Botnet

A Wikipédiából, a szabad enciklopédiából
Ugrás a navigációhoz Ugrás a kereséshez
A Stacheldraht botnet DDoS-támadást bemutató diagramja. (Megjegyzendő, hogy ez is egy példa a botnet egyfajta kliens-szerver modelljére.)

A botnet olyan internetre csatlakoztatott eszközök összessége, amelyek mindegyike egy vagy több botot futtat. A botnetek felhasználhatók elosztott szolgáltatásmegtagadással járó (DDoS) támadások végrehajtására, adathalászatra,[1] spamek küldésére, és lehetővé teszik a támadó számára, hogy hozzáférjen az eszközhöz és annak kapcsolatához. A tulajdonos a botnetet parancs- és vezérlő (C&C) szoftverrel irányíthatja.[2] A "botnet" szó a "robot" és a "network" szavak összetételéből képzett szóösszetétel. A kifejezést általában negatív vagy rosszindulatú jelentéssel használják.

Áttekintés[szerkesztés]

A botnet az internetre csatlakoztatott eszközök, például számítógépek, okostelefonok vagy a dolgok internete (IoT) eszközeinek logikai gyűjteménye, amelyek biztonságát megsértették, (köznapi nyelven: feltörték) és az irányítást átvette egy harmadik fél aki a "hacker". Minden egyes veszélyeztetett eszköz, amelyet "botnak" neveznek, akkor jön létre, amikor egy eszközbe behatol egy rosszindulatú szoftver (malware) terjesztéséből származó végrehajtandó kód. A botnet irányítója képes irányítani e kompromittált számítógépek tevékenységét a szabványokon alapuló hálózati protokollok, például az IRC és a Hypertext Transfer Protocol (HTTP) által kialakított kommunikációs csatornákon keresztül.[3][4] A botneteket a kiberbűnözők egyre gyakrabban adják bérbe árucikként különböző célokra.[5]

Architektúra[szerkesztés]

A botnetek felépítése az idők során sokat fejlődött, annak érdekében hogy elkerüljék a felderítést és az általuk végrehajtott interakció megszakítását. A botprogramok hagyományosan kliensként épülnek fel, amelyek a meglévő kiszolgálókon keresztül kommunikálnak. Ez lehetővé teszi a botherder (a botnet irányítója) számára, hogy minden irányítást egy távoli helyről végezzen, ami elhomályosítja a forgalmat.[6] Sok újabb botnet ma már a meglévő egyenrangú hálózatokra támaszkodik a kommunikációhoz. Ezek a P2P botprogramok ugyanazokat a műveleteket hajtják végre, mint a kliens-szerver modell, de nincs szükségük központi szerverre a kommunikációhoz.

Ügyfél-Szerver modell[szerkesztés]

Az ügyfél-kiszolgáló modellen alapuló hálózat, ahol az egyes ügyfelek szolgáltatásokat és erőforrásokat kérnek a központi szerverektől.

Az első botnetek az interneten ügyfél-szerver modellt használtak feladataik elvégzésére.[7] Ezek a botnetek jellemzően Internet Relay Chat hálózatokon, tartományokon vagy webhelyeken keresztül működtek. A fertőzött kliensek egy előre meghatározott helyre lépnek be, és várják a szerverről érkező parancsokat. A botgazda parancsokat küld a szervernek, amely továbbítja azokat a klienseknek. A kliensek végrehajtják a parancsokat, és az eredményeket visszajelzik a botgazdának.

Az IRC botnetek esetében a fertőzött ügyfelek csatlakoznak egy szintén fertőzött IRC-kiszolgálóhoz, és csatlakoznak egy olyan csatornához, amelyet a botgazda előre kijelölt a C&C számára. A botgazda az IRC-kiszolgálón keresztül parancsokat küld a csatornának. Az egyes kliensek lekérdezik a parancsokat, és végrehajtják azokat. Az ügyfelek üzeneteket küldenek vissza az IRC-csatornára a műveleteik eredményéről.[6]

Peer-to-peer[szerkesztés]

P2P (peer-to-peer) hálózat, amelyben az összekapcsolt csomópontok ("peers") központosított adminisztrációs rendszer nélkül osztják meg egymás között az erőforrásokat.

Az IRC botnetek felderítésére és kiiktatására tett erőfeszítésekre válaszul a botterjesztők rosszindulatú szoftvereket telepítenek a peer-to-peer hálózatokra. Ezek a botok digitális aláírást használhatnak, hogy csak az irányíthassa a botnetet, aki hozzáfér a privát kulcshoz.[8] Lásd pl. Gameover ZeuS és ZeroAccess botnet.

Az újabb botnetek teljes mértékben P2P-hálózatokon keresztül működnek. Ahelyett, hogy egy központi szerverrel kommunikálnának, a P2P botnetek parancselosztó szerverként és parancsokat fogadó kliensként is működnek,[9] így elkerülhető, hogy egyetlen hibapont legyen, ami a központosított botnetek esetében problémát jelent.

