Co to jest botnet?

O botnetach dowiedzieliśmy się pierwszy raz w roku 2000, gdy kanadyjski nastolatek przedstawiający się jako Mafiaboy zaatakował kilka znanych serwisów internetowych, wykorzystując metodę rozproszonej odmowy usługi. Wśród jego ofiar znalazły

O botnetach dowiedzieliśmy się pierwszy raz w roku 2000, gdy kanadyjski nastolatek przedstawiający się jako Mafiaboy zaatakował kilka znanych serwisów internetowych, wykorzystując metodę rozproszonej odmowy usługi. Wśród jego ofiar znalazły się m.in.: Yahoo, ETrade, Dell, eBay, Amazon; serwery tych portali zostały zalane ogromną ilością fałszywego ruchu, a w efekcie przestały działać. Chociaż Mafiaboy, który naprawdę nazywa się Michael Calce, nie wykorzystał do swoich ataków botnetu, eksperci bezpieczeństwa zaczęli ostrzegać po tym incydencie, że botnety — duże sieci komputerów zainfekowanych szkodliwym programem — oraz ataki DDoS, do których są one wykorzystywane, stanowią poważne zagrożenie dla stabilności i integralności internetu. Okazało się, że mieli rację.

Definicja botnetu
Botnet to grupa zhakowanych komputerów, które są kontrolowane w sposób zdalny. Autorem botnetu może być jedna lub kilka osób; infekują oni komputery ofiar szkodliwym programem. Poszczególne komputery wchodzące w skład botnetu często są nazywane „botami” lub „komputerami-zombie”. Botnet nie musi mieć określonej liczby komputerów: mniejsze mogą składać się z setek lub tysięcy zainfekowanych maszyn, a większe — nawet z milionów. Do znanych botnetów należą na przykład: Mirai, ConfickerZeusWaledacMariposa i Kelihos. Botnet często jest traktowany jako całość. Czasami jednak twórcy szkodliwych programów sprzedają swoje produkty — tak było na przykład w przypadku zagrożenia Zeus. Dlatego może się zdarzyć, że ten sam szkodliwy program może być wykorzystywany przez dziesiątki oddzielnych botnetów równocześnie.

Metoda infekcji
Aby dołączyć komputery do botnetu, atakujący używają zazwyczaj jednej z dwóch metod: tzw. ataku drive-by download lub wiadomości e-mail. Aby przeprowadzić infekcję z użyciem sposobu drive-by download, atakujący musi znaleźć popularną stronę internetową zawierającą możliwą do wykorzystania lukę. Następnie musi umieścić na stronie własny kod wykorzystujący daną lukę w przeglądarce, np. Google Chrome czy Internet Explorer. Zazwyczaj kod ma za zadanie przekierować użytkownika przeglądarki na stronę kontrolowaną przez atakującego, z której zostanie pobrany i zainstalowany kod bota. Wektor infekcji z użyciem poczty e-mail jest znacznie prostszy. Atakujący wysyła dużą partię spamu, a w wiadomościach tych znajduje się określony plik, np. dokument programu Word lub PDF ze szkodliwym kodem lub odnośnikiem do strony, na której znajduje się szkodliwy kod. W obu przypadkach, gdy przygotowany kod znajdzie się już na komputerze ofiary, staje się on częścią botnetu. Od tej chwili atakujący może wydawać polecenia komputerowi w sposób zdalny, przesyłać z niego dane, pobierać na niego nowe komponenty i ogólnie robić z nim, co tylko zechce.

Do czego używane są botnety
Botnety najczęściej są używane w atakach DDoS. Wykorzystują one moc obliczeniową i przepustowość setek lub tysięcy komputerów, aby wysyłać do określonej strony ogromną ilość ruchu w celu zablokowania jej. Mimo że istnieje wiele odmian ataków DDoS, ich cel pozostaje taki sam: zablokowanie działania strony. W ten sposób można zaszkodzić na przykład konkurencji, choć znane są także przypadki paraliżowania portali internetowych takich jak Yahoo czy MSN, sklepów internetowych czy stron bankowości online, a także stron rządowych. Grupy takie jak Anonymous czy LulzSec wykorzystują ataki DDoS przeciwko firmom zajmującym się bezpieczeństwem, bankom i innym organizacjom, a kolei cyberprzestępcy używają ich przeciwko stronom internetowym banków, co zwykle jest przykrywką dla większego ataku. Botnety są także używane do wielu innych działań: dzięki nim spammerzy wysyłają z zainfekowanych komputerów miliony fałszywych wiadomości e-mail, a cyberprzestępcy używają ich w oszukańczych transakcjach wykorzystujących karty kredytowe.

Jak się przed nimi chronić
Istnieje wiele sposobów ochrony przed atakami DDoS, w których wykorzystywane są botnety. Niemal wszystkie angażują dostawcę internetu lub serwer. Jeśli chodzi o użytkowników, zabezpieczenie się przed wcieleniem urządzenia do botnetu polega na regularnym aktualizowaniu oprogramowania, stosowaniu łat oraz unikaniu klikania podejrzanych odnośników. Atakujący często wykorzystują naiwność użytkowników, którzy otwierają podejrzane załączniki lub klikają wszystkie łącza, infekując w ten sposób swój komputer szkodliwym programem. Gdy użytkownicy będą rozważniej traktować nieznane łącza i załączniki, znacznie utrudnią atakującym budowanie i używanie botnetów.

Porady