Botnet: Versiyalar orasidagi farq

Vikipediya, ochiq ensiklopediya
Keyingi tahrir →
Kontent oʻchirildi Kontent qoʻshildi
VizualVikimatn
Botnet“ sahifasi tarjima qilib yaratildi
(Farq yoʻq)

6-Iyun 2022, 07:33 dagi koʻrinishi

DDoS hujumini ko'rsatadigan Stacheldraht botnet diagrammasi. (E'tibor bering, bu botnetning mijoz-server modeli turiga ham misoldir.)

Botnet — bu har biri ikki yoki undan ortiq botlarni boshqaradigan Internet bilan aloqaga ega bir qancha qurilmalar majmuasi. Botnetlar Distributed Denial-of-Service (DDoS) hujumlarini amalga oshirish, ma'lumotlarni o'g'irlash[1] spam yuborish va tajovuzkor shaxsga qurilmaga ulanish va uni boshqarish uchun ruxsat berish maqsadida ishlatilinishi mumkin. Xaker command&control (C&C) dasturi yordamida botnetni boshqarishi mumkin[2]. "Botnet" so'zi "robot" va "network - tarmoq" so'zlaridan tashkil topgan qo'shma so'zdir. Bu atama odatda salbiy yoki zararli ma'noda ishlatilinadi.

Umumiy koʻrinish

Botnet — bu kompyuterlar, smartfonlar yoki "Internet of things" (IoT) qurilmalari kabi Internetga ulangan qurilmalarning mantiqiy to'plami bo'lib, ushbu tarmoq qurbonlarining xavfsizligi buzib o'tilgan va boshqaruv uchinchi tomon qo'liga o'tgan bo'ladi. "Bot" deb nomlanuvchi har bir buzilgan qurilma zararli dasturlarni tarqatuvchi dasturiy ta'minot qurilmasiga kirganida yaratiladi. Botnet boshqaruvchisi ARM va Hypertext Transfer Protocol (HTTP) kabi standartlarga asoslangan tarmoq protokollari hamda maxsus aloqa kanallari orqali ushbu buzilgan kompyuterlar faoliyatini boshqara oladi[3][4].

Botnetlar kiberjinoyatchilar tomonidan tobora ko'proq turli maqsadlar uchun qo'llanib kelinmoqda[5].

Tuzilishi

Botnet arxitekturasi vaqt o'tishi bilan aniqlanib qolish xavfidan qochish maqsadida rivojlana bormoqda. An'anaga ko'ra, bot dasturlari mavjud serverlar orqali muloqot qiladigan mijozlar sifatida tuzilgan. Bu bot qo'riqchisiga (botnet boshqaruvchisi) barcha boshqaruvni masofaviy joydan amalga oshirish imkonini beradi, bu esa trafikni xiralashtiradi[6]. Ko'pgina so'nggi rusumdagi botnetlar aloqa qilish uchun mavjud bo'lgan peer-to-peer tarmoqlariga tayanishni boshlashmoqda. Ushbu P2P bot dasturlari mijoz-server modeli bilan bir xil amallarni bajaradi, biroq ular bilan aloqa qilish uchun markaziy server kerak emas.

Mijoz-server modeli

Mijoz-server modeliga asoslangan tarmoq, bu yerda individual mijozlar markazlashtirilgan serverlardan xizmatlar va resurslarni so'rashadi.

Internetdagi birinchi botnetlar o'z vazifalarini bajarish uchun mijoz-server modelidan foydalanganlar[7]. Odatda, bu botnetlar Internet Relay Chat tarmoqlari, domenlari yoki veb-saytlari orqali ishlaydi. Infeksiyalangan mijozlar oldindan belgilangan joyga kirishadi va serverdan kiruvchi buyruqlarni kutishadi. Bot qo'riqchisi buyruqlarni serverga yuboradi va ularni mijozlarga uzatadi. Mijozlar buyruqlarni bajaradilar va natijalarini botnet egasiga xabar qiladilar.

ARM botnetlarida zararlangan mijozlar ARM serveriga ulanadi va bot qo'riqchisi tomonidan C&C uchun oldindan mo'ljallangan kanalga qo'shiladi. Bot qo'riqchisi ARM serveri orqali tarmoqqa buyruqlar yuboradi. Har bir mijozbot buyruqlarni oladi va ularni bajaradi. Mijozlar o'z harakatlarining natijalari bilan ARM tizimiga xabar yuboradilar[6].

Foydalanuvchilararo

O'zaro bog'langan tugunlar markazlashtirilgan ma'muriy tizimdan foydalanmasdan resurslarni bir-biri bilan bo'lishadigan peer-to-peer (P2P) tarmog'i.

ARM botnetlarini aniqlash va dekapitatsiya qilish harakatlariga javoban bot qo'riqchisi zararli dasturlarni peer-to-peer tarmoqlarida joylashtirishni boshlaydi. Ushbu botlar raqamli imzolardan foydalanishi mumkin, shunda faqat shaxsiy kalitga ega bo'lgan kishi botnetni boshqarishi mumkin[8]. Masalan Gameover ZevS va ZeroAccess botnet kabilar shu tarzda ishlaydi.

Yangi botnetlar to'liq P2P tarmoqlari orqali ishlaydi. P2P botlari markazlashtirilgan server bilan bog'lanish o'rniga, buyruqlarni tarqatish serveri va buyruqlarni qabul qiluvchi mijoz sifatida ishlaydi[9]. Bu markazlashtirilgan botnetlar uchun muammo bo'lgan har qanday nosozlikning oldini oladi.