Más fertőzött gépek felkutatásához a bot diszkréten szondázza a véletlenszerű IP-címeket, amíg kapcsolatba nem lép egy másik fertőzött géppel. A megkeresett bot olyan információkkal válaszol, mint a szoftver verziója és az ismert botok listája. Ha az egyik bot verziója alacsonyabb, mint a másiké, akkor a frissítés érdekében fájlátvitelt kezdeményez.[8] Ily módon minden bot növeli a fertőzött gépek listáját, és az összes ismert bottal való rendszeres kommunikációval frissíti magát.

Alapvető összetevők[szerkesztés]

A botnet létrehozója (más néven "botherder" vagy "botgazda") távolról irányítja a botnetet. Ezt nevezik parancsnoklásnak és irányításnak (C&C). A műveletet végző programnak egy rejtett csatornán keresztül kell kommunikálnia az áldozat gépén (zombi számítógép) lévő klienssel.

Ellenőrző protokollok[szerkesztés]

Az IRC a kommunikációs protokollja miatt a C&C egyik kedvelt eszköze. A botgazda létrehoz egy IRC-csatornát, amelyhez a fertőzött ügyfelek csatlakozhatnak. A csatornára küldött üzeneteket a csatorna minden tagja megkapja. A botgazda beállíthatja a csatorna témáját úgy, hogy az a botnetet irányítsa. Például a botgazda :herder!herder@example.com TOPIC #channel DDoS www.victim.com üzenete a #csatornához tartozó összes fertőzött ügyfelet figyelmezteti, hogy kezdjenek DDoS-támadást a www.victim.com weboldal ellen. Egy példa válasz :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com egy bot kliens által küldött válasza figyelmezteti a bot botgazdát, hogy megkezdte a támadást.[8]

Egyes botnetek a jól ismert protokollok egyéni változatait valósítják meg. A megvalósítási különbségek felhasználhatók a botnetek felderítésére. A Mega-D például egy kissé módosított Simple Mail Transfer Protocol (SMTP) implementációval rendelkezik a spamképesség tesztelésére. A Mega-D SMTP-kiszolgálójának leállítása letiltja az összes olyan botnetet, amelyek ugyanarra az SMTP-kiszolgálóra támaszkodnak.[10]

Zombi számítógép[szerkesztés]

Az informatikában a zombi számítógép az internetre csatlakoztatott számítógép, amelyet hacker, számítógépes vírus vagy trójai faló támadott meg, és távoli irányítással rosszindulatú feladatok elvégzésére használható. A zombi számítógépekből álló botneteket gyakran használják e-mail spamek terjesztésére és elosztott szolgáltatásmegtagadással járó támadások (DDoS) indítására. A zombi számítógépek tulajdonosai többnyire nincsenek tudatában annak, hogy rendszerüket ilyen módon használják. Mivel a tulajdonosok általában nem tudnak róla, ezeket a számítógépeket metaforikusan a zombikhoz hasonlítják. A több botnet-gép által koordinált DDoS-támadás is hasonlít egy zombihorda támadásához.[11] A számítástechnikai erőforrások ellopásának folyamatát, amely egy rendszer "botnethez" való csatlakozása következtében jön létre, néha "scrumping"-nak nevezik.[12]

Irányítás és ellenőrzés[szerkesztés]

A botnet irányítási és ellenőrzési (C&C) protokollokat számos módon valósították meg, a hagyományos IRC-megközelítéstől a kifinomultabb változatokig.

Telnet[szerkesztés]

A telnet botnetek egy egyszerű C&C botnet protokollt használnak, amelyben a botok a fő parancsnoki szerverhez csatlakoznak, hogy a botnetnek otthont adjanak. A botokat egy szkript segítségével adják hozzá a botnethez, amely egy külső kiszolgálón fut, és IP-tartományokat vizsgál a telnet és SSH szerver alapértelmezett bejelentkezései után. Amint egy bejelentkezést talál, a szkennelőszerver megfertőzheti azt SSH-n keresztül rosszindulatú szoftverrel, amely a vezérlőszerverre pingel.

IRC[szerkesztés]

Az IRC-hálózatok egyszerű, alacsony sávszélességű kommunikációs módszereket használnak, ezért széles körben használják őket botnetek elhelyezésére. Ezek általában viszonylag egyszerű felépítésűek, és mérsékelt sikerrel használják őket DDoS-támadások és spamkampányok koordinálására, miközben folyamatosan képesek csatornát váltani, hogy elkerüljék a lekapcsolást. Egyes esetekben azonban bizonyos kulcsszavak puszta blokkolása is hatékonynak bizonyult az IRC-alapú botnetek megállításában. Az RFC 1459 (IRC) szabvány népszerű a botnetek körében. Az első ismert népszerű botnet-vezérlő szkript, a "MaXiTE Bot" az IRC XDCC protokollt használta a privát vezérlőparancsokhoz.

