Botnet
A botnet internetre csatlakoztatott eszközök összessége, amelyek mindegyike egy vagy több botot futtat. A botnetek felhasználhatók elosztott szolgáltatásmegtagadással járó (DDoS) támadások végrehajtására, adathalászatra,[1] spamek küldésére, és lehetővé teszik a támadó számára, hogy hozzáférjen az eszközhöz és annak kapcsolatához. A tulajdonos a botnetet parancs- és vezérlő (C&C) szoftverrel irányíthatja.[2] A "botnet" szó a "robot" és a "network" szavak összetételéből képzett szóösszetétel. A kifejezést általában negatív vagy rosszindulatú jelentéssel használják.
Áttekintés
[szerkesztés]A botnet az internetre csatlakoztatott eszközök, például számítógépek, okostelefonok vagy a dolgok internete (IoT) eszközeinek logikai gyűjteménye, amelyek biztonságát megsértették, (köznapi nyelven: feltörték) és az irányítást átvette egy harmadik fél aki a "hacker". Minden egyes veszélyeztetett eszköz, amelyet "botnak" neveznek, akkor jön létre, amikor egy eszközbe behatol egy rosszindulatú szoftver (malware) terjesztéséből származó végrehajtandó kód. A botnet irányítója képes irányítani e kompromittált számítógépek tevékenységét a szabványokon alapuló hálózati protokollok, például az IRC és a Hypertext Transfer Protocol (HTTP) által kialakított kommunikációs csatornákon keresztül.[3][4] A botneteket a kiberbűnözők egyre gyakrabban adják bérbe árucikként különböző célokra.[5]
Architektúra
[szerkesztés]A botnetek felépítése az idők során sokat fejlődött, annak érdekében hogy elkerüljék a felderítést és az általuk végrehajtott interakció megszakítását. A botprogramok hagyományosan kliensként épülnek fel, amelyek a meglévő kiszolgálókon keresztül kommunikálnak. Ez lehetővé teszi a botherder (a botnet irányítója) számára, hogy minden irányítást egy távoli helyről végezzen, ami elhomályosítja a forgalmat.[6] Sok újabb botnet ma már a meglévő egyenrangú hálózatokra támaszkodik a kommunikációhoz. Ezek a P2P botprogramok ugyanazokat a műveleteket hajtják végre, mint a kliens-szerver modell, de nincs szükségük központi szerverre a kommunikációhoz.
Ügyfél-Szerver modell
[szerkesztés]Az első botnetek az interneten ügyfél-szerver modellt használtak feladataik elvégzésére.[7] Ezek a botnetek jellemzően Internet Relay Chat hálózatokon, tartományokon vagy webhelyeken keresztül működtek. A fertőzött kliensek egy előre meghatározott helyre lépnek be, és várják a szerverről érkező parancsokat. A botgazda parancsokat küld a szervernek, amely továbbítja azokat a klienseknek. A kliensek végrehajtják a parancsokat, és az eredményeket visszajelzik a botgazdának.
Az IRC botnetek esetében a fertőzött ügyfelek csatlakoznak egy szintén fertőzött IRC-kiszolgálóhoz, és csatlakoznak egy olyan csatornához, amelyet a botgazda előre kijelölt a C&C számára. A botgazda az IRC-kiszolgálón keresztül parancsokat küld a csatornának. Az egyes kliensek lekérdezik a parancsokat, és végrehajtják azokat. Az ügyfelek üzeneteket küldenek vissza az IRC-csatornára a műveleteik eredményéről.[6]
Peer-to-peer
[szerkesztés]Az IRC botnetek felderítésére és kiiktatására tett erőfeszítésekre válaszul a botterjesztők rosszindulatú szoftvereket telepítenek a peer-to-peer hálózatokra. Ezek a botok digitális aláírást használhatnak, hogy csak az irányíthassa a botnetet, aki hozzáfér a privát kulcshoz.[8] Lásd pl. Gameover ZeuS és ZeroAccess botnet.
Az újabb botnetek teljes mértékben P2P-hálózatokon keresztül működnek. Ahelyett, hogy egy központi szerverrel kommunikálnának, a P2P botnetek parancselosztó szerverként és parancsokat fogadó kliensként is működnek,[9] így elkerülhető, hogy egyetlen hibapont legyen, ami a központosított botnetek esetében problémát jelent.
Más fertőzött gépek felkutatásához a bot diszkréten szondázza a véletlenszerű IP-címeket, amíg kapcsolatba nem lép egy másik fertőzött géppel. A megkeresett bot olyan információkkal válaszol, mint a szoftver verziója és az ismert botok listája. Ha az egyik bot verziója alacsonyabb, mint a másiké, akkor a frissítés érdekében fájlátvitelt kezdeményez.[8] Ily módon minden bot növeli a fertőzött gépek listáját, és az összes ismert bottal való rendszeres kommunikációval frissíti magát.
Alapvető összetevők
[szerkesztés]A botnet létrehozója (más néven "botherder" vagy "botgazda") távolról irányítja a botnetet. Ezt nevezik parancsnoklásnak és irányításnak (C&C). A műveletet végző programnak egy rejtett csatornán keresztül kell kommunikálnia az áldozat gépén (zombi számítógép) lévő klienssel.