Boshqa zararlangan mashinalarni topish uchun bot boshqa virusli mashina bilan aloqa qilmaguncha tasodifiy IP manzillarini ehtiyotkorlik bilan tekshiradi. Aloqa o'rnatgan bot o'zining dasturiy ta'minot versiyasi va ma'lum bo'lgan botlar ro'yxati kabi ma'lumotlar bilan protokol tuzadi. Agar botlarning biri boshqasidan kuchsizroq bo'lsa, ular yangilash uchun fayl uzatishni boshlaydi[8]. Shunday qilib, har bir bot virusli mashinalar ro'yxatini kengaytiradi va vaqti-vaqti bilan barcha ma'lum botlarga bog'lanish orqali o'zini yangilaydi.

Asosiy komponentlar

Botnet yaratuvchisi ("bot qo'riqchisi " yoki "bot master" sifatida tanilgan) botnetni masofadan turib boshqaradi. Bu command&control (C&C) deb nomlanadi. Operatsiya uchun dastur maxfiy tarmoq orqali qurbonning mashinasida (zombi kompyuter) mijoz bilan bog'lanishi kerak.

Boshqarish protokollari

ARM aloqa protokoli tufayli tarixan ma'qullangan C&C vositasidir. BotMaster zararlangan mijozlar qo'shilishi uchun ARM kanalini yaratadi. Tarmoqqa yuborilgan xabarlar barcha tarmoq a'zolariga uzatiladi. Yaratuvchisi botnetga buyruq berish uchun tizim mavzusini belgilashi mumkin. Masalan, bot chorvachisidan :herder!herder@example.com TOPIC #channel DDoS www.victim.com xabari #kanal hashtagiga tegishli barcha zararlangan mijozlarni www.victim.com veb-saytiga DDoS hujumini boshlash haqida ogohlantiradi.

Misol javobi :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com bot mijozi tomonidan bot master hujumni boshlaganligi haqida ogohlantiradi[8].

Ba'zi botnetlar taniqli protokollarning maxsus versiyalarini amalga oshiradi. Amalga oshirishdagi farqlar botnetlarni aniqlash uchun ishlatilishi mumkin. Masalan, Mega-D spam qobiliyatini sinab ko'rish uchun biroz o'zgartirilgan Simple Mail Transfer Protocol (SMTP) ilovasiga ega bo'lishi mumkin. Mega-D ning SMTP serverini o'chirib qo'yishi SMTP serveriga tayanadigan botlarning butun qo'shinini o'chirib qo'ya oladi[10].

Zombi kompyuter

Kompyuter texnologiyalarida „zombi“ atamasi — bu kompyuter virusi, kompyuter qurti yoki troyan oti dasturi orqali xaker tomonidan buzilgan va uning masofaviy boshqaruvi ostida zararli vazifalarni bajarish uchun ishlatilishi mumkin boʻlgan Internet bilan aloqaga ega kompyuter. Zombi kompyuterlar koʻpincha xaker tomonidan boshqariladigan botnetga birgalikda muvofiqlashtiriladi va elektron pochta spamlarini tarqatish va veb-serverlarga nisbatan tarqatilgan xizmat koʻrsatishni rad etish hujumlarini (DDoS hujumlarini) boshlash kabi harakatlar uchun ishlatiladi. Aksariyat qurbonlar kompyuterlari zombi boʻlib qolganidan bexabar boʻlishadi. Bu kontseptsiya Gaitilik Vudu (Haitian Voodoo) folkloridagi zombiga oʻxshaydi. Zombi sehrgar tomonidan afsun orqali tiriltirilgan va sehrgarning buyrugʻiga qul boʻlgan, oʻz xohish-irodasiga ega boʻlmagan murdaga ishora qiladi. Bir nechta botnet mashinalari tomonidan muvofiqlashtirilgan DDoS hujumi, shuningdek, fantastik zombi filmlarida tasvirlanganidek, „zombi toʻdasi hujumi“ ga oʻxshaydi.

Tizimning "botnet" ga qo'shilishi natijasida maqsadli resurslarini o'g'irlash jarayoni ba'zan "scrumping" deb ataladi[11].

Command&Control (Buyur&Nazorat qil)

Botnet buyruq va boshqaruv protokollari (C&C) an'anaviy IRC yondashuvlaridan tortib, murakkabroq versiyalargacha bir qancha usullarda amalga oshirildi.

Telnet

Telnet botnetlari oddiy C&C botnet protokolidan foydalanadi va unda botlar botnetni joylashtirish uchun asosiy buyruq serveriga ulanadi. Botlar tashqi serverda ishlaydigan telnet va SSH serverlarining standart kirishlari uchun IP diapazonlarini skanerlaydigan skript yordamida botnetga qo'shiladi. Login topilgach, skanerlash serveri uni SSH orqali zararli dastur bilan yuqtirishi mumkin, bu esa boshqaruv serveriga ping yuboradi.

ARM

ARM tarmoqlari oddiy, past tarmoqli aloqa usullaridan foydalanadi, bu ularni botnetlarni joylashtirish uchun keng qo'llash imkonini beradi. Ularning tuzilishi nisbatan sodda bo'lib, DDoS hujumlari va spam kampaniyalarini muvofiqlashtirishda o'rtacha muvaffaqiyat bilan foydalanilgan, shu bilan birga o'chirib tashlanmaslik uchun kanallarni doimiy ravishda almashtirish imkoniyatiga ega. Biroq, ba'zi hollarda, faqat ma'lum kalit so'zlarni blokirovka qilish ARM-ga asoslangan botnetlarni to'xtatishda samarali ekanligini isbotladi. RFC 1459 ( ARM ) standarti botnetlar orasida mashhur. Birinchi mashhur botnet boshqaruvchisi skripti "MaXiTE Bot" shaxsiy boshqaruv buyruqlari uchun ARM XDCC protokolidan foydalangan.

