Ботнет сети: как это работает и как на них зарабатывают
Атаки ботнета Mirai на американского DNS-провайдера Dyn в 2016 году вызвали широкий резонанс и привлекли повышенное внимание к ботнетам. Однако, по сравнении с тем, как современные киберпреступники используют ботнеты сегодня, атаки на компанию Dyn могут показаться детскими шалостями. Преступники быстро научились использовать ботнеты для запуска сложных вредоносных программ, позволяющих создавать целые инфраструктуры из зараженных компьютеров и других устройств с выходом в Интернет для получения незаконной прибыли в огромных масштабах.
В последние годы правоохранительные органы добились определенных успехов в борьбе с преступной деятельностью, связанной с использованием ботнетов, но пока этих усилий, конечно же, недостаточно, чтобы пробить достаточную брешь в ботнетах под управлением киберпреступников. Вот несколько известных примеров:
- Министерство юстиции США предъявило обвинение двум молодым людям за их роль в разработке и использовании ботнета Mirai: 21-летнему Парасу Джа (Paras Jha) и 20-летнему Джошуа Вайту (Josiah White). Их обвиняют в организации и проведении DDoS-атак на компании, а затем требовании выкупа за их прекращение, а также по продаже этим компаниям «услуг» по предотвращению подобных атак в будущем.
- Испанские власти в рамках трансграничной операции по запросу США арестовали жителя Санкт-Петербурга Петра Левашова, известного в киберпреступных кругах как Peter Severa. Он управлял Kelihos, одним из самых долго существовавших в Интернете ботнетов, который, как оценивается, заразил около 100 тыс. компьютеров. Помимо вымогательства, Петр Левашов активно использовал Kelihos для организации спам-рассылок, беря по $200–$500 за миллион сообщений.
- В прошлом году два израильских тинэйджера были арестованы по обвинению в организации DDoS-атак за вознаграждение. Пара успела заработать около $600 тыс. и провести порядка 150 тыс. DDoS-атак.
Как работает ботнет?
Ботнеты представляют собой компьютерные сети, состоящие из большого количества подключенных к Интернету компьютеров или других устройств, на которых без ведома их владельцев загружено и запущено автономное программное обеспечение — боты. Интересно, что первоначально сами боты были разработаны как программные инструменты для автоматизации некриминальных однообразных и повторяемых задач. По иронии судьбы, один из первых успешных ботов, известный как Eggdrop, и созданный в 1993 году, был разработан для управления и защиты каналов IRC (Internet Relay Chat) от попыток сторонних лиц захватить управление ими. Но криминальные элементы быстро научились использовать мощь ботнетов, применяя их как глобальные, практически автоматические системы, приносящие прибыль.
За это время вредоносное программное обеспечение ботнетов значительно развилось, и сейчас может использовать различные методы атак, которые происходят одновременно по нескольким направлениям. Кроме того, «ботэкономика», с точки зрения киберпреступников, выглядит чрезвычайно привлекательно. Прежде всего, практически отсутствуют затраты на инфраструктуру, так как для организации сети из зараженных машин используются скомпрометированные компьютеры и другое оборудование с поддержкой выхода в Интернет, естественно, без ведома владельцев этих устройств. Эта свобода от вложений в инфраструктуру означает, что прибыль преступников будет фактически равна их доходу от незаконной деятельности. Помимо возможности использовать столь «выгодную» инфраструктуру, для киберпреступников также чрезвычайно важна анонимность. Для этого при требовании выкупа они, в основном, используют такие «не отслеживаемые» криптовалюты, как Bitcoin. По этим причинам ботнеты стали наиболее предпочитаемой платформой для киберкриминала.
С точки зрения реализации различных бизнес-моделей, ботнеты являются прекрасной платформой для запуска различной вредоносной функциональности, приносящей киберпреступникам незаконный доход:
- Быстрое и масштабное распространение электронных писем, содержащих программы-вымогатели, требующие выкуп.
- Как платформа для накручивания числа кликов по ссылке.
- Открытие прокси-серверов для анонимного доступа в Интернет.
- Осуществление попыток взлома других интернет-систем методом полного перебора (или «грубой силы»).
- Проведение массовых рассылок электронных писем и осуществление хостинга подложных сайтов при крупномасштабном фишинге.
- Увод CD-ключей или других лицензионных данных на программное обеспечение.
- Кража персональной идентификационной информации.
- Получение данных о кредитных карточках и другой информации о банковском счете, включая PIN-коды или «секретные» пароли.
- Установка клавиатурных шпионов для захвата всех данных, которые пользователь вводит в систему.
Как создать ботнет?
Важным фактором, способствующим популярности использования ботнетов среди киберпреступников в наше время, является та относительная легкость, с которой можно собрать, поменять и усовершенствовать различные компоненты вредоносного программного обеспечения ботнета. Возможность для быстрого создания ботнета появилась еще в 2015 году, когда в общем доступе оказались исходные коды LizardStresser, инструментария для проведения DDoS-атак, созданного известной хакерской группой Lizard Squad. Скачать ботнет для проведения DDOS атак сегодня может любой школьник (что они уже и делают, как пишут новостные издания по всему миру).
