Сетевой червь

Оглавление

Как IoT устройства становятся ботнет?
Что такое OSI и что мы можем предложить пользователям?
Заявленный отказ ботнета
Виды червей
Different Types of Bots
Дёшево и сердито
How Botnet Works?
Руководство по удалению руководство Botnet
- Шаг 1. Удалите Botnet и программ
- Шаг 2. Удалить из ваших браузеров Botnet
  - Удалите Botnet от Internet Explorer
  - Удаление Botnet от Mozilla Firefox
Связки эксплойтов и онлайн-сервисы
Оставаться незаметным
Этап 2. Разработка
- Этап 2.1. Бэкэнд – начинка
- Этап 2.2. Лицо бота (фронтэнд)
Как создаются ботнеты
Основные виды использования вредоносных ботнетов
- Использование ботнетов
- Мотивация хакеров

Как IoT устройства становятся ботнет?

Никто не делает бизнес через беспроводную камеру видеонаблюдения, которую они ставят на заднем дворе, чтобы наблюдать за кормушкой для птиц. Но это не означает, что устройство не способно выполнять необходимые сетевые запросы. Мощь IoT-устройств в сочетании со слабой или плохо настроенной безопасностью создает возможность для вредоносных программ ботнетов нанимать новых ботов в коллектив. Всплеск в устройствах интернет вещей привел к новой возможности для DDoS-атак, так как многие устройства плохо настроены и уязвимы.

Чтобы снизить риск, устройства интернет-вещей с устаревшим микропрограммным обеспечением следует обновить, поскольку учетные данные по умолчанию обычно остаются неизменными с момента первоначальной установки устройства. Многие производители оборудования не заинтересованы в том, чтобы сделать свои устройства более безопасными, поэтому уязвимость, создаваемая вредоносными программами ботнетов для устройств IoT, остается нерешенным риском для безопасности.

Как отключить существующую сеть ботнет:

Отключение центров управления ботнета: Ботнеты, разработанные с использованием схемы управления, могут быть легко отключены после идентификации центров управления. «Отсечение головы» в точках отказа может вывести всю бот-сеть из строя. В результате системные администраторы и сотрудники правоохранительных органов сосредотачиваются на закрытии центров управления этими ботнетами. Этот процесс сложнее, если командный центр работает в стране, где правоохранительные органы менее способны или готовы вмешаться.
Устранение инфекции на отдельных устройствах: Для отдельных компьютеров стратегии восстановления контроля над машиной включают запуск антивирусного программного обеспечения, переустановку программного обеспечения из безопасной резервной копии или запуск с чистой машины после переформатирования системы. Для устройств IoT, стратегии могут включать в себя процедуры прошивки, выполняется сброс или иное форматирование устройства. Если эти опции неосуществимы, другие стратегии могут быть доступны от производителя устройства или системного администратора. Как защитить устройства от попадания в ботнет:
Создание безопасных паролей Для многих уязвимых устройств уменьшение риска попадания в ботнет может быть так же просто, как изменение учетных данных администратора на что-то другое, кроме имени пользователя и пароля по умолчанию. Создание сложного пароля делает взлом системы сложным, создание очень сложного пароля делает взлом практически невозможным. Например, устройство, зараженное вредоносной программой Mirai, будет сканировать IP-адреса в поисках отвечающих устройств. Как только устройство ответит на запрос ping, бот попытается войти на это найденное устройство с заданным списком учетных данных по умолчанию. Если пароль по умолчанию был изменен и был реализован сложный пароль, бот сдастся и продолжит искать более уязвимые устройства.
Разрешить только доверенное выполнение стороннего кода Если мобильный телефон использует программные обеспечения, нужно разрешить работать только приложениям из белого списка, для большего контроля, чтобы не происходил запуск программных приложений считающимися вредоносными. Это в первую очередь зависит от наличия безопасного ядра, которого нет на большинстве устройств интернет-вещей, и более применимо к компьютерам, на которых выполняется программное обеспечение сторонних производителей.
Периодическая очистка/восстановление системы Восстановление системы до установленного состояния удалит любую грязь, собранную системой, включая программное обеспечение ботнет. Эта стратегия, при использовании в качестве превентивной меры, гарантирует, что даже тихо работающее вредоносное ПО выбрасывается с мусором.
Внедрите хороших методов фильтрации входа и выхода Другие более продвинутые стратегии включают методы фильтрации на сетевых маршрутизаторах и брандмауэрах. Принцип безопасного сетевого дизайна — это многослойность: есть наименьшее ограничение на общедоступные ресурсы, в то же время постоянно повышая безопасность для вещей, которые считается конфиденциальными. Кроме того, все, что пересекает эти границы, должно быть тщательно изучено: сетевой трафик, USB-накопители и т. д. Практика качественной фильтрации повышает вероятность того, что вредоносные программы DDoS и их методы распространения и связи будут пойманы перед входом или выходом из сети.