ARM dan foydalanishdagi muammolardan biri shundaki, har bir bot mijozi botnetdan foydalanish uchun ARM serveri, porti va tarmog'ini bilishi kerak. Zararli dasturlarga qarshi tashkilotlar ushbu serverlar va kanallarni aniqlab, o'chirib qo'yishi, botnet hujumini samarali to'xtatishi mumkin. Agar bu sodir bo'lsa, mijozlar hali ham infektsiyalangan, lekin ular odatda uxlab yotadilar, chunki ular ko'rsatmalarni olish imkoniga ega emaslar[8]. Ushbu muammoni hal qilish uchun botnet bir nechta server yoki kanallardan iborat bo'lishi mumkin. Agar server yoki kanallardan biri o'chirilgan bo'lsa, botnet boshqasiga o'tadi. IRC trafigini hidlash orqali qo'shimcha botnet serverlari yoki kanallarini aniqlash va buzish hali ham mumkin. Botnetning raqibi hatto boshqaruv sxemasi haqida bilimga ega bo'lishi va buyruqlarni to'g'ri berish orqali bot cho'poniga taqlid qilishi mumkin[12].

P2P (Pitupi)

ARM tarmoqlari va domenlaridan foydalanadigan botnetlarning ko'pchiligi vaqt o'tishi bilan o'chirilishi mumkinligi sababli, xakerlar botnetni yanada mustahkamroq va tugatishga chidamli qilish uchun C&C bilan P2P botnetlariga o'tishadi.

Ba'zilar shifrlashdan botnetni boshqalardan himoya qilish yoki blokirovka qilish usuli sifatida ham ishlatishgan, ko'pincha shifrlashdan foydalanganda bu ochiq kalitli kriptografiya bo'lib, uni amalga oshirishda ham, uni buzishda ham qiyinchiliklar tug'diradi.

Domenlar

Ko'pgina yirik botnetlar o'z qurilishida IRC o'rniga domenlardan foydalanadilar (qarang: Rustock botnet va Srizbi botnet ). Ular odatda o'q o'tkazmaydigan xosting xizmatlariga ega. Bu C&C ning eng dastlabki turlaridan biridir. Zombi kompyuter maxsus mo'ljallangan veb-sahifaga yoki boshqaruv buyruqlari ro'yxatiga xizmat qiluvchi domen(lar) ga kiradi. Veb-sahifalar yoki domenlardan C&C sifatida foydalanishning afzalliklari shundaki, katta botnetni osongina yangilanishi mumkin bo'lgan juda oddiy kod yordamida samarali boshqarish va saqlash mumkin.

Ushbu usuldan foydalanishning kamchiliklari shundaki, u keng miqyosda katta hajmdagi tarmoqli kengligidan foydalanadi va domenlar davlat idoralari tomonidan ozgina kuch sarflab tezda egallab olinishi mumkin. Agar botnetlarni boshqaruvchi domenlar qo'lga olinmasa, ular ham xizmat ko'rsatishni rad etish hujumlari bilan murosa qilishning oson maqsadi hisoblanadi.

Fast-flux DNS- dan kundan-kunga o'zgarishi mumkin bo'lgan boshqaruv serverlarini kuzatishni qiyinlashtirish uchun foydalanish mumkin. Boshqaruv serverlari, shuningdek, DNS domenidan DNS domeniga o'tishlari mumkin, domen yaratish algoritmlari boshqaruvchi serverlari uchun yangi DNS nomlarini yaratish uchun ishlatiladi.

Ba'zi botnetlar DynDns.org, No-IP.com va Afraid.org kabi bepul DNS hosting xizmatlaridan foydalanadi, bu esa botlarni o'z ichiga olgan IRC serveriga subdomenni yo'naltiradi. Ushbu bepul DNS xizmatlarining o'zi hujumlarga ega bo'lmasa-da, ular mos yozuvlar nuqtalarini taqdim etadi (ko'pincha botnetning bajariladigan fayliga qattiq kodlangan). Bunday xizmatlarni olib tashlash butun botnetni buzishi mumkin.

Boshqalar

GitHub[13], Twitter[14][15], Reddit[16], Instagram[17] XMPP ochiq kodli tezkor xabar protokoli[18] va Tor maxfiy xizmatlari kabi yirik ijtimoiy media saytlariga[19] qayta so'rov yuborish[20] C&C serveri bilan aloqa qilish uchun chiqish filtrlashdan qochishning mashhur usullari orqali amalga oshiriladi[21].

Tuzilmasi

An'anaviy

Ushbu misol botnet qanday yaratilgani va zararli foyda olish uchun ishlatilishini ko'rsatadi.

  1. Xaker troyan va/yoki ekspluatatsiya to'plamini sotib oladi yoki quradi va undan foydali yuki zararli dastur bo'lgan bot bo'lgan foydalanuvchilarning kompyuterlarini yuqtirishni boshlash uchun foydalanadi.
  2. Bot virusli kompyuterga ma'lum bir buyruq va boshqaruv (C&C) serveriga ulanishni buyuradi. (Bu botmasterga qancha botlar faol va onlayn ekanligi haqidagi jurnallarni yuritish imkonini beradi. )
  3. Keyin botmester botlarni klavishlarni bosish uchun ishlatishi yoki onlayn hisobga olish ma'lumotlarini o'g'irlash uchun shaklni egallashdan foydalanishi va botnetni DDoS va/yoki spam sifatida xizmat sifatida ijaraga berishi yoki daromad olish uchun hisob ma'lumotlarini onlayn sotishi mumkin.
  4. Botlarning sifati va qobiliyatiga qarab, qiymat oshiriladi yoki kamayadi.

Yangi botlar avtomatik ravishda o'z muhitini skanerlashi va zaifliklar va zaif parollar yordamida o'zlarini targ'ib qilishi mumkin. Umuman olganda, bot qanchalik zaifliklarni skanerlashi va tarqatishi mumkin bo'lsa, botnet boshqaruvchilari hamjamiyatiga shunchalik qimmatli bo'ladi[22].

