Какой тип атак использует зомби: Атака сетевых «зомби» / Сети и коммуникации

Атака сетевых «зомби» / Сети и коммуникации

Эра ботнетов началась около одиннадцати лет назад, когда тысячи компьютеров, одновременно отправив огромный поток запросов, на некоторое время «завалили» домен microsoft.com. Постановку этих компьютеров под контроль обеспечил компьютерный вирус, укоренившийся в памяти ПК в скрытом режиме и направлявший их сетевую активность по заранее намеченному плану. Сегодня такие компьютерные сети, состоящие из множества хостов с запущенными «ботами» (автономным программным обеспечением, установленным туда с помощью компьютерных вирусов), являются эффективным оружием для нелегальной деятельности киберпреступников.

Внешний вид и составляющие

Ботнет является сетью компьютеров, работающих под частичным управлением вредоносной программы. В локальном режиме, не подключенные к сети Интернет, они совершенно безопасны, но как только осуществляется подключение к сети, все меняется с точность до наоборот — они начинают управляться киберпреступникам без ведома пользователей. Хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому такие компьютеры называют еще «зомби»-компьютерами. Подобные системы разной типологии (существует как минимум несколько десятков их типов) обладают мощными вычислительными ресурсами и являются эффективным кибероружием и, разумеется, источником финансовых потоков для злоумышленников. При этом, зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, причем полностью анонимно. Чаще всего это осуществляется с помощью мобильного ПК по беспроводной сети, причем и техника, и доступ в сеть оплачены либо наличными, либо (что чаще всего) ворованными кредитными карточками.

Типичная схема ботсети — заражая компьютеры с помощью компьютерного вируса,
их можно использовать для широкого спектра противоправных действий.

У зомби-сетей существует своя иерархия. Крупной считается сеть, в которой есть 100-200 тыс. компьютеров, небольшая — в 10 раз меньше. Больше всего небольших и средних — всего в единый момент времени в киберпространстве функционирует порядка 1,5-2 тыс. таких зомби-сетей. При этом, надо отметить, что размер ботнета определяется всего тремя факторами. Во-первых, многое зависит от эффективности той или иной технологии распространения заражения — для постановки под контроль компьютера его сначала необходимо инфицировать с помощью вирусной программы. В данном случае на первый план выходит антивирусная безопасность сетей, наличие и обновление которой позволяют снизить риск использования рабочих станций и серверов компаний в работе ботсетей. Чем выше эффективность системы безопасности, тем, разумеется, ниже вероятность того, что ваши компьютеры будут работать в зомби-сети. Во-вторых, это невидимость заражения для пользователя и срок недетектируемости такой программы, заразившей компьютер. Разумеется, чем этот срок дольше, тем лучше для злоумышленников. Ведь вредоносная программа-бот старается функционировать в системе тихо, незаметно и изо всех сил изображает, что ее здесь вообще нет. Сам компьютер интересует злоумышленников не так уж и сильно: для них главное — создавать сетевую активность для реализации своих практических задач. Кроме того, к примеру, излишняя активность той или иной рабочей станции быстрее обращает на себя внимание и администраторов, и пользователей. Ну и, в-третьих, имеет значение возраст ботнета — своего пика такая сеть достигает сразу после её создания, в течение 2-4 недель, конечно, если механизм заражения сторонних компьютеров достаточно эффективен. Но это далеко не вечное образование, подобные сети не постоянны и динамически меняют число находящихся под их контролем компьютеров.

Практика поражения

Даже простое открытие специально подготовленного документа (Word, Excel, Acrobat) или картинки на компьютере пользователя может привести к исполнению злонамеренного кода и заражению ПК. То есть потенциально, уверен Антон Разумов, консультант по безопасности Check Point, можно подцепить Backdoor, стать участником ботсети, просто посетив раскрученный ресурс (форум, Живой Журнал и пр.). Большинство современных антивирусов блокирует такие попытки заражения, но подобные средства установлены и функционируют далеко не на всех компьютерах пользователей. Кроме того, злоумышленники за последний год существенно увеличили спектр возможных путей заражения мобильных ПК и настольных рабочих станций.

Злоумышленники коренными образом
сменили тактику «вербовки»
компьютеров в ботсети.

Сегодня уже можно говорить о радикальной смене тактики при «вербовке» новых зомби-машин. «Например, семейство червей conficker, — говорит Григорий Васильев, технический директор компании ESET, — не использует социальных технологий при проникновении на компьютеры пользователя. Они берут широким спектром технических средств распространения — помимо уязвимости в ОС, заражение происходит через автозапуск на сменных носителях, по сетям p2p, через папки общего доступа». Кроме того, в 2008 году средства заражения стали все активнее перемещаться в веб, — уверен Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. — За прошедшее время основное количество атак происходило на базе взлома легитимных или создания поддельных сайтов, на которых размещалось различное вредоносное ПО или происходило принудительное перенаправление на нелегитимные сайты». «Вместе с этим, — говорит Виталий Камлюк, старший вирусный аналитик «Лаборатории Касперского», — к эффективным тактическим приемам для включения компьютеров в ботсети можно отнести использование уязвимостей в браузерах и компонентах, дополняющих их, т.е. с применением программ-мини-эксплойтов. Кроме того, вполне эффективным оружием для создания ботнетсетей являются компьютерные вирусы». К примеру, у одной из крупнейших сетей подобного рода из 1,9 млн. компьютеров, которая управляется хакерами из Украины, базовая версия вируса-трояна, используемая для вторжения в компьютеры, детектируется лишь 10% из 39 наиболее популярных в мире антивирусов. Еще одна интересная новинка недавнего прошлого — создание ботнета, организованного исключительно из компьютеров, работающих под управлением ОС MacOS. Такой результат был достигнут с помощью внедрения вредоносных программ типа OSX.Iservice.B в пиратскую копию офисного пакета iWork 09. Причем основным каналом его распространения были не интернет-сайты, а файлообменные p2p-сети. Подобную сеть из нескольких тысяч компьютеров уже используют для DDoS-атак — эта возможность появилась после запуска на компьютерах жертв PHP-скрипта с правами root. Стоит упомянуть и еще один интересный пример атаки, который был обнаружен в первом квартале этого года. Причем его целью были не «обычные» компьютеры или серверы, а недорогие модели сетевого оборудования — модемы и роутеры. Червь «psyb0t» является пока единственным приложением, разработанным специально для атаки на домашнее сетевое оборудование — на текущий момент число «подчиненных» им устройств составляет порядка 110-130 тыс. Они тоже используются для проведения DDoS-атак. Кроме того, «побочной» задачей вируса является анализ пересылаемых пакетов и сбор имен пользователей, их паролей для доступа к различным web-ресурсам — там можно найти много всего интересного. Самый печальный факт состоит в том, что автономное антивирусное ПО в сетевом оборудовании чаще всего не установлено, поэтому конечные пользователи попросту не догадываются о том, что их сеть взломали. Среди уязвимых устройств числятся те роутеры и модемы, которые используют Linux Mipsel, имеют не измененные заводские настройки в части адреса административного интерфейса (к примеру, 192.168.1.1) и доступ со стандартным паролем (admin или 111), а таких значительное количество. После того, как червь берет устройство под контроль, он закрывает к нему административный доступ легальных пользователей, блокируя telnet, sshd и доступ через web-интерфейс.

К эффективным тактическим приемам для включения компьютеров в ботсети
можно отнести использование уязвимостей в браузерах
и компонентах, дополняющих их,
т.е. с применением программ-мини-эксплойтов.

«Подобный пример, — говорит Антон Разумов, — показывает, что вирус использовал пока что только слабости парольной защиты выставляемой «по умолчанию». Но скоро обнаружатся уязвимости и в IP-стеке. По всей вероятности, можно ожидать рост числа подобных атак, поскольку многие пользователи используют недорогие сетевые устройства, создатели которых не имеют возможности уделять серьезное внимание безопасности. При этом, как было сказано, традиционный антивирус на компьютере в данном случае не поможет, а автоматически обновлять свои прошивки такие устройства, к несчастью, не умеют (да и мало кто из пользователей это регулярно делает «вручную»)». Вполне возможно, что атака на сетевые устройства, используемые в небольших мобильных офисах или дома, станет основным трендом этого года.

Число «зомби»

О количестве включенных в разнообразные ботсети компьютеров существует слишком много версий. Но мнение о том, что каждый пятый компьютер, подключенный к интернету, входит в хакерские ботсети, конечно, является преувеличением. По мнению Виталия Камлюка, их не больше 10%, учитывая, что общее количество компьютеров, подключенных в сети Интернет составляет около 1 млрд. машин. Вообще, у аналитиков на этот счет нет общей картины мира. Особенность состоит в том, — говорит Антон Разумов, — что в данном случае существует два основных варианта: либо машина защищена достаточно хорошо, и не входит ни в один ботнет, либо защищена плохо и входит сразу в несколько ботнетов. «Фактически зараженные компьютеры учитываются несколько раз, — поясняет он». Более точные данные приводит Кирилл Керценбаум — по данным аналитического Отчета Symantec Internet Security Threat Report, в 2008 году ежедневное количество регистрируемых инфицированных бот-компьютеров выросло на 31% по сравнению с 2007 годом. Примерное число таких компьютеров за годовой период составило 9,4 млн. машин, что на 1% выше, чем в предыдущий период. Но эта цифра очень нестабильная и ботсети очень динамичны; поскольку одни ПК добавляются к ним, а другие — исчезают, то очень сложно оценить относительный уровень заражения программами-ботами, однако эта цифра достоверно чуть выше 10%. В России же, уверен Григорий Васильев, ситуация более благоприятна: в нашей стране число интернет-пользователей достигает 35-40 млн., а доля зараженных машин не превышает 3-5% от этого числа.

Заработок на ботнетах

В настоящий момент злоумышленникам, которые хотят построить зомби-сеть, нужен самый минимум специальных знаний, ограниченная сумма денег и анонимный хостинг. Причем, ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление на анонимных досках объявлений или в блогах. Самые популярные из них — программные пакеты, известные как MPack, IcePack, AdPack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной web-страницы, используя уязвимости в ПО браузеров или в плагинах к ним. Такие программные пакеты называются web-системами массового заражения или просто ExploitPack.

Управлять ботсетью можно
с помощью обычного мобильного ПК по беспроводной связи.

А вот вариантов контроля ботсетей очень много, хотя и там наблюдается определенная эволюция. К примеру, IRC-ориентированные ботнеты, где управление ботами осуществляется на основе IRC (каждый зараженный компьютер соединяется с указанным в теле программы-бота IRC-сервером, заходит на определенный канал и ждет команды от своего «хозяина»), сдают свои позиции. Еще один вид ботов — правда, не очень популярных — это IM-ориентированные. Они отличаются от своих IRC-ориентированных собратьев только тем, что для передачи данных используют каналы IM-служб (Instant Messaging), например, AOL, MSN, ICQ и др. А вот наибольшую активность демонстрируют web-ориентированные боты: это относительно новая и быстро развивающаяся ветвь ботнетов, предназначенная для управления через Web. Такой бот соединяется с определенным web-сервером, получает от него команды и передает в ответ свои данные. Такие системы популярны в силу относительной легкости их разработки, большого числа возможных web-серверов в интернете, которые можно использовать как управляющий центр, а также простоты управления ботнетом через web-интерфейс. Причем, командных серверов у ботнета обычно несколько, они постоянно ротируются, поскольку в результате работы сети некоторые из них вполне естественно «выбиваются» правоохранительными органами. Совершенно отдельные сетевые хранилища используются для загрузки на компьютеры пользователей новых версий вредоносного программного обеспечения. Кроме того, существуют и другие интересные механизмы контроля. К примеру, интересный механизм рассылки инструкций зомби-компьютерам — это протокол P2P. Изначально компьютеры могут быть заражены троянской программой (к примеру, Nugache), которая распространяется при помощи AOL Instant Messenger и зараженного дистрибутива P2P-клиента LimeWire. А после этого ботнет может работать без единого контролирующего центра: отдельные сети можно организовать в пиринговую сеть: сейчас такая схема используется владельцами ботнетов чаще. Это вполне закономерно — уничтожить такой ботнет гораздо сложнее, он может распадаться на части, управление которыми может быть осуществлено отдельно. Подобные ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба. «При этом, — уверен Виталий Камлюк, — в настоящий момент владельцы ботнетов не склонны специализироваться только на одном виде «услуг», — они предлагают своим клиентам широкий выбор возможных действий. К примеру, распространяют поддельные антивирусы, которые, на самом деле, не защищают компьютеры пользователей, а предоставляют злоумышленникам «дырки» для снятия финансовой и личной информации». Такая вот «клиентцентрированность» во время финансового кризиса. Кроме того, подобные действия исполнять спокойнее и гораздо прибыльнее — владельцы подобных программ заплатят владельцу ботнета, при этом его не будут разыскивать правоохранительные органы — ведь DDoS-атаки через этот ботнет не проводились. Кроме того, отмечает Григорий Васильев, ботнеты используются и для массивной рассылки спама (куда может входить и фишинг, и другие виды атак), распространения вредоносного ПО, для расширения самой ботсети. Кстати, спам-рассылки обладают наибольшим потенциалом, с точки зрения «бизнеса» — при своей невысокой стоимости услуга востребована при любой экономической ситуации, причем ее эффект легко просчитать. В настоящее время, по данным «Лаборатории Касперского», более 80% спам-писем (которые, в свою очередь, составляют до 75% всей корреспонденции в сети) рассылается именно с зомби-машин. Еще один, наиболее очевидный вариант применения ботнета — это DDoS-атаки (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании»), хотя их тактика тоже подвержена изменению. К примеру, тот же кибершантаж, так популярный год-два назад, в результате которого атакуемый сайт платит выкуп за отказ от подобных атак в будущем, постепенно сходит на нет. Значительно больше и стабильнее деньги можно заработать на целенаправленной атаке ресурсов конкурентов по конкретному «виртуальному» заказу. Ведь большинство коммерческих компаний не готово платить 1-1,5 тыс. долларов за защиту от DDoS на постоянной основе. А когда атака состоялась, то «поднять» сайт стоит гораздо больше.