https://youtube.com/watch?v=Gy2xfaxMfp0

Что такое OSI и что мы можем предложить пользователям?

OSI происходит от аббревиатуры INCIBE Интернет-пользователь Безопасность Office. Если вы не знаете, INCIBE — это Национальный институт кибербезопасности, который является организацией, одобренной правительством Испании. Это указывает на то, что обе страницы являются доверенными. Его цель — предложить нам информацию и поддержку, необходимые для решения проблем безопасности, которые могут возникнуть при работе в Интернете. Поэтому они стремятся к тому, чтобы пользователи усвоили хорошие привычки в области безопасности, научились осознавать свою ответственность в отношении безопасности и чтобы количество и серьезность инцидентов безопасности, с которыми сталкиваются пользователи Интернета, были сведены к минимуму.

Так, например, мы можем быть в курсе последних уведомления о безопасности

Это пример с предупреждениями системы безопасности, оцененными по уровню важности

У нас также есть кампании это может помочь нам повысить осведомленность и повысить безопасность. Помимо ресурсов с серией руководств по настройке наших устройств, OSI предлагает техническую поддержку, по которой вы можете бесплатно позвонить. Еще один интересный вариант — образовательные игры, в которых вы можете учиться, играя, например, Trivial of cybersecurity.

Кроме того, он предлагает ряд услуг, которые могут помочь защитить наше оборудование и устройства:

Служба AntiBotnet, чтобы проверить, является ли ваш IP-адрес частью ботнета.
Расширения браузера AntiBotnet.
Приложение Conan Mobile.

Мы поговорим о них по отдельности позже, но начнем с вопроса о ботнете.

Заявленный отказ ботнета

25 сентября 2007 г. было подсчитано, что обновление Microsoft для средства удаления вредоносных программ для Windows (MSRT) могло помочь уменьшить размер ботнета до 20%. Новый патч, по заявлению Microsoft, удалил Storm примерно из 274 372 зараженных систем из 2,6 миллиона просканированных систем Windows. Однако, по словам старшего персонала службы безопасности в Microsoft, «180 000+ дополнительных машин, которые были очищены MSRT с первого дня, скорее всего, будут домашними пользовательскими машинами, которые не были особенно включены в повседневную работу ботнета« Шторм »», что указывает на то, что очистка MSRT могла быть в лучшем случае символической.

По состоянию на конец октября 2007 года в некоторых отчетах указывалось, что ботнет Storm терял размер своего Интернет-следа и был значительно уменьшен в размерах. Брэндон Энрайт, аналитик по безопасности из Калифорнийского университета в Сан-Диего , подсчитал, что размер ботнета к концу октября упал до примерно 160 000 скомпрометированных систем по сравнению с предыдущим расчетным максимумом Энрайт в июле 2007 года в 1 500 000 систем. Однако Энрайт отметил, что состав ботнета постоянно менялся и что он по-прежнему активно защищался от атак и наблюдения. «Если вы исследователь и слишком часто попадаете на страницы, на которых размещено вредоносное ПО… существует автоматизированный процесс, который автоматически запускает против вас отказ в обслуживании », — сказал он и добавил, что его исследование вызвало атаку ботнета Storm. это отключило часть сети Калифорнийского университета в Сан-Диего.