Kompyuterlar zararli dasturlarni ishga tushirganda botnetga qo'shilishi mumkin. Bunga foydalanuvchilarni avtoulov orqali yuklab olishga jalb qilish, veb-brauzerning zaifliklaridan foydalanish yoki foydalanuvchini elektron pochta ilovasidan kelib chiqishi mumkin bo'lgan troyan oti dasturini ishga tushirishga aldash orqali erishish mumkin. Ushbu zararli dastur odatda botnet operatori tomonidan kompyuterga buyruq berish va boshqarish imkonini beruvchi modullarni o'rnatadi. Dastur yuklab olingandan so'ng, u uyga qo'ng'iroq qiladi (qayta ulanish paketini yuboradi) asosiy kompyuterga. Qayta ulanish amalga oshirilganda, u qanday yozilganiga qarab, troyan o'zini o'chirib tashlashi yoki modullarni yangilash va saqlash uchun mavjud bo'lib qolishi mumkin.

Boshqalar

Ba'zi hollarda, botnet vaqtincha ko'ngilli xakerlar tomonidan yaratilishi mumkin, masalan, 2010 yilda Chanology loyihasi davomida 4chan a'zolari tomonidan foydalanilgan Past orbitali ionli to'pni amalga oshirish bilan[23].

Xitoyning Buyuk to‘pi 2015-yilda GitHub kabi yirik nishonlarga hujum qilish uchun katta efemer botnet yaratish uchun Xitoyga internet magistrallarida qonuniy veb-brauzer trafigini o‘zgartirish imkonini beradi[24].

Umumiy xususiyatlar

  • Aksariyat botnetlarda hozirda tarqatilgan xizmat ko'rsatishni rad etish hujumlari mavjud bo'lib, ularda bir nechta tizimlar bitta Internet-kompyuter yoki xizmatga imkon qadar ko'proq so'rovlar yuborib, uni haddan tashqari yuklaydi va qonuniy so'rovlarga xizmat ko'rsatishni oldini oladi. Masalan, jabrlanuvchining serveriga qilingan hujum. Jabrlanuvchining serveri botlar tomonidan so'rovlar bilan bombardimon qilinadi, serverga ulanishga harakat qiladi, shuning uchun uni haddan tashqari yuklaydi.
  • Spyware - bu foydalanuvchi faoliyati haqida o'z yaratuvchilariga ma'lumot yuboradigan dasturiy ta'minot - odatda parollar, kredit karta raqamlari va qora bozorda sotilishi mumkin bo'lgan boshqa ma'lumotlar. Korporativ tarmoq ichida joylashgan buzilgan mashinalar bot chorvadori uchun qimmatroq bo'lishi mumkin, chunki ular ko'pincha maxfiy korporativ ma'lumotlarga kirishlari mumkin. Yirik korporatsiyalarga bir necha maqsadli hujumlar Aurora botneti kabi nozik maʼlumotlarni oʻgʻirlashga qaratilgan[25].
  • Elektron pochta spamlari - bu odamlardan kelgan xabarlar sifatida yashiringan, ammo reklama, bezovta qiluvchi yoki zararli bo'lgan elektron pochta xabarlari.
  • Klik firibgarligi foydalanuvchi kompyuteri shaxsiy yoki tijoriy manfaatlar uchun soxta veb-trafik yaratish maqsadida foydalanuvchining xabardorligisiz veb-saytlarga tashrif buyurganida yuzaga keladi[26].
  • CHEQ, Ad Fraud 2019, Internetdagi yomon ishtirokchilarning iqtisodiy narxiga ko'ra, reklama firibgarligi ko'pincha botlarning zararli faoliyati natijasidir. Botlarning tijoriy maqsadlari orasida ta'sir qiluvchilar o'zlarining taxminiy mashhurligini oshirish uchun foydalanishlari va onlayn nashriyotlar botlardan reklamani chertishlar sonini ko'paytirish, saytlarga reklama beruvchilardan ko'proq komissiya olish imkonini beradi.
  • Bitkoin qazib olish botnet operatori uchun daromad olish uchun xususiyat sifatida bitkoin qazib olishni o'z ichiga olgan so'nggi botnetlarda ishlatilgan[27][28].
  • O'z-o'zidan tarqaladigan funksionallik, oldindan sozlangan buyruq-va-nazorat (CNC) bosilgan yo'riqnomani o'z ichiga olgan maqsadli qurilmalar yoki tarmoqni o'z ichiga oladi, ko'proq infektsiyani maqsad qiladi, shuningdek, bir nechta botnetlarda uchraydi. Ba'zi botnetlar o'zlarining infektsiyalarini avtomatlashtirish uchun ushbu funktsiyadan foydalanadilar.

Bozordagi o'rni

Botnet-nazoratchilar hamjamiyatida universitet, korporativ va hatto davlat mashinalari kabi eng ko'p botlarga, eng yuqori umumiy o'tkazish qobiliyatiga va "yuqori sifatli" zararlangan mashinalarga ega bo'lish uchun doimiy va uzluksiz kurash mavjud[29].

Botnetlar ko'pincha ularni yaratgan zararli dastur nomi bilan atalsa-da, bir nechta botnetlar odatda bir xil zararli dasturdan foydalanadi, lekin turli ob'ektlar tomonidan boshqariladi.