Наиболее активный тип DDoS-атак —
блокирование web-сайтов конкурентов
по конкретному «виртуальному» заказу.

Напомним, что значительная часть DDoS-атак базируется на использовании уязвимостей в основном интернет-протоколе (TCP/IP), в частности, на обработке системами запроса SYN (Synchronize sequence numbers — синхронизация номеров последовательности). Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить анонимность, применяют ложные исходные адреса для управления атакой и вполне реальные — для генерации паразитического трафика. Поскольку зомби-машин в их сетях достаточное количество, это значительно затрудняет выявление реальных авторов атаки. Кроме того, многие средства организации DDoS легко доступны и не требуют высокой квалификации пользователей для своей организации. Хотя, в целом, проведение DDoS-атаки представляет собой интересную операцию по дестабилизации работы того или иного информационного ресурса, для чего злоумышленники используют как минимум трехуровневую архитектуру, которую называют кластером DDoS. Ее основа — управляющая консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник группирует свои силы, подает сигнал о начале атаки, распределяет имеющиеся в его распоряжении ресурсы и анализирует статистику тех или иных кластеров своей ботсети. Обычно такой управляющий центр представляет собой ноутбук, подключенный к интернету с помощью мобильного телефона или спутникового канала связи: при выходе в сеть с такой машины хакеры используют всевозможные уловки от работы через анонимайзеры до маскировки реального IP, чтобы не быть обнаруженными. Второй уровень — так называемые главные компьютеры, те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-«зомби». Обычно это серверы, находящиеся в ЦОДах, владельцы которых и не подозревают о «второй жизни» своего оборудования. Таким образом, на одну управляющую консоль, в зависимости от масштабности атаки, может приходиться до нескольких сотен главных компьютеров. На третьем, низовом уровне находятся агенты -«зомбированные» ПК, своими запросами атакующие узел-цель. В отличие от главных компьютеров и управляющих консолей, их число постоянно меняется (владельцы компьютеров задействуют антивирусные средства, администраторы отключают зараженные сегменты от доступа к глобальной сети и т.д.), что заставляет злоумышленников постоянно распространять вирусы, чтобы получать всё новые бот-системы в активном режиме. Кстати, на одно из лидирующих мест выходит и фишинг — фактически создаваемая в киберспространстве незаконная копия того или иного популярного ресурса, куда пользователей «сгоняют» с помощью спам-рассылок, подменяя известный адрес web-ресурса копией. Цель вполнее понятна — сбор личных данных. Ботнет в данном случае — отмечают аналитики «Лаборатории Касперского» — дает возможность фишерам быстро менять адреса фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес web-сервера фишера. Результатом этого вида деятельности является кража конфиденциальных данных — уверен Виталий Камлюк — «улов» в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, web-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз.

Кража личных данных -
один из основных типов работы для ботнетов.

Типичные атаки подобного уровня были обнаружены еще в 2007 году, когда ботнеты проводили атаку на крупнейший онлайн-аукцион eBay. Вирус-троян загружался с зараженных сайтов на компьютеры пользователей, используя критические уязвимости в Microsoft Internet Explorer. После того, как он «укоренялся» на захваченном пользовательском компьютере, он сканировал сетевые подключения для получения порции учетных записей и паролей, которые отправлял своим хозяевам для опробования на сайте eBay.

Кто попадает в ботсети

Как отмечают эксперты, в 2008 году Россия вышла на первое место среди европейских стран по количеству управляющих ботсетями серверов — отечественные злоумышленники достаточно быстро освоили инструментарий, необходимый для создания и управления подобным оружием. Кроме того, «была отмечена тенденция разукрупнения существующих и создание новых, более мелких ботсетей, — говорит Кирилл Керценбаум. — Это связано с тем, что более мелкие ботсети намного сложнее отследить, а соответственно — заблокировать». Вместе с этим, отмечает Виталий Камлюк, подобная тактика позволяет атаковать «сайт-цель» в различное время суток из разных географических зон и с помощью различных методов. Сегодня эта тенденция сохранилась, но при этом не является доминирующей. Однако существует и иная ситуация: увеличение концентрации различных ботнет-кластеров в одном управляющем центре. За примерами далеко идти не нужно — к примеру, ботнет Kido в настоящий момент представляет наиболее серьезную угрозу. Эта вредоносная система была впервые была обнаружена еще в ноябре 2008 года и сейчас насчитывает «в строю» не менее пяти миллионов компьютеров. Подобная система, действуя эшелонированными порядками и привлекая скрытые до поры резервы и ударные отряды, может быстро и надолго блокировать не только web-ресурс службы новостей, но и государственных органов власти, финансово-кредитных учреждений и т.д., попутно «отбомбившись» по дополнительным целям наступления: к примеру, ресурсам хостинг-провайдеров. В этой связи стоит отметить такое перспективное направление для ботсетей, как постановку под контроль смартфонов и коммуникаторов, имеющих постоянное подключение к сети Интернет с помощью UMTS-сетей или систем мобильного WiMAX. Потенциально именно такие устройства, распространенные во всех развитых странах мира, будут являться крайне интересной целью для хакеров в силу слабости их антивирусного обеспечения и большой концентрации личных данных, представленных на подобных терминалах. Кроме того, компьютерная грамотность большинства их владельцев оставляет желать много лучшего, и они просто не смогут разобраться в том, загружал их коммуникатор данные для виджетов о погоде и курсах валют или атаковал по приказу центра ботсети, к примеру, сайт платежной системы. Но в настоящий момент подобный риск пока маловероятен, уверен Виталий Камлюк. «Во многом в силу того, что лишь относительно небольшое число разработчиков способно создать необходимый в данном случае софт». Только поэтому подобное вредоносное ПО пока не столь популярно.

Перспективное направление для ботсетей —
постановка под контроль «умных» мобильных.

«Кроме того, — добавляет Григорий Васильев, — угроза зомби-сетей на базе смартфонов и коммуникаторов менее актуальна по сравнению с традиционными компьютерными ботсетями хотя бы потому, что технические возможности ПК значительно шире и исследованы гораздо более глубоко». Вдобавок, на рынке мобильных устройств, в отличие от ПК, существует целый «зоопарк» операционных систем, что делает разработку вирусов для таких систем более затратным мероприятием. Таким образом, индустрия производства вредоносного ПО, работающая по принципу быстрого возврата инвестиций с высокой рентабельностью, понимает, что данное направление все еще недостаточно развито, и подобные атаки, являющиеся не менее затратными, не принесут достаточного уровня прибыльности. Следовательно, «спасает» мобильные устройства тот факт, что все еще есть другие и более эффективные направления вредоносной деятельности. Но вероятность использования «умных» мобильных в качестве частей ботсети со временем все-таки возрастает вместе с увеличением доли «умных» мобильных на всем рынке. Злоумышленники теоретически смогут использовать их для рассылки SMS-спама абонентам сотовых операторов или для организации атак на беспроводные сервисы, а также массово списывать деньги со счетов за счет отправки SMS на платные номера операторов связи. Кроме того, в числе потенциальных целей — мобильный банкинг, VoIP-сервисы. Пока же, судя по статистике крупных производителей средств антивирусной защиты, наиболее часто в ботсети попадают ПК обычных домашних пользователей и небольших компаний, которые слабо защищены, а порой их владельцы вообще относятся к средствам защиты своих ПК достаточно халатно. «Если говорить о крупном бизнесе, — уверен Кирилл Керценбаум, — в том числе и государственных компаний, то здесь такие случаи менее распространены: в подобных сетях вопросы защиты сети в большинстве случаев решаются на физическом уровне, и ПК часто просто не имеют доступа в интернет. Соответственно, и заражение, и функционирование самого бота практически невозможно, так как инфицированные компьютеры должны иметь постоянное подключение к интернету для получения заданий и обновления, а этого в данном случае просто нет». А вот проект всеобщей компьютеризации школ и подключения их к интернету до сих пор вызывает у специалистов по информационной безопасности очень серьезные опасения, — рассказывает Антон Разумов: «Не исключено, что при нынешнем подходе к безопасности этого проекта (которая практически не прорабатывается, несмотря на множество призывов и предупреждений), это в скором времени станет потрясающего размера ботнетом (точнее, множества ботнетов)». Дело в том, что квалификации большинства преподавателей, назначенных администраторами систем, просто не хватает для защиты ПК в классах информатики, и они являются хорошим «сырьем» для ботсетей.

Оборона периметра

Есть ли возможность гарантированно защитить ПК от попадания в ботнет? Бороться с зомби-сетями в глобальном масштабе — занятие, вежливо говоря, очень долгосрочное. Наиболее эффективно сосредоточиться на защите личных персональных компьютеров и сетей. Наверное, банальным будет говорить о том, что обязательно наличие антивируса на серверах, рабочих станциях и мобильных ПК, а также периодический запуск в системе специальных утилит, целенаправленно сканирующих наличие наиболее распространенных ботсетей (обычно бесплатно выпускаются производителями антивирусного ПО). Кроме того, желательно удостовериться, что пароль учетной записи локального администратора устойчив ко взлому (для этого он должен содержать не менее шести символов, с использованием разных регистров и/или цифр), отключить автозапуск исполняемых файлов со съемных носителей, а также, по возможности, остановить службу Task Scheduler (Планировщик Задач) в ОС Windows. «Кроме того, — уверен Антон Разумов, — наиболее действенным средством, на мой взгляд, служит использование персональных межсетевых экранов с контролем приложений. Inetrnet Explorer, Opera, FireFox, Google Chrome и ряд других известных браузеров могут беспрепятственно выходить в интернет, но какое-то новое приложение при попытке обратиться к порту 80, например, будет заблокировано». Желательно не рисковать и не использовать для этого встроенный в Windows брандмауэр — надежнее будет использовать сторонний, более продвинутый сервис. При этом, чтобы избавить не очень продвинутого в техническом плане пользователя от лавины вопросов, исходящих от различных приложений, жаждущих доступа в сеть, наиболее разумным представляется выбирать программы, оснащенные таким механизмом, как у ПО от компании ZoneLabs. Через свои сервисы SmartDefense, DefenseNet, куда включены базы данных «хороших» и «плохих» программ, поддерживаемые специалистами, она предлагает пользователю, к примеру, разрешить группе «хороших» браузеров доступ в интернет, и пользователя уже не будет заботить, какая версия IE у него стоит, какие апдейты были установлены в системе. Таким образом, те же «хорошие» браузеры будут работать свободно, не надоедая пользователю вопросами, в то же время, злонамеренный код будет остановлен. Т.е. даже если пользователь где-то и заразится, в ботнет он все равно не попадет. Вдобавок, отмечает Григорий Васильев, одними из наиболее эффективных систем для отслеживания зарождения и развития ботсетей являются технологии обратной связи клиентов с вирусными лабораториями, так называемые системы раннего обнаружения угроз. «Фактически, — уточняет он, — это разновидность in cloud computing. Каждый компьютер с установленным антивирусным ПО способен пересылать образцы подозрительного ПО специалистам вендора. Если такой пример признан вредоносным, немедленно выпускается обновление для защиты пользователей продукта по всему миру. Применение данной технологии предоставляет разработчикам уникальную возможность точно представлять характер угрозы, особенности распространения вредоносной программы. Как следствие, можно быстро локализовать опасность и устранить заражение. На сегодняшний день это, пожалуй, единственный путь борьбы с ботсетями».

Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

DDoS-атаки: типы атак и уровни модели OSI

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.

Первая D в DDoS означает distributed: распределённая атака типа «отказ в обслуживании». В этом случае речь идёт об огромной массе злонамеренных запросов, поступающих на сервер жертвы из множества разных мест. Обычно такие атаки организуются посредством бот-сетей.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.

Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

• HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
• HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

• HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
• HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной

Тип данных	Данные
Описание уровня	Начало создания пакетов данных. Присоединение и доступ к данным. Пользовательские протоколы, такие как FTP, SMTP, Telnet, RAS
Протоколы	FTP, HTTP, POP3, SMTP и шлюзы, которые их используют
Примеры технологий DoS	PDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи)
Последствия DDoS-атаки	Нехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.

