Botnet – co to jest?

Dużym zagrożeniem dla użytkowników Internetu są ataki prowadzone przy równoczesnym wykorzystaniu wielu urządzeń, określane jako DDoS. Botnet, czyli sieć komputerów, nad którymi kontrolę przejęli hakerzy, stanowi narzędzie służące do przesyłania złośliwego oprogramowania. Warto sprawdzić, w jakim celu się tego dokonuje oraz jakie są sposoby na ochronę przed takim niebezpieczeństwem.

Botnet to grupa urządzeń podłączonych do Internetu, które zostały zainfekowane złośliwym oprogramowaniem i znalazły się pod kontrolą hakera. Każdy komputer, laptop czy smartfon jest nazywany botem. Razem tworzą one botnet, nazywany też czasem armią zombie. Niektóre programy są zaprojektowane tak, aby przejąć całkowitą kontrolę nad urządzeniem, podczas gdy inne działają w tle, czekając na instrukcje od atakującego.

Ataki są dokonywane zwykle na urządzenia pracujące w systemie operacyjnym Windows. Coraz częściej dotyczą one również platformy Android, która obsługuje technologie mobilne. Podstawową cechą jest możliwość otrzymywania poleceń od bot herdera, które pozwalają na zmianę docelowego adresu IP czy przerwanie ataku. Najbardziej znane botnety to Zeus, Mirai, Waledac, Mariposa.

Przyczyny korzystania z tego rozwiązania są różne – od aktywizmu po zakłócanie porządku publicznego, choć wiele ataków przeprowadza się po prostu dla zysku. Wynajęcie usług botnetowych online jest stosunkowo tanie, zwłaszcza w porównaniu z wielkością szkód, jakie mogą one wyrządzić. Bariera dla stworzenia armii zombie jest na tyle niska, że dla niektórych twórców oprogramowania stanowi lukratywny biznes, zwłaszcza w miejscach, gdzie egzekwowanie prawa jest ograniczone.

Botnety są obecnie jednym z największych niebezpieczeństw w Internecie. Służą do realizacji nielegalnych i uciążliwych dla użytkowników działań, w tym:

• wysyłania spamu,
• kradzieży danych,
• automatycznego klikania reklam,
• dokonywania ataków, w tym ransomware (uniemożliwienie odczytu danych w celu wymuszenia okupu) bądź DDoS (distributed denial of service – blokowanie dostępu do systemu komputerowego bądź usługi sieciowej za pomocą wielu urządzeń).

Każde tego typu działanie może prowadzić do znaczących strat, w tym finansowych. Wiążą się one na przykład z koniecznością zapłaty okupu przez firmę czy utratą pieniędzy z konta bankowego.

Wirus zombie rozprzestrzenia się w wyniku wykorzystywania luk w zabezpieczeniach urządzeń czy stron internetowych, które wynikają ze słabości uwierzytelniania (często jest jednostopniowe albo oparte na przestarzałych rozwiązaniach) i niewiedzy użytkowników. Stosowane są dwie metody:

• drive-by download – ataki przy wykorzystaniu popularnej strony internetowej, na której przez hakera umieszczany jest własny kod pozwalający na przekierowanie użytkownika,
• poczta e-mail – na skrzynkę wysyłane są odnośniki i po kliknięciu w nie dochodzi do infekcji.

W ten sposób złośliwe oprogramowanie, takie jak na przykład koń trojański, jest instalowane na urządzeniu docelowym. Umożliwia to uzyskanie zdalnej kontroli przez operatora botnetu i dalsze rozprzestrzenianie wirusa oraz włączanie do ataku kolejnych botów.

Chociaż dokładne określenie liczby zainfekowanych urządzeń w danym botnecie jest niemożliwe, szacuje się, że sieć liczy zwykle od kilku tysięcy nawet do ponad miliona komputerów, laptopów bądź smartfonów.

Botnet – komputery zainfekowane złośliwym oprogramowaniem

Za sprawą sieci botnet DDoS, czyli atak przy wykorzystaniu setek komputerów, może szybko się rozprzestrzenić. Istnieją skuteczne sposoby na zabezpieczenie się przed taką ewentualnością. Obejmują:

• stałe aktualizowanie oprogramowania oraz aplikacji,
• unikanie klikania w podejrzane linki przesyłane przez pocztę elektroniczną czy pobierania plików z niesprawdzonych źródeł,
• śledzenie informacji na temat pojawiających się zagrożeń, które są publikowane na przykład w systemach bankowości elektronicznej,
• włączenie opcji uruchamiania wyłącznie dozwolonych aplikacji na smartfonie.

