O botnet (contracția engleză „ro bot net ”: „rețea de roboți”) este o rețea de roboți de calculator , programe conectate la Internet care comunică cu alte programe similare pentru a îndeplini anumite sarcini.
Din punct de vedere istoric, botnetul se referea la botnet-urile IRC . Înțelesul botnetului s- a extins la rețelele de botnets , utilizate în special pentru extragerea criptomonedelor, dar și în scopuri rău intenționate , cum ar fi trimiterea de spam și viruși de computer sau atacuri de refuz de serviciu (DDoS).
Pe IRC, utilizarea lor este de a gestiona canalele de discuții sau de a oferi utilizatorilor diverse servicii, cum ar fi jocuri, statistici pe canal etc. Fiind conectat la o rețea le permite să-și dea reciproc statutul de operator de canal într-un mod sigur, pentru a controla în mod eficient atacurile de inundații sau alte atacuri . Partajarea listelor de utilizatori, a interzicerilor și a tuturor tipurilor de informații le face mai eficiente.
Există alte utilizări legitime ale rețelelor bot , cum ar fi indexarea web : volumul de date care trebuie explorat și utilizarea necesară a paralelizării necesită utilizarea rețelelor de bot .
Primele drifturi au apărut pe rețelele IRC: botnet-urile IRC ( Eggdrop în decembrie 1993, apoi GTbot în aprilie 1998) au fost folosite în timpul ciocnirilor pentru a prelua controlul canalului.
Astăzi, acest termen este foarte des folosit pentru a desemna o rețea de mașini bot , deoarece IRC a fost unul dintre primele mijloace utilizate de rețelele rău intenționate pentru a comunica între ele, prin devierea utilizării primare a IRC. Primul dintre acestea la care s-a făcut referire a fost W32 / Pretty.worm, numit și PrettyPark, care vizează mediile Windows pe 32 de biți și care preia ideile Eggdrop și GTbot. La acea vreme, ei nu erau considerați foarte periculoși și abia în 2002 mai multe botnete rău intenționate (Agobot, SDBot, apoi SpyBot în 2003) au făcut oamenii să vorbească despre ele și că amenințarea a luat amploare.
Orice mașină conectată la Internet este probabil o țintă pentru a deveni o mașină zombie : mașini Windows, care reprezintă majoritatea mașinilor contaminate, dar și, într-o măsură mai mică, mașini Linux, Apple, chiar și console de jocuri sau dispozitive.
În 2007, Vint Cerf a considerat că unul din patru computere face parte dintr-o botnet.
Recent, acest fenomen s-a dezvoltat pe terminalele telefonice de tip smartphone și mai ales pe sistemul de operare Android unde troianul chinez numit „Geinimi” a apărut în decembrie 2010.
Principala caracteristică a botnetelor este punerea în comun a mai multor mașini distincte, uneori foarte numeroase, ceea ce face activitatea dorită mai eficientă (deoarece avem posibilitatea de a folosi o mulțime de resurse), dar și mai dificil de oprit.
Rețelele botnite rău intenționate sunt utilizate în principal pentru:
Spam : pentru a trimite mai multe mesaje.
DDoS : trimiteți mai multe atacuri către un server pentru a-l opri din funcționare.
BruteForcing : Găsirea unei parole mai rapidă.
Exploatarea minelor criptomonede .
Motivația economicăAspectul economic este esențial: dimensiunea botnetului, precum și capacitatea de a fi ușor controlat sunt elemente care contribuie la atragerea activității infracționale, atât pentru proprietarul botnetului (uneori numit „deranjant” sau „botmaster”) decât pentru utilizatori, care angajează de cele mai multe ori serviciile unei rețele bot pentru realizarea unei sarcini specifice (trimiterea de spam, atac computerizat, refuzul de serviciu, furt de informații etc.). În aprilie 2009, o rețea de bot de 1.900.000 de mașini descoperite de compania finjiană a generat un venit estimat la 190.000 de dolari pe zi pentru „botmasterii” săi.
Motivația ideologicăÎn afară de aspectul economic, atacurile pe computer pot deveni o armă de propagandă sau de represalii, în special în timpul conflictelor armate sau în timpul evenimentelor simbolice. De exemplu, în timpul conflictului dintre Rusia și Georgia din 2008, rețeaua georgiană a fost atacată în mai multe forme (pentru a o face indisponibilă sau pentru a învinge site-urile oficiale). În 2007, a avut loc și un atac major împotriva estoniei : motivația hackerilor ar fi mutarea unui monument către soldații sovietici din centrul capitalei estone. La începutul anului 2010, se crede că Vietnamul se află în spatele unei rețele bot care vizează reducerea disidenței politice.
Motivația personalăRăzbunarea sau șantajul pot face parte, de asemenea, din motivația atacatorilor, fără ca aspectul financiar să fie neapărat de o importanță primordială: un angajat prost plătit sau jucătorii online învinși pot căuta să se răzbune pe angajator sau pe câștigătorul jocului.
Compuse din computere personale sau servere, botnet-urile sunt acum alcătuite și din smartphone-uri sau orice tip de obiect conectat .
O botnet are mai multe faze ale vieții. Un design modular îi permite să gestioneze aceste faze cu o eficiență formidabilă, mai ales de îndată ce mașina vizată este compromisă. Faza de infecție este, evident, întotdeauna prima, dar secvența acestor faze nu este întotdeauna liniară și depinde de designul botnetului.