Az IRC használatával az egyik probléma az, hogy minden botkliensnek ismernie kell az IRC-kiszolgálót, a portot és a csatornát ahhoz, hogy a botnet számára hasznos legyen. A rosszindulatú szoftverek elleni szervezetek felismerhetik és leállíthatják ezeket a szervereket és csatornákat, így a botnet-támadás gyakorlatilag megállítható. Ha ez megtörténik, a kliensek továbbra is fertőzöttek maradnak, de jellemzően lappanganak, mivel nem tudnak kapnak utasításokat.[8] E probléma enyhítése érdekében a botnet több szerverből vagy csatornából is állhat. Ha az egyik szerver vagy csatorna működésképtelenné válik, a botnet egyszerűen átvált egy másikra. Az IRC-forgalom megfigyelésével még mindig lehetséges további botnet-kiszolgálók vagy -csatornák észlelése és megszakítása. A botnet ellenfelei potenciálisan még a vezérlési séma ismeretére is szert tehetnek, és parancsok helyes kiadásával utánozhatják a botgazdát.[13]

P2P[szerkesztés]

Mivel az IRC-hálózatokat és tartományokat használó botnetek többsége idővel leállítható, a hackerek a C&C-vel ellátott P2P botnetekre váltottak, hogy a botnetet rugalmasabbá és ellenállóbbá tegyék a kiiktatással szemben. .

Néhányan titkosítást is használtak, hogy biztosítsák vagy lezárják a botnetet mások elől, legtöbbször, amikor titkosítást használnak, az nyilvános kulcsú titkosítás, és kihívást jelentett mind a megvalósítás, mind a feltörés.

Domainek[szerkesztés]

Sok nagy botnet inkább domaineket használ az IRC helyett (lásd Rustock botnet és Srizbi botnet). Általában golyóálló tárhelyszolgáltatóknál vannak elhelyezve. Ez a C&C egyik legkorábbi típusa. A zombi számítógép egy speciálisan kialakított weboldalhoz vagy tartomány(ok)hoz fér hozzá, amely az irányító parancsok listáját szolgálja ki. A weboldalak vagy domainek C&C-ként való használatának előnye, hogy egy nagy botnet hatékonyan irányítható és karbantartható egy nagyon egyszerűen és könnyen frissíthető kóddal.

A módszer használatának hátránya, hogy jelentős sávszélességet használ, és a domaineket a kormányzati szervek kis erőfeszítéssel gyorsan lefoglalhatják. Ha a botneteket irányító tartományokat nem foglalják le, akkor azok szintén könnyű célpontok, amelyeket szolgáltatásmegtagadási támadásokkal lehet kompromittálni.

A gyorsfolyamú DNS-ek segítségével meg lehet nehezíteni az irányító szerverek felkutatását, amelyek napról napra változhatnak. Az irányító szerverek DNS-tartományról DNS-tartományra is ugrálhatnak, a tartománygeneráló algoritmusok segítségével új DNS-neveket hozhatnak létre a vezérlő szerverek számára.

Egyes botnetek ingyenes DNS-hosztingszolgáltatásokat használnak, mint például a DynDns.org, No-IP.com és Afraid.org, hogy egy aldomaint a botokat rejtő IRC-kiszolgáló felé irányítsanak. Bár ezek az ingyenes DNS-szolgáltatások önmagukban nem fogadnak támadásokat, de referenciapontokat biztosítanak (gyakran a botnet futtatható programjába kódolva). Az ilyen szolgáltatások eltávolítása megbéníthatja az egész botnetet.

FTP-alapú C&C rendszer[szerkesztés]

Sok más protokollhoz hasonlóan az FTP-vel is kísérleteztek, mint ellenőrzési csatornával. Manapság ez a típus nem gyakran fordul elő. Van azonban egy olyan bot-típus, amely rendszeresen használ FTP C&C-t, ez pedig az adathalász vagy banki adatokra irányuló trójai. Ezek a botok, mint például a Dumador vagy a Haxdoor, alapvetően keyloggerek, azzal a különbséggel, hogy sokkal kiterjedtebbek. Figyelik ("szimatolják") az adatforgalmat, amikor a felhasználó a kompromittált rendszeren szörföl az interneten. Ha a felhasználó egy titkosított weboldalra lép be (HTTPS), akkor a számítógépen maga is man-in-the-middle támadást hajt végre. Mivel ez a támadás magán az áldozat gépén zajlik, gyakran nevezik "man in the machine" támadásnak. A bot egy hamis weboldalt mutat be a felhasználónak. Ezzel a technikával lehetőség van hitelesítési adatok stb rögzítésére. Az ellopott adatokat ezután feltöltik egy FTP-kiszolgálóra, ahol a bot üzemeltetője fenntarthatja azokat. A bot-üzemeltetők általában részletes statisztikákat készítenek az adatokról és azok eredetéről.

A top 10 ország, ahol 2008-ban a botnet Irányító és ellenőrző szervereket azonosították:[14]

  • Egyesült Államok: 16774
  • Németország: 3909
  • Kína: 2998
  • Oroszország: 2960
  • Kanada: 2388
  • Nagy-Britannia: 1703
  • Dél-Korea: 1151
  • Franciaország: 985
  • Malajzia: 857
  • Japán: 788

Továbbiak[szerkesztés]

A nagy közösségi médiaoldalak,[15] például a GitHub,[16] a Twitter,[17][18] a Reddit,[19] az Instagram,[20] az XMPP nyílt forráskódú azonnali üzenet protokoll,[21] és a Tor rejtett szolgáltatások,[22] népszerű módjai a C&C szerverrel való kommunikációhoz a kilépési szűrés elkerülése érdekében.[23]

Felépítés[szerkesztés]

Hagyományos[szerkesztés]

Ez a példa azt szemlélteti, hogyan jön létre és hogyan használják fel a botnetet rosszindulatú célokra.

