Botnet (kontrakce anglického „ro bot síti “: ‚síť robotů‘) je síť počítačových roboty , programy připojené k internetu , které komunikují s ostatními podobnými programy provádět určité úkoly.
Historicky botnet odkazoval na IRC botnety . Význam botnetu se rozšířil na sítě botnetů , které se používají zejména k těžbě kryptoměny, ale také ke škodlivým účelům , jako je zasílání spamu a počítačových virů nebo útoky typu DDoS ( Denial of Service ).
Na IRC se používají k řízení diskusních kanálů nebo k nabízení různých služeb uživatelům, jako jsou hry, statistiky na kanálu atd. Připojení k síti jim umožňuje bezpečně si navzájem poskytovat status provozovatele kanálu, účinně řídit povodňové útoky nebo jiné útoky . Sdílení seznamů uživatelů, zákazů a všech druhů informací je činí efektivnějšími.
Existují i další legitimní použití botnetů, například indexování webu : objem dat, která mají být prozkoumána, a nezbytné použití paralelizace vyžaduje použití botových sítí .
První drifty se objevily v sítích IRC: během střetů byly použity IRC botnety ( Eggdrop v prosinci 1993, poté GTbot v dubnu 1998) k převzetí kontroly nad kanálem.
Dnes se tento termín často používá k označení sítě robotických strojů , protože IRC byl jedním z prvních prostředků používaných škodlivými sítěmi ke vzájemné komunikaci, odkloněním primárního použití IRC. První z nich, na který se odkazovalo, byl W32 / Pretty.worm, nazývaný také PrettyPark, zaměřený na 32bitové prostředí Windows a využívající myšlenky Eggdrop a GTbot. V té době nebyli považováni za příliš nebezpečné a až v roce 2002 několik škodlivých botnetů (Agobot, SDBot, poté SpyBot v roce 2003) přimělo lidi o nich mluvit a hrozba vzrostla.
Jakýkoli počítač připojený k internetu se pravděpodobně stane cílem zombie stroje : stroje Windows, které představují většinu kontaminovaných strojů, ale také v menší míře stroje Linux, Apple, dokonce i herní konzoly nebo zařízení.
V roce 2007 se společnost Vint Cerf domnívala, že každý čtvrtý počítač je součástí botnetu.
Tento fenomén se v poslední době vyvíjí na telefonních terminálech typu smartphone a zejména na operačním systému Android, kde se v prosinci 2010 objevil čínský trojský kůň zvaný „Geinimi“.
Hlavní charakteristikou botnetů je sdružování několika odlišných strojů, někdy velmi početných, což zefektivňuje požadovanou činnost (protože máme možnost použít spoustu zdrojů), ale také je obtížnější ji zastavit.
Škodlivé botnety se používají hlavně k:
Spam : k odeslání více e-mailů.
DDoS : odesílejte více útoků na server, aby přestal fungovat.
BruteForcing : Rychlejší hledání hesla.
Ekonomická motivaceEkonomické hledisko je prvořadé: velikost botnetu a schopnost snadné kontroly jsou prvky, které přispívají k přilákání trestné činnosti, a to jak pro majitele botnetu (někdy nazývaného „otravovatel“ nebo „botmaster“), než pro uživatele, kteří si většinou najímají služby botnetu pro splnění konkrétního úkolu (odesílání spamu, počítačový útok, odmítnutí služby, krádež informací atd.). V dubnu 2009 generoval botnet 1 900 000 strojů, které společnost Finjian odkryla, odhadovaný příjem „botmasters“ ve výši 190 000 dolarů za den.
Ideologická motivaceKromě ekonomického aspektu se počítačové útoky mohou stát zbraňou propagandy nebo odvetných opatření, zejména během ozbrojených konfliktů nebo během symbolických událostí. Například během konfliktu mezi Ruskem a Gruzií v roce 2008 byla gruzínská síť napadena v několika formách (aby byla nedostupná nebo aby porazila oficiální stránky). V roce 2007 došlo také k velkému útoku proti Estoncům : motivací hackerů by bylo přesunutí pomníku sovětským vojákům z centra estonského hlavního města. Na začátku roku 2010 se říká , že Vietnam stojí za botnetem, jehož cílem je umlčet politický disent.
Osobní motivacePomsta nebo vydírání mohou být také součástí motivace útočníků, aniž by nutně měl primární význam finanční aspekt: špatně placený zaměstnanec nebo poražení online hráči se mohou pomstít zaměstnavateli nebo vítězi hry.
Složené z osobních počítačů nebo serverů jsou nyní botnety také tvořeny smartphony nebo jakýmkoli připojeným objektem .
Botnet má několik fází života. Modulární konstrukce mu umožňuje spravovat tyto fáze s impozantní účinností, zejména jakmile dojde k ohrožení cíleného stroje. Fáze infekce je samozřejmě vždy první, ale pořadí těchto fází není vždy lineární a závisí na konstrukci botnetu.