Легко доступный для скачивания и простой в использовании код LizardStresser содержит некоторые сложные методы для осуществления DDoS-атак: держать открытым TCP-соединения, посылать случайные строки с мусорным содержанием символов на TCP-порт или UDP-порт, или повторно отправлять TCP-пакеты с заданными значениями флагов. Вредоносная программа также включала механизм для произвольного запуска команд оболочки, что является чрезвычайно полезным для загрузки обновленных версий LizardStresser с новыми командами и обновленным списком контролируемых устройств, а также для установки на зараженное устройство другого вредоносного программного обеспечения. С тех пор были опубликованы исходные коды и других вредоносным программ для организации и контроля ботнетов, включая, в первую очередь, ПО Mirai, что драматически уменьшило «высокотехнологический барьер» для начала криминальной активности и, в то же время, увеличило возможности для получения прибыли и гибкости применения ботнетов.
Как интернет вещей (IoT) стал клондайком для создания ботнетов
С точки зрения количества зараженных устройств и генерируемого ими во время атак трафика, взрывоподобный эффект имело массовое использование незащищенных IoT-устройств, что привело к появлению беспрецедентным по своим масштабам ботнетов. Так, примеру, летом 2016 года до и непосредственно во время Олимпийских Игр в Рио-де-Жанейро один из ботнетов, созданный на основе программного кода LizardStresser, в основном использовал порядка 10 тыс. зараженных IoT-устройств (в первую очередь — веб-камеры) для осуществления многочисленных и продолжительных во времени DDoS-атак с устойчивой мощностью более 400 Гбит/с, достигшей значения 540 Гбит/с во время своего пика. Отметим также, что, согласно оценкам, оригинальный ботнет Mirai смог скомпрометировать около 500 тыс. IoT-устройств по всему миру.
Несмотря на то, что после подобных атак многие производители внесли некоторые изменения, IoT-устройства в большинстве своем все еще поставляются с предустановленными заводскими настройками имени пользователя и пароля либо с известными уязвимостями в безопасности. Кроме того, чтобы сэкономить время и деньги, часть производителей периодически дублируют используемое аппаратное и программное обеспечение для разных классов устройств. Как результат: пароли по умолчанию, используемые для управления исходным устройством, могут быть применены для множества совершенно других устройств. Таким образом, миллиарды незащищенных IoT-устройств уже развернуты. И, несмотря на то, что прогнозируемый рост их количества замедлился (хоть и незначительно), ожидаемое увеличение мирового парка «потенциально опасных» IoT-устройств в обозримом будущем не может не шокировать (см. график ниже).
Многие IoT-устройства прекрасно подходят для неправомочного использования в составе преступных ботнетов, так как:
- В большинстве своем они неуправляемы, другими словами, работают без должного контроля со стороны системного администратора, что делает их применение как анонимных прокси чрезвычайно эффективным.
- Обычно они находятся онлайн 24×7, а значит — они доступны для осуществления атак в любое время, причем, как правило, без каких-либо ограничения по пропускной способности или фильтрации трафика.
- Они часто используют урезанную версию операционной системы, реализованную на базе семейства Linux. А вредоносное программное обеспечение ботнетов может быть легко скомпилировано для широко используемых архитектур, в основном — ARM/MIPS/x86.
- Урезанная операционная система автоматически означает меньше возможностей для реализации функций безопасности, включая формирование отчетности, поэтому большинство угроз остаются незамеченными владельцами этих устройств.
Вот еще один недавний пример, который поможет осознать ту мощь, которой могут обладать современные криминальные инфраструктуры ботнета: в ноябре 2017 года ботнет Necurs осуществил рассылку нового штамма вируса-шифровальщика Scarab. В результате массовой компании было отправлено около 12,5 млн. инфицированных электронных писем, то есть скорость рассылки составила более чем 2 млн. писем в час. К слову, этот же ботнет был замечен в распространении банковских троянов Dridex и Trickbot, а также вирусов-вымогателей Locky и Jans.
Выводы
Сложившаяся в последние годы благодатная ситуация для киберпреступников, связанная с высокой доступностью и простотой использования более сложного и гибкого вредоносного программного обеспечения для ботнетов в сочетании со значительным приростом количества незащищенных IoT-устройств, сделало криминальные ботнеты основным компонентом растущей цифровой подпольной экономики. В этой экономике есть рынки для сбыта полученных нелегальным путем данных, осуществления вредоносных действий против конкретных целей в рамках предоставления услуг по найму, и даже для собственной валюты. И все прогнозы аналитиков и специалистов по безопасности звучат крайне неутешительно — в обозримом будущем ситуация с неправомерным использованием ботнетов для получения незаконной прибыли только ухудшится.
Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!
Вечный параноик, Антон Кочуков.
