Развитие ботнетов и DDoS-атак
Распределенные атаки типа «отказ в обслуживании» (DDoS) стали повседневной или, как некоторые могут утверждать, ежечасной проблемой. Используя различные методы, DDoS-атаки осуществляют и используют различные субъекты угроз – от хакеров-одиночек, преступных группировок и хактивистов до государственных субъектов.
Эти атаки осуществляются с целью снижения производительности и отключения сетевой связи. Эти цели могут быть малые или крупные предприятия, поставщики услуг Интернета, производители, розничные торговцы, поставщики медицинских услуг, школы и университеты или другие организации. Особой целью злоумышленников являются государственные учреждения, силовые структуры, организации оборонного сектора. По сути любая организация с Интернет-присутствием может стать целью DDoS.
Есть три основные причины, почему люди создают ботнет: Для получения финансовой выгоды путем вымогательства (заплатите или мы продолжим атаку); для того чтобы повлиять на деятельность (сделайте то, что мы требуем, и атака остановится); или, если речь идет о государственных субъектах, в качестве шпионажа или как тактике кибервойны.
Из этой статьи вы узнаете, как возникают ботнеты и DDoS-атаки – как возникают ботнет-атаки и DDoS-атаки – наиболее распространенный механизм осуществления атак с использованием совокупности удаленно управляемых, взломанных сервисов или устройств.
Что такое ботнет?
Ботнеты могут включать компьютеры, смартфоны, виртуализированные машины и/или широкий спектр устройств IoT, таких как IP-камеры, смарттелевизоры, маршрутизаторы, что-либо имеющее подключение к Интернету и может быть скомпрометировано. В частности, уязвимость и неправильная конфигурация IoT очень распространены на потребительском рынке, поэтому хакерам очень легко создать IoT-ботнет. Вдобавок, ботнеты, особенно когда они становятся частью ботнета IoT, могут быть огромными; один ботнет может состоять из сотен тысяч или даже миллионов скомпрометированных устройств.
Захват устройств для ботнет-сети подразумевает поиск устройств, обладающих уязвимостью в системе безопасности, позволяющих заразить их «botware» — вредоносным программным обеспечением, которое будет установлено на устройстве. Но устройства, зараженные «ботпрограммой, – не единственное, что нужно бот-сети.
Многие источники, включая Википедию, совсем точно определяют, что такое ботнет. Хотя наиболее очевидным элементом ботнета является большое количество устройств, определяющим компонентом выступает Command and Control система (C&C), регулирующая действия сети ботов.
На каждом сломанном устройстве бот-программа связывается с C&C системой ботнета и становится частью сети ботов. По командам «ботмейстера» или «ботхантера» – человека или группы, управляющего ботами, – некоторые или все устройства в бот-сети выполняют все, что от них требуется.
Command and Control ботнета
Первая связь между C&C и бот программами на сломанных устройствах была основана на модели клиент-сервер с использованием, например Internet Relay Chat (IRC). Бот программа подключалась к IRC-каналу и ждала команд. Каждый бот может также отвечать на том же канале с обновлением статуса или удалёнными данными. В качестве альтернативы IRC можно использовать соединения Telnet и HTTP-запросы к веб-страницам или сервисам пользователя. Следует отметить, что некоторые ботсети используют иерархическую систему C&C, где уровни ботов общаются по принципу клиент-сервер с ботами на уровне выше и передают команды на уровень ниже.
Новейшие средства Command and Control коммуникации ботнетов базируются на связях peer-to-peer (P2P). В этой модели скомпрометированные устройства обнаруживают друг друга, сканируя диапазоны IP-адресов, чтобы найти определенные порты и службы протокола, а когда идентифицирован другой участник ботнета, обмениваются списками известных одноранговых устройств и команд. Этот тип распределенной сетчатой сети, очевидно, сложнее создать, но также гораздо труднее разорвать.
Развитие ботнета IoT
Устройства IoT включают в себя огромное количество коммерческих и потребительских устройств, таких как системы измерения температуры, смарт-телевизоры, IP-камеры, умные дверные звонки, системы безопасности, сетевые маршрутизаторы и коммутаторы и даже детские игрушки. Несмотря на огромное количество предупреждений об уязвимости IoT и хорошо понятных рекомендаций по улучшению их безопасности, основные средства защиты, такие как требование эффективных паролей и запрет на использование стандартных логинов и учетных записей пользователей по-прежнему игнорируются. Еще один источник уязвимостей IoT связан с тем, что поставщики не предоставляют обновления для решения проблем безопасности и/или владельцы устройств не устанавливают обновления.
Что делают ботнеты?
Ботнеты используются для четырех основных задач, и, как правило, ботнет может быть полностью или частями переключен для выполнения любой из этих задач.
Спам и фишинг
Одним из первых способов использования ботнетов было создание спама, нежелательной коммерческой или мошеннической электронной почты. Используя для этой цели ботов, спамеры избегают проблемы попадания своих IP-адресов массовой рассылки в черный список, а также если некоторые боты попадут в черный список, всегда можно найти больше ботов.