Ellenőrző protokollok
[szerkesztés]Az IRC a kommunikációs protokollja miatt a C&C egyik kedvelt eszköze. A botgazda létrehoz egy IRC-csatornát, amelyhez a fertőzött ügyfelek csatlakozhatnak. A csatornára küldött üzeneteket a csatorna minden tagja megkapja. A botgazda beállíthatja a csatorna témáját úgy, hogy az a botnetet irányítsa. Például a botgazda :herder!herder@example.com TOPIC #channel DDoS www.victim.com
üzenete a #csatornához tartozó összes fertőzött ügyfelet figyelmezteti, hogy kezdjenek DDoS-támadást a www.victim.com weboldal ellen. Egy példa válasz :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com
egy bot kliens által küldött válasza figyelmezteti a bot botgazdát, hogy megkezdte a támadást.[8]
Egyes botnetek a jól ismert protokollok egyéni változatait valósítják meg. A megvalósítási különbségek felhasználhatók a botnetek felderítésére. A Mega-D például egy kissé módosított Simple Mail Transfer Protocol (SMTP) implementációval rendelkezik a spamképesség tesztelésére. A Mega-D SMTP-kiszolgálójának leállítása letiltja az összes olyan botnetet, amelyek ugyanarra az SMTP-kiszolgálóra támaszkodnak.[10]
Zombi számítógép
[szerkesztés]Az informatikában a zombi számítógép az internetre csatlakoztatott számítógép, amelyet hacker, számítógépes vírus vagy trójai faló támadott meg, és távoli irányítással rosszindulatú feladatok elvégzésére használható. A zombi számítógépekből álló botneteket gyakran használják e-mail spamek terjesztésére és elosztott szolgáltatásmegtagadással járó támadások (DDoS) indítására. A zombi számítógépek tulajdonosai többnyire nincsenek tudatában annak, hogy rendszerüket ilyen módon használják. Mivel a tulajdonosok általában nem tudnak róla, ezeket a számítógépeket metaforikusan a zombikhoz hasonlítják. A több botnet-gép által koordinált DDoS-támadás is hasonlít egy zombihorda támadásához.[11] A számítástechnikai erőforrások ellopásának folyamatát, amely egy rendszer "botnethez" való csatlakozása következtében jön létre, néha "scrumping"-nak nevezik.[12]
Irányítás és ellenőrzés
[szerkesztés]A botnet irányítási és ellenőrzési (C&C) protokollokat számos módon valósították meg, a hagyományos IRC-megközelítéstől a kifinomultabb változatokig.
Telnet
[szerkesztés]A telnet botnetek egy egyszerű C&C botnet protokollt használnak, amelyben a botok a fő parancsnoki szerverhez csatlakoznak, hogy a botnetnek otthont adjanak. A botokat egy szkript segítségével adják hozzá a botnethez, amely egy külső kiszolgálón fut, és IP-tartományokat vizsgál a telnet és SSH szerver alapértelmezett bejelentkezései után. Amint egy bejelentkezést talál, a szkennelőszerver megfertőzheti azt SSH-n keresztül rosszindulatú szoftverrel, amely a vezérlőszerverre pingel.
IRC
[szerkesztés]Az IRC-hálózatok egyszerű, alacsony sávszélességű kommunikációs módszereket használnak, ezért széles körben használják őket botnetek elhelyezésére. Ezek általában viszonylag egyszerű felépítésűek, és mérsékelt sikerrel használják őket DDoS-támadások és spamkampányok koordinálására, miközben folyamatosan képesek csatornát váltani, hogy elkerüljék a lekapcsolást. Egyes esetekben azonban bizonyos kulcsszavak puszta blokkolása is hatékonynak bizonyult az IRC-alapú botnetek megállításában. Az RFC 1459 (IRC) szabvány népszerű a botnetek körében. Az első ismert népszerű botnet-vezérlő szkript, a "MaXiTE Bot" az IRC XDCC protokollt használta a privát vezérlőparancsokhoz.
Az IRC használatával az egyik probléma az, hogy minden botkliensnek ismernie kell az IRC-kiszolgálót, a portot és a csatornát ahhoz, hogy a botnet számára hasznos legyen. A rosszindulatú szoftverek elleni szervezetek felismerhetik és leállíthatják ezeket a szervereket és csatornákat, így a botnet-támadás gyakorlatilag megállítható. Ha ez megtörténik, a kliensek továbbra is fertőzöttek maradnak, de jellemzően lappanganak, mivel nem tudnak kapnak utasításokat.[8] E probléma enyhítése érdekében a botnet több szerverből vagy csatornából is állhat. Ha az egyik szerver vagy csatorna működésképtelenné válik, a botnet egyszerűen átvált egy másikra. Az IRC-forgalom megfigyelésével még mindig lehetséges további botnet-kiszolgálók vagy -csatornák észlelése és megszakítása. A botnet ellenfelei potenciálisan még a vezérlési séma ismeretére is szert tehetnek, és parancsok helyes kiadásával utánozhatják a botgazdát.[13]
P2P
[szerkesztés]Mivel az IRC-hálózatokat és tartományokat használó botnetek többsége idővel leállítható, a hackerek a C&C-vel ellátott P2P botnetekre váltottak, hogy a botnetet rugalmasabbá és ellenállóbbá tegyék a kiiktatással szemben. .
Néhányan titkosítást is használtak, hogy biztosítsák vagy lezárják a botnetet mások elől, legtöbbször, amikor titkosítást használnak, az nyilvános kulcsú titkosítás, és kihívást jelentett mind a megvalósítás, mind a feltörés.