Сообщается, что компания McAfee, занимающаяся компьютерной безопасностью, заявила, что Storm Worm станет основой будущих атак. Крейг Шмугар, известный эксперт по безопасности, обнаруживший червя Mydoom , назвал ботнет Storm законодателем мод, что привело к тому, что преступники стали чаще использовать подобную тактику. Один такой производный ботнет получил название «Спамовая банда знаменитостей» из-за использования в них тех же технических инструментов, что и контроллеры ботнета Storm. Однако, в отличие от сложной социальной инженерии, которую операторы Storm используют для соблазнения жертв, спамеры Celebrity используют предложения обнаженных изображений знаменитостей, таких как Анджелина Джоли и Бритни Спирс . Эксперты по безопасности Cisco Systems заявили в отчете, что, по их мнению, ботнет Storm останется критической угрозой в 2008 году, и заявили, что, по их оценкам, его размер остается в «миллионах».

По состоянию на начало 2008 года ботнет Storm также обнаружил деловую конкуренцию в своей черной экономике в виде Nugache, еще одного подобного ботнета, который был впервые обнаружен в 2006 году. Отчеты показали, что между операторами обоих ботнетов может идти ценовая война, за продажу своего спама. Доставка по электронной почте. После рождественских и новогодних праздников 2007–2008 гг. Исследователи немецкого проекта Honeynet сообщили, что ботнет Storm за эти праздники мог увеличиться в размерах до 20%. Согласно отчету MessageLabs Intelligence от марта 2008 г., более 20% всего спама в Интернете исходит от Storm.

Виды червей

В зависимости от путей проникновения в операционную систему черви делятся на:

Почтовые черви (Mail-Worm) — черви, распространяющиеся в формате сообщений электронной почты. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.
IM черви (IM-Worm) — черви, использующие интернет-пейджеры. Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
P2P черви (P2P-Worm) — черви, распространяющееся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
Черви в IRC-каналах (IRC-Worm). У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
Сетевые черви (Net-Worm) — прочие сетевые черви, среди которых имеет смысл дополнительно выделить интернет-черви и LAN-черви
- Интернет черви — черви, использующие для распространения протоколы Интернет. Преимущественно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP
- LAN-черви — черви, распространяющиеся по протоколам локальных сетей

Different Types of Bots

Here is a list of the most used bots on the Internet today, their features, and command set.

XtremBot, Agobot, Forbot, Phatbot

These are currently the best known bots with more than 500 versions on the Internet today. The bot is written with C++ with cross platform capabilities as a compiler and GPL as the source code. These bots can range from the fairly simple to highly abstract module-based designs. Because of its modular approach, adding commands or scanners to increase its efficiency in taking advantage of vulnerabilities is fairly easy. It can use libpcap packet sniffing library, NTFS ADS, and PCRE. Agobot is quite distinct in that it is the only bot that uses other control protocols besides IRC.

UrXBot, SDBot, UrBot, and RBot

Like the previous bot types, these bots are published under GPL. Unlike the above mentioned bots, these bots are less abstract in design and written in rudimentary C compiler language. Although its implementation is less varied and its design less sophisticated, these type of bots are well known and widely used on the Internet.

GT-Bots and mIRC based bots

These bots have many versions on the Internet mainly because mIRC is one of the most used IRC client for Windows. GT (global threat) is the common name for bots scripted with mIRC. GT-bots use the mIRC chat client to launch a set of binaries (mainly DLLs) and scripts. Their scripts often have the file extensions .mrc.