Что делать: Мониторинг приложений — систематический мониторинг ПО, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

 

6-й уровень OSI: Представительский

Тип данных	Данные
Описание уровня	Трансляция данных от источника получателю
Протоколы	Протоколы сжатия и кодирования данных (ASCII, EBCDIC)
Примеры технологий DoS	Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы
Последствия DDoS-атаки	Атакуемые системы могут перестать принимать SSL соединения или автоматически перегружаться

Что делать: Для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отличном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом, находившимся в защищенной памяти безопасного узла-бастиона.

 

5-й уровень OSI: Сеансовый

Тип данных	Данные
Описание уровня	Управление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход)
Протоколы	Протоколы входа/выхода (RPC, PAP)
Примеры технологий DoS	Атака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным
Последствия DDoS-атаки	Делает невозможным для администратора управление свитчем

Что делать: Поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

 

4-й уровень OSI: Транспортный

Тип данных	Сегменты
Описание уровня	Обеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень
Протоколы	Протоколы TCP, UDP
Примеры технологий DoS	SYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами)
Последствия DDoS-атаки	Достижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования

Что делать: Фильтрация DDoS-трафика, известная как blackholing — метод, часто используемый провайдерами для защиты клиентов (мы и сами используем этот метод). Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

 

3-й уровень OSI: Сетевой

Тип данных	Пакеты
Описание уровня	Маршрутизация и передача информации между различными сетями
Протоколы	Протоколы IP, ICMP, ARP, RIP и роутеры, которые их используют
Примеры технологий DoS	ICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети
Последствия DDoS-атаки	Снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра

Что делать: Ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

 

2-й уровень OSI: Канальный

Тип данных	Кадры
Описание уровня	Установка и сопровождение передачи сообщений на физическом уровне
Протоколы	Протоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют
Примеры технологий DoS	MAC-флуд — переполнение пакетами данных сетевых коммутаторов
Последствия DDoS-атаки	Потоки данных от отправителя получателю блокируют работу всех портов

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

 

1-й уровень OSI: Физический

Тип данных	Биты
Описание уровня	Передача двоичных данных
Протоколы	Протоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют
Примеры технологий DoS	Физическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами
Последствия DDoS-атаки	Сетевое оборудование приходит в негодность и требует ремонта для возобновления работы

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.

 

Устранение крупномасштабных DoS/DDoS-атак

Хотя атака возможна на любом из уровней, особой популярностью пользуются атаки на 3-4 и 7 уровнях модели OSI.

• DDoS-атаки на 3-м и 4-м уровне — инфраструктурные атаки — типы атак, основанные на использовании большого объема, мощного потока данных (флуд) на уровне инфраструктуры сети и транспортном уровне с целью замедлить работу веб-сервера, «заполнить» канал, и в конечном счете помешать доступу других пользователей к ресурсу. Эти типы атак как правило включают ICMP-, SYN- и UDP-флуд.
• DDoS атака на 7-м уровне — атака, заключающаяся в перегрузке некоторых специфических элементов инфраструктуры сервера приложений. Атаки 7-го уровня особенно сложны, скрыты и трудны для выявления в силу их сходства с полезным веб-трафиком. Даже самые простенькие атаки 7-го уровня, например, попытка входа в систему под произвольным именем пользователя и паролем или повторяющийся произвольный поиск на динамических веб-страницах, могут критически загрузить CPU и базы данных. Также DDoS злоумышленники могут неоднократно изменять сигнатуры атак 7-го уровня, делая их еще более сложными для распознавания и устранения.

Устройство	Уровень	Оптимизирована для	DDoS-защита
Брандмауэр	4-7	Проверка потока, глубокая проверка	Экраны, ограничения сеанса, SYN cookie
Роутер	3-4	Пакетная проверка, фреймовая проверка	Линейные списки контроля доступа, ограничение скорости

Некоторые действия и оборудование для устранения атак:

• Брандмауэры с динамической проверкой пакетов
• Динамические механизмы SYN прокси
• Ограничение количества SYN-ов за секунду для каждого IP-адреса
• Ограничение количества SYN-ов за секунду для каждого удаленного IP-адреса
• Установка экранов ICMP флуда на брандмауэре
• Установка экранов UDP флуда на брандмауэре
• Ограничение скорости роутеров, примыкающих к брандмауэрам и сети

 

Ботнет (botnet)

Ботнет (botnet) — компьютерная сеть из устройств, зараженных вредоносной программой. Термин состоит из частей английских слов «robot» («робот») и «network» («сеть»).

Ботом в этом контексте обычно называют устройство (компьютер, смартфон), находящееся под управлением скрытой программы, которая получает команды от своего хозяина через интернет. Ботнеты применяют для DDoS-атак, подбора паролей методом брутфорса, майнинга биткоинов или других криптовалют, распространения спама. Ботами могут быть и IoT-устройства: так, именно из них состоит известный ботнет Mirai.

В связи с тем, что зараженное устройство выполняет любые инструкции злоумышленника, его нередко называют зомби-машиной, а ботнет, соответственно, — зомби-сетью. Проникновение вредоносных программ может случиться при недостаточной бдительности пользователя: киберпреступники маскируют их под полезное ПО. Также бот-агент может внедриться через уязвимость любого программного обеспечения, путем подбора пароля к сетевым ресурсам, имеющим общий доступ. В редких случаях он устанавливается во время открытого доступа к компьютеру.

Вредоносные программы для организации бот-сетей самостоятельно запускаются на устройстве, защищаются от удаления. Механизм защиты заключается в применении нетрадиционных способов запуска, замене файлов системы, перезагрузке машины при доступе к ключам автоматической загрузки. Агенты мимикрируют под системные процессы, могут использовать два процесса, которые перезапускают друг друга.

Ботнет (botnet) имеет огромные вычислительные ресурсы, приносит ощутимую прибыль киберпреступникам. Зараженными компьютерными устройствами злоумышленник может анонимно руководить из любого места земного шара.

Классификация ботнетов 

Ботнеты классифицируются по архитектуре и сетевым протоколам.

С точки зрения архитектуры можно выделить ботнеты с центром управления и децентрализованные. В первом случае все компьютеры объединены вокруг одного контрольного центра (Command & Control Centre, C&C). Это — самая распространенная разновидность. Центр ждет откликов от ботов, фиксирует их, раздает инструкции, которые определяет владелец. Иногда злоумышленник создает несколько центров, на случай их вывода из строя или блокировки. Зомби-сети такого типа легки в создании и управлении, более оперативно реагируют на команды, но и бороться с ними отчасти проще, чем с другими типами ботнетов: достаточно добиться уничтожения командного центра, и сеть рассыпается. Впрочем, задача может усложниться из-за миграции центров или шифрования трафика.

Децентрализованные вредоносные сети еще называют P2P-ботнетами — от английского термина «peer-to-peer», означающего соединение вида «точка-точка».  В таких системах бот-агенты соединяются не с центром управления, а с определенным числом других зараженных компьютеров. Получив команду, вредоносная программа передает ее следующей машине, и так происходит распространение инструкций по всей зомби-сети. Таким образом, киберпреступник может управлять всеми инфицированными компьютерами через любой узел ботнета. Сеть такого типа менее удобна в эксплуатации, но из-за отсутствия центра бороться с ней тоже труднее.

Классификация зомби-сетей по протоколам объясняется наличием взаимодействия между машиной, подающей команду, и компьютерами жертв. Оно строится на сетевых протоколах, которые определяют порядок коммуникации между узлами. По этому признаку ботнеты разделяют на четыре группы.

К первой группе относятся IRC-ориентированные зомби-сети. Они характеризуются соединением каждого зараженного устройства с IRC-сервером, перемещением на указанный канал и ожиданием команды владельца. Вторую группу составляют сети, использующие каналы IM-служб. Необходимость создания отдельного аккаунта для каждого узла снижает популярность таких ботнетов. Третья группа — веб-ориентированные ботнеты, где управление компьютерами осуществляется через Всемирную паутину. Они легко разрабатываются, в интернете много веб-серверов, управлять ими очень просто; по этим причинам подобные вредоносные сети пользуются спросом. К четвертой группе следует отнести другие виды систем с собственными, нестандартными протоколами.

Объект воздействия

Объектами воздействия ботнетов являются государственные структуры и коммерческие компании, обычные пользователи интернета. Киберпреступники применяют боты для достижения целей разного содержания и величины. Например, самое простое и популярное применение ботнетов, приносящее большую прибыль, — расылка спама. Не всегда этим занимается сам владелец зомби-сети: часто спамеры арендуют ботнет (botnet).

Ботнеты применяются и для осуществления DDoS-атак. Атакуемый сервер не справляется с потоками запросов с зараженных компьютеров и останавливается, пользователи не могут получить к нему доступ. За то, чтобы восстановить работу веб-ресурса, злоумышленники требуют заплатить выкуп. Кибершантаж такого рода очень распространен, так как сегодня все компании активно используют интернет для ведения бизнеса, а некоторые организации и вовсе работают только через Всемирную сеть. Также владельцы или арендаторы ботнетов могут использовать DDoS-атаки для политических акций или провокаций. Объектами атак ботов становятся правительственные, государственные, военные и прочие организации.

Ботнеты используют в майнинге биткоинов. Проникая в компьютер пользователя, бот-агент использует ресурсы машины в своих целях. Чем больше зараженных устройств, тем больше валюты «чеканит» злоумышленник. Мощность графического процессора может использоваться во время простоя компьютера, так что наличие вредоносной активности замечается не сразу. 

Также бот-сети используются для анонимного доступа в интернет с целью взлома веб-сайтов, перевода денег. Активно применяются они и для кражи секретной информации. Преимущество зомби-сети перед другими вредоносными агентами заключается в способности собирать информацию с огромного количества компьютеров одновременно. Часто эти сведения продаются или эксплуатируются для расширения ботнета.

Источник угрозы

Бот-агенты создаются злоумышленниками, например, с целью воровства. Обычно взломщики похищают данные доступа к той или иной системе, желая получить денежную прибыль или какую-либо иную личную выгоду. Зомби-сетями пользуются представители незаконного бизнеса, продвигая свой товар и услуги.

Самой опасной группой разработчиков таких программ являются организованные киберпреступники, применяющие зараженные сети для атак, краж данных и денежных средств, рассылки рекламы, шантажа, провокаций и т.д. Кроме того, они формируют ботнеты для продажи и сдачи в аренду.

Анализ риска

Статистика показывает, что в составе ботнетов находится огромное количество самых разных компьютерных устройств. Последствия заражения компьютера бот-агентом могут меняться в зависимости от владельца ботнета и целей, которые он преследует. Самыми заметными действиями зомби-сети являются DDoS-атаки. Опасность зараженных сетей возрастает и от того, что с каждым годом упрощается их создание, находятся новые способы внедрения вредоносных программ, а значит, появляются новые ботнеты, расширяются имеющиеся.

В начале марта 2017 года исследователи обнаружили уязвимость в системе безопасности DVR и камер наблюдения китайской компании Dahua. Это означало, что устройства с легкостью могли оказаться исполнителями команд злоумышленников. Подробнее об этом рассказывается в статье «Китайские камеры и DVR могут стать частью ботнетов».

Несмотря на устрашающую статистику, защитить свой компьютер можно. Для этого необходимо:

• пользоваться эффективной антивирусной защитой,
• своевременно обновлять операционную систему и все приложения,
• использовать программу-шифровальщик при передаче личных данных,
• соблюдать общие меры разумной предосторожности при работе в интернете. 

Полезно также наблюдать за активностью устройства. Если оно напряженно работает во время простоя или передает слишком много данных, то возможно, что на нем находится вредоносный агент.

 

Компьютерные вирусы

Компьютерные вирусы

Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы, т. е. заражение происходит аналогично биологическим вирусам.

В настоящее время не существует официальной классификации вирусов. Однако когда речь заходит о заражении или повреждении компьютера вирусами наиболее часто используется следующая терминология:

• компьютерные вирусы
• черви
• троянские программы или просто трояны
• зомби
• шпионские программы
• хакерские атаки
• вредоносное программное обеспечение
• полезные вирусы

Червь (Worm)— это программа, которая тиражируется на жестком диске, в памяти компьютера и распространяется по сети. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе ни какой вредоносной нагрузки, кроме саморазмножения, целью которого является замусоривание памяти, и как следствие, затормаживание работы операционной системы.

Троян или троянский конь (Trojans) — это программа, которая находится внутри другой, как правило, абсолютно безобидной программы, при запуске которой в систему инсталлируются программа, написанная только с одной целью — нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Таким образом, троянские программы являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий.

Зомби (Zombie) — это программа-вирус, которая после проникновения в компьютер, подключенный к сети Интернет управляется извне и используется злоумышленниками для организации атак на другие компьютеры. Зараженные таким образом компьютеры-зомби могут объединяться в сети, через которые рассылается огромное количество нежелательных сообщений электронной почты, а также распространяются вирусы и другие вредоносные программы.