Fishing

Botnetlar ko'plab elektron firibgarlik uchun ishlatilishi mumkin. Bu botnetlar oddiy foydalanuvchilarning kompyuterini/dasturiy taʼminotini nazorat qilish uchun viruslar kabi zararli dasturlarni tarqatish uchun ishlatilishi mumkin[30]. Birovning shaxsiy kompyuterini nazorat qilish orqali ular shaxsiy maʼlumotlariga, jumladan, parollar va hisoblarga kirish maʼlumotlariga cheksiz kirish huquqiga ega boʻladilar. Bu fishing deb ataladi. Fishing bu elektron pochta yoki matn orqali yuboriladigan "jabrlanuvchi" bosgan havola orqali "jabrlanuvchi" akkauntlariga kirish ma'lumotlarini olishdir[31]. Verizon so‘rovi shuni ko‘rsatdiki, elektron “josuslik” holatlarining uchdan ikki qismi fishingdan kelib chiqadi[32].

Qarshi choralar

Botnetlarning geografik tarqalishi shuni anglatadiki, har bir ishga yollanuvchi alohida identifikatsiya qilinishi/to'g'rilanishi/ta'mirlanishi va filtrlashning afzalliklarini cheklaydi.

Kompyuter xavfsizligi bo'yicha mutaxassislar zararli dasturlarni boshqarish va boshqarish tarmoqlarini yo'q qilish yoki yo'q qilishga muvaffaq bo'lishdi, shu qatorda serverlarni tortib olish yoki ularni Internetdan uzib qo'yish, zararli dastur tomonidan C&C infratuzilmasi bilan bog'lanish uchun foydalanishi kerak bo'lgan domenlarga kirishni rad etish, va ba'zi hollarda C&C tarmog'iga kirish[33][34][35]. Bunga javoban, C&C operatorlari o'zlarining C&C tarmoqlarini IRC yoki Tor kabi boshqa mavjud infratuzilmalarga joylashtirish, hech qanday sobit serverlarga bog'liq bo'lmagan peer-to-peer tarmoq tizimlaridan foydalanish va ochiq kalitdan foydalanish kabi usullarga murojaat qilishdi. tarmoqqa kirish yoki buzishga urinishlarni bartaraf etish uchun shifrlash[36].

Norton AntiBot iste'molchilarga qaratilgan edi, lekin ko'pchilik maqsadli korxonalar va/yoki ISPlar. Xostga asoslangan usullar an'anaviy virusga qarshi dasturlarni chetlab o'tgan bot xatti-harakatlarini aniqlash uchun evristik usullardan foydalanadi. Tarmoqqa asoslangan yondashuvlar yuqorida tavsiflangan usullardan foydalanishga moyildir; C&C serverlarini yopish, DNS yozuvlarini null-marshrutlash yoki IRC serverlarini to'liq o'chirish. BotHunter - bu AQSh armiyasi tadqiqot idorasi ko'magida ishlab chiqilgan dasturiy ta'minot bo'lib, tarmoq trafigini tahlil qilish va uni zararli jarayonlarga xos bo'lgan naqshlar bilan solishtirish orqali tarmoq ichidagi botnet faolligini aniqlaydi.

Sandia National Laboratories tadqiqotchilari juda katta tarmoqqa taqlid qilish uchun 4480 tugunli yuqori unumdor kompyuter klasterida virtual mashinalar sifatida bir million Linux yadrolarini (botnetga o'xshash shkala) bir vaqtning o'zida ishga tushirish orqali botnetlarning xatti-harakatlarini tahlil qilmoqdalar. botnetlar ishlaydi va ularni to'xtatish usullari bilan tajriba o'tkazadi.

Avtomatlashtirilgan bot hujumlarini aniqlash kundan-kunga qiyinlashib bormoqda, chunki tajovuzkorlar botlarning yangi va murakkab avlodlarini ishga tushirmoqda. Masalan, avtomatlashtirilgan hujum katta bot armiyasini joylashtirishi va hisoblarni buzish uchun juda aniq foydalanuvchi nomi va parollar roʻyxati bilan shafqatsiz kuch usullarini qoʻllashi mumkin. Bu g'oya butun dunyo bo'ylab turli IP-lardan o'n minglab so'rovlar bilan saytlarni to'ldirishdir, lekin har bir bot har 10 daqiqada faqat bitta so'rov yuboradi, bu esa kuniga 5 milliondan ortiq urinishlarga olib kelishi mumkin[37]. Bunday hollarda ko'plab vositalar volumetrik aniqlashdan foydalanishga harakat qiladi, ammo avtomatlashtirilgan bot hujumlari endi volumetrik aniqlashning tetiklarini chetlab o'tish usullariga ega.

Ushbu bot hujumlarini aniqlash usullaridan biri bu "imzoga asoslangan tizimlar" deb nomlanuvchi tizim bo'lib, unda dasturiy ta'minot so'rovlar paketidagi naqshlarni aniqlashga harakat qiladi. Ammo hujumlar doimiy ravishda rivojlanib boradi, shuning uchun minglab so'rovlardan naqshlarni ajratib bo'lmaydigan hollarda bu mos variant bo'lmasligi mumkin. Bundan tashqari, botlarni to'xtatib turish uchun xulq-atvor yondashuvi mavjud bo'lib, u oxir-oqibat botlarni odamlardan ajratishga harakat qiladi. Insonga xos bo'lmagan xatti-harakatlarni aniqlash va ma'lum bot xatti-harakatlarini tan olish orqali ushbu jarayon foydalanuvchi, brauzer va tarmoq darajasida qo'llanilishi mumkin.

Virusga qarshi kurashish uchun dasturiy ta'minotdan foydalanishning eng samarali usuli bu zararli dasturni tizimning zaif ekanligiga ishontirish uchun honeypot dasturidan foydalanish edi. Zararli fayllar keyinchalik sud-tibbiyot dasturi yordamida tahlil qilinadi.

