Ботнет. Как и зачем создаются ботнеты. Средства защиты от ботнетов.

Термин «бот» – является сокращением от слова «робот». Злоумышленники распространяют вредоносные программы, которые могут превратить ваш компьютер в бот или зомби-компьютер. В этом случае по команде через Интернет ваш компьютер может выполнять определенные задачи незаметно для вас.

Злоумышленники обычно используют боты, чтобы заражать большое количество других компьютеров. Эти компьютеры объединяются в сеть, которая и называется ботнетом. Ботнет или зомби-сеть, – это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев.

С помощью бот-сетей злоумышленники могут рассылать спам, распространять вирусы, атаковать компьютеры и серверы, а также совершать другие преступления и виды мошенничества. Если компьютер становится участником бот-сети, его производительность может падать, а вы можете стать невольным соучастником преступников. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников.

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

- неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически докладывает брандмауэр или антивирусное ПО;

- интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

- в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно).

Зачем создаются ботнеты

Ботнеты создаются, чтобы зарабатывать деньги. Можно выделить несколько сфер коммерчески выгодного применения зомби-сетей: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка клик-счетчиков и пр. Надо заметить, что прибыльным будет любое направление, какое бы злоумышленник ни выбрал, причем ботнет позволяет осуществлять все перечисленные виды деятельности одновременно.

Проведение DDoS-атак

DDoS-атака (от англ. Distributed Denial-of-Service) – это атака на компьютерную систему, например на веб-сайт, целью которой является доведение системы до «падения», то есть состояния, когда она больше не сможет принимать и обрабатывать запросы легитимных пользователей. Один из самых распространенных методов проведения DDoS-атаки – отправка многочисленных запросов на компьютер или сайт-жертву, что и приводит к отказу в обслуживании, если ресурсы атакуемого компьютера недостаточны для обработки всех поступающих запросов. DDoS-атаки являются грозным оружием хакеров, а ботнет – идеальным инструментом для их проведения.

DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и актами кибертерроризма. Хозяин ботнета может оказать услугу любому не слишком щепетильному предпринимателю – провести DDoS-атаку на сайт его конкурента. Атакуемый ресурс после такой нагрузки «ляжет», заказчик атаки получит временное преимущество, а киберпреступник – скромное (или не очень) вознаграждение.

Таким же образом сами владельцы ботнетов могут использовать DDoS-атаки для вымогания денег у крупных компаний. При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак стоит весьма дорого.


Сбор конфиденциальной информации

Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников. Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: почтовым ящикам, FTP-серверам, «мессенджерам» и др. При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им интересны, – для этого достаточно загрузить на ПК соответствующий модуль.

Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На многочисленных форумах в Сети каждый день появляются сотни объявлений о продаже банковских учетных записей. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, а для этого обязателен стабильный рост зомби-сетей. Особенно интересна финансовая информация кардерам – злоумышленникам, занимающимся подделкой банковских карт.

Еще одним видом собираемой ботнетами информации являются адреса электронной почты, причем, в отличие от номеров кредиток и учетных записей, из адресной книги одного зараженного ПК можно извлечь множество электронных адресов. Собранные адреса выставляются на продажу, причем иногда «на развес» – помегабайтно. Основными покупателями подобного «товара» являются спамеры.

Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они обходятся дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов.

Рассылка спама

Ежедневно по всему миру курсируют миллионы спам-сообщений. Рассылка незапрошенной почты является одной из основных функций современных ботнетов. По данным «Лаборатории Касперского», около 80% всего спама рассылается через зомби-сети. Таким образом хакеры ставят под удар компьютеры ни в чем не повинных пользователей: адреса, с которых ведется рассылка, попадают в черные списки антивирусных компаний.

В последние годы сама сфера спам-услуг расширилась: появился ICQ-спам, спам в социальных сетях, форумах, блогах. И это тоже «заслуга» владельцев ботнетов: ведь совсем несложно дописать к бот-клиенту дополнительный модуль, открывающий горизонты для нового бизнеса.

Создание поискового спама

Еще один вариант использования ботнетов – повышение популярности сайтов в поисковых системах. Работая над поисковой оптимизацией, администраторы ресурсов стараются повысить позицию сайта в результатах поиска, поскольку чем она выше, тем больше посетителей зайдет на сайт через поисковые системы и, следовательно, тем больше будет выручка владельца сайта, например от продажи рекламных площадей на веб-страницах. Многие компании платят веб-мастерам немалые деньги, чтобы они вывели сайт на первые позиции в «поисковиках». Владельцы ботнетов подсмотрели некоторые их приемы и автоматизировали процесс поисковой оптимизации.