Более целенаправленное использование ботнет-спама для фишинга в целях кражи личных данных. Создавая огромное количество спам-сообщений по электронной почте, которые приглашают получателей посетить рекламные вебсайты, вебсайты, которые выглядят как банки или другие финансовые учреждения, принять участие в конкурсах и т.д., мошенники пытаются получить личную информацию, такую как реквизиты банковского счета, данные кредитной карты и логины веб-сайтов.
Pay-per-Click махинации
Чтобы увеличить доходы от рекламы на веб-сайте (рекламные сети, такие как Google, платят за клик рекламы, размещаемой вебсайтами), используются ботнеты для подделки взаимодействия пользователей. Из-за распределенной природы источников кликов рекламным сетям трудно распознать ложные клики.
Криптомайнинг
Ботнет IoT является идеальной платформой для майнинга криптовалют, таких как Bitcoin и Ether благодаря запуску алгоритмов майнинга на десятках тысяч ботов. Таким образом, похищенная компьютерная мощность владельца устройства позволяет получить значительный доход без обычных затрат на майнинг, главным образом, затрат на электроэнергию.
DDoS-атаки как услуга
Распределенные атаки на отказ в обслуживании легко запускаются с помощью ботнетов, и, как и в случае со спамом, созданным ботнетом, распределенная природа ботов затрудняет фильтрацию трафика DDoS. Ботнеты могут выполнять любые виды DDoS-атак и даже запускать несколько типов атак одновременно.
Относительно новым видом хакерского бизнеса является DDoS-as-a-Service. В Dark Web и теперь, даже в обычном Интернете, вы можете купить DDoS-атаки всего за 5 долларов США в час; цена зависит от требуемого масштаба и продолжительности атаки.
Краткая история ботнетов
Возможно, первым настоящим интернет-ботнетом был Bagle, впервые обнаруженный в 2004 году. Bagle был червем Windows, который передавал спам, отправленный бот мастером. В то время как первая версия под названием Bagle.A имела сомнительный успех, вторая версия Bagle.B заразила около 230 000 компьютеров. К апрелю 2010 года Bagle посылал примерно 5,7 миллиарда спам-сообщений в день. Как и в случае с большинством вредоносных программ, другие хакеры копировали и совершенствовали код, и к 2005 году в сети было найдено более 100 вариаций кода.
Пожалуй, первым ботнетом, запустившим DDoS-атаку, был Akbot в 2007 году. Ботнет Akbot был создан 18-летним парнем в Новой Зеландии. Он использовал систему C&C, основанную на IRC, и на пике привлек 1,3 миллиона компьютеров.
Впоследствии атаки ботнетов стали привычным явлением, и самый большой ботнет, известный на сегодняшний день – это русский. ботнет BredoLab, состоял из 30 000 000 устройств.
Будущее ботнета и DDoS-атак
Ботнеты никуда не денутся. Учитывая постоянный рост плохо защищенных устройств IoT, которые можно объединить в IoT-ботнет, а также количество уязвимых компьютеров, атаки ботнетов стали привычным явлением. В качестве инструмента кибервойны, ботнет и DDoS-атаки наблюдались с обеих сторон российской агрессии против Украины.
Независимо от того, являетесь ли вы государственной организацией или частной компанией, вы должны планировать, как вы будете противостоять ботнетам и DDoS-атакам. Ваш первый шаг — осознать, что ни один онлайн-объект или услуга не слишком велик или слишком мелк, чтобы стать целью атаки.
Во-вторых, запланируйте увеличение пропускной способности при необходимости. Возможность увеличения пропускной способности вашего интернет-соединения приведет к тому, что ботнету и DDoS атаке будет сложнее насытить ваш доступ и отрезать вас от интернета. Такая же стратегия предоставления услуг применима и для использования облачных сервисов, а не для услуг локальных или отдельных центров обработки данных.
Далее рассмотрите возможность использования или расширения использования сети передачи контента для увеличения пропускной способности канала передачи данных на стороне клиента. Использование нескольких CDN также повышает устойчивость к DDoS-атакам.
И, наконец, защищайте все. Стратегическое развертывание аппаратных и программных служб смягчения DDoS-атак в вашей инфраструктуре является ключевым для того, чтобы ботнеты и DDoS-атаки имели минимальное влияние на ваши сети.
A10 Networks предлагает решения для кибербезопасности, которые используют расширенные стратегии защиты и смягчения DDoS-атак и защищают от ботнетов и DDoS-атак. Варианты реализации решений могут быть самые разные: Proactive Deployment, Reactive Deployment, Reactive Deployment with Third-Party Flow Detector, Out-of-Band (TAP) Mode и другие. A10 также обеспечивает полную видимость сетевого трафика, что затрудняет проникновение вредоносного программного обеспечения в ваши сети или угон данных без вашего ведома.
iIT Distribution – официальный дистрибьютор компании A10 Networks. Мы не только поставляем программное обеспечения и техническое оборудование, но и предоставляем полный комплекс услуг по сопровождению проектов. Первичную экспертизу и оценку проводят высококвалифицированные специалисты, уровень которых подтвержден сертификатами вендоров.