Domainek
[szerkesztés]Sok nagy botnet inkább domaineket használ az IRC helyett (lásd Rustock botnet és Srizbi botnet). Általában golyóálló tárhelyszolgáltatóknál vannak elhelyezve. Ez a C&C egyik legkorábbi típusa. A zombi számítógép egy speciálisan kialakított weboldalhoz vagy tartomány(ok)hoz fér hozzá, amely az irányító parancsok listáját szolgálja ki. A weboldalak vagy domainek C&C-ként való használatának előnye, hogy egy nagy botnet hatékonyan irányítható és karbantartható egy nagyon egyszerűen és könnyen frissíthető kóddal.
A módszer használatának hátránya, hogy jelentős sávszélességet használ, és a domaineket a kormányzati szervek kis erőfeszítéssel gyorsan lefoglalhatják. Ha a botneteket irányító tartományokat nem foglalják le, akkor azok szintén könnyű célpontok, amelyeket szolgáltatásmegtagadási támadásokkal lehet kompromittálni.
A gyorsfolyamú DNS-ek segítségével meg lehet nehezíteni az irányító szerverek felkutatását, amelyek napról napra változhatnak. Az irányító szerverek DNS-tartományról DNS-tartományra is ugrálhatnak, a tartománygeneráló algoritmusok segítségével új DNS-neveket hozhatnak létre a vezérlő szerverek számára.
Egyes botnetek ingyenes DNS-hosztingszolgáltatásokat használnak, mint például a DynDns.org, No-IP.com és Afraid.org, hogy egy aldomaint a botokat rejtő IRC-kiszolgáló felé irányítsanak. Bár ezek az ingyenes DNS-szolgáltatások önmagukban nem fogadnak támadásokat, de referenciapontokat biztosítanak (gyakran a botnet futtatható programjába kódolva). Az ilyen szolgáltatások eltávolítása megbéníthatja az egész botnetet.
FTP-alapú C&C rendszer
[szerkesztés]Sok más protokollhoz hasonlóan az FTP-vel is kísérleteztek, mint ellenőrzési csatornával. Manapság ez a típus nem gyakran fordul elő. Van azonban egy olyan bot-típus, amely rendszeresen használ FTP C&C-t, ez pedig az adathalász vagy banki adatokra irányuló trójai. Ezek a botok, mint például a Dumador vagy a Haxdoor, alapvetően keyloggerek, azzal a különbséggel, hogy sokkal kiterjedtebbek. Figyelik ("szimatolják") az adatforgalmat, amikor a felhasználó a kompromittált rendszeren szörföl az interneten. Ha a felhasználó egy titkosított weboldalra lép be (HTTPS), akkor a számítógépen maga is man-in-the-middle támadást hajt végre. Mivel ez a támadás magán az áldozat gépén zajlik, gyakran nevezik "man in the machine" támadásnak. A bot egy hamis weboldalt mutat be a felhasználónak. Ezzel a technikával lehetőség van hitelesítési adatok stb rögzítésére. Az ellopott adatokat ezután feltöltik egy FTP-kiszolgálóra, ahol a bot üzemeltetője fenntarthatja azokat. A bot-üzemeltetők általában részletes statisztikákat készítenek az adatokról és azok eredetéről.
A top 10 ország, ahol 2008-ban a botnet Irányító és ellenőrző szervereket azonosították:[14]
- Egyesült Államok: 16774
- Németország: 3909
- Kína: 2998
- Oroszország: 2960
- Kanada: 2388
- Nagy-Britannia: 1703
- Dél-Korea: 1151
- Franciaország: 985
- Malajzia: 857
- Japán: 788
Továbbiak
[szerkesztés]A nagy közösségi médiaoldalak,[15] például a GitHub,[16] a Twitter,[17][18] a Reddit,[19] az Instagram,[20] az XMPP nyílt forráskódú azonnali üzenet protokoll,[21] és a Tor rejtett szolgáltatások,[22] népszerű módjai a C&C szerverrel való kommunikációhoz a kilépési szűrés elkerülése érdekében.[23]
Felépítés
[szerkesztés]Hagyományos
[szerkesztés]Ez a példa azt szemlélteti, hogyan jön létre és hogyan használják fel a botnetet rosszindulatú célokra.
- Egy hacker megvásárol vagy létrehoz egy trójai vírust és/vagy exploit kitet, és azzal kezdi el megfertőzni a felhasználók számítógépeit, amelyek hasznos terhe (payloadja) egy rosszindulatú alkalmazás - a bot.
- A bot arra utasítja a fertőzött számítógépet, hogy csatlakozzon egy adott Irányító és ellenőrzőszerverhez (C&C). (Ez lehetővé teszi a botgazda számára, hogy naplót vezessen arról, hogy hány bot aktív és online.)
- A botgazda ezután a botokat billentyűleütések gyűjtésére vagy űrlaprablással online hitelesítő adatok ellopására használhatja, és a botnetet DDoS és/vagy spam szolgáltatásként bérbe adhatja, vagy a hitelesítő adatokat online eladhatja.
- A botok minőségétől és képességeitől függően az érték növekszik vagy csökken.