  1. Egy hacker megvásárol vagy létrehoz egy trójai vírust és/vagy exploit kitet, és azzal kezdi el megfertőzni a felhasználók számítógépeit, amelyek hasznos terhe (payloadja) egy rosszindulatú alkalmazás - a bot.
  2. A bot arra utasítja a fertőzött számítógépet, hogy csatlakozzon egy adott Irányító és ellenőrzőszerverhez (C&C). (Ez lehetővé teszi a botgazda számára, hogy naplót vezessen arról, hogy hány bot aktív és online.)
  3. A botgazda ezután a botokat billentyűleütések gyűjtésére vagy űrlaprablással online hitelesítő adatok ellopására használhatja, és a botnetet DDoS és/vagy spam szolgáltatásként bérbe adhatja, vagy a hitelesítő adatokat online eladhatja.
  4. A botok minőségétől és képességeitől függően az érték növekszik vagy csökken.

Az újabb botok képesek automatikusan átvizsgálni a környezetüket, és a sebezhetőségek és gyenge jelszavak felhasználásával szaporodni. Általában minél több sebezhetőséget tud egy bot szkennelni és szaporítani, annál értékesebbé válik a botnetet irányító közösség számára.[24]

A számítógépek akkor válhatnak egy botnet részévé, ha rosszindulatú szoftvert futtatnak. Ezt úgy lehet elérni, hogy a felhasználókat drive-by letöltésre csábítják, (Olyan letöltések, amelyeket a felhasználó engedélyezett, de nem érti azok következményeit pl. olyan letöltések, amelyek ismeretlen vagy hamisított futtatható programot, ActiveX komponenst vagy Java appletet telepítenek) kihasználják a webböngésző sebezhetőségeit, vagy becsapják a felhasználót egy trójai program futtatására, amely érkezhet egy e-mail mellékletből. Ez a rosszindulatú szoftver általában olyan modulokat telepít, amelyek lehetővé teszik, hogy a számítógépet a botnet üzemeltetője irányítsa és ellenőrizze. A szoftver letöltése után "hazatelefonál" (újrakapcsolódási csomagot küld) a gazdaszámítógépnek. Amikor az újrakapcsolódás megtörténik, a trójai a megírásától függően törölheti magát, vagy jelen maradhat a modulok frissítése és karbantartása érdekében.

Egyebek[szerkesztés]

Bizonyos esetekben a botnetet ideiglenesen önkéntes hacktivisták hozták létre, mint például a Low Orbit Ion Cannon megvalósításai, amelyeket a 4chan tagjai használtak a Project Chanology során 2010-ben.[25]

A kínai Great Cannon of China lehetővé teszi a törvényes webböngészési forgalom módosítását az internet gerinchálózatán Kínában, hogy egy nagy átmeneti botnetet hozzanak létre nagy célpontok megtámadására. Például a GitHub megtámadása 2015-ben.[26]

Gyakori tulajdonságok[szerkesztés]

  1. A legtöbb botnet jelenleg olyan elosztott szolgáltatásmegtagadási támadásokat alkalmaz, amelyek során több rendszer a lehető legtöbb kérést küldi egyetlen internetes számítógéphez vagy szolgáltatáshoz, túlterhelve azt, és megakadályozva azt a jogos kérések kiszolgálásában. Erre példa az áldozat szervere elleni támadás. Az áldozat szerverét a botok kérésekkel bombázzák, amelyek megpróbálnak csatlakozni a szerverhez, így túlterhelve azt.
  2. A kémprogramok olyan szoftverek, amelyek információkat küldenek készítőiknek a felhasználó tevékenységeiről - jellemzően jelszavakat, hitelkártyaszámokat és egyéb, a feketepiacon eladható információkat. A vállalati hálózaton belül található kompromittált gépek többet érhetnek a botgazda számára, mivel gyakran bizalmas vállalati információkhoz juthatnak hozzá.
  3. Több nagyvállalatok elleni célzott támadás is érzékeny információk ellopására irányult, mint például az Aurora botnet.[27]
  4. Az e-mail spamek olyan e-mail üzenetek, amelyeket emberektől származó üzenetnek álcáznak, de vagy reklám, vagy bosszantó, illetve rosszindulatúak.[28]
  5. A kattintásos csalás az, amikor a felhasználó számítógépe a felhasználó tudta nélkül látogat meg weboldalakat, hogy személyes vagy kereskedelmi haszonszerzés céljából hamis webes forgalmat hozzon létre.[29]
  6. A CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet című kiadványa szerint a hirdetési csalás gyakran a rosszindulatú bottevékenység következménye. A botok kereskedelmi céljai közé tartozik, hogy az influencerek arra használják őket, hogy növeljék feltételezett népszerűségüket, az online kiadók pedig arra használják a botokat, hogy növeljék a hirdetésre történő kattintások számát, így az oldalak több jutalékot kapnak a hirdetőktől.
  7. A bitcoin-bányászatot is használták néhány újabb botnetben, amelyek a botnet üzemeltetőjének profitszerzése érdekében magukban foglalják a bitcoin-bányászat funkcióját.[30]
  8. Az önterjesztő funkció, amely az előre konfigurált parancs- és vezérlő (C&C) utasítás keresése érdekében célzott eszközöket vagy hálózatot tartalmaz, hogy több vírusfertőzést érjen el, szintén több botnetben is megfigyelhető. A botnetek egy része ezt a funkciót használja a fertőzések automatizálására.[31]