Шпионская программа (Spyware) — это программный продукт, установленный или проникший на компьютер без согласия его владельца, с целью получения практически полного доступа к компьютеру, сбора и отслеживания личной или конфиденциальной информации.

Эти программы, как правило, проникают на компьютер при помощи сетевых червей, троянских программ или под видом рекламы (adware).

Одной из разновидностей шпионских программ являются фишинг рассылки.

Фишинг (Phishing) — это почтовая рассылка имеющая своей целью получение конфиденциальной финансовой информации. Такое письмо, как правило, содержит ссылку на сайт, являющейся точной копией интернет-банка или другого финансового учреждения. Пользователь, обычно, не догадывается, что находится на фальшивом сайте и спокойно выдает злоумышленникам информацию о своих счетах, кредитных карточках, паролях и т. д.

Фарминг это замаскированная форма фишинга, заключающаяся в том, что при попытке зайти на официальный сайт интернет банка или коммерческой организации, пользователь автоматически перенаправляется на ложный сайт, который очень трудно отличить от официального сайта.
Как и в случае фишинга основной целью злоумышленников, использующих фарминг, является завладение личной финансовой информацией пользователя. Отличие заключается только в том, что вместо электронной почты мошенники используют более изощренные методы направления пользователя на фальшивый сайт.

Вирусы, черви, троянские кони и зомби | Computerworld Россия

Определение

Вредоносное ПО — любое программное обеспечение, написанное с целью нанесения ущерба или использования ресурсов атакуемого компьютера. Вредоносное программное обеспечение часто скрыто внутри обычного ПО или замаскировано под него. В некоторых случаях оно само тиражируется на другие компьютеры по электронной почте или через инфицированные дискеты. Бывает самых разных типов: вирусы, троянские кони, черви, программы, используемые для инициации атак на отказ от обслуживания

Вряд ли о каких-либо опасностях, повреждениях компьютерной техники широкая публика наслышана больше, чем о вредоносном программном обеспечении, подстерегающем доверчивых компьютерных пользователей. Вирусы, черви, троянские кони, логические бомбы, зомби, модули считывания паролей — список можно продолжать еще долго. Различные типы вредоносного ПО используют весьма разнообразные методы, степень их опасности тоже различна.

Вирусы «Чернобыль» и «Мелисса» и программа Worm.Explore.Zip в прошлом году нанесли серьезный ущерб персональным компьютерам, быстро растиражировав себя по электронной почте. Атаки на отказ от обслуживания, в начале этого года обрушившиеся на крупнейшие Web-узлы электронной коммерции, были инициированы вредоносным программным обеспечением, проникшим в сотни подключенных к Internet компьютеров, причем владельцы этих систем о том и не подозревали.

Небольшие группы организаций, специалисты и добровольцы предпринимают активные усилия, чтобы каталогизировать вредоносное ПО, рассылают предупреждения и предлагают программное обеспечение, способное выявлять такие программы, определять их местонахождение и уничтожать. Новые вредоносные программы появляются каждый месяц, они создаются подпольными группами программистов, которые стремятся испортить или украсть информацию, а иногда просто продемонстрировать свое техническое мастерство.

Берегитесь вирусов

Вирусы — самый известный вид вредоносного программного обеспечения. Эти программы незаметно присоединяются к другим исполняемым модулям. Они опасны тем, что, прежде чем нанести вред, на который они, собственно, и запрограммированы, копируют себя в другие программные файлы. Таким образом, компьютерные вирусы заражают и воспроизводятся аналогично биологическим.

По словам Сала Вивероса, директора подразделения McAfee Active Virus Defense компании Network Associates, разрабатывающей программы для защиты от вредоносного ПО, угроза, которую представляют собой вирусы, значительно возросла.

«Пять или шесть лет назад вирусы распространялись через дискеты. Они назывались вирусами загрузочного сектора, потому что попадали в компьютер с дисковода для гибких дисков. Тогда вирусная инфекция распространялась достаточно ограниченно и требовала намного больше времени, чем сейчас. Затем появились приложения типа Microsoft Outlook или Word, использующие макросы, что привело к возникновению множества макровирусов, — заметил Виверос. — В прошлом году была создана «Мелисса» и другие вирусы массовой рассылки, распространявшиеся по электронной почте. В конце прошлого года на нас обрушился вирус, получивший название BubbleBoy, которым можно было заразиться, всего лишь открыв свою электронную почту, поскольку он использовал язык описания сценариев Visual Basic».

Вирусы по-прежнему остаются самой серьезной проблемой компьютерной защиты. По данным The WildList Organization International — независимой группы, отслеживающей распространение вирусов, по миру «гуляют» сейчас более 300 вредоносных программ, представляющих серьезную угрозу компьютерным пользователям. И это лишь малая часть из 50 тыс. вредоносных программных кодов, известных на сегодняшний день.

Директор Антивирусного исследовательского центра компании Symantec — еще одного производителя антивирусного программного обеспечения — признался, что они ежедневно получают около 15 новых копий вирусов, хотя большинство из них никогда не реализуются.

Пик активности вирусов обычно приходится на осень и на период после зимних праздников. Именно тогда заканчиваются каникулы в колледжах, во время которых юные программисты получают возможность практиковаться в создании новых вирусов.

Макровирусы, которые инициируются автоматическими задачами внутри таких программ, как Microsoft Word, сегодня представляют серьезнейшую угрозу. В прошлом месяце из 15 самых активных вирусов 9 были именно этого типа. Существуют также более сложные варианты — полиморфные и скрытые вирусы, которые мимикрируют, меняя свою внутреннюю структуру.

Другие преступники

Помимо вирусов, очень опасны другие типы вредоносного программного обеспечения: троянские кони, черви и атаки на отказ от обслуживания. А недавно появились враждебные апплеты Java.

Троянский конь, как видно из названия, представляет собой программу, которая на первый взгляд абсолютно безвредна, но имеет вторую, скрытую функцию, способную нанести вред компьютеру. Троянский конь обычного типа часто распространяется по электронной почте с целью скопировать пароль доступа компьютера, а затем пересылает украденные данные анонимному получателю.

Черви используют компьютерные ресурсы, такие как память и сетевая полоса пропускания, замедляя работу и ПК, и серверов. Кроме того, черви иногда удаляют данные и быстро распространяются по электронной почте.

Атаки на отказ от обслуживания, нацеленные на конкретные Web-узлы, вызывают переполнение за счет преднамеренного направления на них Internet-трафика большого объема. Такие атаки, предусматривающие запуск программ, иногда называемых «зомби», ранее были скрыты на сотнях подключенных к Internet компьютерах, которые принадлежали обычно ничего не подозревающим организациям, например университетам.

Враждебные апплеты Java служат для захвата информации или наносят ущерб компьютерам пользователей, которые посещают Web-узлы конкурентов. Пользователь может стать жертвой таких программ, когда щелкает мышкой по ссылке, полученной им по электронной почте. Хотя до сих пор враждебные апплеты не наносили серьезного ущерба, именно от них, по мнению Вивероса, в будущем стоит ждать самых страшных разрушений.

---

Основные типы вредоносного ПО

• Вирус
  Программное обеспечение, присоединяющееся к другой программе. Как только запущена содержащая его программа, вирус активизируется. Он может вызвать повреждения, в частности, удалить данные и программы, но сначала заражает компьютер, присоединяя собственные копии к другим исполняемым модулям. Некоторые вирусы тиражируют себя на другие компьютеры по электронной почте
• Макро-вирус
  Вирусы, которые содержатся не в самих программных файлах, а в макросах, являющихся составной частью документа, например созданного в редакторе Microsoft World или в электронных таблицах Excel
• Троянский конь
  Программа, которая на первый взгляд осуществляет легитимные действия, но ее выполнение может нанести серьезный вред. Троянские кони часто применяются для получения паролей с компьютеров. В отличие от вируса, троянский конь сам себя не тиражирует
• Червь
  Программа, которая тиражирует себя на жестком диске компьютера, в его памяти и по сети, загружая тем самым ресурсы системы. Червь отличается от вируса тем, что не несет в себе никакой «логической бомбы», его единственное назначение — самотиражирование. Некоторые черви распространяются через сообщения электронной почты
• Зомби
  Программа, которая тайком проникает на другой компьютер, подключенный к Internet, а затем использует его для инициирования атак, масированных атак

Поделитесь материалом с коллегами и друзьями

Что такое ботнет и как от него защититься

Что такое ботнет?

Ботнет или сеть ботов — это компьютерная сеть, состоящая из большого количества компьютеров, на которых скрытно установлено вредоносное ПО, позволяющее злоумышленникам удаленно выполнять любые действия с использованием вычислительных ресурсов зараженных машин. Сотни или даже тысячи зараженных компьютеров, как правило, используются для нелегальной и вредоносной деятельности — рассылки спама, вирусов, похищения личных данных или проведения DDoS-атак. На сегодняшний день ботнеты считаются одной из самых серьезных киберугроз.

Как появляются ботнеты?

Для того, чтобы ваш компьютер стал частью ботнета, он должен быть инфицирован специализированным вредоносным ПО, которое поддерживает контакт с удаленным сервером или с иным зараженным устройством, получая, таким образом, инструкции к действиям от злоумышленников, контролирующих данный ботнет. Кроме внушительных масштабов заражения, вредоносное ПО, используемое в целях создания ботнетов, по существу мало чем отличается от традиционных вредоносных программ.

Как распознать ботнет?

Обнаружить типичное для ботнета вредоносное ПО можно тем же самым способом, что и в случае со всеми иными вредоносными программами. Косвенными признаками могут быть медленная работа, странные действия, сообщения об ошибках или внезапный запуск вентилятора охлаждения во время того, как компьютер находится в режиме ожидания. Это возможные симптомы того, что кто-то удаленно использует ваш компьютер, ставший частью разветвленного ботнета.

Как удалить ПК из ботнета?

Доя того, чтобы удалить свой ПК из ботнета, необходимо удалить вредоносное ПО, с помощью которого злоумышленники осуществляют удаленный контроль за ним. Самым эффективным способом является антивирусное сканирование системы вашего компьютера, которое поможет обнаружить вредоносную программу и отстранить ее с компьютера.

Как избежать заражения вредоносным ПО, характерным для ботнета:

• Установите качественное антивирусное решение на свой компьютер
• Настройте автоматическое обновление всех сторонних программ
• Будьте предельно осторожны при переходе по ссылкам, загрузке программ и открытии файлов

Иные способы защиты от риска стать частью ботнета:

Чтобы обезопасить свой компьютер от риска стать одним из ‘зомби’ в армии ботнета, старайтесь избегать любых подозрительных загрузок. Не переходите по ссылкам и не открывайте вложенных файлов из писем, отправители которых вам неизвестны, и будьте предельно внимательны при установке стороннего ПО на свой компьютер. Поддерживайте стороннее ПО обновленным и устанавливайте все самые свежие обновления операционной системы. Однако самое важное — это использование современной и качественной антивирусной защиты, например, антивируса Avast, который обеспечит надежную защиту компьютера от всех типов вредоносного ПО и поможет избежать инфицирования вашего компьютера и включения его в ботнет.

Что такое DoS и DDoS атаки: классификация и защита

DoS-атака (от англ. Denial of Service – «отказ в обслуживании») – атака, которая используется для выведения из строя и взлома вычислительной техники и создания технических и экономических трудностей у цели. Осуществляется посредством создания большого количества запросов и серьезной нагрузки на технику, чаще всего на крупные сервера.

Схема DoS-атаки.

Почему используются DoS-атаки

Популярность ДоС-атак обусловлена тем, что определить исполнителя крайне сложно – он создает большую нагрузку через множество компьютеров в сети. Чаще всего такие атаки используются тогда, когда взломать систему или сервер не получается. Даже если с помощью DoS-атаки не удается получить доступ, техника выходит из строя или теряет производительность.

DoS-Атака на компанию Spamhaus.

Жертвами таких атак чаще всего становятся правительственные сайты, крупные порталы, онлайн-СМИ, серверы онлайн-игр, интернет-магазины, корпоративные сайты финансового сектора. Мотивация атакующего также зависит от сферы. Чаще всего атака происходит по причинам политических протестов, недобросовестной конкуренции, вымогательств и шантажа, личной неприязни, а также с целью развлечения.

Частота DoS-атак по сферам.

Классификация DoS-атак

• Насыщение интернет-канала бесполезным трафиком (флудом) создает большое количество запросов к системе или серверу, за счет этого происходит быстрое исчерпание его ресурсов, что приводит к отключению или некорректной работе. Флуд бывает разных типов:
  • HTTP-флуд и ping-флуд — одни из самых простых и доступных видов атак: с помощью ping-запросов на компьютер «жертвы» с меньшим каналом интернета. HTTP-флуд применяется для серверов, отправляется HTTP-пакет, на который сервер шлет ответные пакеты, превышающие размеры, за счет чего пропускные способности сервера снижаются.
  • ICMP-флуд – атака с помощью ICMP-пакета, который через усиливающую сеть способен вывести из строя любой компьютер, сервер, если размер сети насчитывает большое количество компьютеров.
  • UDP-флуд – аналог ICMP-атаки, только в этом случае используется UDP-пакет и создаются echo-запросы на седьмой порт жертвы. За счет атаки возникает насыщение полосы пропускания.
• Проблемы системы квотирования – если на сервере плохо настроено квотирование, то можно получить доступ к CGI и задействовать скрипт, который будет использовать большое количество ресурсов компьютерной системы.
• Ошибки программирования – если в программном коде есть ошибки, профессионалы в сфере DoS-атак используют именно их для того, чтобы заставить систему выполнить команду с ошибкой, что приведет к аварийному выключению.
• Атаки на DNS-сервера – вид атаки, который использует множество компьютеров-зомби и путем захвата системных ресурсов или насыщения полосы выводит из строя обработчик доменного имени на IP адрес. Это делает страницу в интернете недоступной для пользователей.