Как создать свой botnet и его стоимость
Ботнеты (от англ. “robot” и “network”, то есть «сети роботов») – один из главных и популярнейших инструментов современной киберпреступности. Компьютерные сети, которые состоят из десятков, сотен тысяч и даже миллионов машин-хостов, заражённых программами-ботами, автоматически выполняют те или иные действия в интересах владельца или управляющего такой сетью.
При этом задачи, которые способен решать ботнет, могут быть самыми разными: от классических и вполне безобидных сбора адресов электронной почты и последующей рассылки спама до хищения информации к банковским счетам и коммерческого шпионажа. В России в последнее время ботнеты чаще всего используются для DDoS-атак на крупнейшие интернет-ресурсы, прежде всего оппозиционной направленности, а также на замусоривание социальных сетей пропагандистскими постингами фиктивных пользователей.
Написание программного обеспечения для функционирования ботнетов, их эксплуатация, поддержка и предоставление в аренду – крупнейший бизнес, существующий и активно развивающийся уже более 15 лет. Видимую его часть составляют полулегальные компании, продающие софт, обеспечивающие защищённый анонимных хостинг и различные криптографические услуги. Как правило, они зарегистрированы и действуют в рамках юрисдикций, гарантирующих защиту от преследований правоохранительных органов иностранных государств и неразглашение данных о клиентах таких фирм.
Практически во всех странах ведётся активная борьба с вредоносными ботнетами, и практически везде спецслужбы пользуются этими же самыми технологиями в собственных целях – не особо афишируя это, но и не слишком скрывая. Такое сосуществование объективно выгодно обеим сторонам, именно поэтому мы очень редко слышим сообщения о ликвидации крупных ботнетов, сам факт существования которых обеспечивает необходимый баланс интересов. Такие сети способны успешно функционировать длительное время, никак не обнаруживая себя.
По оценкам специалистов, средний срок жизни ботнетов, обслуживаемых высококвалифицированными специалистами, может составлять от семи месяцев до трёх лет. Согласно данным Trustwave за февраль 2013 года, в среднем до обнаружения сетевой атаки проходит более 210 дней, причём вторжение удаётся заметить не благодаря какому-то антивирусному ПО, а исключительно благодаря жалобам клиентов и вопросам, возникающим у банковских учреждений и правоохранительных органов. При этом в пяти процентах случаев сетевая атака была обнаружена спустя более трёх лет (!) после её начала.
Понятно, что таких результатов добиваются только отлично организованные группы, на которые работают профессионалы самой высокой квалификации. Услуги таких ботнетов доступны лишь крупному бизнесу и спецслужбам, причём не только из-за стоимости в десятки миллионов долларов, но и силу глубочайшей законспирированности. Между тем в мире работает огромное количество вполне эффективных сетей гораздо меньшего масштаба, ориентированных на краткосрочные атаки. Организация таких сетей по карману даже студенту, и вполне возможно, что ваш сайт за совершенно смешную сумму «положил» на неделю ваш конкурент по бизнесу.
Затраты на организацию «бюджетного» ботнета на сегодняшний день составляют всего порядка 600 долларов. При этом владелец такой сети вовсе не обязан разбираться в программировании и сетевых протоколах – за эти деньги он может получить не только свежий код, защищённый хостинг и криптографические услуги, но и круглосуточную техническую поддержку, регулярные обновления и любой другой сервис, уровню которого позавидуют иные международные корпорации.
Из чего же складывается цена «бюджетного» ботнета, и как найти людей, предоставляющих такие услуги? Вы будете смеяться, но достаточно набрать в поисковой строке браузера слово «ботнет», как вы получите огромное количество ссылок на форумы, в которых вам предложат всё, что вы только пожелаете. Специально оговоримся, что эта статья – вовсе не инструкция по ограблению банка и прочей противоправной деятельности, а лишь общее описание доступных на рынке предложений. Поэтому здесь не будет никаких прямых гиперссылок – любопытствующие без проблем отыщут все упомянутые нами продукты и услуги самостоятельно и не станут забывать о статьях 272 и 273 Уголовного кодекса РФ.
1. Защищённая виртуальная частная сеть (VPN)
Прежде чем начинать строительство ботнета, вам требуется как можно тщательнее скрыться от внимательных глаз – антивирусных компаний, специалистов по безопасности, конкурентов и, конечно, правоохранительных органов. Для этого вам нужен провайдер виртуальной частной сети (VPN), который не будет интересоваться вашим настоящим именем, который не станет никому раскрывать ваши логи по юридическим или техническим причинам и который принимает оплату через анонимные платёжные системы.
Внимательнее читайте пользовательские соглашения и правила приглянувшегося провайдера. Член хакерской группы LulzSec Коди Кретсингер был арестован только потому, что VPN-провайдер HideMyAss.com в соответствии с условиями обслуживания предоставил полиции все логи после получения официального запроса.
Типичный VPN-провайдер CryptoVPN просит за свои услуги около 25 долларов в месяц или около 200 долларов в год. Принимаются платежи через Bitcoin и прочие анонимные сервисы.