Strojová infekceToto je logicky počáteční fáze. Kontaminace často zahrnuje instalaci primárního softwarového nástroje, který nemusí být nutně konečným nástrojem. Tato kontaminace stroje využívá klasické mechanismy infekce:
Po instalaci může tato softwarová základna deklarovat stroj do řídicího centra, které jej poté považuje za aktivní . Jedná se o jeden z klíčů k konceptu botnetu, konkrétně k tomu, že infikovaný počítač lze nyní vzdáleně ovládat jedním (nebo více) stroji třetích stran. V některých případech jsou k přepnutí do provozní fáze nutné další fáze (vlastní ochrana, aktualizace atd.).
AktualizaceJakmile je počítač infikován a proběhla aktivace, může se botnet sám aktualizovat, provádět vlastní úpravy, přidávat funkce atd. To má významné dopady na nebezpečnost botnetu a na schopnost kontrolních nástrojů jej zastavit, protože botnet tak může upravit svůj virový podpis a další vlastnosti, které mohou vést k jeho odhalení a identifikaci.
SebeobranaPůvodně, nebo po fázi aktualizace, se botnet bude snažit poskytnout si prostředky pro pokračování své činnosti i prostředky utajení. To může zahrnovat:
Velikost botnetu poskytuje jak účinnost, tak přidanou hodnotu sponzorům a uživatelům botnetu. Je proto běžné, že po instalaci se zombie stroj snaží rozšířit botnet:
Jakmile je botnet nainstalován a deklarován, může zombie stroj poslouchat příkazy, které mu byly dány, aby provedl akce požadované útočníkem (v případě potřeby s instalací dalších nástrojů prostřednictvím vzdálené aktualizace):
Takto funguje botnet používaný k odesílání e-mailů :
Je nesmírně obtížné mít spolehlivé a přesné údaje, protože většinu botnetů lze zjistit pouze nepřímo. Některé organizace, jako je shadowserver.org, se snaží zjistit čísla ze síťové aktivity, detekce velitelských center (C&C) atd.
Počet sítí (botnetů)Od února 2010 se odhadovalo, že tam bylo mezi 4 000 a 5 000 aktivních botnetů. Toto číslo by mělo být považováno za nízký rozsah, protože botnety získávají nenápadnost a monitorování celé internetové sítě je nemožné.
Velikost sítěVelikost botnetu se liší, ale je běžné, že se síť skládá z tisíců zombie strojů . V roce 2008, během konference RSA, zahrnovalo top 10 sítí 10 000 až 315 000 strojů s kapacitou odesílání e-mailů v rozmezí od 300 milionů do 60 miliard denně (pro Srizbi, největší botnet v této zemi). Datováno).
Na konci roku 2009 společnost MessageLabs dala následujících 10 nejlepších:
Název botnetu | Počet strojů | Kapacita e-mailů za minutu |
---|---|---|
Rustock | 540 000 až 810 000 | 14 000 000 |
Cutwail | 1 100 000 až 1 600 000 | 12 800 000 |
Bagle | 520 000 až 780 000 | 12 000 000 |
Bobax | 110 000 až 160 000 | 10 000 000 |
Grum | 580 000 až 860 000 | 6 800 000 |
Maazben | 240 000 až 360 000 | 1,5 miliónu |
Festi | 140 000 až 220 000 | 900 000 |
Mega-D | 50 000 až 70 000 | 690 000 |
Xarvester | 20 000 až 36 000 | 615 000 |
Gheg | 50 000 až 70 000 | 300 000 |
Ve své zprávě z roku 2009, MessageLabs také odhaduje, že 5 miliónů stroje byly ohroženy na spam botnet sítě .
Samotné vytvoření botnetu, které někdy tvoří velmi mnoho strojů, ztěžuje sledovatelnost akcí a zdrojů. Čím větší je botnet, tím obtížnější je také jej zastavit a zastavit, protože je nutné jak zastavit šíření agentů aktivujících botnet, tak vyčistit napadené stroje.
Starší generace se často spoléhaly na centralizované nebo snadno deaktivovatelné řídicí centrum ( pevná IP adresa nebo název domény mohou být zakázány, IRC kanál může být uzavřen atd.). Nyní peer-to-peer umožňuje odolnost komunikačního systému a díky uneseným funkcím Web 2.0 je odposlech velmi složitý: botnet vyhledá klíčové slovo na webu a použije jej k určení umístění datového centra. musí obdržet své objednávky.
Několik společných akcí, do nichž je silně zapojeno bezpečnostní oddělení společnosti Microsoft, umožnilo demontovat dvě hlavní sítě: Waledac a Rustock (operace zvané b49 a b107). V březnu 2011 měla společnost Rustock přibližně 1 milion strojů generujících 47,5% globálního spamu (podle společnosti Symantec ) a její zdrojový kód používal ke své kontrole 106 IP adres.
Obvyklá opatření na ochranu stroje (antivirus, HIDS / HIPS, heslo, správa uživatelských práv, anti-spam, správa aktualizací atd.)