Защита от DoS-атак

Наличие DoS-атаки невозможно не заметить по нагрузке на сервер и сопутствующим проблемам и сбоям. Но нужно знать хотя бы основные приемы по защите от подобных атак:

• Для защиты от HTTP-флуда увеличивается количество одновременных подключений. Делается это с помощью установки производительного веб-сервера Nginx, кеширующего запросы.
• ICMP-флуд можно предотвратить, отключив на компьютерной системе ответы на запросы ICMP ECHO.
• Если ограничить количество соединений к DNS-серверу и отключить от внешнего выхода UDP-сервисы, можно избежать атаки с UDP-флудом.
• Если отключить очередь «полуоткрытых» портов TCP-соединений, можно защитить систему от SYN-флуда.

Существуют также универсальные способы защиты от разного рода DoS-атак.

• Включать и настраивать брандмауэр для сетевых сервисов;
• Использовать сервисы защиты от данных атак;
• Увеличивать ресурсы системы, сервера.

Зомби-компьютер: что это и как работает?

Что такое зомби?

В вычислениях зомби — это компьютер, подключенный к сети, который был взломан хакером, вирусом или трояном. Его можно использовать удаленно для вредоносных задач.

Большинство владельцев зомби-компьютеров не понимают, что их система используется таким образом , отсюда и сравнение с живыми мертвыми. Они также используются в DDoS-атаках в координации с ботнетами, что напоминает типичные атаки зомби в фильмах ужасов.

Для чего они используются?

Зомби часто используются в атаках типа «отказ в обслуживании» (DDoS), что означает насыщение веб-сайтов множеством компьютеров, получающих доступ одновременно. Поскольку так много пользователей одновременно отправляют запросы к серверу, на котором размещена веб-страница, сервер дает сбой, запрещая доступ подлинным пользователям.

Вариант этого типа насыщения известен как атака с ухудшением качества обслуживания и использует «пульсирующие зомби»: деградацию службы путем периодического насыщения веб-сайтов с низкой интенсивностью с намерением замедлить вместо блокировки . , целевой веб-сайт.Такие атаки трудно обнаружить, поскольку медленное обслуживание может оставаться незамеченным в течение месяцев или даже лет или просто считается, что это связано с другими проблемами.

Зомби также использовались для рассылки спама. В 2005 году было подсчитано, что от 50% до 80% всего циркулирующего спама было отправлено зомби-компьютерами. Этот метод полезен для преступников, так как помогает им избежать обнаружения и в то же время снижает затраты на полосы пропускания (поскольку владельцы зомби несут расходы).

Этот тип спама также используется для распространения троянов, поскольку этот тип вредоносного ПО не самовоспроизводится, а для своего распространения полагается на рассылку по электронной почте, в отличие от червей, распространяющихся другими способами. По тем же причинам зомби также используются для мошенничества с сайтами с контекстной рекламой с оплатой за клик, искусственно увеличивая количество посещений.

Крупные атаки

В 2000 году несколько известных веб-сайтов (таких как Yahoo или eBay) потерпели крах из-за распределенной атаки отказа в обслуживании, осуществленной канадским подростком под ником MafiaBoy.Позже та же модель использовалась и в других крупномасштабных атаках типа «отказ в обслуживании» и «деградации обслуживания», например, одна нацелена на системы защиты от спама, как SPEWS в 2003 году или на Blue Frog в 2006 году.

Совсем недавно, в 2010 году, преступная сеть под названием Mariposa, контролирующая около 13 миллионов компьютеров, была уничтожена в Испании телематической преступной бригадой испанской гражданской гвардии, и преступники были арестованы. В их распоряжении были данные от 800000 человек из 180 стран .

Как защитить себя

Здравый смысл и осторожность — лучшие инструменты безопасности для предотвращения подобных атак. Разумный совет: не посещайте подозрительные веб-сайты, не загружайте сомнительные файлы и не нажимайте ничего в подозрительных сообщениях.

Также рекомендуется избегать непрофессиональных веб-сайтов или веб-сайтов неизвестных компаний, загружать файлы только из надежных источников и применять меры безопасности на своих компьютерах, такие как антивирус, антиспам или брандмауэры.

Что такое боты, ботнеты и зомби?

В новостях об интернет-преступлениях часто упоминаются «боты», «зомби» и «ботнеты». Из контекста нетрудно понять, что это угрозы компьютерной или сетевой безопасности. Но что они собой представляют, как они работают и какой ущерб могут нанести?

Бот, сокращенно от «робот», — это тип программного приложения или сценария, который выполняет автоматические задачи по команде. Плохие боты выполняют вредоносные задачи, которые позволяют злоумышленнику удаленно получить контроль над зараженным компьютером.После заражения эти машины также могут называться зомби.

Готовы ли вы к сегодняшним атакам? Узнайте о крупнейших киберугрозах года в нашем ежегодном отчете об угрозах.

Хотя захват одного компьютера полезен, реальная ценность для преступника заключается в том, что он собирает огромное количество компьютеров-зомби и объединяет их в сеть, чтобы ими можно было управлять одновременно для совершения крупномасштабных злонамеренных действий. Этот тип сети известен как «ботнет».

Как работают бот-сети?

Ботнеты были одним из наиболее распространенных методов развертывания вредоносных программ за последнее десятилетие, заразив сотни миллионов компьютеров.Поскольку бот-сети заражают новые технологии, такие как устройства Интернета вещей (IoT) в домах, общественных местах и ​​безопасных зонах, скомпрометированные системы могут подвергнуть риску еще больше ничего не подозревающих пользователей.

Они выполняют большие операции, оставаясь маленькими

Большинство людей были бы шокированы, узнав, что спам, который они получают, исходит с тысяч или даже миллионов компьютеров, как и их собственный. Настоящие владельцы этих компьютеров все еще могут их использовать и, вероятно, совершенно не подозревают, что что-то не так, за исключением, возможно, того, что их компьютер иногда кажется медленным.Большинство ботнетов занимают чрезвычайно мало места, что означает, что они перегружают вашу систему или используют много системных ресурсов, поэтому может быть сложно распознать, когда ваша машина используется преступником в злонамеренных целях. У них также обычно есть способность маскироваться, чтобы они могли выполнять крупномасштабные атаки, не будучи замеченными.

Они взламывают незащищенные устройства с открытым исходным кодом

Ботнет

Mirai, обнаруженный в 2016 году, в первую очередь атаковал устройства Интернета вещей, включая камеры и интернет-маршрутизаторы.По сути, устройства, зараженные вредоносным ПО Mirai, стали ботами, которые будут сканировать Интернет, чтобы найти устройства IoT. Затем Mirai будет использовать стандартные имена пользователей и пароли по умолчанию, установленные производителями устройств, чтобы попытаться проникнуть и заразить эти устройства. По большей части зараженные устройства будут нормально функционировать, даже если они использовались в крупных распределенных атаках типа «отказ в обслуживании» (DDoS).

Незащищенный компьютер или другое устройство, подключенное к Интернету, может быть заражено вредоносным ПО и превращено в бота всего за несколько минут, что подчеркивает критическую необходимость для каждого пользователя компьютера и смартфона иметь современное программное обеспечение для обеспечения безопасности в Интернете. свои устройства и всегда менять заводские имена пользователей и пароли по умолчанию.

Почему киберпреступники используют атаки ботнетов?

Кража финансовой и личной информации

Хакеры могут использовать бот-сети для рассылки спама, фишинга или других видов мошенничества, чтобы обманом заставить потребителей отказаться от с трудом заработанных денег. Они также могут собирать информацию с зараженных ботами машин и использовать ее для кражи личных данных и взимания платы за ссуду и покупку от имени пользователя.

Для атаки на легитимные веб-службы

Преступники могут использовать свои бот-сети для создания DoS- и DDoS-атак, которые наводняют законный сервис или сеть огромным объемом трафика.Громкость может серьезно замедлить работу службы или сети компании по реагированию или может полностью перегрузить службу или сеть компании и закрыть их.

Вымогать деньги у пострадавших

Доход от DoS-атак поступает за счет вымогательства (оплата или удаление вашего сайта) или платежей групп, заинтересованных в нанесении ущерба компании или сети. В эти группы входят «хактивисты» — хакеры с политическими взглядами, а также иностранные военные и разведывательные организации.

Зарабатывать деньги на зомби и ботнет-системах

Киберпреступники также могут сдавать свои бот-сети в аренду другим преступникам, которые хотят рассылать спам, мошенничество, фишинг, кражу личных данных и атаковать законные веб-сайты и сети.

Советы по предотвращению атаки ботнета

Если вы не установили программное обеспечение безопасности и не убедились, что оно включено и постоянно обновляется, ваша машина, скорее всего, заражена всевозможными вредоносными программами. Вот несколько шагов, которые вы должны предпринять, чтобы защитить свои системы от проникновения ботнетов:

Общие пользовательские риски возникают при загрузке контента с неизвестных сайтов или от друзей, у которых нет новейших средств защиты, и при непреднамеренной передаче зараженных файлов другим пользователям.Когда люди загружают скомпрометированные файлы, вредоносный код может обойти слабые контрольные точки безопасности, которые, возможно, пытались изолировать и удалить вредоносное ПО. Всегда будьте предельно осторожны при загрузке информации или файлов от кого-то, чей компьютер не защищен.

Разработчики вредоносных программ всегда ищут новые способы обойти меры безопасности, и существует риск заражения из-за действий, предпринятых вами или другим лицом, использовавшим компьютер или систему. Обязательно используйте передовое программное обеспечение для обеспечения безопасности в Интернете, которое может обнаруживать и останавливать вирусы и другие вредоносные программы, даже если вы случайно нажмете ссылку, загрузите файл или предпримете другие действия, которые могут привести к заражению вашего компьютера.

Что такое DDoS-атака? Что это значит?

Распределенная атака типа «отказ в обслуживании» (DDoS) похожа на пробку. на сайте

Что такое DDoS-атака и что она означает для вашего сайта? Вместо того, чтобы углубляться в технические детали, давайте начнем с реальной аналогии, которая позволяет легко представить себе, что означает DDoS-атака …

Представьте на мгновение, что сегодня воскресный день и вы едете по шоссе с семьей, направляясь в свой любимый место для пикника.Вы едете по шоссе со скоростью 70 миль в час — это не будет задолго до того, как вы окажетесь в парке, наслаждаясь прекрасным осенним днем!

… То есть до тех пор, пока вы не пройдете поворот и не увидите это впереди из вас:

Это пробка — так далеко, как видит глаз!

Вы проверяете свой отчет по GPS-трафику только для того, чтобы увидеть, что пробка простирается на многие мили, и нет никакого способа обойти это. Ты не сможешь это сделать в парк как раз к пикнику.

Вот что такое распределенный отказ в обслуживании (DDoS) атака — это много пользователей (в данном случае машин), которые заглушают систему (шоссе), чтобы отказать вам в доступе к услуге (парку).

Обычно, когда мы говорим о DDoS-атаках, ресурс denied — это веб-сайт, а «пробка» была злонамеренно создана хакером. Но концепция такая же, как пробка на трассе. Давайте погрузимся в то, что DDoS средства, виды DDoS-атак и методы предотвращения DDoS-атак.

Давайте разберемся.

Что такое DDoS-атака? Простое определение

Поскольку мы стремимся упростить технические темы, давайте начнем с простого ответа на вопрос: что означает DDoS (a.к.а. «Что такое распределенная атака отказа в обслуживании»)?

Как упоминалось выше, DDoS-атака немного похожа на пробку на веб-сайте (но намеренно вызвана хакером).

Вот простое определение значения DDoS:

Атака DDoS (распределенный отказ в обслуживании) — это когда хакер делает веб-сайт или другой сервис недоступным, засыпая их запросами с множества различных устройств.

Если вы также слышали термин «DoS-атака», пусть это вас не смущает.DDoS-атака — это просто особый тип DoS-атаки (отказ в обслуживании), при которой для атаки используются несколько компьютеров / устройств.

Вот короткое видео, которое объясняет немного подробнее…

Как работает DDoS-атака? (Подсказка: это касается зомби!)

Точно так же, как пробка затопляет шоссе большим количеством машин, чем он может справиться, DDoS-атака наводняет веб-сайт большим количеством запросов (т.е. посетителей), чем может обрабатывать веб-сервер или другие связанные системы.