Az újabb botok képesek automatikusan átvizsgálni a környezetüket, és a sebezhetőségek és gyenge jelszavak felhasználásával szaporodni. Általában minél több sebezhetőséget tud egy bot szkennelni és szaporítani, annál értékesebbé válik a botnetet irányító közösség számára.[24]
A számítógépek akkor válhatnak egy botnet részévé, ha rosszindulatú szoftvert futtatnak. Ezt úgy lehet elérni, hogy a felhasználókat drive-by letöltésre csábítják, (Olyan letöltések, amelyeket a felhasználó engedélyezett, de nem érti azok következményeit pl. olyan letöltések, amelyek ismeretlen vagy hamisított futtatható programot, ActiveX komponenst vagy Java appletet telepítenek) kihasználják a webböngésző sebezhetőségeit, vagy becsapják a felhasználót egy trójai program futtatására, amely érkezhet egy e-mail mellékletből. Ez a rosszindulatú szoftver általában olyan modulokat telepít, amelyek lehetővé teszik, hogy a számítógépet a botnet üzemeltetője irányítsa és ellenőrizze. A szoftver letöltése után "hazatelefonál" (újrakapcsolódási csomagot küld) a gazdaszámítógépnek. Amikor az újrakapcsolódás megtörténik, a trójai a megírásától függően törölheti magát, vagy jelen maradhat a modulok frissítése és karbantartása érdekében.
Egyebek
[szerkesztés]Bizonyos esetekben a botnetet ideiglenesen önkéntes hacktivisták hozták létre, mint például a Low Orbit Ion Cannon megvalósításai, amelyeket a 4chan tagjai használtak a Project Chanology során 2010-ben.[25]
A kínai Great Cannon of China lehetővé teszi a törvényes webböngészési forgalom módosítását az internet gerinchálózatán Kínában, hogy egy nagy átmeneti botnetet hozzanak létre nagy célpontok megtámadására. Például a GitHub megtámadása 2015-ben.[26]
Gyakori tulajdonságok
[szerkesztés]- A legtöbb botnet jelenleg olyan elosztott szolgáltatásmegtagadási támadásokat alkalmaz, amelyek során több rendszer a lehető legtöbb kérést küldi egyetlen internetes számítógéphez vagy szolgáltatáshoz, túlterhelve azt, és megakadályozva azt a jogos kérések kiszolgálásában. Erre példa az áldozat szervere elleni támadás. Az áldozat szerverét a botok kérésekkel bombázzák, amelyek megpróbálnak csatlakozni a szerverhez, így túlterhelve azt.
- A kémprogramok olyan szoftverek, amelyek információkat küldenek készítőiknek a felhasználó tevékenységeiről - jellemzően jelszavakat, hitelkártyaszámokat és egyéb, a feketepiacon eladható információkat. A vállalati hálózaton belül található kompromittált gépek többet érhetnek a botgazda számára, mivel gyakran bizalmas vállalati információkhoz juthatnak hozzá.
- Több nagyvállalatok elleni célzott támadás is érzékeny információk ellopására irányult, mint például az Aurora botnet.[27]
- Az e-mail spamek olyan e-mail üzenetek, amelyeket emberektől származó üzenetnek álcáznak, de vagy reklám, vagy bosszantó, illetve rosszindulatúak.[28]
- A kattintásos csalás az, amikor a felhasználó számítógépe a felhasználó tudta nélkül látogat meg weboldalakat, hogy személyes vagy kereskedelmi haszonszerzés céljából hamis webes forgalmat hozzon létre.[29]
- A CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet című kiadványa szerint a hirdetési csalás gyakran a rosszindulatú bottevékenység következménye. A botok kereskedelmi céljai közé tartozik, hogy az influencerek arra használják őket, hogy növeljék feltételezett népszerűségüket, az online kiadók pedig arra használják a botokat, hogy növeljék a hirdetésre történő kattintások számát, így az oldalak több jutalékot kapnak a hirdetőktől.
- A bitcoin-bányászatot is használták néhány újabb botnetben, amelyek a botnet üzemeltetőjének profitszerzése érdekében magukban foglalják a bitcoin-bányászat funkcióját.[30]
- Az önterjesztő funkció, amely az előre konfigurált parancs- és vezérlő (C&C) utasítás keresése érdekében célzott eszközöket vagy hálózatot tartalmaz, hogy több vírusfertőzést érjen el, szintén több botnetben is megfigyelhető. A botnetek egy része ezt a funkciót használja a fertőzések automatizálására.[31]
Piac
[szerkesztés]A botnet-irányítók közösségében állandó és folyamatos küzdelem folyik arról, hogy ki rendelkezik a legtöbb bottal, a legnagyobb teljes sávszélességgel és a legtöbb "jó minőségű" fertőzött géppel, például egyetemi, vállalati vagy akár kormányzati gépekkel.[32] Bár a botneteket gyakran az őket létrehozó rosszindulatú szoftverről nevezik el, több botnet jellemzően ugyanazt a rosszindulatú szoftvert használja, de különböző entitások működtetik.[33]
Adathalászat
[szerkesztés]A botnetek számos elektronikus csaláshoz használhatók. Ezek a botnetek rosszindulatú szoftverek, például vírusok terjesztésére használhatók, hogy átvegyék az irányítást a normál felhasználók számítógépe/szoftvere felett.[34] Azzal, hogy átveszik az irányítást valaki személyes számítógépe felett, korlátlan hozzáférést kapnak a személyes adatokhoz, beleértve a jelszavakat és a fiókok bejelentkezési adatait. Ezt hívják adathalászatnak. Az adathalászat az "áldozat" fiókjaihoz való bejelentkezési adatok megszerzése egy olyan linkkel, amelyre az "áldozat" rákattint, és amelyet e-mailben vagy sms-ben küldenek.[35] A Verizon felmérése szerint az elektronikus "kémkedési" esetek mintegy kétharmada adathalászatból származik.[36]
Ellenintézkedések
[szerkesztés]A botnetek földrajzi szétszóródása azt jelenti, hogy minden egyes újonnan felvett vírust egyesével kell azonosítani/elzárni/javítani, és ez korlátozza a szűrés előnyeit.