Дёшево и сердито

Как видим, вложения в создание и эксплуатацию «бюджетного» ботнета в течение первого месяца составляют всего 606 долларов. Совершенно смешная сумма, доступная практически каждому, — особенно по сравнению с потенциальной выгодой. И такая дешевизна вовсе не означает неэффективности.

Несмотря на то что все основные ботнет-платформы хорошо известны и антивирусным компаниям, и специалистам по безопасности, они прекрасно маскируются при помощи доступных крипторов и дропперов, а постоянно совершенствующиеся наборы эксплойтов способны инфицировать практически любую машину. По данным сайта ZeusTracker, в среднем антивирусное ПО распознаёт код чуть более 38 процентов установленных ботнетов на платформе ZeuS. Так что всё это действительно работает, и мошенники по всему миру активно пользуются ботнетами. Разумеется, сети, управляемые непрофессионалами, намного быстрее раскрываются, в том числе и правоохранительными органами, но от этого число желающих обмануть судьбу не уменьшается.

Во всей этой истории пугает вовсе не дешевизна «входного билета» в мир современной киберпреступности и даже не то, что для создания собственного ботнета больше не требуется даже элементарных навыков программирования. Пугает то, с какой лёгкостью люди нажимают странные ссылки и заходят на случайные сайты. А ведь именно это остаётся основным способом заражения компьютера и превращения его в боевую единицу сети роботов, управляемой злоумышленниками.

How Botnet Works?

The word botnet is derived from two words robot and network. Botnet malware infects vulnerable devices connected to the internet. Botnets aim to attack multiple device connected to across a network; They then exploit the system resources and power of the infected devices to generate automated tasks concealed from the users of the devices.

The typical botnet architecture is built in such a way that the infection is carried by Trojan horses. It scans the target system for vulnerabilities, outdated security applications to possibly pass on the infection. Once a successful number of infections are carried by, attackers take control over the bots through two different methods

Client/Server approach implements the use of Command-and-Control Server to send commands instantly to infect target devices via Internet Relay Chat.

The other method involves the use of peer- to-peer network to take control of the bots. The infected devices are programmed to check for malicious websites or for any other malware infected devices within the same network. This will enable the bots to share the latest commands or versions of the botnet malware.

Руководство по удалению руководство Botnet

Шаг 1. Удалите Botnet и программ

Windows XP

Откройте меню Пуск и выберите Панель управления
Выберите Установка и удаление программ
Выберите нежелательные приложения
Нажмите кнопку Удалить

Windows 7 и Vista

Нажмите кнопку Пуск и выберите Панель управления
Перейти к Uninstall Программа
Щелкните правой кнопкой мыши на подозрительное программное обеспечение
Выберите Удалить

Windows 8

Переместить курсор в левом нижнем углу
Щелкните правой кнопкой мыши и откройте панель управления
Выберите Удаление программы
Удаление нежелательных приложений

Шаг 2. Удалить из ваших браузеров Botnet

Удалите Botnet от Internet Explorer

Откройте IE и нажмите на значок шестеренки
Выберите пункт Управление надстройками
Удаление ненужных расширений
Изменить домашнюю страницу: значок шестеренки → свойства обозревателя (вкладка «Общие»)
Сброс вашего браузера: значок шестеренки → свойства обозревателя (дополнительно)
Нажмите кнопку Сброс, установите флажок и нажмите кнопку Сброс снова

Удаление Botnet от Mozilla Firefox

Откройте Mozilla и нажмите на меню
Выберите пункт дополнения и перейти к расширения
Выберите нежелательные дополнения и нажмите кнопку Удалить
Сброс Mozilla: Сведения об устранении неполадок → Alt + H
Нажмите кнопку Сброс Firefox, подтвердите его и нажмите кнопку Готово

Связки эксплойтов и онлайн-сервисы

Чтобы проникнуть на машину жертвы и сделать её ботом, необходимо обойти стандартную и антивирусную защиту. Для этого применяются специальные программы — эксплойты, использующие уязвимости в браузере, операционной системе или другом ПО для получения удалённого контроля над системой.