Цена – 25 долларов в месяц.
2. Надёжный хостинг
Спрятав свою сеть, нужно найти надёжное место для хостинга центра управления ботнетом. Его стоит искать там, кому всё равно, чем вы занимаетесь на их серверах и кто не будет вычищать ваш специфический софт в ходе регулярного антивирусного сканирования. Такие хостеры расположены либо в странах с либеральным отношением к компьютерному пиратству, либо в государствах, не склонных сотрудничать с иностранными правоохранительными органами.
Типичный пример – румынский хостинг HostimVse с сайтом на русском языке, предлагающий размещение сайтов с пиратским и порнографическим контентом, защищённый от атак конкурентов, претензий со стороны пользователей и недоступный для действия американского закона DMCA. Компания также предоставляет дополнительные услуги, включая защиту от DDoS-атак. Цена на выделенный сервер начинается с 30 долларов в месяц, но в правила обслуживания входят условия, позволяющие в случае обнаружения ботнет-активности аннулировать договор.
Специально для ботнетов и прочего malware существуют особые сервисы, которые обычно рекламируются исключительно через тематические форумы, а для контакта используется ICQ или Jabber. Многие из них предлагают техническую поддержку по телефону или Skype и услуги по настройке Apache.
Цена – от 50 долларов в месяц плюс плата за поддержку.
3. Надёжный домен и Fast Flux
Для надёжной связи с ботами вам потребуются доменные имена с полным доступом к настройкам DNS. Чтобы избежать быстрого выявления «командного центра» при подключении к заражённым сетям, понадобится несколько доменных имён.
Регистратор таких доменных имён не должен проявлять повышенного интереса к вашей личности и должен принимать платежи через анонимные службы.
Существенно усиливает безопасность доменов использование технологии маскировки Fast Flux, скрывающей реальные IP-адреса путём быстрого изменения (в течение нескольких секунд) IP-адреса в записи DNS на адреса из числа любых входящих в ботнет машин. В двухпоточных сетях (double-flux) используется дополнительный уровень – сервисная сеть ботов, IP-адреса которой также постоянно меняются, что обеспечивает дополнительный уровень защиты.
В отличие от доменов, услуга Fast Flux стоит немало: поддержка пяти скрытых DNS-cерверов обойдётся не менее чем в 800 долларов. Поэтому для «бюджетного» ботнета лучше начать с покупки нескольких доменных имён.
Цена – от 50 долларов за пять доменных имён.
4. Платформа и центр управления (C&C)
Существует несколько известных программных платформ для создания ботнетов – Carberp, Citadel, SpyEye, ZeuS, причём цены на них могут различаться на порядки. В частности, разработчики Carberp непосредственно перед арестом просили за комплект 40 000 долларов, а первые версии ZeuS стоили около 400. Модифицированные версии ZeuS с функциональностью руткита и набором ПО для начинающего пользователя обойдутся в 1500 долларов. Молодой конкурент ZeuS, SpyEye с набором модулей-инжектов, стоит примерно столько же.
Поскольку в 2012 году был обнародован исходный код предыдущих версий ZeuS, он стал открытым, и на рынке появилась масса предложений по продаже платформы примерно за 125 долларов с ежемесячным обновлением за 15 долларов и круглосуточной поддержкой за 25 долларов в месяц. Наконец, не составит особого труда найти «взломанные» версии некоторых платформ: вы не получите ни поддержки, ни обновлений, зато не заплатите за них ни копейки.
Цена – 125 долларов плюс 40 долларов в месяц за обновления и поддержку.
5. Наборы веб-инжектов
Популярность платформы ZeuS породила целую экосистему программных плагинов, изменяющих или дополняющих функциональность ботнета. Значительную их часть занимают так называемые инжекты – управляющие ботом модули, позволяющие отслеживать нужный тип активности в браузере и при посещении инфицированных сайтов «впрыскивающие», внедряющие в браузер необходимый код.
Существуют инжекты самого разного назначения – от почти безобидного генерирования невидимых кликов просмотра рекламных баннеров до сбора персональной информации и кражи данных онлайн-банкинга и платёжных систем. Через хакерские форумы можно приобрести целые наборы инжектов вместе с услугой по их установке и настройке.
Цена – 80 долларов за набор плюс 8 долларов в месяц за поддержку
6. Связки эксплойтов и онлайн-сервисы
Чтобы проникнуть на машину жертвы и сделать её ботом, необходимо обойти стандартную и антивирусную защиту. Для этого применяются специальные программы – эксплойты, использующие уязвимости в браузере, операционной системе или другом ПО для получения удалённого контроля над системой.
Обычный способ заражения для большинства ботнетов – это использование гиперссылок в почтовом спаме или открываемых вместе с основной рекламных страниц, заполненных множеством баннеров. Всего один клик по такой ссылке приводит к редиректу на узел ботнета, где распознаётся тип ПО и оборудования клиента, после чего на него отправляются подходящие эксплойты.