Piac[szerkesztés]

A botnet-irányítók közösségében állandó és folyamatos küzdelem folyik arról, hogy ki rendelkezik a legtöbb bottal, a legnagyobb teljes sávszélességgel és a legtöbb "jó minőségű" fertőzött géppel, például egyetemi, vállalati vagy akár kormányzati gépekkel.[32] Bár a botneteket gyakran az őket létrehozó rosszindulatú szoftverről nevezik el, több botnet jellemzően ugyanazt a rosszindulatú szoftvert használja, de különböző entitások működtetik.[33]

Adathalászat[szerkesztés]

A botnetek számos elektronikus csaláshoz használhatók. Ezek a botnetek rosszindulatú szoftverek, például vírusok terjesztésére használhatók, hogy átvegyék az irányítást a normál felhasználók számítógépe/szoftvere felett.[34] Azzal, hogy átveszik az irányítást valaki személyes számítógépe felett, korlátlan hozzáférést kapnak a személyes adatokhoz, beleértve a jelszavakat és a fiókok bejelentkezési adatait. Ezt hívják adathalászatnak. Az adathalászat az "áldozat" fiókjaihoz való bejelentkezési adatok megszerzése egy olyan linkkel, amelyre az "áldozat" rákattint, és amelyet e-mailben vagy sms-ben küldenek.[35] A Verizon felmérése szerint az elektronikus "kémkedési" esetek mintegy kétharmada adathalászatból származik.[36]

Ellenintézkedések[szerkesztés]

A botnetek földrajzi szétszóródása azt jelenti, hogy minden egyes újonnan felvett vírust egyesével kell azonosítani/elzárni/javítani, és ez korlátozza a szűrés előnyeit.

A számítógépes biztonsági szakértőknek sikerült megsemmisíteniük vagy megzavarniuk a rosszindulatú szoftverek parancsnoki és vezérlőhálózatát, többek között úgy, hogy lefoglalták a szervereket vagy elvágták őket az internettől, megtagadták a hozzáférést olyan domainekhez, amelyeket a rosszindulatú szoftverek a C&C infrastruktúrával való kapcsolatfelvételre használtak volna, és egyes esetekben betörtek magába a C&C hálózatba.[37][38][39] Erre válaszul a C&C-üzemeltetők olyan technikák alkalmazásához folyamodtak, mint például a C&C-hálózatuk más meglévő jóindulatú infrastruktúrára, például az IRC-re vagy a Torra való ráépítése, olyan peer-to-peer hálózati rendszerek használata, amelyek nem függenek semmilyen fix szervertől, valamint nyilvános kulcsú titkosítás használata a hálózatba való betörési vagy hamisítási kísérletek kivédésére.[40]

A Norton AntiBot a fogyasztókat célozta meg, de a legtöbb célpont a vállalatok és/vagy az internetszolgáltatók. A hoszt-alapú technikák a szokásos vírusirtó szoftvereket megkerülő bot viselkedésének azonosítására új találmányokat használnak. A hálózati alapú megközelítések általában a fent leírt technikákat használják; a C&C szerverek leállítása, a DNS-bejegyzések nullázása vagy az IRC-kiszolgálók teljes leállítása. A BotHunter egy, az amerikai hadsereg kutatási irodájának támogatásával kifejlesztett szoftver, amely a hálózaton belüli botnet-tevékenységet a hálózati forgalom elemzése és a rosszindulatú folyamatokra jellemző mintákkal való összehasonlítása révén észleli. A Sandia National Laboratories kutatói úgy elemzik a botnetek viselkedését, hogy egyidejűleg egymillió Linux kernelt futtatnak - ami egy botnethez hasonló méretarány - virtuális gépként egy 4480 csomópontos nagy teljesítményű számítógépes fürtön, hogy egy nagyon nagy hálózatot emuláljanak, így megfigyelhetik, hogyan működnek a botnetek, és kísérletezhetnek a megállításuk hatásos módjával.[41]

Az automatizált bot-támadások felderítése napról napra nehezebbé válik, mivel a támadók a botok újabb és kifinomultabb generációit hozzák létre. Egy automatizált támadás például nagy bothadsereget tud bevetni, és brute-force módszereket alkalmazhat rendkívül pontos felhasználónév- és jelszólistákkal a fiókok feltörésére. Az ötlet lényege, hogy a webhelyeket több tízezer kéréssel árasztják el a világ különböző IP-címeiről, de úgy, hogy minden egyes bot körülbelül 10 percenként csak egyetlen kérést küld, ami naponta több mint 5 millió próbálkozást eredményezhet.[42] Ezekben az esetekben sok eszköz megpróbálja kihasználni a volumetrikus érzékelést, de az automatizált bot-támadásoknak ma már vannak módszereik az efajta érzékelés kiváltóinak megkerülésére.