Специально созданная программа загружается на зомби-компьютер и от имени его владельца оставляет на популярных ресурсах комментарии со ссылками на раскручиваемый сайт.

Как создаются ботнеты

Первый шаг: создать новую зомби-сеть. Для этого нужно заразить компьютеры пользователей специальной программой – ботом. Для заражения используются спам-рассылки, постинг сообщений на форумах и в социальных сетях и другие приемы; часто бот наделяется функцией самораспространения, как вирусы или черви.

Чтобы заставить потенциальную жертву установить бот, используют приемы социальной инженерии. Например, предлагают посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла пользователь, конечно, не сможет посмотреть никакого видео и скорее всего не заметит вообще никаких изменений, а его ПК окажется заражен и станет покорным слугой, выполняющим все команды хозяина ботнета.

Вторым широко используемым методом заражения ботами является drive-by-загрузка. При посещении пользователем зараженной веб-страницы на его компьютер через различные «дыры» в приложениях – прежде всего в популярных браузерах – загружается вредоносный код. Для эксплуатации слабых мест используются специальные программы – эксплойты. Они позволяют не только незаметно загрузить, но и незаметно запустить вирус или бот. Такой вид распространения вредоносного ПО наиболее опасен, ведь, если взломан популярный ресурс, заразятся десятки тысяч пользователей!

Бот можно наделить функцией самораспространения по компьютерным сетям. Например, он может распространяться путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети.

Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, веб-соединение или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить своему хозяину доход. Причем этот доход находится в линейной зависимости от устойчивости зомби-сети и темпов ее роста.

Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по ссылкам на размещенных в Интернете объявлениях. Для владельцев ботнета обман таких компаний является прибыльным занятием.

Средства защиты от ботнетов

1. В первую очередь это анитивирусные программы и комплексные пакеты для защиты от интернет-угроз с регулярно обновляемыми базами. Они помогут не только вовремя обнаружить опасность, но и ликвидировать ее до того, как ваш превращенный в зомби верный «железный друг» начнет рассылать спам или «ронять» сайты. Комплексные пакеты, содержат полный комплект защитных функций, управлять которыми можно через общий командный центр.

  • Антивирусный модуль в фоновом режиме выполняет сканирование важнейших системных областей и контролирует все возможные пути вторжения вирусов: вложения электронной почты и потенциально опасные веб-сайты.
  • Брандмауэр следит за обменом данными между персональным компьютером и Интернетом. Он проверяет все пакеты данных, получаемые из Сети или отправляемые туда, и при необходимости блокирует сетевые атаки и препятствует тайной отправке личных данных в Интернет.
  • Спам-фильтр защищает почтовый ящик от проникновения рекламных сообщений. В его задачи также входит выявление фишинговых писем, с помощью которых злоумышленники пытаются выудить у пользователя информацию о его данных для входа в онлайновые платежные или банковские системы.
  • 2. Регулярное обновление операционной системы, веб-браузеров и других приложений, разработчики которых обнаруживают и ликвидируют многие бреши в их защите, а также слабые места, используемые злоумышленниками.

    3. Специальные программы-шифровальщики защитят ваши персональные данные, даже если бот уже проник на компьютер, ведь для доступа к ним ему придется взломать пароль.

    4. Здравый смысл и осторожность. Если вы хотите оградить свои данные от разного рода угроз, не стоит скачивать и устанавливать программы неизвестного происхождения, открывать архивы с файлами вопреки предупреждениям антивируса, заходить на сайты, которые браузер помечает как опасные, и т.д.

    Не поддавайтесь призывам загрузить вредоносную программу

    Преступники могут включить ваш компьютер в бот-сеть следующим образом:

  • Передавать вредоносное ПО в составе загрузок, которые, по вашему мнению, являются картинками или фильмами, или через ссылки, которые можно найти в сообщениях электронной почты, мгновенных сообщениях или на сайтах социальных сетей.
  • Испугать вас, так чтобы вы нажали кнопку или щелкнули ссылку, которая содержится в ложном предупреждении о компьютерном вирусе.
  • При составлении материалов служба KZ-CERT использовала информацию из открытых источников.