Эксплойты продаются наборами или «связками» либо предоставляются в качестве онлайновой услуги. Популярный пакет Phoenix можно приобрести за 120 долларов плюс 38 долларов в месяц за обновления и техническую поддержку, онлайновый сервис BlackHole обойдётся в 50 долларов в день либо в 1500 за годовую лицензию при установке на сервер заказчика.
Цена – 120 долларов за набор плюс 38 долларов в месяц за поддержку и обновления.
7. Крипторы и дропперы
Чтобы антивирусное ПО не обнаружило загруженные на компьютер жертвы файлы по его сигнатуре и не блокировало их, применяются так называемые крипторы, шифрующие сигнатуры трояна и связанных с ним файлов. Результат работы криптора – дроппер, способный устанавливать зашифрованные файлы в систему, в том числе модифицировать исполняемые файлы, а также скачивать дополнительные фрагменты вредоносного кода и прочие данные на инфицированную машину.
Во многих крипторах есть также функция «антипесочницы»: антивирусные программы могут помещать распознанные вирусы в так называемые «песочницы» или виртуальные машины без возможности исполнения их кода в системе. «Антипесочница» распознаёт виртуальную среду и позволяет запустить в ней лишь безвредный код, скрывая основную функциональность.
Криптор может поставляться как отдельная утилита по цене порядка 30 долларов, так и как онлайновый сервис – от 7 долларов за однократное «криптование» до 20 долларов в месяц за неограниченную лицензию и сопутствующие утилиты.
Цена – 20 долларов в месяц за криптор и утилиты.
8. Спам и услуги по социальному инжинирингу
Чтобы заставить будущих ботов нажать на нужную гиперссылку и заразить свою машину, используются разнообразные средства социальной инженерии. Классический способ – «старый добрый» спам. Вы можете просто купить базу электронных почтовых адресов либо воспользоваться услугами другого ботнета, специализирующегося на спаме. Такие ботнеты более эффективны, поскольку они переориентировались на популярные социальные сети, а также рассылки SMS и MMS, причём оплата идёт не за размещённое сообщение, а за хит.
Более изысканный вариант предполагает использование собранной другим ботнетом личной информации, чтобы заставить жертву щёлкнуть по ссылке в почтовом сообщении или в постинге в социальной сети. Такое сообщение может быть замаскировано под письмо из банка, из автосалона или автомастерской, от хостинг-провайдера, от любой сетевой службы или даже от любого из «друзей». Похитив персональную информацию одного члена социальной сети, можно включить в ботнет ещё и несколько его «френдов».
Для «бюджетного» ботнета спам остаётся лучшим выбором: это дёшево и всё ещё эффективно. Рассылка по случайному набору адресов стоит от 10 долларов за миллион писем, а по адресам, замеченным в интересе к определённой тематике, – около 50.
Цена – 50 долларов за первоначальную спам-рассылку.
Дёшево и сердито
Как видим, вложения в создание и эксплуатацию «бюджетного» ботнета в течение первого месяца составляют всего 606 долларов. Совершенно смешная сумма, доступная практически каждому, – особенно по сравнению с потенциальной выгодой. И такая дешевизна вовсе не означает неэффективности.
Несмотря на то что все основные ботнет-платформы хорошо известны и антивирусным компаниям, и специалистам по безопасности, они прекрасно маскируются при помощи доступных крипторов и дропперов, а постоянно совершенствующиеся наборы эксплойтов способны инфицировать практически любую машину. По данным сайта ZeusTracker, в среднем антивирусное ПО распознаёт код чуть более 38 процентов установленных ботнетов на платформе ZeuS. Так что всё это действительно работает, и мошенники по всему миру активно пользуются ботнетами. Разумеется, сети, управляемые непрофессионалами, намного быстрее раскрываются, в том числе и правоохранительными органами, но от этого число желающих обмануть судьбу не уменьшается.
Во всей этой истории пугает вовсе не дешевизна «входного билета» в мир современной киберпреступности и даже не то, что для создания собственного ботнета больше не требуется даже элементарных навыков программирования. Пугает то, с какой лёгкостью люди нажимают странные ссылки и заходят на случайные сайты. А ведь именно это остаётся основным способом заражения компьютера и превращения его в боевую единицу сети роботов, управляемой злоумышленниками.
Как блокировать атаки ботнетов на сайт
После пандемии COVID-19 мир предпочитает делать покупки и работать онлайн. Этим и пользуются операторы ботнетов.
Согласно исследованию Яндекс, в 2022 году более 35% российских пользователей совершали интернет-покупки 2-3 раза в месяц, 21% — один или несколько раз в неделю, 18% — один раз в месяц. Среди причин: сравнение цен, просмотр отзывов других покупателей, экономия времени, а главное — возможность сделать покупку в любое время и из любого места.
С увеличением числа интернет-покупателей, онлайн-площадок и маркетплейсов возросла и киберпреступность. Это серьезная проблема для всего цифрового мира — мошенничество в сети угрожает и пользователям, и рекламодателям, и владельцам ресурсов.
