BotNet: прямая и явная угроза

Опубликовано: 00.00.0000, 00:00 Автор:
BotNet: прямая и явная угроза По мнению западных специалистов, одна из основных опасностей, которые грозят развитию Интернета, это ботнеты – сети, запущенные при помощи автономного программного обеспечения. Судя по всему, справиться с этой угрозой удастся только путем объединения усилий правительства, телекоммуникационных фирм, пользователей и авторов программного обеспечения.
В конце 1999 года веб-серверы корпораций Amazon, Yahoo!, CNN, eBay, E-Trade и ряда других, немногим менее известных, были выведены из строя, так и не справившись с огромным количеством ложных запросов множества компьютеров с разных концов света. Первые сообщения о подобных атаках появлялись уже в 1996, но всерьез о проблеме распределенных сетевых атак отказа обслуживания (DDoS) заговорили именно тогда.

С тех пор подобные атаки уже не являются сенсацией и проводятся регулярно. Например, в 2003 году была проведена атака на сайт интернет-аукциона eBay, а в 2004 году веб-сайты Google и Yahoo! были недоступны в течение двух дней.

Ход мысли злоумышленников прост: чтобы повредить атакуемой компании совсем не обязательно взламывать ее сервера и похищать информацию, достаточно перегрузить ее веб-узлы. Реализация подобной операции достаточно проста. Единственная трудность - провести атаку с одного адреса невозможно. Адрес будет блокирован. Но если запросы посылать со множества адресов, блокировка станет невозможной и узел не справится с превышающим его возможности количеством запросов.

Таким образом, атака сервера происходит при помощи большого числа других зараженных компьютеров (зомби). Зомби - это зараженный программой (или взломанный) домашний компьютер или сервер, который будет выполнять команды управляющего сервера. Зомби создаются, как правило, с использованием эксплоитов для операционной системы. Машины заражаются через веб-браузер при посещении сайтов, при получении почты или через установку программного обеспечения, содержащего трояны.

В зависимости от совершенства кода на самом зомби, они могут выполнять разные типы запросов на серверы, иногда делая себя совсем не видимыми для файрвола или сложно отличимыми от реального серфера, что, разумеется, усложняет борьбу с ними.

Количество зараженных компьютеров может составлять десятки тысяч. Сети в которые объединяются зараженные машины получили название – BotNet (сеть роботов) или, более удачное название, – ZombieNet (сеть зомби).

Таким образом, изначально BotNet - это средство для создания DDoS-атак.

Подготовительный этап создания сети зомби является, пожалуй, наиболее трудоемкой частью атаки. Создание сети-зомби начинается с взлома или создания своей сети IRC (Internet Relay Channel) серверов. Эти сервера будут дублировать работу друг друга и отсылать команды взломанным персональным компьютерам. Далее, с помощью вирусов или червей заражаются персональные компьютеры рядовых пользователей Интернет. На зараженном компьютере размещается троян - bot, который подключается к IRC серверу, ждет приказов или собирает информацию о компьютере на котором он запущен.

Очевидно, что пользователи компьютеров, с которых направляются ложные запросы, не подозревают о том, что их машина используется хакерами. Отследить распространение такой заразы крайне трудно, так как для общения клиент (bot) и сервер используют IRC, который поддерживается большим числом серверов и используется, например, для создания чатов.

Итак, перечислим основные этапы жизненного цикла сети зомби:
1. Появление нового сетевого вируса.
2. Взлом быстродействующих серверов.
3. Распространение вируса по наименее защищенным компьютерам.
4. Объединение зараженных компьютеров в сеть.
5. Использование сети.
6. Уменьшение числа зараженных машин излечиваемых антивирусными программами.

Если бы зомби-сети использовались только для DDoS-атак, ситуация была бы не столь драматической как сейчас, когда, по данным BBC, заражена четверть всех мировых компьютеров. Но в последние несколько лет особое распространение получили спам-рассылки, для которых доступ к распределенным ресурсам еще желательнее чем для DDoS атак. Спамеры готовы платить за доступ к сети зомби-машин, используя зараженные компьютеры для рассылок. А взломщики готовы создавать эти сети и продавать спамерам.

Если считать, что первые DDoS-атаки появились в 1996г, то в это же время должны были появиться и ботнеты. А значит, 10 лет борьбы с ними не привели к заметному результату. Если учесть, что основа этих сетей – наименее защищенные машины, то возможно, усилия по борьбе с использованием зомби надо было бы направить не на создание новых средств защиты, а на повышение культуры рядового пользователя Интернета.

Константин Сапронов, вирусный аналитик «Лаборатории Касперского» рассказал TelNews.ru о реальной опасности, исходящей от ботнетов, и основных методах борьбы с ними:

- Согласны ли вы с тем, что ботнеты - одна из наиболее серьезных компьютерных угроз на сегодняшний день, или их роль не так уж велика?
- Безусловно, ботнеты – одна из самых серьезных угроз современного Интернета. Киберпреступники используют бот-сети в различных целях, в том числе для рассылки спама, DDoS-атак, массовых заражений, кражи информации. Благодаря модульной технологии боты могут изменять и наращивать свой функционал. Современные вредоносные программы такого рода используют rootkit-технологии, различные пакеры, которые затрудняют их обнаружение. Для своего распространения они используют уязвимости в различных службах, bruteforce-методы и методы социальной инженерии. К тому же технологии, используемые злоумышленниками, постоянно совершенствуются.
Наша статистика, как и отчеты других компаний, занимающихся компьютерной безопасностью, говорит о том, что боты - очень распространенный вид вредоносных программ.

- Не могли бы вы назвать наиболее яркие атаки ботнетов в нашей стране? Чем они закончились?
- Одним из недавних примеров использования бот-сети является массовое заражение вирусом Virus.Win32.GpCode, которое осуществлялось через спам-рассылку. Это шантажная программа, которая шифрует важные пользовательские файлы при помощи сложного ключа, после чего пользователь получает требование уплатить определенную сумму за расшифровку его данных. Автор вируса постоянно наращивал разрядность ключа шифрования, в итоге последняя версия имела ключ длиной в 660 бит. На расшифровку такого ключа среднему домашнему компьютеру понадобилось бы около 30 лет. Правда, мы справились и с этим ключом.

- Какова вероятность обнаружения организаторов такой атаки?
- Используя определенную технику, можно сохранить анонимность в сети при проведении атак. Как правило, в успешном обнаружении авторов не последнюю роль играет человеческий фактор. Многие киберпреступники попадаются благодаря собственной неосторожности.

- Каковы наиболее эффективные методы борьбы с ботнетами?
- Есть несколько простых правил, которые нужно соблюдать рядовым пользователям, чтобы уберечься от атак киберпреступников:
1. Соблюдать осторожность при работе в Интернете и с электронной почтой, не запускать неизвестные файлы, скачанные в сети или присланные в приложениях к письмам;
2. Своевременно устанавливать обновления на используемое ПО;
3. Использовать надежные пароли;
4. Блокировать ненужные аккаунты;
5. Использовать сетевой экран (firewall) и антивирусное ПО.

Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100
Посетите наш магазин Ринстрой, выбрать аренда опалубки . Www.Rinstroy.ru.