2014-yil 15-iyul kuni Amerika Qo‘shma Shtatlari Senati Sud-huquq qo‘mitasining Jinoyat va terrorizm bo‘yicha quyi qo‘mitasida botnetlar tahdidi hamda ularni buzish va yo‘q qilish bo‘yicha davlat va xususiy harakatlar haqida tinglov bo‘lib o‘tdi[38].

Zararsiz foydalanish

BOINC ning bir qismi kabi ko'ngilli hisoblash sifatida ham tanilgan zararli bo'lmagan botnetlar ko'pincha ilmiy maqsadlarda qo'llaniladi. Misol uchun, Rosetta@home mavjud bo'lib, u protein-oqsillarni joylashtirishni bashorat qilishni va yangi oqsillarni loyihalashni maqsad qiladi; Katta Adron Kollayderi bilan bog'liq turli xil tajribalarni simulyatsiya qilishni maqsad qilgan LHC@home ; SETI@home, yerdan tashqari razvedkani qidirish bilan bog'liq ma'lumotlarni tahlil qilishga yordam beradi va aylanayotgan neytron yulduzlaridan signallarni qidiradigan Eynshteyn@Home . Ushbu botnetlar ixtiyoriy bo'lib, kompyuterni qo'shish uchun foydalanuvchi roziligini talab qiladi (shuning uchun o'z-o'zidan tarqalish qobiliyatiga ega emas) va zararli bo'lgandan ko'ra botnetdan ancha oson olib tashlash imkonini beradi. Foydalanuvchining xabardorligi, o'z-o'zidan tarqalish qobiliyatining yo'qligi va kamroq zarar etkazish xavfi tufayli, bu botnetlardagi kompyuterlar ko'pincha "zombi" emas, balki "tugunlar" deb ataladi. Ushbu botnetlar tadqiqotchilarga nolga yaqin narxda katta hisoblash imkoniyatlarini taqdim etadi[39].

Veb-saytlarga tasodifiy DDoS hujumi xavfi saqlanib qolmoqda, chunki yomon "jamlangan" botnet o'z kompyuterlarining hammasi bo'lmasa ham, juda ko'pini veb-saytga, masalan, ma'lumotlarni yig'ish uchun topshirishi mumkin. Biroq, tugunlar imkon qadar kamroq so'rov yuborganligi sababli, ushbu veb-saytda ish tugagach, botnet ko'pincha veb-saytga kirishni to'xtatadi, masalan, bu holda ma'lumotlar to'plami. Hech qanday yangi tugunlar veb-saytga ulanishga urinmaydi, bu "hujum" boshlanganidek birdaniga tarqalib ketishiga olib keladi. Botnetning o'zi tomonidan so'rovlarning cheklanishi "hujum" ni yanada zaiflashtiradi.

Botnetlarning tarixiy ro'yxati

Birinchi botnet tarmog'i ilk marotaba EarthLink tomonidan 2001-yilda taniqli spamer Xan C. Smit[40] bilan sud jarayonida tan olingan va fosh qilingan. Botnet ommaviy spam yuborish uchun yaratilgan va o'sha paytdagi barcha spamlarning deyarli 25 foizini tashkil qilgan[41].

Taxminan 2006-yilda aniqlashni to'xtatish uchun ba'zi botnetlar o'lchamlarini qisqartirib kodi[42].

Yaratilgan sana Qayta ishlangan sana Botnet nomi Taxminiy ro'yxat Spam hajmi (kuniga milliard) Taxalluslar
1999 !a 999,999,999 100000 !a
2003 MaXiTE 500-1000 servers 0 MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004 (boshi) Bagle 230,000[43] 5.7 Beagle, Mitglieder, Lodeight
Marina Botnet 6,215,000[43] 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180,000[44] Sinowal, Anserin
Storm 160,000[45] 3 Nuwar, Peacomm, Zhelatin
2006 (atrofida) 2011

(Mart)

Rustock 150,000[46] 30 RKRustok, Costrat
Donbot 125,000[47] 0.8 Buzus, Bachsoy
2007 (atrofida) Cutwail 1,500,000[48] 74 Pandex, Mutant (related to: Wigon, Pushdo)
2007 Akbot 1,300,000[49]
2007

(Mart)

2008 (Noyabr) Srizbi 450,000[50] 60 Cbeplay, Exchanger
Lethic 260,000[43] 2 none
Xarvester 10,000[43] 0.15 Rlsloup, Pixoliz
2008 (atrofida) Sality 1,000,000[51] Sector, Kuku
2008 (atrofida) 2009-Dekabr Mariposa 12,000,000[52]
2008 (Noyabr) Conficker 10,500,000+[53] 10 DownUp, DownAndUp, DownAdUp, Kido
2008 (Noyabr) 2010

(Mart)

Waledac 80,000[54] 1.5 Waled, Waledpak
Maazben 50,000[43] 0.5 -
Onewordsub 40,000[55] 1.8
Gheg 30,000[43] 0.24 Tofsee, Mondera
Nucrypt 20,000[55] 5 Loosky, Locksky
Wopla 20,000[55] 0.6 Pokier, Slogger, Cryptic
2008 (atrofida) Asprox 15,000[56] Danmec, Hydraflux
0 Spamthru 12,000[55] 0.35 Spam-DComServ, Covesmer, Xmiler
2008 (atrofida) Gumblar
2009

(May)

