Botnet‘и! Сама думка про botnet-інфікованих комп’ютерах в офісі, крадіжці даних, хостингу шахрайських веб-сайтів і участь в DoS атаки здатна викликати достатню паніку у будь-якого керівника. Це не дивно, тому що botnet‘и в даний час вважається одним з провідних Інтернет-загроз безпеки.

Ця стаття призначена для того, щоб доступно викласти основну інформацію про те, як такі шкідливі мережі створюються і управляються – це допоможе вам не стати її жертвою.

Botnet(буквально – мережа зомбі) — це набір комп’ютерів, які були інфіковані програмними роботами. Заражені системи можуть бути об’єднані в мережу «зомбі», які виконують різні команди автоматично по сигналу від віддалених командирів («botmaster«). Наприклад, хробак Storm, який поширюється через спам, є найбільш поширеним botnet-агентом і його поширеність в період «розквіту» за різними оцінками коливалася від 1 млн. до 25 млн. комп’ютерів. Сумарна потужність мережі Storm порівнянна з потужністю суперкомп’ютерів і при організації нападів на будь-який веб-сайт мережа не залишить йому жодних шансів на існування.

Були зроблені різні спроби для знищення або підпорядкування мережі Storm, але шкідлива програма виявилася напрочуд стійкою. Ще гірше, поки експерти з безпеки намагалися боротися зі Storm‘ом, з’явилася більш серйозна загроза: Nugache. Як і Storm, Nugache є мережею, спроектованої для створення невпорядкованих атак.

Загрози Botnet-мереж

Botnet може бути заражений їм комп’ютер, а також інші комп’ютери, розташовані з зараженим в одній мережі, різним загрозам, у тому числі:

Spyware: зомбі можна наказати контролювати і викрасти особисті або фінансові дані.

Adware: Зомбі можна дати команду завантажувати та відображати рекламні повідомлення. Деякі зомбі змушують браузери інфікованих систем відвідувати певні веб-сайти.

Спам: Більшість небажаної пошти відправляється від зомбі. Власники заражених комп’ютерів, як правило, навіть не уявляють, що їх машина використовується для скоєння злочинів.

Фішинг: Зомбі можуть використовувати комп’ютер як майданчик для розміщення фішинг-сайтів.

DoS атаки: Найбільш небезпечна загроза від мереж зомбі це організація розподіленої DoS атаки, якої важко протидіяти, оскільки один заражений комп’ютер передає іншому(і так по всій мережі) команду відсилати масові запити для організації певного перевантаження веб-сайту.

Виявлення та боротьба з Botnet‘амі

Оскільки botnet-атаки використовують різні методи, необхідні різні інструменти для виявлення шкідливих програм і пом’якшення їх наслідків, в тому числі:

Анти-шкідливі програми: Анти-шкідливі програми можуть припинити дію шкідливої програми-черв’яка і заборонити користувачам завантажувати їх. Вони можуть зробити перевірку системи на наявність черв’яків, троянських коней та інших типів загроз.

IDS‘(системи виявлення вторгнень): Виявивши відхилення від звичайного трафіку в мережі, IDS може визначити початку DoS атаки, надаючи адміністратора час приймати відповідні дії, наприклад, блокувати IP-адреси, з яких відбувається атака.

IPS‘(системи запобігання вторгнень): IPS призначені приймати негайні рішення — такі, як блокування певних IP-адрес — по мірі виникнення відхилення від нормального трафіку, що, ймовірно, послабить вплив DoS атаки. ASIC (applicationspecific integrated circuit – спеціалізована інтегральна схема) на основі IPS – потужний засіб для глибокого аналізу, необхідний для виявлення і блокування DoS атаки, функціонує як автоматичний вимикач.

Honeypot: Дана технологія полягає в навмисному наданні «слабкого місця» в мережі для залучення ймовірних атак. Це може відволікти увагу мережевих черв’яків, намагаються зомбувати мережа, від критично важливих машин в мережі. Цей метод використовується для отримання раннього попередження про напад. Крім того, honeypot дає можливість експертам проаналізувати методи проникнення шкідливих програм, виявити слабкі місця в мережевій безпеці, що дозволяє правильно підібрати засоби впливу на спроби впровадження шкідливого коду або відображення DoS атаки.

Botnet‘и навряд чи коли-небудь зникнуть. Всі ознаки вказують на те, що вони з часом стануть тільки сильніше. Пильність і актуальність антивредоносных програм та прийняття невідкладних заходів з пом’якшення наслідків нападу є найкращими засобами, які можна зробити.

Джерело