January 12, 2021

БОТНЕТ- МОЩНЕЙШЕЕ ОРУЖИЕ ХАКЕРА

Все вы не раз слышали о ботнете. Но знаете ли что это вообще? Для чего он нужен? И как не стать его жертвой. Если нет, то обязательно читайте эту статью. На самом деле, ботнет – это своеобразная зомби-сеть. В ней находятся обычные юзеры, которые качают всякую херню на свой комп. А точнее, зараженное программное обеспечение, которое без ведома владельца выполняет определенные задачи. Вы качаете какой-то необходимый вам файл, например, курсач. И он там действительно находится, но в придачу на ваш комп заливается вредоносное ПО. О котором вы, конечно, не подозреваете.

Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.

Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.

Хакер может за короткий срок установить такие боты на компы миллионам людей по всему миру, естественно, без их спроса. При этом возможности программ очень велики. Это может быть обычный сбор персональной информации, ведение нелегальной деятельности, майнинг ферм, кража паролей. Владелец компа может ни о чем не догадываться, пока у него не отключится Интернет или не пропадут бабки со счетов

Кому выгодны ботнеты?

Короче, все компы, которые находятся в одной сети и контролируются одним человеком — серьезное оружие. Человек, который управляет всем этим, имеет возможность реально поднять бабки. Руководить всем процессом он может из любой точки планеты. Главное, чтобы был интернет и комп, точнее, любое устройство с которого можно выйти в интернет. Сегодня ботнеты выполняют более серьезные задачи. К примеру, человек, который занимается рассылкой спама с «зараженных» компьютеров, может зарабатывать до 100-500 тысяч евро в год. При этом по башке прилетит не хакеру, а владельцу компа, потому что с его устройства рассылался спам. Например, аккаунт на Майл ру или в социальной сети ВКонтакте могут забанить за рассылку спама, а пользователь может быть не в курсе дела и при этом искренне возмущаться.

Сегодня ботнет очень активно используется для шантажа. Все компы включенные в сеть, можно использовать для DDoS-атаки на конкретный сайт. Из-за этой атаки сайт упадет и перестанет функционировать. Это может продолжаться бесконечно, пока пострадавший не выплатит определенную сумму или не выдаст какую-либо информацию.

Владелец сайта почтовых рассылок Smartresponder Максим Хигер вынужден был выплатить немалую сумму хакеру из Лондона, который по новейшей технологии организовал DDoS-атаку на его сайт. Пока между ними шли переговоры, сайт Smartresponder был несколько дней недоступен. Сегодня часто атакуются даже хорошо защищенные государственные, банковские и другие серьезные сайты.

Злоумышленники часто используют возможности ботнетов для анонимного доступа в интернет под чужими IP для воровства паролей и взлома сайтов. При этом такие мощные сети могут сдаваться в аренду для выполнения конкретных задач.

Так же ботнет часто используют для майнинга криптовалюты. Чтобы майнить нужно иметь большое количество компов для решения задач. А кто как не зомби-пользователи могут в этом помочь?

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

— неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически докладывает брандмауэр или антивирусное ПО;

— интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

— в списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe – это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно).

Пути заражения ботнетом

🔻 Прямой взлом компа или локальной сети путём перебора паролей, чтобы получить доступ от имени админа. Чаще всего такие атаки совершаются специально на частные сети крупных компаний для шпионажа. Они требуют много ресурсов для хакеров, поэтому для взлома обычных пользователей практически не применяются.

🔻 Так же комп легко заразить, если в коде ПО есть дырка или уязвимость. Масштабы могут быть поразительные. Например, хакер обнаруживает дыру где-нибудь в виндоус 10 и все, кто пользуются ей автоматически находятся под угрозой. Обычно при выявлении таких уязвимостей разработчики ПО реагируют довольно быстро и исправляют их при помощи обновлений. Так что, всегда обновляйте свой комп!

