tərəfindən başlanan hücumlara qarşı mübarizə aparırsınız. Hər iki halda, bu məqalədə inşallah aydın olduğu kimi, özünüzü müdafiə etmək üçün edə biləcəyiniz çox şey yoxdur ki, bu da artıq yaxşı təhlükəsizlik duruşunun bir hissəsi olmayacaq. Hakerlər fişinq e-poçtları vasitəsilə ötürülən zərərli proqramlarla cihazları botlara çevirir, buna görə də əməkdaşlarınızın fişinq e-poçtlarını açmamağı bildiyinə əmin olun. Təhlükəsiz IoT cihazlarını sındırırlar, ona görə də bu cihazların parollarını defoltdan fərqli olaraq təyin etdiyinizə əmin olun. Əgər hakerlər kompüterlərinizə zərərli proqram yerləşdirə bilsələr, onu aşkar etmək üçün sizə ən müasir antivirus lazımdır. Əgər siz DDoS hücumunun qəbuledici tərəfindəsinizsə, hücum edən trafiki süzgəcdən keçirə və ya məzmun çatdırma şəbəkəsi ilə tutumunuzu artıra bilərsiniz.

Təhlükəsizliyi qorumaq üçün tətbiq edə biləcəyiniz bəzi botnet-xüsusi üsullar da var. Məsələn, Immersive Labs' Breen sizə "şəbəkənizi tərk edən şübhəli trafik axtarmağınızı təklif edir. Statistik axın təhlili mürəkkəb səslənir, lakin bu, botnet əmrinin mövcudluğunu aşkar edə və trafikə nəzarət edə bilər".

Bəzi insanlar isə mübarizəni bot çobanlarının özlərinə aparırlar. Lumen Black Lotus Labs-ın təhdid kəşfiyyatının direktoru Mark Dehus deyir: "Biz botnetlərin əsasını dayandırmaq üçün bir neçə alətdən istifadə edirik". "Məsələn, yeni bir zərərli proqram nümunəsi aşkar edildikdən sonra biz onun C2-yə hesabat vermək üçün istifadə etdiyi metodları tərsinə çevirə bilərik. Bu, bizə şübhəli C2-lərə qoşula, onları təsdiqləyə və təlimatlara nəzarət edə bilən emulyasiya edilmiş bot hazırlamağa imkan verir. botlarla əlaqə saxlayırlar." Bot çobanlarına qarşı müharibə uzun müddətdir, amma ümid edirik ki, biz axını dəyişə bilərik.

Botnetlər haqqında daha çox

The Mirai botnet explained: How teen scammers and CCTV cameras almost brought down the internet

InterPlanetary Storm cross-platform P2P botnet infects computers and IoT devices

Botnet attacks on APIs: Why most companies are unprepared

TrickBot operators slowly abandon the botnet and replace it with Emotet