Рост числа атак ботнетов является причиной увеличения расходов на техническое обслуживание сайтов, рекламу и системы киберзащиты, может повлиять на репутацию брендов и сеет хаос в аналитических данных. Что же делать и как противостоять этой угрозе? Для начала давайте посмотрим, что это такое.
Содержание скрыть
Что такое ботнет
Ботнет (от англ. botnet) — это сеть удаленно связанных между собой зараженных пользовательских устройств. Боты — автономное компьютерное ПО, запрограммированное на выполнение определенных, часто повторяющихся задач.
Они бывают простые и сложные. Простые разрабатывались и использовались (и могут использоваться до сих пор) для выполнения одной конкретной задачи в больших масштабах. Современные, усовершенствованные, боты технически более сложные и могут выполнять несколько задач сразу и даже обучаться с помощью МО и улучшать самих себя.
Задачи могут быть любыми: отправка спама, мошенничество с банковскими картами, попытки взлома баз данных, DDoS-атаки, скликивание рекламы. Вредоносные боты предназначены для поиска уязвимостей в сетях, злоупотребления ими и нанесения ущерба.
Как правило, они связаны между собой в сеть — ботнет. Каждой такой бот-сетью управляет оператор для выполнения различных типов атак на сайты всех форм и видов.
Как создаются боты
Код для создания ботов можно легко достать в интернете. Некоторые типы стандартных роботов даже доступны бесплатно на GitHub и в других онлайн-репозиториях. Скорее всего, большинство разработчиков, изучающих код, по крайней мере хотя бы один раз за свою деятельностью создавали такой скрипт.
Злоумышленники из мира цифровых технологий могут легко настроить бота для выполнения вредоносных задач. Те, кто не умеют создавать подобные скрипты, нанимают разработчиков на специальных онлайн-платформах.
Как создается ботнет
Большинство ботнетов создаются через заражение пользовательских устройств вирусами или троянами. Их могут «разносить» мобильные приложения, расширения браузера, вредоносные спам-письма, сайты (при условии отсутствия антивируса на ПК или смартфоне).
Код бота также может быть встроен в бесплатное программное обеспечение или сайт с потоковым видео. Например, устройство может быть заражено через просмотр фильмов и сериалов на пиратских ресурсах.
Злоумышленники также могут маскировать код вредоносного программного обеспечения под самые простые элементы, такие как фотографии или ссылки на сайты. Когда пользователь открывает фото или переходит по ссылке, активируется скрытая загрузка и установка ПО на его устройство.
Киберпреступники могут сделать ботнет доступным для всех, кто хочет получить к нему доступ. И, конечно же, не бесплатно. Например, найдутся желающие провести DDoS-атаку с помощью ботнета. Как это было с сетью Mirai.
Вредоносные и полезные боты
Не все боты выполняют вредоносные функции. Их общая доля от всего интернет-трафика составляет порядка 60%. Таких роботов рассматривают, скорее, как личных помощников, поскольку они выполняют задачи в сотни раз быстрее человека.
Тем не менее, по оценкам специалистов в области кибербезопасности, 39% ботов создаются для мошеннических целей. От кражи персональных данных и рассылки спама до программ-вымогателей и распространения вирусов — вредоносные скрипты больше не являются проблемой какой-то определенной бизнес-ниши.
Это объясняет, почему компании все больше выделяют ресурсов на подключение систем кибербезопасности и стараются защитить свои сайты или рекламу от опасных ботов и вредоносных программ. Роботы будут искать и использовать малейшие уязвимости и могут нанести огромный ущерб интернет-бизнесу.
Как ботнеты атакуют сайты
Некоторые ботнеты могут выполнять множество атак одновременно: захват учетных записей, распространение вредоносного кода, генерация фальшивых лидов. Другие же предназначены только для монозадач: сбор данных с сайта, скликивание рекламы и т. д.
Вот некоторые из наиболее распространенных вредоносных атак, которые совершаются с помощью ботнетов.
Парсинг сайтов
Парсинг (также веб-скрейпинг, или скрапинг, от англ. web scraping) — головная боль и большая проблема для многих владельцев сайтов. Такие атаки предназначены для кражи (копирования) контента, электронных писем, баз данных клиентов.
Более сложные боты могут копировать каталоги интернет-магазинов за считанные секунды. Метод используется для создания сайтов-клонов и дальнейшего мошенничества. Например, лояльный к бренду пользователь может зайти на вредоносный сайт-клон и случайно оставить там свои персональные и банковские данные.
DDoS-атаки
Одной из наиболее разрушительных форм ботнет-атак является распределенный отказ в обслуживании, или DDoS. Он перегружает пропускную способность ресурса, что приводит его к сбою.
При отключении сайта злоумышленники могут использовать другие уязвимости, такие как кража данных или вставка вирусных элементов (к примеру, программ-вымогателей). DDoS-атаки также могут использоваться для нарушения работы бизнес-процессов.