Обычный способ заражения для большинства ботнетов — это использование гиперссылок в почтовом спаме или открываемых вместе с основной рекламных страниц, заполненных множеством баннеров. Всего один клик по такой ссылке приводит к редиректу на узел ботнета, где распознаётся тип ПО и оборудования клиента, после чего на него отправляются подходящие эксплойты.

Эксплойты продаются наборами или «связками» либо предоставляются в качестве онлайновой услуги. Популярный пакет Phoenix можно приобрести за 120 долларов плюс 38 долларов в месяц за обновления и техническую поддержку, онлайновый сервис BlackHole обойдётся в 50 долларов в день либо в 1500 за годовую лицензию при установке на сервер заказчика.

Цена — 120 долларов за набор плюс 38 долларов в месяц за поддержку и обновления

Оставаться незаметным

Три основные задачи бот-сетей – это рассылка спама, проведение атак типа «отказ в обслуживании» и добыча различных криптовалют, таких как биткойн (реже) или ethereum (чаще).

Во всех трёх случаях разумно запрограммированные боты пытаются вести себя незаметно: например, бот-сеть, состоящая из сотен тысяч спам-ботов, может относительно незаметно рассылать большие объёмы спама, если каждый отдельный участник отправляет только небольшое количество спамовых писем в день.

В случае атак типа отказа в обслуживании (DoS), а точнее распределенного отказа в обслуживании (DDoS), то есть парализации служб, достаточно, например, от каждого отдельного компьютера открыть несколько десятков TCP-соединений и использовать их для очень медленной загрузки данных. Каждый отдельный участник ботнета не замечает используемую полосу пропускания (крошечную долю от DSL-соединения), а также нет никакой опасности достичь предела количества TCP-соединений.

Боты для майнинга пытаются снизить нагрузку на систему, когда обнаруживают, что пользователь в данный момент взаимодействует с системой или, например, ноутбук работает от батареи.

Верный признак заражения: когда вы подходите к своему компьютеру, а он громко шумит вентиляторами, вы задаётесь вопросом, что вызывает высокую нагрузку, и сразу после входа в систему обнаруживаете, что всё в порядке, а вентиляторы уже затихли – обычно вы забываете поискать причину, а бот может майнить криптовалюты в течение недель или месяцев, что вызывает довольно заметные затраты на электроэнергию.

Ещё одним шагом к большей незаметности является установка с обычными правами пользователя (не с правами администратора): ни спам-боты, ни DDoS-боты не требуют повышенных прав. Часто бывает достаточно запустить программное обеспечение через автозапуск реестра. Особенно с программами для майнинга криптовалют, нет никакой разницы между законным (то есть для вашего собственного кошелька) и незаконным инструментом для программного обеспечения безопасности.

Этап 2. Разработка

Каждый бот имеет две части – фронтэнд и бэкэнд. Поговорим о каждой из них.

Этап 2.1. Бэкэнд – начинка

Бэкэндом называют программную часть продукта, в которой прописан алгоритм поведения виртуального помощника. По нему будет работать бот.

Чтобы написать бота с нуля, потребуется разобраться в языке программирования. Необходим тот, который будет поддерживать Web API — программный интерфейс приложения.

Как мы уже говорили выше, сейчас большая часть из них пишется при помощи Javascript и Python — это языки программирования, которые нужно изучить перед тем, как начинать создавать своего бота. Сами боты работают на основе Node.js и PHP — платформах, которые обеспечивают выполнение сценариев бота.