Az ilyen bot-támadások felderítésének egyik technikája az úgynevezett „szignatúra-alapú rendszerek”, amelyekben a szoftver megpróbál mintákat felismerni a kérési csomagban. A támadások azonban folyamatosan fejlődnek, így ez nem biztos, hogy életképes megoldás, ha a minták nem különböztethetők meg több ezer kérésből. A botok meghiúsítására létezik a viselkedésalapú megközelítés is, amely végső soron a botokat próbálja megkülönböztetni az emberektől. A nem emberi viselkedés azonosításával és az ismert botok viselkedésének felismerésével ez a folyamat a felhasználó, a böngésző és a hálózat szintjén is alkalmazható.

A vírus elleni küzdelem legképzettebb módszere a szoftverek felhasználásával a honeypot szoftverek felhasználása volt, hogy meggyőzzék a rosszindulatú programokat arról, hogy egy rendszer sebezhető. A rosszindulatú fájlokat ezután törvényszéki szoftverek segítségével elemzik. 2014. július 15-én az Egyesült Államok Szenátusa Igazságügyi Bizottságának Bűnözés és Terrorizmus Albizottsága meghallgatást tartott a botnetek által jelentett fenyegetésekről, valamint a botnetek megzavarására és felszámolására irányuló állami és magánerőforrásokból származó erőfeszítésekről.[43]

Nem rosszhiszemű használat[szerkesztés]

A nem rosszindulatú botnetek gyakran találhatók a Minecraftban olyan dolgok után kutatva, amelyek valamilyen különleges tulajdonsággal rendelkeznek, például a címképernyő és az alapértelmezett textúracsomag képe. Ezek a botnetek önkéntes alapon működnek, lehetővé téve bármely felhasználó számára, hogy "besorozza" a számítógépét a botnetbe, és később kivegye azt, amikor már nem akarja, hogy a botnetben legyen.

A botnetek történeti listája[szerkesztés]

Az első botnetet először az EarthLink ismerte el és leplezte le a hírhedt spammerrel, Khan C. Smith-szel folytatott per során 2001-ben.[44] A botnetet tömeges spamek céljára építették, és akkoriban az összes spam közel 25%-át tette ki.[45]

2006 körül, egyes botnetek méretét csökkentették, hogy meghiúsítsák a felderítésüket.[46]

Létrehozás dátuma Felszámolás időpontja Név A botok becsült száma Spam-kapacitás (milliárd/nap) Álnevek
1999 !a 999,999,999 100000 !a
2003 MaXiTE 500-1000 szerver 0 MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004 Bagle botnet 230,000[47] 5.7 Beagle, Mitglieder, Lodeight
Marina Botnet 6,215,000[47] 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180,000[48] Sinowal, Anserin
Storm botnet 160,000[49] 3 Nuwar, Peacomm, Zhelatin
2006 körül 2011 Március Rustock botnet 150,000[50] 30 RKRustok, Costrat
Donbot botnet 125,000[51] 0.8 Buzus, Bachsoy
2007 körül Cutwail botnet 1,500,000[52] 74 Pandex, Mutant (related to: Wigon, Pushdo)
2007 Akbot 1,300,000[53]
2007 Március 2008 November Srizbi botnet 450,000[54] 60 Cbeplay, Exchanger
Lethic botnet 260,000[47] 2 Nincs
Xarvester 10,000[47] 0.15 Rlsloup, Pixoliz
2008 körül Sality 1,000,000[55] Sector, Kuku
2008 körül Mariposa botnet 12,000,000[56]
2008 November Conficker 10,500,000+[57] 10 DownUp, DownAndUp, DownAdUp, Kido
2008 November Waledac botnet 80,000[58] 1.5 Waled, Waledpak
Maazben 50,000[47] 0.5 Nincs
Onewordsub 40,000[59] 1.8
Gheg 30,000[47] 0.24 Tofsee, Mondera
Nucrypt 20,000[59] 5 Loosky, Locksky
Wopla 20,000[59] 0.6 Pokier, Slogger, Cryptic
2008 körül Asprox botnet 15,000[60] Danmec, Hydraflux
0 Spamthru 12,000[59] 0.35 Spam-DComServ, Covesmer, Xmiler
2008 körül Gumblar
2009 Május BredoLab botnet 30,000,000[61] 3.6 Oficla
2009 körül 2012-07-19 Grum botnet 560,000[62] 39.9 Tedroo
Mega-D botnet 509,000[63] 10 Ozdok
Kraken botnet 495,000[64] 9 Kracken
2009 Augusztus Festi botnet 250,000[65] 2.25 Spamnost
2010 Március Vulcanbot
2010 Január LowSec 11,000+[47] 0.5 LowSecurity, FreeMoney, Ring0.Tools
2010 körül TDL4 botnet 4,500,000[66] TDSS, Alureon
Zeus (Trójai) 3,600,000 (Csak USA)[67] Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 (Néhány: 2011, 2012) Kelihos botnet 300,000+ 4 Hlux
2011 vagy korábban 2015-02 Ramnit 3,000,000[68]
2012 körül Chameleon botnet 120,000[69] Nincs
2016 Augusztus Mirai (malware) 380,000 Nincs
2014 Necurs botnet 6,000,000