A számítógépes biztonsági szakértőknek sikerült megsemmisíteniük vagy megzavarniuk a rosszindulatú szoftverek parancsnoki és vezérlőhálózatát, többek között úgy, hogy lefoglalták a szervereket vagy elvágták őket az internettől, megtagadták a hozzáférést olyan domainekhez, amelyeket a rosszindulatú szoftverek a C&C infrastruktúrával való kapcsolatfelvételre használtak volna, és egyes esetekben betörtek magába a C&C hálózatba.[37][38][39] Erre válaszul a C&C-üzemeltetők olyan technikák alkalmazásához folyamodtak, mint például a C&C-hálózatuk más meglévő jóindulatú infrastruktúrára, például az IRC-re vagy a Torra való ráépítése, olyan peer-to-peer hálózati rendszerek használata, amelyek nem függenek semmilyen fix szervertől, valamint nyilvános kulcsú titkosítás használata a hálózatba való betörési vagy hamisítási kísérletek kivédésére.[40]
A Norton AntiBot a fogyasztókat célozta meg, de a legtöbb célpont a vállalatok és/vagy az internetszolgáltatók. A hoszt-alapú technikák a szokásos vírusirtó szoftvereket megkerülő bot viselkedésének azonosítására új találmányokat használnak. A hálózati alapú megközelítések általában a fent leírt technikákat használják; a C&C szerverek leállítása, a DNS-bejegyzések nullázása vagy az IRC-kiszolgálók teljes leállítása. A BotHunter egy, az amerikai hadsereg kutatási irodájának támogatásával kifejlesztett szoftver, amely a hálózaton belüli botnet-tevékenységet a hálózati forgalom elemzése és a rosszindulatú folyamatokra jellemző mintákkal való összehasonlítása révén észleli. A Sandia National Laboratories kutatói úgy elemzik a botnetek viselkedését, hogy egyidejűleg egymillió Linux kernelt futtatnak - ami egy botnethez hasonló méretarány - virtuális gépként egy 4480 csomópontos nagy teljesítményű számítógépes fürtön, hogy egy nagyon nagy hálózatot emuláljanak, így megfigyelhetik, hogyan működnek a botnetek, és kísérletezhetnek a megállításuk hatásos módjával.[41]
Az automatizált bot-támadások felderítése napról napra nehezebbé válik, mivel a támadók a botok újabb és kifinomultabb generációit hozzák létre. Egy automatizált támadás például nagy bothadsereget tud bevetni, és brute-force módszereket alkalmazhat rendkívül pontos felhasználónév- és jelszólistákkal a fiókok feltörésére. Az ötlet lényege, hogy a webhelyeket több tízezer kéréssel árasztják el a világ különböző IP-címeiről, de úgy, hogy minden egyes bot körülbelül 10 percenként csak egyetlen kérést küld, ami naponta több mint 5 millió próbálkozást eredményezhet.[42] Ezekben az esetekben sok eszköz megpróbálja kihasználni a volumetrikus érzékelést, de az automatizált bot-támadásoknak ma már vannak módszereik az efajta érzékelés kiváltóinak megkerülésére.
Az ilyen bot-támadások felderítésének egyik technikája az úgynevezett „szignatúra-alapú rendszerek”, amelyekben a szoftver megpróbál mintákat felismerni a kérési csomagban. A támadások azonban folyamatosan fejlődnek, így ez nem biztos, hogy életképes megoldás, ha a minták nem különböztethetők meg több ezer kérésből. A botok meghiúsítására létezik a viselkedésalapú megközelítés is, amely végső soron a botokat próbálja megkülönböztetni az emberektől. A nem emberi viselkedés azonosításával és az ismert botok viselkedésének felismerésével ez a folyamat a felhasználó, a böngésző és a hálózat szintjén is alkalmazható.
A vírus elleni küzdelem legképzettebb módszere a szoftverek felhasználásával a honeypot szoftverek felhasználása volt, hogy meggyőzzék a rosszindulatú programokat arról, hogy egy rendszer sebezhető. A rosszindulatú fájlokat ezután törvényszéki szoftverek segítségével elemzik. 2014. július 15-én az Egyesült Államok Szenátusa Igazságügyi Bizottságának Bűnözés és Terrorizmus Albizottsága meghallgatást tartott a botnetek által jelentett fenyegetésekről, valamint a botnetek megzavarására és felszámolására irányuló állami és magánerőforrásokból származó erőfeszítésekről.[43]
Nem rosszhiszemű használat
[szerkesztés]A nem rosszindulatú botnetek gyakran találhatók a Minecraftban olyan dolgok után kutatva, amelyek valamilyen különleges tulajdonsággal rendelkeznek, például a címképernyő és az alapértelmezett textúracsomag képe. Ezek a botnetek önkéntes alapon működnek, lehetővé téve bármely felhasználó számára, hogy "besorozza" a számítógépét a botnetbe, és később kivegye azt, amikor már nem akarja, hogy a botnetben legyen.