Многие хакеры используют ботнеты (также известные как компьютеры-зомби) для выполнения DDoS-атаки. Ботнет — это способ для одного человека (хакера) контролировать тысячи устройств одновременно.

Вот как работает ботнет для выполнения DDoS-атаки:

Шаг 1. Создание ботнета

Чтобы создать ботнет, хакеру нужен способ получить контроль над тысячи устройств — это могут быть компьютеры, мобильные телефоны или устройства Интернета вещей, например как веб-камеры или умные холодильники.

Есть несколько способов, которыми хакер может найти и управление этими устройствами.Например, они могут написать вирус, который распространяется и постепенно захватывает все больше и больше компьютеров. Или они могут найти конкретное устройство IoT с известной уязвимостью (например, неправильный вход по умолчанию безопасность) и создайте бота для сканирования Интернета и взлома как можно большего количества этих устройств. насколько возможно.

Если вы хотите узнать больше о том, как это делают хакеры, проверьте наш пост о взломе Устройства Интернета вещей: как создать ботнет из холодильников.

Шаг 2. Управление ботнетом

По мере того, как хакеры получают контроль над каждым устройством, они что-то, чтобы он подчинялся любым инструкциям, которые хакер отправляет на устройство.(Для Например, установив на него небольшую программу.)

Хакер может использовать несколько различных подходов. (модель клиент-сервер, модель P2P на основе цифровых сертификатов и т. д.), но конечный результат тот же — хакер может дать команду, и все устройства в ботнет будет делать все, что ему поручил хакер.

Шаг 3: Проведение атаки

Как только хакер получит в свое распоряжение тысячи устройств, звоните, он может выполнить DDoS-атаку.Есть несколько различных типов DDoS-атак. атаки (подробнее об этом позже), но основная идея та же: наводнение сети сервер с большим количеством запросов, чем он может обработать.

Злоумышленник обычно тщательно исследует целевой веб-сайт. чтобы определить уязвимость, которую можно использовать, а затем составьте запрос, нацеленный на эту уязвимость. уязвимость. Наконец, злоумышленник проинструктирует свои компьютеры-зомби выполнить этот запрос (повторно).

Вот пример. Допустим, в ботнете Боба 100 000 устройства в нем.Он дает команду ботнету отправить HTTP-запрос на example.com раз в секунду. Это 60 посещений в минуту, умноженных на 100 000 устройств. В сумме получается 360 миллионов посещений в час или 8,6 миллиарда посещений в день. Это намного больше, чем рассчитано на большинство веб-серверов. Если атака была хорошо спланировано, веб-сервер будет перегружен, и любые реальные люди, которые попытаются при посещении сайта появится сообщение об ошибке. Успех DDoS-атаки!

DDoS the Lazy Way: Аренда ботнета!

Если это звучит как большая работа по созданию ботнета и провести DDoS-атаку, вы правы.Но (к сожалению) есть более простой способ — ленивые злоумышленники могут просто зайти в даркнет и арендовать ботнет всего за 10 долларов в час! Киберпреступность это быстро развивающаяся отрасль, и такие услуги, как аренда DDoS-ботнетов и фишинг как сервисные решения — это лишь некоторые из вариантов, доступных для покупки.

Типы DDoS-атак

В нашем упрощенном определении DDoS-атак не учитывается одна деталь: существует множество различных типов DDoS-атак, которые злоумышленники могут использовать в зависимости от того, какой конкретный ресурс сервера они пытаются перегрузить.Поскольку мы пытаемся упростить задачу, мы кратко остановимся на самых распространенных типах DDoS-атак.

Как упоминалось ранее, DDoS-атаки предназначены для блокировки веб-сайта, обычно путем перегрузки определенного аспекта сайта. Например, атака может быть нацелена на следующее, чтобы перегрузить их:

• Ресурсы веб-сервера, такие как ЦП или ОЗУ
• Серверы баз данных
• Пропускная способность сети
• DNS-серверы
• И т. Д.

Как Грегори Келли, руководитель технический специалист Vestige Digital Расследования, объясняет:

«DDoS-атаки можно разделить на объемные и прикладные.Атаки на основе объема будут пытаться затопить веб-сайт, сервер или подключение к Интернету большим объемом трафика, чем он может обработать. Атаки на основе приложений обычно стремятся использовать уязвимость или дефект в протоколе, чтобы связать определенную службу, например веб-сайт ».

Мотив атаки: почему хакеры проводят DDoS-атаки?

«Некоторые мужчины не ищут ничего логичного, например денег. Их нельзя купить, запугать, аргументировать или вести с ними переговоры. Некоторые мужчины просто хотят смотреть, как горит мир.”

Альфред Пенниуорт, Темный рыцарь

Иногда DDoS-атаки преследуют прямую цель (например, Деньги). В других случаях люди просто хотят доставить неприятности и почувствовать себя сильными. Грегори Келли объясняет, что главные причины, которые он видит:

• Финансовая прибыль. Хакер может искать держать компанию с требованием выкупа — требовать, чтобы они заплатили деньги, чтобы остановить атаку.
• Переадресация. Другая причина — отвлечь киберзащиты компании, чтобы хакер мог попытаться проникнуть в компанию по-другому.
• Хактивизм. Это мог делать хакер опротестовать действия со стороны компании или правительства (например, дело Джеймса Робинсона).

Являются ли DDoS-атаки незаконными?

Краткий ответ: да.

Чуть более длинный ответ: конкретные законы, касающиеся DDoS-атак, различаются в зависимости от где вы находитесь. В некоторых странах действуют слабые законы (или недостаточно принудительное исполнение), поэтому злоумышленники могут действовать за пределами этих стран.

В США DDoS-атаки запрещены Федеральным законом. Закон о компьютерном мошенничестве и злоупотреблениях.Наказание тоже может быть существенным — до 10 лет тюрьмы и до 500 000 долларов штрафа. Фактически, человек из Коннектикута недавно был приговорен к 10 годам тюремного заключения за DDoS-атаки против больниц.

Выявление злоумышленников и преследование злоумышленников часто является сложной задачей, поскольку атаки обычно охватывают несколько стран. Как объясняет Мария Сирбу из Voxility:

«В DDoS-атаках часто используются инструменты из нескольких стран: целевой IP-адрес находится в одной стране, злоумышленник находится в другой, серверы управления и контроля находятся в другой стране, а боты, используемые в DDoS-атаках, поступают из нескольких места.По этой причине расследование атак, блокирование бот-сетей и обнаружение злоумышленников стало серьезным делом ».

Защита от DDoS-атак: что делать, если на вас напали

По мере того как DDoS-атаки становятся больше и больше, инструменты, которые мы должны дать отпор, стали лучше, тоже. Теперь даже самые маленькие компании могут получить хорошие решения для предотвращения DDoS-атак. (Хотя большинство DDoS-атак по-прежнему нацелены на более крупные компании.)

Вот несколько тактик, которые любой владелец веб-сайта может применить, чтобы защитить свой сайт:

• Свяжитесь со своим веб-хостингом, чтобы узнать, что их политики и средства защиты от DDoS-атак.
• Обратитесь к своему провайдеру DNS, чтобы узнать, защищают ли они против атак DNS flood.
• Использование сети доставки контента (CDN) с Интернетом брандмауэр приложений (WAF) и встроенная защита от DDoS-атак. По сути, CDN находится между злоумышленником и вашим веб-сервером, поэтому он может разбавлять и / или блокировать атака до того, как она достигнет вашего веб-сервера.

Как всегда, вопросы и мысли оставляйте в комментариях!

Что такое боты, ботнеты и зомби?

Выберите страну…United StatesUnited KingdomAfghanistanAland IslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBolivia, многонациональное государство ofBonaire, Синт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBrazilBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral африканских RepublicChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongoCongo, Демократическая Республика theCook IslandsCosta RicaCote d’IvoireCroatiaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland Острова (Мальвинские) Фарерские островаФиджиФинляндияФранцияФранцузская ГвианаФранцузская ПолинезияФранцузские Южные территорииГабонГамбияГрузияГерманияГанаГибралтарГрецияГренландияГренадаГваделупаГуамГватемалаГернсиГвиния Неа-BissauGuyanaHaitiHeard Island и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndiaIndonesiaIraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Республика ofKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedonia, бывшая югославская Республика ofMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Федеративные Штаты ofMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern Mariana IslandsNorwayOmanPakistanPalauPalestine, Государственный ofPanamaPapua Новый GuineaParaguayPeruPhilippinesPitcairnPolandPortugalPuerto RicoQatarReunionRomaniaRussian FederationRwandaSaint BarthélemySaint Елена, Вознесение и Тристан-да-Кунья, Сент-Китс и Невис, Сент-Люсия, Сен-Мартен (французская часть), Сен-Пьер е и MiquelonSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra LeoneSingaporeSint Маартен (Голландская часть) SlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Джорджия и Южные Сандвичевы IslandsSouth SudanSpainSri LankaSurinameSvalbard и Ян MayenSwazilandSwedenSwitzerlandTaiwan, провинция ChinaTajikistanTanzania, Объединенная Республика ofThailandTimor-LesteTogoTokelauTongaTrinidad и TobagoTunisiaTurkeyTurkmenistanTurks и Кайкос IslandsTuvaluUgandaUkraineUnited Арабские EmiratesUnited Штаты Малые отдаленные острова Уругвай Узбекистан Вануату Венесуэла, Боливарианская Республика Вьетнам Виргинские острова, Британские Виргинские острова, СШАС. Уоллис и Футуна, Западная Сахара, Йемен, Замбия, Зимбабве,

.

Выберите государство … AlabamaAlaskaArizonaArkansasCaliforniaColoradoConnecticutDelawareFloridaGeorgiaHawaiiIdahoIllinoisIndianaIowaKansasKentuckyLouisianaMaineMarylandMassachusettsMichiganMinnesotaMississippiMissouriMontanaNebraskaNevadaNew HampshireNew JerseyNew MexicoNew YorkNorth CarolinaNorth DakotaOhioOklahomaOregonPennsylvaniaRhode IslandSouth CarolinaSouth DakotaTennesseeTexasUtahVermontVirginiaWashingtonWest VirginiaWisconsinWyoming

Выберите провинцию…АльбертаБританская КолумбияМанитобаНью-БрансуикНьюфаундленд и ЛабрадорСеверо-Западные территории Новая ШотландияНунавутОнтариоОстров принца ЭдуардаКвебекСаскачеванЮкон

Представлять на рассмотрение

Оставьте это поле пустым

Что такое зомби-компьютер? Сети зомби ослабляют ваш бизнес

В октябре наступает самый жуткий из праздников: Хэллоуин. А в мире технологий мало что может быть более пугающим, чем компьютеры-зомби, зараженные вирусами, которые дают удаленным хакерам полный контроль над устройством и его ресурсами.

И очень похоже на сцену из фильма ужасов: как только компьютер заражен вредоносным ПО такого типа, он быстро пополняет ряды других зомби в кладе, ожидая команд.

Но что отличает зомби-вирусы от обычных вредоносных программ и какова конечная цель хакерских групп, которые развертывают такие угрозы?

Как создаются зомби-сети?

В то время как некоторые вирусы специально нацелены на высокопоставленные цели, такие как компании из списка Fortune 500 или политические деятели, зомби-вредоносное ПО отличается тем, что его цель — тайно заразить как можно больше компьютеров для расширения своей сети.

Чаще всего эти вирусы незаметно проникают через лазейки в сети безопасности или через уязвимости в веб-браузерах и других программах. Хотя количество зараженных компьютеров может варьироваться, самая крупная зомби-сеть (также известная как ботнет) была обнаружена в 2009 году, когда украинская хакерская группа заразила 1,9 миллиона компьютеров с помощью кода JavaScript, который запускался, когда люди открывали мошенническую веб-страницу.

Независимо от того, как вирус попадает на устройство, после установки вредоносное ПО открывает сетевые порты на компьютере, позволяя устройству подключаться к онлайн-серверу, управляемому внешними хакерами.

Как только сеть станет достаточно большой для выполнения поставленной вредоносной задачи, хакер может одновременно назначить сотни, тысячи или даже миллионы компьютеров для выполнения атак через Интернет. Еще более пугающе, поскольку зараженные устройства продолжают работать в обычном режиме, пока хакер дает команды, вполне вероятно, что люди без антивирусного отслеживания поведения и других современных мер безопасности, предлагаемых такими компаниями, как Rocket IT, никогда не поймут, что их устройство было взломано, пока оно не слишком поздно.

Для чего используются компьютеры-зомби?

Теперь, как вы понимаете, если хакеру удается зомбировать большое количество компьютеров, это открывает множество возможностей для вредоносных сетевых атак.

Атаки отказа в обслуживании

Один из самых популярных способов использования компьютеров-зомби — это атаки типа «отказ в обслуживании», широко известные как «DDoS». В этих атаках несколько компьютеров пытаются одновременно получить доступ к одному веб-сайту. Чем больше компьютеров в распоряжении хакера, тем сильнее будет атака.В свою очередь, если у сайта нет ресурсов для размещения того количества компьютеров, которые пытаются его посетить, сервер сайта неизбежно выйдет из строя. А поскольку эти угрозы исходят с нескольких компьютеров, трудно определить и отключить первоначальный источник атаки. В результате хакеры могут вымогать деньги у владельцев сайта и, в свою очередь, пообещать прекратить атаки в будущем.