A Santa Barbara-i Kaliforniai Egyetem kutatói a vártnál hatszor kisebb botnet felett vették át az irányítást. Egyes országokban gyakori, hogy a felhasználók egy nap alatt többször is megváltoztatják IP-címüket. A botnet méretének becslését az IP-címek száma alapján gyakran használják a kutatók, ami valószínűleg pontatlan becslésekhez vezet.[70]

Jegyzetek[szerkesztés]

  1. Thingbots: The Future of Botnets in the Internet of Things. Security Intelligence , 2016. február 20. (Hozzáférés: 2017. július 28.)
  2. botnet. (Hozzáférés: 2016. június 9.)
  3. Ramneek, Puri: Bots &; Botnet: An Overview. SANS Institute, 2003. augusztus 8. (Hozzáférés: 2013. november 12.)
  4. (2018. március 1.) „Business Model of a Botnet”. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP), 441–445. o. DOI:10.1109/PDP2018.2018.00077.  
  5. Novice cyberciminals offer commercial access to five mini botnets”, 2013. október 11. (Hozzáférés ideje: 2015. június 28.) 
  6. a b Botnets. Burlington: Syngress, 29–75. o.. DOI: 10.1016/B978-159749135-8/50004-4 (2007. január 1.). ISBN 9781597491358 
  7. Botnets: Definition, Types, How They Work | CrowdStrike (angol nyelven). crowdstrike.com . (Hozzáférés: 2021. április 18.)
  8. a b c d (2007. április 1.) „Botnet command and control techniques”. Network Security 2007 (4), 13–16. o. DOI:10.1016/S1353-4858(07)70045-4.  
  9. szerk.: Stamp, Mark: Peer-to-peer botnets, Handbook of Information and Communication Security. Springer (2010). ISBN 9783642041174 
  10. C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
  11. Teresa Dixon Murray: Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week. Cleveland.com, 2012. szeptember 28. (Hozzáférés: 2014. szeptember 2.)
  12. The Facts about Botnets”, 2016. március 30. (Hozzáférés ideje: 2017. május 27.) 
  13. Botnets. Burlington: Syngress, 77–95. o.. DOI: 10.1016/B978-159749135-8/50005-6 (2007. január 1.). ISBN 978-159749135-8 
  14. „Statistische Daten, erhoben von Team Cymru, zitiert nach: Steve Santorelli, Levi Gundert: Safety net – Cybercriminals adapt to new security measures. In: Janes Intelligence Review. März 2009, S. 40.”.  
  15. When Bots Use Social Media for Command and Control
  16. Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread”, ZDNet (Hozzáférés ideje: 2017. október 7.) 
  17. Hackers Use Twitter to Control Botnet”, 2009. augusztus 13. (Hozzáférés ideje: 2017. május 27.) 
  18. First Twitter-controlled Android botnet discovered”, 2016. augusztus 24. (Hozzáférés ideje: 2017. május 27.) 
  19. Reddit-powered botnet infected thousands of Macs worldwide”, 2014. október 3. (Hozzáférés ideje: 2017. május 27.) 
  20. Russian State Hackers Use Britney Spears Instagram Posts to Control Malware”, 2017. június 6. (Hozzáférés ideje: 2017. június 8.) 
  21. Walking through Win32/Jabberbot.A instant messaging C&C”, 2013. január 30. (Hozzáférés ideje: 2017. május 27.) 
  22. Cybercriminals are using the Tor network to control their botnets”, 2013. július 25. (Hozzáférés ideje: 2017. május 27.) 
  23. Cisco ASA Botnet Traffic Filter Guide. (Hozzáférés: 2017. május 27.)
  24. Attack of the Bots at Wired
  25. Anonymous 101 Part Deux: Morals Triumph Over Lulz. Wired.com, 2012. január 1. (Hozzáférés: 2013. november 22.)
  26. Peterson, Andrea: China deploys new weapon for online censorship in form of 'Great Cannon'. The Washington Post, 2015. április 10. (Hozzáférés: 2015. április 10.)
  27. Operation Aurora — The Command Structure. Damballa.com. [2010. június 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
  28. This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser”, 2013. november 27. (Hozzáférés ideje: 2017. május 27.) 
  29. https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-congress/socialmediabotsreport.pdf
  30. Got a botnet? Thinking of using it to mine Bitcoin? Don't bother”, 2014. június 24. (Hozzáférés ideje: 2017. május 27.) 
  31. Bitcoin Mining. BitcoinMining.com. [2016. április 30-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. április 30.)
  32. Trojan horse, and Virus FAQ. DSLReports. (Hozzáférés: 2011. április 7.)
  33. Many-to-Many Botnet Relationships Archiválva 2016. március 4-i dátummal a Wayback Machine-ben., Damballa, 8 June 2009.
  34. Uses of botnets | The Honeynet Project. www.honeynet.org . (Hozzáférés: 2019. március 24.)
  35. What is phishing? - Definition from WhatIs.com (angol nyelven). SearchSecurity . (Hozzáférés: 2019. március 24.)
  36. Aguilar, Mario: The Number of People Who Fall for Phishing Emails Is Staggering (amerikai angol nyelven). Gizmodo . (Hozzáférés: 2019. március 24.)
  37. Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants. vhosts.eecs.umich.edu
  38. DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis. Annual Computer Security Applications Conference. ACM, 2012. december 1.