A botnetek történeti listája
[szerkesztés]Az első botnetet először az EarthLink ismerte el és leplezte le a hírhedt spammerrel, Khan C. Smith-szel folytatott per során 2001-ben.[44] A botnetet tömeges spamek céljára építették, és akkoriban az összes spam közel 25%-át tette ki.[45]
2006 körül, egyes botnetek méretét csökkentették, hogy meghiúsítsák a felderítésüket.[46]
Létrehozás dátuma | Felszámolás időpontja | Név | A botok becsült száma | Spam-kapacitás (milliárd/nap) | Álnevek |
---|---|---|---|---|---|
2003 | MaXiTE | 500-1000 szerver | 0 | MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ | |
2004 | Bagle botnet | 230,000[47] | 5.7 | Beagle, Mitglieder, Lodeight | |
Marina Botnet | 6,215,000[47] | 92 | Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken | ||
Torpig | 180,000[48] | Sinowal, Anserin | |||
Storm botnet | 160,000[49] | 3 | Nuwar, Peacomm, Zhelatin | ||
2006 körül | 2011 Március | Rustock botnet | 150,000[50] | 30 | RKRustok, Costrat |
Donbot botnet | 125,000[51] | 0.8 | Buzus, Bachsoy | ||
2007 körül | Cutwail botnet | 1,500,000[52] | 74 | Pandex, Mutant (related to: Wigon, Pushdo) | |
2007 | Akbot | 1,300,000[53] | |||
2007 Március | 2008 November | Srizbi botnet | 450,000[54] | 60 | Cbeplay, Exchanger |
Lethic botnet | 260,000[47] | 2 | Nincs | ||
Xarvester | 10,000[47] | 0.15 | Rlsloup, Pixoliz | ||
2008 körül | Sality | 1,000,000[55] | Sector, Kuku | ||
2008 körül | Mariposa botnet | 12,000,000[56] | |||
2008 November | Conficker | 10,500,000+[57] | 10 | DownUp, DownAndUp, DownAdUp, Kido | |
2008 November | Waledac botnet | 80,000[58] | 1.5 | Waled, Waledpak | |
Maazben | 50,000[47] | 0.5 | Nincs | ||
Onewordsub | 40,000[59] | 1.8 | |||
Gheg | 30,000[47] | 0.24 | Tofsee, Mondera | ||
Nucrypt | 20,000[59] | 5 | Loosky, Locksky | ||
Wopla | 20,000[59] | 0.6 | Pokier, Slogger, Cryptic | ||
2008 körül | Asprox botnet | 15,000[60] | Danmec, Hydraflux | ||
Spamthru | 12,000[59] | 0.35 | Spam-DComServ, Covesmer, Xmiler | ||
2008 körül | Gumblar | ||||
2009 Május | BredoLab botnet | 30,000,000[61] | 3.6 | Oficla | |
2009 körül | 2012-07-19 | Grum botnet | 560,000[62] | 39.9 | Tedroo |
Mega-D botnet | 509,000[63] | 10 | Ozdok | ||
Kraken botnet | 495,000[64] | 9 | Kracken | ||
2009 Augusztus | Festi botnet | 250,000[65] | 2.25 | Spamnost | |
2010 Március | Vulcanbot | ||||
2010 Január | LowSec | 11,000+[47] | 0.5 | LowSecurity, FreeMoney, Ring0.Tools | |
2010 körül | TDL4 botnet | 4,500,000[66] | TDSS, Alureon | ||
Zeus (Trójai) | 3,600,000 (Csak USA)[67] | Zbot, PRG, Wsnpoem, Gorhax, Kneber | |||
2010 | (Néhány: 2011, 2012) | Kelihos botnet | 300,000+ | 4 | Hlux |
2011 vagy korábban | 2015-02 | Ramnit | 3,000,000[68] | ||
2012 körül | Chameleon botnet | 120,000[69] | Nincs | ||
2016 Augusztus | Mirai (malware) | 380,000 | Nincs | ||
2014 | Necurs botnet | 6,000,000 |
A Santa Barbara-i Kaliforniai Egyetem kutatói a vártnál hatszor kisebb botnet felett vették át az irányítást. Egyes országokban gyakori, hogy a felhasználók egy nap alatt többször is megváltoztatják IP-címüket. A botnet méretének becslését az IP-címek száma alapján gyakran használják a kutatók, ami valószínűleg pontatlan becslésekhez vezet.[70]
Jegyzetek
[szerkesztés]- ↑ Thingbots: The Future of Botnets in the Internet of Things. Security Intelligence , 2016. február 20. (Hozzáférés: 2017. július 28.)
- ↑ botnet. (Hozzáférés: 2016. június 9.)
- ↑ Ramneek, Puri: Bots &; Botnet: An Overview. SANS Institute, 2003. augusztus 8. (Hozzáférés: 2013. november 12.)
- ↑ (2018. március 1.) „Business Model of a Botnet”. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP), 441–445. o. DOI:10.1109/PDP2018.2018.00077.
- ↑ „Novice cyberciminals offer commercial access to five mini botnets”, 2013. október 11. (Hozzáférés: 2015. június 28.)