«Закорзинивание» товаров из каталогов ИМ без оформления заказа
Операторы могут программировать ботов на добавление товаров ИМ в корзину. В этом случае тысячи роботов атакуют интернет-магазин, закидывают товары в корзину, но не оформляют заказ.
Таким образом, они блокируют товары и приводят других покупателей в заблуждение об их наличии. Реальные пользователи видят, что товар отсутствует, и покидают сайт.
SEO-спам
Мошенники-маркетологи могут использовать данный метод для обмана своих клиентов. С помощью бот-трафика они могут завышать SEO-показатели целевого сайта, размещать обратные ссылки без ведома владельца ресурса (через взлом, уязвимости и т. д.).
Такой спам относится к черному методу SЕО-продвижения, который может привести к положительным результатам для мошенника и в краткосрочной перспективе для сайта. Вслед за этим может последовать наложение фильтра на ресурс со стороны поисковых систем и снижение позиций.
Боты-скупщики
Используются для скупки лимитированных коллекций товаров высокого спроса. В дальнейшем злоумышленники перепродают их по завышенной цене.
Чаще всего скупают брендовые и дорогие кроссовки. Затем идут билеты на мероприятия и новые версии цифровых устройств (например, приставки PS или дорогие смартфоны). Желающие купить такие модели хоть втридорога всегда найдутся.
Мошенничество с кликами и рекламой в целом
Одно из наиболее распространенных применений ботнетов. Конкуренты и мошенники используют ботов для накрутки кликов по контекстной рекламе и просмотров баннерной. У рекламодателя увеличиваются не только расходы на оплату нецелевых переходов, но стоимость самого клика и достижения цели.
Бот-трафик не дает бизнесу развиваться, поскольку не приводит к фактическим продажам и новым клиентам. Например, в 2022 году ущерб от мошенничества с рекламой по всему миру составил более 80 млрд долларов.
Как блокировать ботнет-атаки
Цифровой мир развивается стремительно. Появляются новые технологии, и мошенники разрабатывают новые методы обмана рядовых пользователей и владельцев ресурсов.
Боты «мутируют», обзаводятся сложным кодом и функционалом для достижения максимальной эффективности. Их цель — искать малейшие уязвимости на сайтах, которые могут быть использованы для вредоносной деятельности.
Бороться с ботами становится еще сложнее, если для атак злоумышленники используют большое количество IP-адресов. Из-за этого труднее определять, где бот, а где — человек.
Вот несколько способов, с помощью которых можно блокировать бот-атаки на сайты и рекламу.
Регулярно обновляйте программное обеспечение
Мошенники регулярно вносят изменения в функционал ботов и вирусов, поэтому важно поддерживать ПО своих устройств в актуальном состоянии. Разработчики софта устраняют новые уязвимости, которые находят киберпреступники, таким образом поддерживая защиту устройства от ботнетов.
Если вы владелец сайта, то рекомендуется обновлять систему управления контентом (CMS) и всех установленных плагинов.
Используйте сложные пароли
Атаки грубой силы — наиболее распространенная форма взлома базы данных с помощью ботнет-атак. Чтобы злоумышленникам было труднее это сделать, составляйте пароли из прописных и строчных букв, цифр, используйте допустимые специальные символы. Не стоит использовать в паролях такие наборы символов, как qwerty, 123456789, admin и т. п.
Блокируйте ботов с помощью ПО
Используйте специализированные инструменты для блокировки атак со стороны ботнетов, как это уже делают многие компании по всему миру, в том числе и в России. Вот примеры борьбы с бот-трафиком клиентов сервиса Botfaqtor.
Комплексная система кибербезопасности Botfaqtor проверяет входящий трафик из поиска и по рекламе. Алгоритм сервиса анализирует все переходы по 100 техническим и поведенческим критериям, источникам и типам визитов.
Учитывается целевой, нецелевой, подозрительный и ботовый трафик. Атаки ботов на рекламу или сайт блокируются. Блокировка помогает экономить рекламный бюджет, улучшать показатели рекламы, снижать стоимость достижения цели и повышать эффективность бизнеса.
Сервис разработан специалистами в области кибербезопасности и рекламы. Он станет незаменимым инструментов веб-мастера и маркетолога, а также бизнеса любого масштаба — от малого до крупного.
Не позволяйте ботам скликивать вашу рекламу в Google Ads или Яндекс.Директ, блокируйте накрутку органического трафика, не дайте злоумышленникам «потопить» ваш сайт и снизить его рейтинг.
Попробуйте бесплатно Botfaqtor: в течение 7 дней после регистрации вам будет доступен полный функционал сервиса. Проверяйте переходы по рекламе и узнавайте реальную статистику. Узнайте, стали ли вы жертвой ботнет-атак. Не медлите, каждую минуту боты совершают по 8-12 тыс. запросов.