Noyabr 2010 (to'liq emas) BredoLab 30,000,000[57] 3.6 Oficla
2009 (atrofida) 2012-07-19 Grum 560,000[58] 39.9 Tedroo
Mega-D 509,000[59] 10 Ozdok
Kraken 495,000[60] 9 Kracken
2009 (Avgust) Festi 250,000[61] 2.25 Spamnost
2010 (Mart) Vulcanbot
2010 (Yanvar) LowSec 11,000+[43] 0.5 LowSecurity, FreeMoney, Ring0.Tools
2010 (atrofida) TDL4 4,500,000[62] TDSS, Alureon
Zeus 3,600,000 (US only)[63] Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 (Taxminlar: 2011, 2012) Kelihos 300,000+ 4 Hlux
2011 yoki oldinroq 2015-02 Ramnit 3,000,000[64]
2012 (atrofida) Chameleon 120,000[65] -
2016 (Avgust) Mirai 380,000 -
2014 Necurs 6,000,000
  • Santa-Barbaradagi Kaliforniya universiteti tadqiqotchilari kutilganidan olti baravar kichik botnetni nazorat qilish imkonini topishdi. Ba'zi mamlakatlarda foydalanuvchilar bir kunda IP manzillarini bir necha marta o'zgartirishi odatiy holdir. Botnet hajmini IP-manzillar soni bo'yicha baholash ko'pincha tadqiqotchilar tomonidan qo'llaniladi, bu noto'g'ri baholashga olib kelishi mumkin[66].

Shuningdek qarang:

Manbalar

  1. „Thingbots: The Future of Botnets in the Internet of Things“. Security Intelligence (2016-yil 20-fevral). Qaraldi: 2017-yil 28-iyul.
  2. „botnet“. Qaraldi: 2016-yil 9-iyun.
  3. Ramneek. „Bots &; Botnet: An Overview“. SANS Institute (2003-yil 8-avgust). Qaraldi: 2013-yil 12-noyabr.
  4. Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. (March 2018). "Business Model of a Botnet". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP): 441–445. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. 
  5. Danchev, Dancho. „Novice cyberciminals offer commercial access to five mini botnets“. Webroot (2013-yil 11-oktyabr). Qaraldi: 2015-yil 28-iyun.
  6. 6,0 6,1 Schiller, Craig A.. Botnets. Burlington, Virginia: Syngress, January 1, 2007 — 29–75 bet. DOI:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358. 
  7. „Botnets: Definition, Types, How They Work“ (en). Crowdstrike. Qaraldi: 2021-yil 18-aprel.
  8. 8,0 8,1 8,2 8,3 Heron, Simon (April 1, 2007). "Botnet command and control techniques". Network Security 2007 (4): 13–16. doi:10.1016/S1353-4858(07)70045-4. 
  9. Wang, Ping „Peer-to-peer botnets“,. Handbook of Information and Communication Security Stamp: . Springer, 2010. ISBN 9783642041174. 
  10. C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
  11. Arntz, Pieter. „The Facts about Botnets“. Malwarebytes Labs (2016-yil 30-mart). Qaraldi: 2017-yil 27-may.
  12. Schiller, Craig A.. Botnets. Burlington, Virginia: Syngress, January 1, 2007 — 77–95 bet. DOI:10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8. 
  13. Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread“. ZDNet. Qaraldi: 2017-yil 7-oktyabr.
  14. „Hackers Use Twitter to Control Botnet“. {{cite magazine}}: Cite magazine requires |magazine= (yordam)
  15. „First Twitter-controlled Android botnet discovered“ (2016-yil 24-avgust). Qaraldi: 2017-yil 27-may.
  16. Gallagher, Sean. „Reddit-powered botnet infected thousands of Macs worldwide“. ARS Tecnica (2014-yil 3-oktyabr). Qaraldi: 2017-yil 27-may.
  17. Cimpanu, Catalin. „Russian State Hackers Use Britney Spears Instagram Posts to Control Malware“. Bleeping Computer (2017-yil 6-iyun). Qaraldi: 2017-yil 8-iyun.
  18. Dorais-Joncas, Alexis. „Walking through Win32/Jabberbot.A instant messaging C&C“ (2013-yil 30-yanvar). Qaraldi: 2017-yil 27-may.
  19. Zeltser. „When Bots Use Social Media for Command and Control“. zeltser.com.
  20. Constantin, Lucian. „Cybercriminals are using the Tor network to control their botnets“. PC World (2013-yil 25-iyul). Qaraldi: 2017-yil 27-may.
  21. „Cisco ASA Botnet Traffic Filter Guide“. Qaraldi: 2017-yil 27-may.
  22. Attack of the Bots at Wired
  23. Norton. „Anonymous 101 Part Deux: Morals Triumph Over Lulz“. Wired.com (2012-yil 1-yanvar). Qaraldi: 2013-yil 22-noyabr.
  24. Peterson, Andrea. „China deploys new weapon for online censorship in form of 'Great Cannon'“. The Washington Post (2015-yil 10-aprel). Qaraldi: 2015-yil 10-aprel.
  25. „Operation Aurora — The Command Structure“. Damballa.com. 2010-yil 11-iyunda asl nusxadan arxivlangan. Qaraldi: 2010-yil 30-iyul.
  26. Edwards, Jim. „This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser“ (2013-yil 27-noyabr). Qaraldi: 2017-yil 27-may.
  27. Nichols, Shaun. „Got a botnet? Thinking of using it to mine Bitcoin? Don't bother“ (2014-yil 24-iyun). Qaraldi: 2017-yil 27-may.
  28. „Bitcoin Mining“. BitcoinMining.com. 2016-yil 30-aprelda asl nusxadan arxivlangan. Qaraldi: 2016-yil 30-aprel.
  29. „Trojan horse, and Virus FAQ“. DSLReports. Qaraldi: 2011-yil 7-aprel.
  30. „Uses of botnets | The Honeynet Project“. www.honeynet.org. 2019-yil 20-martda asl nusxadan arxivlangan. Qaraldi: 2019-yil 24-mart.
  31. „What is phishing? - Definition from WhatIs.com“ (en). SearchSecurity. Qaraldi: 2019-yil 24-mart.
  32. Aguilar. „The Number of People Who Fall for Phishing Emails Is Staggering“ (en-US). Gizmodo. Qaraldi: 2019-yil 24-mart.
  33. „Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants“. vhosts.eecs.umich.edu.
  34. „DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis“. Annual Computer Security Applications Conference. ACM (2012-yil dekabr).
  35. "BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic". Proceedings of the 15th Annual Network and Distributed System Security Symposium. 2008. 
  36. „IRCHelp.org – Privacy on IRC“. www.irchelp.org. Qaraldi: 2020-yil 21-noyabr.
  37. „Brute-Force Botnet Attacks Now Elude Volumetric Detection“. DARKReading from Information Week (2016-yil 19-dekabr). Qaraldi: 2017-yil 14-noyabr.
  38. United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism. Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office, 2018. 2018-yil 18-noyabrda qaraldi. 
  39.   Kondo, D et al. “Cost-Benefit Analysis of Cloud Computing Versus Desktop Grids.” 2009 IEEE International Symposium on Parallel & Distributed Processing. IEEE, 2009. 1–12. Web.
  40. Credeur. „Atlanta Business Chronicle, Staff Writer“. bizjournals.com. Qaraldi: 2002-yil 22-iyul.
  41. Mary Jane Credeur. „EarthLink wins $25 million lawsuit against junk e-mailer“ (2002-yil 22-iyul). Qaraldi: 2018-yil 10-dekabr.
  42. Paulson, L.D. (April 2006). "Hackers Strengthen Malicious Botnets by Shrinking Them". Computer; News Briefs (IEEE Computer Society) 39 (4): 17–19. doi:10.1109/MC.2006.136. http://www.computer.org/csdl/mags/co/2006/04/r4017.pdf. "The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said." 
  43. 43,0 43,1 43,2 43,3 43,4 43,5 43,6 „Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security“. Messagelabs.com. 2020-yil 18-noyabrda asl nusxadan arxivlangan. Qaraldi: 2014-yil 30-yanvar.
  44. Chuck Miller. „Researchers hijack control of Torpig botnet“. SC Magazine US (2009-yil 5-may). 2007-yil 24-dekabrda asl nusxadan arxivlangan. Qaraldi: 2011-yil 7-noyabr.
  45. „Storm Worm network shrinks to about one-tenth of its former size“. Tech.Blorge.Com (2007-yil 21-oktyabr). 2007-yil 24-dekabrda asl nusxadan arxivlangan. Qaraldi: 2010-yil 30-iyul.
  46. Chuck Miller. „The Rustock botnet spams again“. SC Magazine US (2008-yil 25-iyul). 2016-yil 4-aprelda asl nusxadan arxivlangan. Qaraldi: 2010-yil 30-iyul.
  47. Stewart. „Spam Botnets to Watch in 2009“. Secureworks.com. SecureWorks. Qaraldi: 2016-yil 9-mart.
  48. „Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security“. Msmvps.com (2010-yil 2-fevral). 2010-yil 16-avgustda asl nusxadan arxivlangan. Qaraldi: 2010-yil 30-iyul.
  49. „New Zealand teenager accused of controlling botnet of 1.3 million computers“. The H security (2007-yil 30-noyabr). Qaraldi: 2011-yil 12-noyabr.
  50. „Technology | Spam on rise after brief reprieve“. BBC News (2008-yil 26-noyabr). Qaraldi: 2010-yil 24-aprel.
  51. „Sality: Story of a Peer-to-Peer Viral Network“. Symantec (2011-yil 3-avgust). Qaraldi: 2012-yil 12-yanvar.
  52. „How FBI, police busted massive botnet“. theregister.co.uk. Qaraldi: 2010-yil 3-mart.
  53. „Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab“. F-secure.com (2009-yil 16-yanvar). Qaraldi: 2010-yil 24-aprel.
  54. „Waledac botnet 'decimated' by MS takedown“. The Register (2010-yil 16-mart). Qaraldi: 2011-yil 23-aprel.
  55. 55,0 55,1 55,2 55,3 Gregg Keizer. „Top botnets control 1M hijacked computers“. Computerworld (2008-yil 9-aprel). Qaraldi: 2011-yil 23-aprel.
  56. „Botnet sics zombie soldiers on gimpy websites“. The Register (2008-yil 14-may). Qaraldi: 2011-yil 23-aprel.
  57. „Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com“. .canada.com. 2011-yil 11-mayda asl nusxadan arxivlangan. Qaraldi: 2011-yil 10-noyabr.
  58. „Research: Small DIY botnets prevalent in enterprise networks“. ZDNet. Qaraldi: 2010-yil 30-iyul.
  59. Warner. „Oleg Nikolaenko, Mega-D Botmaster to Stand Trial“. CyberCrime & Doing Time (2010-yil 2-dekabr). Qaraldi: 2010-yil 6-dekabr.
  60. „New Massive Botnet Twice the Size of Storm — Security/Perimeter“. DarkReading (2008-yil 7-aprel). Qaraldi: 2010-yil 30-iyul.
  61. Kirk. „Spamhaus Declares Grum Botnet Dead, but Festi Surges“. PC World (2012-yil 16-avgust).
  62. „Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)“. kasperskytienda.es (2011-yil 3-iyul). Qaraldi: 2011-yil 11-iyul.
  63. „America's 10 most wanted botnets“. Networkworld.com (2009-yil 22-iyul). Qaraldi: 2011-yil 10-noyabr.
  64. „EU police operation takes down malicious computer network“. phys.org.
  65. „Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month“. Spider.io (2013-yil 19-mart). Qaraldi: 2013-yil 21-mart.
  66. Espiner. „Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK“. Zdnet.com (2011-yil 8-mart). Qaraldi: 2011-yil 10-noyabr.

Havolalar

"https://uz.wikipedia.org/w/index.php?title=Botnet&oldid=2607615" dan olindi