Warto również zmienić poświadczenia administracyjne i wykluczyć domyślną nazwę użytkownika oraz hasło. Stworzenie bezpiecznego hasła, obejmującego ciąg liter, cyfr i symboli, praktycznie uniemożliwia stosowanie metody brute force. Na przykład, urządzenie zainfekowane złośliwym oprogramowaniem Mirai będzie skanować adresy IP w poszukiwaniu urządzeń, które odpowiadają na jego polecenia. Gdy komputer odpowie na żądanie ping, bot spróbuje zalogować się do niego za pomocą listy domyślnych danych uwierzytelniających. Jeśli wprowadzono bezpieczne hasło, bot poddaje się i przechodzi dalej.

Urządzenie, które zostało włączone w armię zombie, można łatwo rozpoznać. Objawy są podobne do ataków typu malware i zaliczają się tu:

• spowolniona praca,
• ciągłe wyświetlanie wiadomości o błędach, w tym systemowych,
• nagłe włączanie się wentylatora, gdy komputer lub laptop jest bezczynny.

Każde nietypowe działanie sprzętu, szczególnie jeśli pojawiło się nagle, bez wcześniejszych symptomów, i trwa przez dłuższy czas, powinno stanowić przesłankę do podjęcia działań w celu wyeliminowania zagrożenia.

W przypadku komputerów osobistych strategie odzyskiwania kontroli nad maszyną obejmują:

• uruchomienie antywirusa,
• ponowną instalację oprogramowania z bezpiecznej kopii zapasowej,
• sformatowanie systemu operacyjnego.

W przypadku urządzeń IoT, a więc działających w ramach Internetu Rzeczy, pożądane jest wykonanie flashowania oprogramowania sprzętowego, przeprowadzenie resetu fabrycznego lub sformatowanie urządzenia w inny sposób. Jeśli te opcje są niewykonalne, producent urządzenia lub administrator systemu może udostępnić inne strategie.

Ponadto zaleca się wykonać uruchomienie ostatniej znanej konfiguracji. Pozwoli to usunąć zawirusowane pliki, w tym oprogramowanie botnet. Rozwiązanie to może być zastosowane również w charakterze środka zapobiegawczego.

Czasem botnet zostaje unieszkodliwiony w wyniku działań podjętych przez administratorów systemów bądź organy ścigania, dzięki czemu użytkownik jest usuwany z armii zombie. Najłatwiej jest to zrobić w przypadku sieci zarządzanych w trybie „command-and-control”, a więc struktur scentralizowanych. Wystarczy, że dojdzie do wykrycia i zamknięcia centrów kontroli. Trudniej jest to wykonać w kraju, gdzie walka z cyberzagrożeniami jest słabo rozwinięta.

DDoS zmierzają do zablokowania systemów komputerowych, serwisów internetowych czy usług sieciowych w celu na przykład uzyskania okupu. By ataki te się powiodły, niezbędny jest wirus zombie, który spowoduje równoczesne wysłanie nawet milionów poleceń na adres IP.

Serwer kontrolujący atak DDOS może być urządzeniem należącym do atakującego i przez niego obsługiwanym.

Konstrukcje armii zombie są różne, ale struktury można podzielić na dwie ogólne kategorie. Pierwsza to model klient/serwer, w którym każde urządzenie łączy się z zasobem centrum dowodzenia i kontroli (CnC), takim jak domena internetowa lub kanał IRC, aby otrzymywać instrukcje. Scentralizowany serwer kontrolujący może być urządzeniem należącym do atakującego i przez niego obsługiwanym albo komputerem zainfekowanym.

Słabość tego rozwiązania, objawiająca się możliwością zastopowania jego działania w wyniku zakłócenia serwera kontroli, doprowadziła do rozwoju innej strategii. Chodzi o zdecentralizowaną wymianę plików peer-to-peer (P2P), w której struktury kontrolne znajdują się wewnątrz botnetu. Boty P2P mogą być zarówno klientami, jak i centrami dowodzenia, współpracując z sąsiednimi węzłami w celu propagacji danych. Model charakteryzuje to, że:

• boty komunikują się z ograniczoną liczbą maszyn, co  utrudnia ich śledzenie,
• dane są szyfrowane, dzięki czemu dostęp do nich jest ograniczony.

Botnet wykorzystuje się również w przypadku ataków DoS. Odbywają się one z jednej maszyny, przy czym, by nie doszło do identyfikacji hakera, często wykorzystuje on przejęty w wyniku zawirusowania komputer należący do innego użytkownika.

Dowiedz się więcej na temat wykorzystywania sieci botnet podczas ataków DDoS i DoS.

Wiele ataków internetowych jest dokonywanych w oparciu o botnet – DDoS oraz DoS są dobrymi przykładami. Wirus zombie rozprzestrzenia się w wyniku słabości zabezpieczeń, jakie są stosowane w przypadku komputerów, smartfonów czy stron WWW. Można mu skutecznie zapobiec, w tym poprzez regularną aktualizację oprogramowania, stosowanie silnych haseł uwierzytelniających czy unikanie klikania w podejrzane linki. Warto zadbać o to, by nie paść ofiarą ataku cyberprzestępców.