Ботнет (англ. botnet) — это компьютерная сеть, состоящая из
некоторого количества хостов, с запущенными ботами — автономным
программным обеспечением. Чаще всего бот в составе ботнета является
скрытно устанавливаемым на компьютере жертвы и позволяющим
злоумышленнику выполнять некие действия с использованием ресурсов
заражённого компьютера программным обеспечением. Обычно используются
для нелегальной или неодобряемой деятельности — рассылки спама,
перебора паролей на удалённой системе, атак на отказ в обслуживании.
Техническое описание
Получение управления
Управление обычно получают в результате установки на компьютер
невидимого необнаруживаемого пользователем в ежедневной работе
программного обеспечения без ведома пользователя. Происходит обычно
через:
* Заражение компьютера вирусом через уязвимость в ПО (ошибки в
браузерах, почтовых клиентах, программах просмотра документов,
изображений, видео).
* Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
* Использование санкционированного доступа к компьютеру (редко).
* Перебор вариантов администраторского пароля к сетевым разделяемым
ресурсам (в частности, к $ADMIN, позволяющей выполнить удалённо
программу) — преимущественно в локальных сетях.
Механизм самозащиты и автозапуска
Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:
* маскировка под системный процесс;
* использование нестандартных методов запуска (пути автозапуска
унаследованные от старых версий ПО, подмена отладчика процессов);
* использование двух самоперезапускающихся процессов,
перезапускающих друг друга (такие процессы практически невозможно
завершить, так как они вызывают «следующий» процесс и завершаются
раньше, чем их завершают принудительно);
* подмена системных файлов для самомаскировки;
* перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.
Механизм управления ботнетом
Ранее управление производилось или «слушанием» определённой команды по
определённому порту, или присутствием в IRC-чате. До момента
использования программа «спит» — (возможно) размножается и ждёт
команды. По получению команды от «владельца» ботнета, начинает
исполнять команду (один из видов деятельности). В ряде случаев по
команде загружается исполняемый код (таким образом, имеется возможность
«обновлять» программу и загружать модули с произвольной
функциональностью).
В настоящее время получили распространение ботнеты управляемые через веб-сайт или по принципу p2p-сетей.
Торговля
Ботнеты являются объектом нелегальной торговли, при продаже передаётся
пароль к IRC каналу (пароля доступа к интерфейсу программы на
компьютере).
Масштабы
По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600
млн компьютеров, подключённых к Интернет, могут находиться в ботнетах.
Специалисты SecureWorks, изучив внутренние статистические сведения
ботнета, основанного на трояне SpamThru, обнаружили, что около половины
заражённых компьютеров работают под управлением операционной системы
Windows XP с установленным Service Pack 2.
Известные атаки ботнетов
Наиболее заметной из всех видов деятельности ботнета является DDos атака. Среди успешных (и почти успешных) атак:
* DDos атака на сайт Microsoft.com (вирус MSBlast!, в один день
начавший со всех заражённых машин посылать запросы на microsoft.com,
привёл к простою сайта).
Якщо ви збуджені, невпевнені в своїх силах або просто незібрані і не налаштовані на роботу, то вам не завадить послідовно прослухати ці п'ять композицій.