🔻 Заражение компа при санкционированном доступе. Этот вариант заражения может быть как целенаправленным, так и случайным. Представьте, что вы отдали свой комп на ремонт. Чтобы сэкономить вы выбрали самую дешевую цену и даже не убедились в легальности предприятия. И попросили мастера установить вам взломанную прогу. Фотошоп какой-нибудь или ворд. И он случайно вместе с этими прогами установил вам зараженное ПО. Правда он об этом даже не знает, как и вы. А также, если это какой-то начинающий подвальный хакер, он может специально залить вам зараженный ПО и привет, ботнет. Так, что рекомендую вам пользоваться услугами только проверенных мастеров.

🔻Инфицирование через подключение заражённых флэшек. Все просто, всунули флэшку, а на компе не отключён автозапуск съёмных запоминающих устройств, то есть вероятность, что вирус легко проникнет на ваш комп. Наилучшим методом борьбы с таким способом распространения заразы является отключение автозапуска для CD- и USB-носителей.

🔻 Заражение путём ввода пользователя в заблуждение. Пожалуй, самый распространённый способ инфицирования компьютеров по всему миру. Здесь в ход идёт и социальная инженерия, и навязчивая реклама, и спам-рассылки, словом всё, что может заставить незадачливого пользователя самостоятельно установить вирус себе на компьютер. Обычно вирусы идут «в нагрузку» к какой-либо полезной программе.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.

Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.

Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-500 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.

Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.

Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.

Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.

Keylogging

С помощью кейлоггера ботмастеру легко получить конфиденциальную информацию и украсть данные пользователя. Используя программу кейлоггер, злоумышленник может собрать только те ключи, которые набраны в последовательности клюевых слов, таких как PayPal, Yahoo и другое.
Разновидность шпионского ПО, идентифицируемая как OSX / XSLCmd, перенесенная из Windows в OS X, включает в себя возможность ведения блогов и захвата экрана.

Массовая кража личных данных

Различные виды ботов могут взаимодействовать для совершения крупномасштабной кражи личных данных, что является одним из наиболее быстро растущих преступлений. С помощью ботов можно маскироваться под известный бренд и просить пользователя предоставить личные данные, такие как пароль банковского счета, данные кредитной карты, данные о налогообложении.

Массовая кража личных данных может быть осуществлена с использованием фишинговых писем, которые вынуждают жертв вводить учетные данные для входа на веб-сайты, как eBay, Amazon или даже известные коммерческие банки.

Злоупотребление платой за клик

Программа Google Ads позволяет веб-сайтам показывать рекламные объявления Google и тем самым зарабатывать на них деньги. Google платит деньги владельцам веб-сайтов на основании количества кликов, полученных от рекламы. Скомпрометированные машины используются для автоматического нажатия на ссылки, увеличивая количество фейковых кликов.

Adware

Рекламное программное обеспечение используется для привлечения пользователей за счет рекламы на веб-страницах или в приложениях. Они появляются на компьютерах без ведома или разрешения пользователей, а оригинальная реклама заменяется мошенническим рекламным ПО, которое заражает систему любых пользователей, кто на нее нажимает.

Рекламное программное обеспечение выглядит как безвредная реклама, но использует шпионское ПО для сбора данных браузера.

DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.

Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления – например, взламывать веб-сайты или переводить украденные денежные средства.

Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.

Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.

Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

Как не попасть в лапы ботнета?

В общем, перспектива стать жертвой ботнета — не радует. Поэтому, вот несколько способов защитить себя от проникновения:

◾использовать брандмауэр и не игнорировать его предупреждения;

◾не открывать подозрительные вложения электронной почты или сообщений в соцсетях;

◾на различных сайтах внимательно смотреть, какие кнопки нажимаешь при скачивании программ;

◾не поддаваться на провокационную рекламу, обещающую крупный выигрыш после скачивания и установки чего-либо;

◾использовать только обновлённое программное обеспечение;

◾не пользоваться автозапуском флешек и дисков;

◾всегда создавать резервные копии самых важных данных и хранить их вне компьютера.

С каждым годом ботнеты развиваются и обнаружить их становиться все сложнее. Даже антивирусы частенько пропускают его мимо себя. Поэтому не стоит полагаться на них. Будьте внимательны, когда скачиваете всякую фигню и не забывайте вовремя обновлять комп!

Примеры известный ботнетов с их описанием, ждите в следующей статье. @anubisteam