  39. (2008. december 7.) „BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic” Proceedings of the 15th Annual Network and Distributed System Security Symposium.. 
  40. IRCHelp.org – Privacy on IRC. www.irchelp.org . (Hozzáférés: 2020. november 21.)
  41. Researchers Boot Million Linux Kernels to Help Botnet Research. IT Security & Network Security News, 2009. augusztus 12. (Hozzáférés: 2011. április 23.)
  42. Brute-Force Botnet Attacks Now Elude Volumetric Detection. DARKReading from Information Week, 2016. december 19. (Hozzáférés: 2017. november 14.)
  43. Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office (2018. december 7.) 
  44. Credeur, Mary: Atlanta Business Chronicle, Staff Writer. bizjournals.com. (Hozzáférés: 2002. július 22.)
  45. Mary Jane Credeur: EarthLink wins $25 million lawsuit against junk e-mailer, 2002. július 22. (Hozzáférés: 2018. december 10.)
  46. (2006. április 1.) „Hackers Strengthen Malicious Botnets by Shrinking Them”. Computer; News Briefs 39 (4), 17–19. o, Kiadó: IEEE Computer Society. DOI:10.1109/MC.2006.136. „The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said.” 
  47. a b c d e f g Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security. Messagelabs.com. [2020. november 18-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. január 30.)
  48. Chuck Miller: Researchers hijack control of Torpig botnet. SC Magazine US, 2009. május 5. [2007. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. november 7.)
  49. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge.Com, 2007. október 21. [2007. december 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
  50. Chuck Miller: The Rustock botnet spams again. SC Magazine US, 2008. július 25. (Hozzáférés: 2010. július 30.)
  51. Spam Botnets to Watch in 2009. Secureworks.com . SecureWorks. (Hozzáférés: 2016. március 9.)
  52. Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security. Msmvps.com, 2010. február 2. [2010. augusztus 16-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. július 30.)
  53. New Zealand teenager accused of controlling botnet of 1.3 million computers”, The H security, 2007. november 30. (Hozzáférés ideje: 2011. november 12.) 
  54. Technology | Spam on rise after brief reprieve”, BBC News, 2008. november 26. (Hozzáférés ideje: 2010. április 24.) 
  55. Sality: Story of a Peer-to-Peer Viral Network. Symantec, 2011. augusztus 3. (Hozzáférés: 2012. január 12.)
  56. How FBI, police busted massive botnet. theregister.co.uk. (Hozzáférés: 2010. március 3.)
  57. Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab. F-secure.com, 2009. január 16. (Hozzáférés: 2010. április 24.)
  58. Waledac botnet 'decimated' by MS takedown. The Register, 2010. március 16. (Hozzáférés: 2011. április 23.)
  59. a b c d Gregg Keizer: Top botnets control 1M hijacked computers. Computerworld, 2008. április 9. (Hozzáférés: 2011. április 23.)
  60. Botnet sics zombie soldiers on gimpy websites. The Register, 2008. május 14. (Hozzáférés: 2011. április 23.)
  61. Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com. .canada.com. [2011. május 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. november 10.)
  62. Research: Small DIY botnets prevalent in enterprise networks. ZDNet. (Hozzáférés: 2010. július 30.)
  63. Warner, Gary: Oleg Nikolaenko, Mega-D Botmaster to Stand Trial. CyberCrime & Doing Time, 2010. december 2. (Hozzáférés: 2010. december 6.)
  64. New Massive Botnet Twice the Size of Storm — Security/Perimeter. DarkReading. (Hozzáférés: 2010. július 30.)
  65. Kirk, Jeremy: Spamhaus Declares Grum Botnet Dead, but Festi Surges. PC World, 2012. augusztus 16.
  66. Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon). kasperskytienda.es, 2011. július 3. (Hozzáférés: 2011. július 11.)
  67. America's 10 most wanted botnets. Networkworld.com, 2009. július 22. (Hozzáférés: 2011. november 10.)
  68. EU police operation takes down malicious computer network. phys.org
  69. Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month. Spider.io, 2013. március 19. (Hozzáférés: 2013. március 21.)
  70. Espiner, Tom: Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK. Zdnet.com, 2011. március 8. (Hozzáférés: 2011. november 10.)

Fordítás[szerkesztés]

  • Ez a szócikk részben vagy egészben a Botnet című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Külső hivatkozások[szerkesztés]

Könyvek[szerkesztés]

  • Ken Dunham, Jim Melnick: Malicious bots. An inside look into the cyber-criminal underground of the internet. CRC Press, Boca Raton FL u. a. 2009, ISBN 978-1-4200-6903-7 (An Auerbach Book).
  • Wenke Lee (Hrsg.): Botnet detection. Countering the largest security threat. Springer, New York u. a. 2008, ISBN 978-0-387-68766-7.
  • Craig A. Schiller, David Harley, Gadi Evron, Carsten Willems, Tony Bradley, Michael Cross, David Dagon: Botnets. The killer web app. Syngress, Rockland MA 2007, ISBN 1-59749-135-7.