Вот несколько популярных:

Chatfuel. Англоязычная платформа средней сложности. Созданный бот может быть интегрирован с базой данных, принимает оплату, может учиться даже в бесплатном тарифе. Платный тариф — 15 долларов в месяц.
manychat.com. Можно легко создать бота за минуты. Помогает автоматизировать маркетинг, создать мини-воронки и календарную рассылку. Бесплатный.
onsequel.com. Сложный англоязычный интерфейс. С помощью шаблонов можно создавать персональных и публичных ботов. В процессе создания можно проверить его работоспособность и внешний вид в мессенджере. Бесплатный. ;
botmother.com. Русскоязычный, для легкого создания ботов по продуманному алгоритму. Через него можно сделать бота, который сможет принимать оплату и заказы, информационного бота. Платный, около 15 долларов в месяц.

Когда бэкэнд будет готов, он собирается с фронтэндом, о котором мы сейчас поговорим.

Вот так выглядит начало сборки в бэкэнд через сайт manychat.com:

Как собирается Manychat

Этап 2.2. Лицо бота (фронтэнд)

Обычно фронтэнд реализуют через сайты, мессенджеры или социальные сети. Вот несколько популярных и известных платформ, где бота можно встретить чаще всего:

Facebook messenger. Это одна из наиболее развитых платформ, которую посещают более 1,2 миллиардов людей в месяц, а также более 100 000 ботов. Под эту соцсеть разработали множество самых разных ботов от регистрации на рейс до оформления платежей.
Viber. В этом мессенджере можно наладить постоянное общение с клиентами. Здесь чаще всего работает интерактивное общение между людьми и ботами. Можно собрать рассылку, которая принесет заработок.
Telegram. Один из самых популярных среди мессенджеров для ботов. Здесь можно найти помощников от «Сбербанка», «Почты России», издания «Медуза» и многих других. Функционал, который поддерживается в этой системе, огромный, сравнимый с Фейсбуком.
«ВКонтакте». Для этого приложения боты создаются через API. Общаться с клиентами можно от лица сообщества, а не только от имени обычных людей. Можно отправлять не только текст, но и фото, видео, другие файлы. Много вариантов взаимодействия, но некоторых кнопок нет, как и шаблонов уведомлений.

Чтобы создать бота, нужно выбрать платформу, пройти регистрацию и выполнить все шаги. Часть платформ позволяет создавать ботов быстро из шаблонов, но и бот получится простым. Для более сложных ботов лучше привлечь программиста, который напишет его на специальном языке.

Можно заказать создание бота или готового простого бота в компаниях, которые на этом специализируются. Они помогут создать и интегрировать бота на сайт или в переписку с пользователями.

Чтобы написать бота самому, нужно воспользоваться шаблонами на платформах или изучить языки программирования. На это уйдет намного больше времени, поэтому, если знаний нет, то лучше воспользоваться услугами компании, которая может сделать бота.

Как создаются ботнеты

Чтобы заставить потенциальную жертву установить бот, используют приемы социальной инженерии. Например, предлагают посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла пользователь, конечно, не сможет посмотреть никакого видео и скорее всего не заметит вообще никаких изменений, а его ПК окажется заражен и станет покорным слугой, выполняющим все команды хозяина ботнета.

Вторым широко используемым методом заражения ботами является drive-by-загрузка. При посещении пользователем зараженной веб-страницы на его компьютер через различные «дыры» в приложениях – прежде всего в популярных браузерах – загружается вредоносный код. Для эксплуатации слабых мест используются специальные программы – эксплойты. Они позволяют не только незаметно загрузить, но и незаметно запустить вирус или бот. Такой вид распространения вредоносного ПО наиболее опасен, ведь, если взломан популярный ресурс, заразятся десятки тысяч пользователей!

Бот можно наделить функцией самораспространения по компьютерным сетям. Например, он может распространяться путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети.

Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, веб-соединение или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить своему хозяину доход. Причем этот доход находится в линейной зависимости от устойчивости зомби-сети и темпов ее роста.

Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по ссылкам на размещенных в Интернете объявлениях. Для владельцев ботнета обман таких компаний является прибыльным занятием. Для примера можно взять известную сеть Google AdSense. Входящие в нее рекламодатели платят Google за клики по размещенным объявлениям в надежде, что заглянувший «на огонек» пользователь что-нибудь у них купит.