Infecția mașiniiAceasta este în mod logic faza inițială. Contaminarea implică adesea instalarea unui instrument software primar, care nu este neapărat instrumentul final. Această contaminare a mașinii folosește mecanismele clasice de infecție:
Odată instalat, această bază software poate declara aparatul către un centru de control, care îl va considera apoi activ . Aceasta este una dintre cheile conceptului de botnet, și anume că mașina infectată poate fi acum controlată de la distanță de una (sau mai multe) mașini terțe. În unele cazuri, sunt necesare alte faze (auto-protecție, actualizare etc.) pentru a intra în faza operațională.
ActualizațiOdată ce aparatul este infectat și activarea a fost efectuată, botnetul se poate actualiza singur, se poate auto-modifica, adăuga caracteristici etc. Acest lucru are impact semnificativ asupra pericolului botnetului și asupra capacității instrumentelor de luptă de a-l opri, deoarece un botnet își poate modifica astfel semnătura virală și alte caracteristici care îl pot determina să fie descoperit și identificat.
Auto-protectieInițial, sau după o fază de actualizare, botnetul va căuta să-și ofere mijloacele de a-și continua acțiunea, precum și mijloacele de ascundere. Aceasta poate include:
Dimensiunea unui botnet oferă atât eficiență, cât și valoare adăugată sponsorilor și utilizatorilor botnetului. Prin urmare, este obișnuit ca după instalare, mașina zombi să caute să extindă rețeaua botnet:
Odată ce botnetul este instalat și declarat, mașina zombie poate respecta ordinele date acestuia de a efectua acțiunile dorite de atacator (cu, dacă este necesar, instalarea de instrumente suplimentare printr-o actualizare de la distanță):
Iată cum funcționează un botnet folosit pentru a trimite e - mailuri :
Este extrem de dificil să ai cifre fiabile și precise, deoarece majoritatea botneturilor pot fi detectate doar indirect. Unele organizații precum shadowserver.org încearcă să stabilească numere din activitatea de rețea, detectarea centrelor de comandă (C&C) etc.
Numărul de rețele (botnet)În februarie 2010, se estimează că există între 4.000 și 5.000 de botnets active. Această cifră ar trebui considerată o gamă mică, deoarece botnet-urile câștigă în stealth și monitorizarea întregii rețele de internet este imposibilă.
Dimensiunea rețeleiDimensiunea unei rețele bot variază, dar devine obișnuit ca o rețea să fie formată din mii de mașini zombie . În 2008, în cadrul conferinței RSA, primele 10 rețele includeau 10.000 până la 315.000 de mașini, cu o capacitate de trimitere a e-mailurilor variind de la 300 de milioane la 60 de miliarde pe zi (pentru Srizbi, cel mai important botnet din această dată).
La sfârșitul anului 2009, MessageLabs a dat următoarele 10 top:
Numele botnetului | Numărul de mașini | Capacitate în e-mailuri pe minut |
---|---|---|
Rustock | 540.000 până la 810.000 | 14.000.000 |
Cutwail | 1.100.000 - 1.600.000 | 12.800.000 |
Bagle | 520.000 la 780.000 | 12.000.000 |
Bobax | 110.000 - 160.000 | 10.000.000 |
Grum | 580.000 - 860.000 | 6.800.000 |
Maazben | 240.000 la 360.000 | 1.5 milioane |
Festi | 140.000 - 220.000 | 900.000 |
Mega-D | 50.000 până la 70.000 | 690.000 |
Xarvester | 20.000 la 36.000 | 615.000 |
Gheg | 50.000 până la 70.000 | 300.000 |
În raportul său din 2009, MessageLabs a estimat, de asemenea, că 5 milioane de mașini au fost compromise într-o rețea de botnet spam .
Însăși constituirea unei rețele bot, uneori alcătuită din foarte multe mașini, îngreunează trasabilitatea acțiunilor și a surselor. Cu cât este mai mare botnet-ul, cu atât devine mai dificil să-l opriți și să-l opriți, deoarece este necesar atât pentru a opri răspândirea agenților care activează botnet-ul, cât și pentru a curăța mașinile compromise.
Generațiile mai vechi s-au bazat adesea pe un centru de control centralizat sau ușor dezactivat ( adresa IP fixă sau numele domeniului pot fi interzise, canalul IRC poate fi închis etc.). Acum, peer-to-peer permite o rezistență a sistemului de comunicații, iar funcțiile deturnate Web 2.0 fac interceptarea foarte complexă: botnetul caută un cuvânt cheie pe web și îl folosește pentru a determina locația centrului de date. trebuie să primească ordinele sale.
Mai multe acțiuni concertate în care departamentul de securitate Microsoft a fost puternic implicat au făcut posibilă demontarea a două rețele majore: Waledac și Rustock (operațiuni numite b49 și respectiv b107). În martie 2011, Rustock deținea aproximativ 1 milion de mașini care generau 47,5% din spamul global (conform Symantec ), iar codul său sursă folosea 106 adrese IP pentru controlul său.
Măsuri obișnuite de protecție a mașinilor (antivirus, HIDS / HIPS, parolă, gestionarea drepturilor utilizatorilor, anti-spam, gestionarea actualizărilor etc.)