- ↑ a b Botnets. Burlington: Syngress, 29–75. o.. DOI: 10.1016/B978-159749135-8/50004-4 (2007. január 1.). ISBN 9781597491358
- ↑ Botnets: Definition, Types, How They Work | CrowdStrike (angol nyelven). crowdstrike.com . (Hozzáférés: 2021. április 18.)
- ↑ a b c d (2007. április 1.) „Botnet command and control techniques”. Network Security 2007 (4), 13–16. o. DOI:10.1016/S1353-4858(07)70045-4.
- ↑ szerk.: Stamp, Mark: Peer-to-peer botnets, Handbook of Information and Communication Security. Springer (2010). ISBN 9783642041174
- ↑ C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
- ↑ Teresa Dixon Murray: Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week. Cleveland.com, 2012. szeptember 28. (Hozzáférés: 2014. szeptember 2.)
- ↑ „The Facts about Botnets”, 2016. március 30. (Hozzáférés: 2017. május 27.)
- ↑ Botnets. Burlington: Syngress, 77–95. o.. DOI: 10.1016/B978-159749135-8/50005-6 (2007. január 1.). ISBN 978-159749135-8
- ↑ „Statistische Daten, erhoben von Team Cymru, zitiert nach: Steve Santorelli, Levi Gundert: Safety net – Cybercriminals adapt to new security measures. In: Janes Intelligence Review. März 2009, S. 40.”.
- ↑ When Bots Use Social Media for Command and Control
- ↑ Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread”, ZDNet (Hozzáférés: 2017. október 7.)
- ↑ „Hackers Use Twitter to Control Botnet”, 2009. augusztus 13. (Hozzáférés: 2017. május 27.)
- ↑ „First Twitter-controlled Android botnet discovered”, 2016. augusztus 24. (Hozzáférés: 2017. május 27.)
- ↑ „Reddit-powered botnet infected thousands of Macs worldwide”, 2014. október 3. (Hozzáférés: 2017. május 27.)
- ↑ „Russian State Hackers Use Britney Spears Instagram Posts to Control Malware”, 2017. június 6. (Hozzáférés: 2017. június 8.)
- ↑ „Walking through Win32/Jabberbot.A instant messaging C&C”, 2013. január 30. (Hozzáférés: 2017. május 27.)
- ↑ „Cybercriminals are using the Tor network to control their botnets”, 2013. július 25. (Hozzáférés: 2017. május 27.)
- ↑ Cisco ASA Botnet Traffic Filter Guide. (Hozzáférés: 2017. május 27.)
- ↑ Attack of the Bots at Wired
- ↑ Anonymous 101 Part Deux: Morals Triumph Over Lulz. Wired.com, 2012. január 1. (Hozzáférés: 2013. november 22.)
- ↑ Peterson, Andrea: China deploys new weapon for online censorship in form of 'Great Cannon'. The Washington Post, 2015. április 10. (Hozzáférés: 2015. április 10.)
- ↑ Operation Aurora — The Command Structure. Damballa.com. [2010. június 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
- ↑ „This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser”, 2013. november 27.. [2017. július 23-i dátummal az eredetiből archiválva] (Hozzáférés: 2021. szeptember 30.)
- ↑ https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-congress/socialmediabotsreport.pdf
- ↑ „Got a botnet? Thinking of using it to mine Bitcoin? Don't bother”, 2014. június 24. (Hozzáférés: 2017. május 27.)
- ↑ Bitcoin Mining. BitcoinMining.com. [2021. szeptember 30-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. április 30.)
- ↑ Trojan horse, and Virus FAQ. DSLReports. (Hozzáférés: 2011. április 7.)
- ↑ Many-to-Many Botnet Relationships Archiválva 2016. március 4-i dátummal a Wayback Machine-ben., Damballa, 8 June 2009.
- ↑ Uses of botnets | The Honeynet Project. www.honeynet.org . [2019. március 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. március 24.)
- ↑ What is phishing? - Definition from WhatIs.com (angol nyelven). SearchSecurity . (Hozzáférés: 2019. március 24.)
- ↑ Aguilar, Mario: The Number of People Who Fall for Phishing Emails Is Staggering (amerikai angol nyelven). Gizmodo . (Hozzáférés: 2019. március 24.)
- ↑ Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants. vhosts.eecs.umich.edu
- ↑ DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis. Annual Computer Security Applications Conference. ACM, 2012. december 1.
- ↑ (2008. november 4.) „BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic”. Proceedings of the 15th Annual Network and Distributed System Security Symposium.
- ↑ IRCHelp.org – Privacy on IRC. www.irchelp.org . (Hozzáférés: 2020. november 21.)
- ↑ Researchers Boot Million Linux Kernels to Help Botnet Research. IT Security & Network Security News, 2009. augusztus 12. (Hozzáférés: 2011. április 23.)[halott link]
- ↑ Brute-Force Botnet Attacks Now Elude Volumetric Detection. DARKReading from Information Week, 2016. december 19. (Hozzáférés: 2017. november 14.)
- ↑ Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office (2018. november 4.)
- ↑ Credeur, Mary: Atlanta Business Chronicle, Staff Writer. bizjournals.com. (Hozzáférés: 2002. július 22.)
- ↑ Mary Jane Credeur: EarthLink wins $25 million lawsuit against junk e-mailer, 2002. július 22. (Hozzáférés: 2018. december 10.)
- ↑ (2006. április 1.) „Hackers Strengthen Malicious Botnets by Shrinking Them”. Computer; News Briefs 39 (4), 17–19. o, Kiadó: IEEE Computer Society. DOI:10.1109/MC.2006.136. „The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said.”