Google в свою очередь размещает контекстную рекламу на различных сайтах, участвующих в программе AdSense, платя владельцу сайта процент с каждого клика. Увы, не все владельцы сайтов честные. Имея зомби-сеть, хакер может генерировать тысячи уникальных кликов в день – по одному с каждой машины, чтобы не вызывать особых подозрений у Google. Таким образом, деньги, потраченные на рекламную компанию, перетекут в карман к хакеру. К сожалению, не было еще ни одного случая, когда за подобные акции кого-либо привлекали к ответственности. По данным компании Click Forensics, в 2008 году порядка 16–17% всех переходов по рекламным ссылкам были поддельными, из них минимум треть генерировалась ботнетами. Выполнив несложные вычисления, можно понять, что в прошлом году владельцы ботнетов «накликали» 33 000 000 долларов. Неплохой доход от щелчков мышью!

Основные виды использования вредоносных ботнетов

Основной характеристикой ботнетов является объединение нескольких отдельных машин, иногда очень многочисленных, что делает желаемую деятельность более эффективной (поскольку у нас есть возможность использовать много ресурсов), но ее также труднее остановить.

Использование ботнетов

Вредоносные ботнеты в основном используются для:

Рассылка спама о незаконной торговле или манипулировании информацией (например, ценами на акции);
Осуществлять фишинговые операции ;
Выявлять и заражать другие машины, распространяя вирусы и вредоносные программы ( вредоносное ПО );
Участвовать в групповых атаках типа «отказ в обслуживании» ( DDoS );
Генерировать оскорбительные клики по рекламной ссылке на веб-странице ( мошенничество с кликами );
Сбор информации о скомпрометированных машинах (кража и последующая перепродажа информации);
Использовать вычислительную мощность машин или выполнять распределенные вычислительные операции, в частности, для взлома паролей ;
Украсть пользовательские сеансы путем заполнения учетных данных ;
Осуществлять незаконные торговые операции, управляя доступом к сайтам продаж запрещенных или контрафактных продуктов с помощью быстрых , одно- или двухпоточных методов или методов RockPhish;
Майнинг криптовалют , например биткойнов .

Мотивация хакеров

Спам : чтобы отправлять больше писем.

DDoS : отправьте больше атак на сервер, чтобы он перестал работать.

Брутфорс : поиск пароля быстрее.

Экономическая мотивация

Экономический аспект имеет первостепенное значение: размер ботнета, а также возможность простого контроля являются элементами, которые способствуют привлечению преступной деятельности, как для владельца ботнета (иногда называемого «нарушителем» или «ботмастером»), так и для пользователи, которые чаще всего пользуются услугами ботнета для выполнения конкретной задачи (рассылка спама, компьютерные атаки, отказ в обслуживании, кража информации и т. д.). В апреле 2009 года ботнет из 1 900 000 машин, обнаруженный компанией Finjian, приносил ее «ботмастерам» ориентировочный доход в 190 000 долларов в день.

Идеологическая мотивация

Помимо экономического аспекта, компьютерные атаки могут стать оружием пропаганды или возмездия, особенно во время вооруженных конфликтов или во время символических событий. Например, во время конфликта между Россией и Грузией в 2008 году грузинская сеть подверглась множественным атакам (чтобы сделать ее недоступной или взломать официальные сайты). В 2007 году было совершено крупное нападение на Эстонию : пираты мотивировались сносом памятника русским солдатам из центра эстонской столицы. Считается, что в начале 2010 года Вьетнам стоял за ботнетом, направленным на подавление политического инакомыслия.

Личная мотивация

Месть или шантаж также могут быть частью мотивации злоумышленников, причем финансовый аспект не обязательно имеет первостепенное значение: плохо оплачиваемый сотрудник или проигравшие онлайн-игроки могут стремиться отомстить работодателю или победителю игры.