Атаки с ухудшением качества обслуживания

В качестве альтернативы, если хакер не заинтересован в немедленной выплате наличными и имеет скрытые мотивы, атака с ухудшением качества обслуживания может использовать компьютеры-зомби для спама веб-сайта с немного меньшим трафиком, чем стандартная DDoS-атака.В свою очередь, вместо того, чтобы полностью разрушить сайт, хакеры могут замедлить его, заставляя разработчиков сайта сомневаться в проблеме в течение недель или месяцев.

Спам

В предыдущем блоге Rocket IT читатели получили возможность взглянуть изнутри на фишинговые электронные письма и на то, что они влекут за собой. Но знаете ли вы, что многие из этих фишинговых кампаний распространяются через сеть компьютеров-зомби? Теперь, если у вас есть расширенные спам-фильтры Rocket IT, вы можете не знать об этом, но количество спама, попадающего в почтовые ящики, за последние месяцы резко увеличилось.И хотя не весь спам может привести к превращению вашего компьютера в зомби, фишинг предлагает хакерам простой способ расширить свою сеть зараженных компьютеров.

Без ведома или согласия владельца хакеры могут войти в почтовую платформу зараженного устройства и рассылать спам всему списку контактов. Это не только позволяет вирусу распространяться по всей организации, но также может распространяться на клиентов и других важных лиц. Что еще более важно, поскольку спам выглядит так, как будто он исходит из надежного источника, получатели с большей вероятностью будут щелкать вложенные вложения или ссылки, что увеличивает вероятность успеха атаки.

Кража данных

И, наконец, не заблуждайтесь и не думайте, что зомби-вирусы используют ваш компьютер только для того, чтобы украсть время и ресурсы у других людей. Как и почти все вредоносные программы, зомби-вирусы также нуждаются в ваших данных. Будь то пароли к онлайн-банкингу или учетные данные администратора для активов компании, наличие зараженного устройства означает, что вы ставите под угрозу свое личное здоровье и здоровье работодателя.

Мой компьютер — зомби?

Определить, является ли ваш компьютер частью сети зомби, может быть сложной задачей.Поскольку зомби-вирусы работают незаметно в фоновом режиме, они не часто представляют серьезные признаки заражения вашего компьютера. Тем не менее, вы можете заметить, что ваш компьютер имеет некоторые скрытые симптомы или предупреждающие знаки, если есть нарушение безопасности.

• Низкая скорость компьютера
• Более высокие счета за Интернет
• Нестабильная скорость сети
• Сбой компьютера
• Запуск неизвестных фоновых приложений
• Антивирусные уведомления нового поколения
• Использование ЦП и ОЗУ выше обычного

Как сделать Защитите свой компьютер от зомби

В предыдущие годы основные меры кибербезопасности, такие как брандмауэры, резервное копирование, фильтры спама по умолчанию и традиционное антивирусное программное обеспечение, могли быть всем, что вам нужно, чтобы оставаться защищенным от злонамеренных атак.К сожалению, хакеры стали умнее; разработка новых вредоносных программ, которые могут остаться незамеченными старыми приложениями безопасности. Имея это в виду, вот несколько способов значительно снизить риск превращения вашего устройства в зомби.

Перейти на антивирус нового поколения

Также известный как обнаружение конечных точек и реагирование, антивирус следующего поколения делает то, что не может сделать традиционный антивирус: точно обнаруживает и предотвращает установку на ваше устройство новых вирусов и предотвращает их установку.Чтобы понять, как это работает, давайте кратко рассмотрим, как работают традиционные антивирусные программы. Каждой программе, вредоносной или нет, при разработке присваивается уникальный идентификационный код. Когда обнаруживается новый вирус, разработчики традиционных антивирусных приложений спешат внести этот уникальный идентификатор в список. Перед установкой новой программы традиционный антивирус сканирует загружаемый файл, чтобы убедиться, что его сигнатура не соответствует каким-либо известным угрозам.

К сожалению, поскольку развитие вирусов набирает обороты, во многих случаях этот метод оказывается недостаточно быстрым для решения проблемы.В качестве альтернативы эксперты по кибербезопасности начали предлагать организациям перейти на антивирусное программное обеспечение нового поколения. Вместо того, чтобы просто полагаться на уникальные сигнатуры вирусов для обнаружения угроз, антивирусы нового поколения используют технологию отслеживания поведения для поиска аномальных действий, инициированных программами. Если обнаружено какое-либо подозрительное поведение, антивирус следующего поколения остановит выполнение программы и отправит предупреждение.

Расширенные фильтры спама

Хотя многие почтовые платформы по умолчанию успешно помещают потенциально опасные сообщения в папки нежелательной почты, мошеннические электронные письма часто могут казаться законными.В результате электронные письма с вредоносными вложениями и ссылками довольно часто попадают в ваш почтовый ящик, если не были реализованы надлежащие фильтры спама. К счастью, Microsoft 365 позволяет администраторам легко изменять уровень защиты от нежелательной почты во всей организации.

Обучение безопасности и тестирование на фишинг

Как упоминалось ранее, хакеры активно пытаются развивать зомби-сети путем развертывания фишинговых кампаний в надежде, что ничего не подозревающие люди будут нажимать на ссылки или вложения.И хотя это может показаться сложным методом предотвращения атак, на самом деле регулярное обучение безопасности и фишинговое тестирование могут значительно снизить вероятность того, что ваш компьютер станет частью скопления зомби. Благодаря обучению Rocket IT по вопросам безопасности команды могут начать понимать текущие фишинговые угрозы и способы их обнаружения. В частности, на этих обучающих курсах рассматриваются новые методы подделки электронных писем, способы обнаружения поддельных URL-ссылок и грамматические ошибки, которые необходимо искать при просмотре содержимого электронного письма.

После завершения начального обучения можно использовать регулярное фишинговое тестирование для обнаружения любых уязвимостей в организации. Rocket IT использует обучающую платформу, которая рассылает безобидные имитации фишинговых писем. Затем он отслеживает количество людей, которые проглотили наживку и щелкнули по электронной почте; позволяя организациям эффективно обучать и, надеюсь, предотвращать будущие атаки.

Белый список приложений

Программы для внесения в белый список приложений, такие как ThreatLocker, предоставляют организациям возможность контролировать определенные приложения, которые могут быть установлены и запущены на компьютерах.Для этого сетевые администраторы определяют конкретный список одобренных приложений. Те, которые не вошли в список, не могут быть запущены без одобрения администратора. что значительно затрудняет тайную установку зомби-вирусов на устройства компании.

Остановить скопище зомби зависит от вас

К Интернету подключены миллиарды устройств, и стандартные ПК — не единственная технология, которая может превратиться в зомби-устройство. Смартфоны, камеры и даже умные холодильники представляют опасность, если их инфраструктуры безопасности не обновляются регулярно.В свою очередь, владельцы несут ответственность за сокращение размеров зомби-сетей. Если у вас есть какие-либо вопросы, касающиеся зомби-вирусов и новых инициатив в области кибербезопасности, разработанных для того, чтобы помешать им получить контроль над вашими устройствами, обратитесь в Rocket IT по телефону 770.441.2520 или с помощью контактной формы ниже.

Зомби-боты и атаки ботнетов

Что хакеры используют, чтобы провалить ваши рекламные кампании, вывести из строя ваши веб-сайты, отправить вас в конец страницы результатов поисковых систем; и как их остановить.

Зомби-боты, атаки ботнетов, бот-пастухи и бот-мастера. Вам будет простительно думать, что все это звучит немного глупо, даже по-детски. В действительности, однако, это слова, используемые для описания хакеров и их инструментов, которые будут нести ответственность за глобальный ущерб в размере 6 триллионов долларов только в течение 2021 года. Другими словами, если бы хакерская экономика была страной, она была бы третьей по величине в мире после США и Китая, и это были бы ее граждане.

Что такое боты, ботнеты и зомби-боты?

Проще говоря, бот — это любая программа в сети (для наших целей — Интернет), которая может взаимодействовать с другими элементами в этой сети без участия человека для каждой отдельной задачи.Хотя это может показаться пугающим, на самом деле боты жизненно важны для работы Интернета. Фактически, они не являются ни хорошими, ни плохими по определению, а просто инструментом, который нужно использовать. Как и в случае с любым другим инструментом, вопрос о том, являются ли боты «хорошими» или «плохими», полностью зависит от того, кто их использует и почему.

Хорошие боты, например, сканируют Интернет, чтобы поисковые системы могли эффективно показывать вам страницы, релевантные для вашего поиска. Без них Интернет был бы просто массой страниц, и вы не смогли бы ничего найти без точного веб-адреса.А плохие боты могут нанести вред вашему бизнесу разными способами. Если вы когда-нибудь станете жертвой кибератаки, от кражи вашего контента до краха всего вашего сайта, вы можете поспорить, что где-то на линии были задействованы боты.

Вредоносные боты, используемые по отдельности, однако, в значительной степени неэффективны и не могут причинить вам или вашему бизнесу столько проблем. Вот почему хакеры используют не одного бота с одного компьютера, а тысячи. Естественно, эти тысячи компьютеров должны быть откуда-то взяты, и, вообще говоря, этим местом является ничего не подозревающий пользователь дома.Затем каждый зараженный компьютер становится инструментом, который хакер может использовать без ведома этого пользователя. Если использовать другое имя, он становится зомби-ботом. Эти зомби образуют ботнет. В совокупности они более чем способны вызвать проблемы вашей компании.

Как хакеры создают вредоносные ботнеты?

Все это вызывает вопрос. Как хакеры, которых часто называют бот-пастухами или бот-мастерами, вообще превращают эти компьютеры в зомби-ботов? На это есть много ответов.Иногда они могут быть установлены путем сомнительных загрузок на бесплатных сайтах или через всплывающие окна, сообщающие пользователю, что у него уже есть вирус и что ему нужно нажать мигающую кнопку установки, чтобы «удалить» его, только для того, чтобы они действительно заразили себя, когда они это сделают.

Другой способ распространения через вредоносные ссылки в социальных сетях. Однако в подавляющем большинстве случаев эти боты доставляются по электронной почте, на которую, согласно широкомасштабному исследованию технологического конгломерата Verizon, приходилось до 94% всех доставок вредоносных программ в 2019 году.

Такие письма известны как фишинговые письма и обычно маскируются под авторитетные компании, чтобы выглядеть заслуживающими доверия и побудить пользователя перейти по зараженной ссылке. Хотя это может показаться удивительным, наиболее очевидные попытки фишинга используют неудачно размещенный логотип известного бренда или неполный английский, однако многие из них на самом деле невероятно элегантны и профессиональны. Настолько изящный и профессиональный, что если вы торопитесь или не уделяете должного внимания, часто легко стать жертвой.

Они соблазнят вас и создадут ощущение срочности, либо ограниченным по времени предложением, которое заставит вас отказаться от бдительности, либо вызывающим панику списанием с вашей учетной записи. Это мощные инструменты, которые часто используются в сочетании с личной информацией о вас или вашей историей с компанией, которую они выдают за себя.

Будь то рассылка электронной почты или мошенничество в социальных сетях, следующий шаг будет таким же. После того, как бот-пастух убедит пользователя перейти по зараженной ссылке, на его устройство будет установлен троян, дающий ему возможность контролировать ваше устройство.Теперь они могут использовать это устройство как часть ботнета, не нарушая взаимодействия с пользователем настолько, чтобы они когда-либо заметили. Как только под их командованием окажется достаточно зомби-ботов, они могут нанести непоправимый урон вашей компании.

Что хакеры могут делать с армией ботнетов?

Существует множество различных способов использования ботнета для нанесения вреда законным пользователям Интернета. Они могут распространяться на корпоративные или правительственные страницы для кражи конфиденциальной информации для последующего использования, мошеннического майнинга для криптовалют или просто для распространения большего количества фишинговых писем, чтобы еще больше расширить ботнет.Однако, когда дело доходит до прямой атаки на ваш бизнес, есть три основных атаки ботнета, о которых вам нужно беспокоиться:

• DDoS-атаки (распределенный отказ в обслуживании) — самые распространенные и, безусловно, самые разрушительные из этих сетевых атак. Ботмастер наводнит ваш сайт тысячами, сотнями тысяч или даже миллионами ботов, чтобы нарушить работу вашего сервиса и вывести его из строя. Хотя результаты DDoS могут полностью закрыть веб-сайт, если они полностью его перегрузят, гораздо более распространенным результатом является то, что он просто замедляется настолько, что становится практически непригодным для использования.

• Мошенничество с кликами с использованием ботнетов в последние годы упало в популярности из-за роста количества клик-ферм. Click-фермы используют низкооплачиваемых рабочих в развивающихся странах для совершения мошеннических действий и уничтожения маркетинговой кампании. Ботмастер заставит ботов нажимать на ваши объявления, заполнять формы и имитировать реальную активность пользователей, чтобы съесть ваш бюджет без единого реального посетителя.