- ↑ a b c d e f g Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security. Messagelabs.com. [2020. november 18-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. január 30.)
- ↑ Chuck Miller: Researchers hijack control of Torpig botnet. SC Magazine US, 2009. május 5. [2007. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. november 7.)
- ↑ Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com, 2007. október 21. [2007. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
- ↑ Chuck Miller: The Rustock botnet spams again. SC Magazine US, 2008. július 25. [2016. április 4-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
- ↑ Spam Botnets to Watch in 2009. Secureworks.com . SecureWorks. (Hozzáférés: 2016. március 9.)
- ↑ Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com, 2010. február 2. [2010. augusztus 16-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
- ↑ „New Zealand teenager accused of controlling botnet of 1.3 million computers”, The H security, 2007. november 30. (Hozzáférés: 2011. november 12.)
- ↑ „Technology | Spam on rise after brief reprieve”, BBC News, 2008. november 26. (Hozzáférés: 2010. április 24.)
- ↑ Sality: Story of a Peer-to-Peer Viral Network. Symantec, 2011. augusztus 3. (Hozzáférés: 2012. január 12.)
- ↑ How FBI, police busted massive botnet. theregister.co.uk. (Hozzáférés: 2010. március 3.)
- ↑ Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab. F-secure.com, 2009. január 16. (Hozzáférés: 2010. április 24.)
- ↑ Waledac botnet 'decimated' by MS takedown. The Register, 2010. március 16. (Hozzáférés: 2011. április 23.)
- ↑ a b c d Gregg Keizer: Top botnets control 1M hijacked computers. Computerworld, 2008. április 9. [2014. augusztus 13-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. április 23.)
- ↑ Botnet sics zombie soldiers on gimpy websites. The Register, 2008. május 14. (Hozzáférés: 2011. április 23.)
- ↑ Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com. .canada.com. [2011. május 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. november 10.)
- ↑ Research: Small DIY botnets prevalent in enterprise networks. ZDNet. (Hozzáférés: 2010. július 30.)
- ↑ Warner, Gary: Oleg Nikolaenko, Mega-D Botmaster to Stand Trial. CyberCrime & Doing Time, 2010. december 2. (Hozzáférés: 2010. december 6.)
- ↑ New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. (Hozzáférés: 2010. július 30.)
- ↑ Kirk, Jeremy: Spamhaus Declares Grum Botnet Dead, but Festi Surges. PC World, 2012. augusztus 16.
- ↑ Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon). kasperskytienda.es, 2011. július 3. (Hozzáférés: 2011. július 11.)
- ↑ America's 10 most wanted botnets. Networkworld.com, 2009. július 22. (Hozzáférés: 2011. november 10.)
- ↑ EU police operation takes down malicious computer network. phys.org
- ↑ Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month. Spider.io, 2013. március 19. (Hozzáférés: 2013. március 21.)
- ↑ Espiner, Tom: Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK. Zdnet.com, 2011. március 8. (Hozzáférés: 2011. november 10.)
Fordítás
[szerkesztés]- Ez a szócikk részben vagy egészben a Botnet című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
Külső hivatkozások
[szerkesztés]- The Honeynet Project & Research Alliance – "Know your Enemy: Tracking Botnets"
- The Shadowserver Foundation – an all-volunteer security watchdog group that gathers, tracks, and reports on malware, botnet activity, and electronic fraud
- EWeek.com – "Is the Botnet Battle Already Lost?"
- Botnet Bust – "SpyEye Malware Mastermind Pleads Guilty", FBI
- Das Anti-Botnet-Beratungszentrum – Eine Initiative der deutschen Internetwirtschaft, botfrei.de
- Trojaner 2.0 nutzen Web 2.0, Heise.de
- Vint Cerf – Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes. Heise.de
- Was sind Bots und Botnetze? Archiválva 2010. január 11-i dátummal a Wayback Machine-ben RUS-CERT
- Vortrag über Funktion und Erkennung von Botnetzen (PDF; 639 kB)
- Neue Gefahr durch Bot-Netze mit P2P-Strukturen. Heise.de (német)
- Bruce Schneier: The Storm Worm. Archiválva 2012. június 26-i dátummal a Wayback Machine-ben q-vadis.net(angol)
- Analyse des inneren Aufbaus eines Botnets (PDF; 138 kB; angol)
- Peer-to-Peer Botnets: Overview and Case Study; weiterhin Taxonomie der Verwendungsmöglichkeiten (angol)
- BBC Sendung ‘Click’ zum Thema Botnet mit Demonstration (angol)
- Die Top 10 Botnets Archiválva 2012. április 22-i dátummal a Wayback Machine-ben(angol)
Könyvek
[szerkesztés]- Ken Dunham, Jim Melnick: Malicious bots. An inside look into the cyber-criminal underground of the internet. CRC Press, Boca Raton FL u. a. 2009, ISBN 978-1-4200-6903-7 (An Auerbach Book).
- Wenke Lee (Hrsg.): Botnet detection. Countering the largest security threat. Springer, New York u. a. 2008, ISBN 978-0-387-68766-7.
- Craig A. Schiller, David Harley, Gadi Evron, Carsten Willems, Tony Bradley, Michael Cross, David Dagon: Botnets. The killer web app. Syngress, Rockland MA 2007, ISBN 1-59749-135-7.