Возможно, вам будет интересно:
Что такое кликджекинг (clickjacking) и как от него защититься
Новая волна: накрутка прямых переходов ботами на сайтах Рунета
Об авторе
Алёна
Пишу о ботах и кибербезопасности
У вас завелся ботнет… (или как я начал бояться ФБР)
Мне нравятся ботнеты. Нет, не делать (это плохо), а изучать! Сделать ботнет, на самом деле не так сложно (сложно сделать, и при этом НЕ сесть за #). Куда более интересная задача — получить контроль над чужим ботнетом и обезвредить его.
Работая в данном направлении, я обнаружил сервер в составе ботнета, название которого мне пока неизвестно. Данный сервер имел высокие характеристики и принадлежал не очень крупному зарубежному web-хостингу. Игравший у меня в одном месте альтруизм вынудил меня сообщить об угрозе владельцам сервера. Что из этого получилось, я сегодня расскажу. Можно ли из этой истории сделать какие-либо выводы — думайте сами.
Вся переписка происходила на английском языке. В связи с большой разницей в часовых поясах беседа растянулась на несколько дней. При переводе на русский опустил часть критичной информации, при этом стараясь не потерять основной смысл.
Зайдя на сервер, и посмотрев hostname, я сразу понял, кому принадлежит данный сервер. Перейдя на главную страницу хостинга я нашел два способа связаться со службой поддержки: форма обратной связи и ссылка на чат в мессенджере. Так как я не хотел регистрироваться, то выбрал второй вариант. Перейдя по ссылке я попал в публичный чат, поэтому не стал сразу раскрывать все детали.
Я: Добрый день! я нашел узел в вашей инфраструктуре зараженный ботнетом. С кем мне можно связаться, чтобы сообщить подробности?
RM: Как он был заражен? Какие доказательства вы можете предоставить, что он заражен?
… пауза…
RM: Вы можете написать об этом @PT, но я очень сомневаюсь, что какой то из наших узлов является частью бот-сети.
Я: test1.domen.com ваш узел?
RM: О, этот узел уже не используется, скорее всего. Все web-клиенты с него были переведены на другой хостинг.
На этом диалог с @RM приостановился на время, пока я общался с @PT. Но @PT оказался не очень приветлив, на все мои предупреждения отвечал отговорками «этот сервер никем не используется» и утверждал, что помощь им не требуется. Поэтому я продолжил диалог с @RM, но уже в личном чате.
Я: На Вашем сервере есть пользователь с очень простой парой логин/пароль. Это стало точкой входа для программного обеспечения ботнета. Чтобы убедиться, что сервер действительно заражен, зайдите на него по ssh и посмотрите список запущенных процессов. Среди процессов увидите множество процессов с именем «tsm». Это и есть программное обеспечение ботнета. Чтобы избавиться от него, попробуйте удалить каталоги /tmp/.ts и /tmp/.zx, а затем перезагрузить сервер. При этом не забудьте поменять пароль.
RM: Здравствуйте, этот сервер уже offline. Так что, если там что-то и было, то уже не представляет никакой проблемы. Я ценю, что вы пытаетесь помочь, но эта машина больше не угроза
Я: Хм… Что вы скажете на счет этого?
приложенное фото, где я успешно подключился к серверу
После моего сообщения последовала пауза в несколько минут, которая придала немного драмматичности моменту.
RM: Вы ведь знаете, что совершили незаконное деяние? Это несанкционированный доступ, и я обязан уведомить об этом Compliance Department.
Я: Надеюсь, Вы понимаете что у меня не было никакого злого умысла и я просто пытаюсь вам помочь?
RM: Я понимаю, но мне все равно необходимо сообщить об этом инциденте. Вы ни в коем случае не должны были так делать. Простого ping было бы достаточно, чтобы доказать, что он онлайн.
Я: Что такое Compliance Department? Это федеральная служба или отдел вашей компании?
RM: Отдел компании.
Compliance Department занимается нарушениями условий обслуживания, жалобами и юридическими вопросами.
Я: ФБР приедет за мной? =)
RM: Нет, не думаю. Мы не сотрудничаем с этой службой.
Я: Я хочу вам немного рассказать о себе, чтобы вы поняли мои мотивы.
Я исследователь информационной безопасности (white hat). На данный момент я занимаюсь разработкой инструмента для поиска зараженных узлов ботнета и дальнейшего их анализа.
Моя программа содержит honeypot (ловушка для ботнета). Ваш сервер попал в эту ловушку, когда пытался атаковать меня. Я уже видел образцы такого вредоносного программного обеспечения, поэтому примерно знаю, как с ними бороться. Вы первый, кому я предложил свою помощь.
Я надеюсь, что этот инцидент закончится хорошо для меня и для вас.
RM: В любом случае, благодарю Вас за то что сообщили нам об этом сервере. В ближайшее время мы выведем узел из эксплуатации, как должны были сделать ранее
P. S.
На момент написания статьи сервер был доступен, но зайти на него уже было нельзя.
- ботнет
- botnet
- hosting
- information security
- информационная безопасность
- Хостинг
- Информационная безопасность