• Парсинг контента — это использование ботов для кражи информации с вашего веб-сайта.Затем это можно использовать, чтобы снизить ваши цены на тот же продукт, взять идеи или полностью скопировать контент, чтобы нанести ущерб вашему рейтингу в поисковой системе.

Как я узнаю, что мой бизнес атакован ботами, и что я могу сделать, чтобы это остановить?

Независимо от того, как ботнет атакует вашу компанию, признаки одинаковы, как и решение. Боты, атакующие ваш сайт, не будут вести себя точно так же, как люди. Они не могут войти в систему, бросать тележки, вести себя нерегулярно и подозрительно заполнять формы.Они сразу наводнят ваш сайт и не будут придерживаться ваших обычных показателей использования.

Чтобы защитить себя от атак ботнета, вам необходимо знать, кто посещает ваш сайт в режиме реального времени. Вам необходимо проанализировать, откуда идет входящий трафик и что он делает. Вы должны уметь идентифицировать ботов, прежде чем проблема выйдет из-под контроля. Скорее всего, вам потребуется решение для мошенничества с рекламой.

Профессиональное высококачественное решение для борьбы с рекламным мошенничеством, такое как Anura, будет постоянно отслеживать ваш трафик, чтобы определять, кто настоящий, а кто нет.Затем мы с уверенностью сообщим вам, какие пользователи являются мошенниками, а какие — настоящими посетителями. Это позволяет избавиться от плохого, сохранив хорошее.

Ваш бизнес может вернуться к тому, что у вас получается лучше всего, не беспокоясь о том, откуда исходит следующая атака. В современную эпоху нет никого слишком большого или слишком маленького, чтобы стать целью хакеров, идущих легким путем к богатству, но вы можете контролировать, насколько сложно вас поразить. Это непростая задача, запросите бесплатную пробную версию сегодня.

Что такое ботнет? | Kaspersky

Определение ботнета

Ботнеты — это сети захваченных компьютерных устройств, используемые для проведения различных мошенничеств и кибератак. Термин «ботнет» образован от слов «робот» и «сеть». Сборка ботнета обычно является этапом проникновения в многоуровневую схему. Боты служат инструментом для автоматизации массовых атак, таких как кража данных, сбой сервера и распространение вредоносного ПО.

Ботнеты используют ваши устройства для обмана других людей или создания сбоев — и все это без вашего согласия.Вы можете спросить: «Что такое ботнет-атака и как она работает?» Чтобы расширить это определение ботнета, мы поможем вам понять, как создаются ботнеты и как они используются.

Как работает ботнет

Бот-сети созданы для роста, автоматизации и повышения способности хакеров проводить более крупные атаки.

Один человек или даже небольшая группа хакеров может выполнять определенное количество действий на своих локальных устройствах. Но при небольших затратах и ​​небольшом вложении времени они могут приобрести тонны дополнительных машин, которые можно использовать для более эффективных операций.

Бот-пастух управляет группой захваченных устройств с помощью удаленных команд. Скомпилировав ботов, пастух использует командное программирование для управления своими следующими действиями. Сторона, выполняющая командные обязанности, могла создать ботнет или использовать его в качестве аренды.

Компьютеры-зомби , или боты, относятся к каждому зараженному вредоносным ПО пользовательскому устройству, которое было передано для использования в ботнете. Эти устройства бездумно работают по командам, разработанным бот-пастырем.

Основные этапы построения ботнета можно упростить до нескольких этапов:

1. Prep and Expose — хакер использует уязвимость, чтобы подвергнуть пользователей воздействию вредоносного ПО.
2. Infect — пользовательские устройства заражены вредоносным ПО, которое может управлять их устройством.
3. Активировать — хакеры мобилизуют зараженные устройства для проведения атак.

Этап 1 начинается с того, что хакеры обнаруживают уязвимость на веб-сайте, в приложении или в поведении человека.Цель состоит в том, чтобы настроить пользователя на то, что он неосознанно подвергнется заражению вредоносным ПО. Часто можно увидеть, как хакеры используют проблемы безопасности в программном обеспечении или веб-сайтах или доставляют вредоносное ПО по электронной почте и другим онлайн-сообщениям.

На этапе 2 пользователь заражается вредоносной программой-ботнетом при выполнении действия, которое ставит под угрозу его устройство. Многие из этих методов либо вовлекают пользователей, которых с помощью социальной инженерии убеждают загрузить специальный троянский вирус. Другие злоумышленники могут действовать более агрессивно, используя скрытую загрузку при посещении зараженного сайта.Независимо от способа доставки киберпреступники в конечном итоге взламывают безопасность компьютеров нескольких пользователей.

Когда хакер готов, начинается этап 3, взяв под контроль каждый компьютер. Злоумышленник объединяет все зараженные машины в сеть «ботов», которыми они могут управлять удаленно. Часто киберпреступники стремятся заразить и контролировать тысячи, десятки тысяч или даже миллионы компьютеров. Тогда киберпреступник может выступить в роли босса большой «зомби-сети», т. Е.е. полностью собранный и активный ботнет.

Вы, вероятно, все еще спрашиваете: «Что делает ботнет?» После заражения компьютер-зомби предоставляет доступ к операциям на уровне администратора, например:

• Чтение и запись системных данных
• Сбор персональных данных пользователя
• Отправка файлов и других данных
• Мониторинг действий пользователя
• Поиск уязвимостей в других устройствах
• Установка и запуск любых приложений

Что такое ботнет управляемый?

Кандидатами на вербовку ботнета может быть любое устройство, имеющее доступ к Интернету.

Многие устройства, которые мы используем сегодня, содержат в себе компьютер в той или иной форме — даже те, которые вы, возможно, не рассматриваете. Практически любое компьютерное интернет-устройство уязвимо для ботнета, а это означает, что угроза постоянно растет. Чтобы обезопасить себя, обратите внимание на некоторые распространенные устройства, которые взламываются в бот-сети:

Традиционные компьютеры , такие как настольные и портативные компьютеры, работающие под управлением ОС Windows или macOS, долгое время были популярными целями для создания ботнетов.

Мобильные устройства стали еще одной целью, поскольку все больше людей продолжают их использовать.Смартфоны и планшеты в прошлом часто подвергались атакам ботнетов.

Аппаратное обеспечение интернет-инфраструктуры , используемое для включения и поддержки интернет-соединений, также может быть использовано в ботнетах. Сетевые маршрутизаторы и веб-серверы известны как цели.

Интернет вещей (IoT) устройства включают любые подключенные устройства, которые обмениваются данными между собой через Интернет. Примеры могут включать помимо компьютеров и мобильных устройств:

• Устройства для умного дома (термометры, камеры видеонаблюдения, телевизоры, колонки и т. Д.))
• Информационно-развлекательная система в автомобиле (IVI)
• Носимые устройства (умные часы, фитнес-трекеры и т. Д.)

В совокупности все эти устройства могут быть повреждены для создания массивных ботнетов. Рынок технологий перенасыщен недорогими устройствами с низким уровнем безопасности, что делает вас особенно уязвимыми как пользователя. Без антивирусного вредоносного ПО пастухи могут незаметно заразить ваши устройства.

Как хакеры контролируют ботнет?

Выдача команд — жизненно важная часть управления ботнетом.Однако анонимность не менее важна для злоумышленника. Таким образом, ботнеты управляются посредством удаленного программирования.

Command-and-control (C&C) — серверный источник всех инструкций и руководства ботнетом. Это главный сервер бот-пастыря, и каждый из зомби-компьютеров получает от него команды.

Каждый ботнет может управляться командами прямо или косвенно в следующих моделях:

• Централизованные модели клиент-сервер
• Децентрализованные одноранговые (P2P) модели

Централизованные модели управляются одним сервером бот-пастыря.Вариант этой модели может включать дополнительные серверы, выполняющие функции подчиненных пастухов или «доверенных лиц». Однако все команды поступают от бот-пастыря как в централизованной иерархии, так и в иерархиях на основе прокси. Любая структура оставляет бот-пастыря открытым для обнаружения, что делает эти устаревшие методы далеко не идеальными.

Децентрализованные модели включают обязанности инструкций для всех компьютеров-зомби. Пока бот-пастух может связываться с любым из компьютеров-зомби, он может передавать команды другим.Одноранговая структура дополнительно скрывает личность бота-разработчика. Обладая явными преимуществами по сравнению со старыми централизованными моделями, P2P сегодня более распространен.

Для чего используются бот-сети?

Создателям ботнетов всегда есть что выиграть, будь то деньги или личное удовлетворение.

• Финансовые кражи — вымогательство или прямая кража денег
• Кража информации — для доступа к секретным или конфиденциальным учетным записям
• Саботаж служб — отключение служб и веб-сайтов и т. Д.
• Мошенничество с криптовалютой — использование вычислительной мощности пользователей для майнинга криптовалюты
• Продажа доступа другим преступникам — для дальнейшего мошенничества с ничего не подозревающими пользователями

Большинство мотивов создания ботнета аналогичны мотивам других киберпреступлений. Во многих случаях эти злоумышленники либо хотят украсть что-то ценное, либо причинить вред другим.

В некоторых случаях киберпреступники создают и продают доступ к большой сети зомби-машин.Покупателями обычно являются другие киберпреступники, которые платят либо на условиях аренды, либо в виде прямой продажи. Например, спамеры могут арендовать или купить сеть для проведения крупномасштабной спам-кампании.

Несмотря на множество потенциальных преимуществ для хакера, некоторые люди создают ботнеты только потому, что могут. Независимо от мотива, ботнеты в конечном итоге используются для всех типов атак как на пользователей, контролируемых ботнетами, так и на других людей.

Типы атак ботнета

Хотя ботнеты сами по себе могут быть атакой, они являются идеальным инструментом для массового второстепенного мошенничества и киберпреступлений.Распространенные схемы ботнетов включают в себя следующее:

Распределенный отказ в обслуживании (DDoS) — это атака, основанная на перегрузке сервера веб-трафиком с целью его сбоя. Компьютеры-зомби получают задание переполнить веб-сайты и другие онлайн-сервисы, в результате чего они на некоторое время будут отключены.

Фишинг Схемы имитируют доверенных людей и организации, выманивая у них ценную информацию. Как правило, это включает крупномасштабную спамерскую кампанию, направленную на кражу информации учетной записи пользователя, такой как банковские логины или учетные данные электронной почты.

Атаки методом перебора запускают программы, предназначенные для насильственного взлома веб-учетных записей. Атаки по словарю и заполнение учетных данных используются для использования слабых паролей пользователей и доступа к их данным.

Как защититься от ботнетов

Принимая во внимание угрозы для вашей безопасности и безопасности окружающих, крайне важно защитить себя от вредоносных программ ботнетов.

К счастью, может помочь защита программного обеспечения и небольшие изменения в привычках вашего компьютера.

6 советов по защите от ботнетов

1. Улучшите пароли всех пользователей для смарт-устройств. Использование сложных и длинных паролей поможет вашим устройствам оставаться в большей безопасности, чем слабые и короткие пароли. Например, pass12345.
2. Избегайте покупки устройств со слабой безопасностью. Хотя это не всегда легко обнаружить, многие дешевые гаджеты для умного дома, как правило, ставят во главу угла удобство пользователя, а не безопасность. Перед покупкой изучите обзоры характеристик безопасности и защиты продукта.
3. Обновите настройки администратора и пароли на всех своих устройствах. Вы захотите проверить все возможные параметры конфиденциальности и безопасности для всего, что подключает устройство к устройству или к Интернету.Даже умные холодильники и автомобили с Bluetooth по умолчанию имеют пароли производителя для доступа к своим программным системам. Без обновлений пользовательских учетных данных для входа и частного подключения хакеры могут взломать и заразить каждое из ваших подключенных устройств.
4. Остерегайтесь вложений в сообщения электронной почты. Лучший подход — полностью избегать загрузки вложений. Если вам нужно скачать вложение, внимательно изучите и подтвердите адрес электронной почты отправителя. Кроме того, рассмотрите возможность использования антивирусного программного обеспечения, которое заранее сканирует вложения на наличие вредоносных программ перед загрузкой.
5. Никогда не переходите по ссылкам в полученных сообщениях. Тексты, электронные письма и сообщения в социальных сетях могут быть надежным средством распространения вредоносных программ ботнетов. Ввод ссылки в адресную строку вручную поможет избежать заражения DNS-кеша и дополнительных загрузок. Кроме того, сделайте дополнительный шаг для поиска официальной версии ссылки.
6. Установите эффективное антивирусное программное обеспечение . Надежный пакет интернет-безопасности поможет защитить ваш компьютер от троянов и других угроз.Обязательно приобретите продукт, который подходит для всех ваших устройств, включая телефоны и планшеты Android.

Ботнеты трудно остановить, если они укоренились на устройствах пользователей. Чтобы уменьшить количество фишинговых атак и других проблем, убедитесь, что вы защищаете каждое из своих устройств от злонамеренного взлома.

Статьи по теме:

.