Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Схема ботнета Stacheldraht, показывающая DDoS-атаку. (Обратите внимание, что это также пример типа клиент-серверной модели ботнета.)

Ботнет является количество Интернет -связным устройств, каждое из которых работает под управлением одной или нескольких ботов . Ботнеты могут использоваться для выполнения распределенных атак типа «отказ в обслуживании» (DDoS) , кражи данных, [1] рассылки спама и предоставления злоумышленнику доступа к устройству и его подключению. Владелец может управлять ботнетом с помощью программного обеспечения для управления и контроля (C&C). [2] Слово «ботнет» является контаминация слов « робот » и « сеть ». Этот термин обычно используется с негативным или злонамеренным подтекстом.

Обзор [ править ]

Ботнет - это логическая совокупность подключенных к Интернету устройств, таких как компьютеры, смартфоны или устройства IoT , безопасность которых была нарушена, а контроль передан третьей стороне. Каждое скомпрометировано устройство, известное как «боты», создаются , когда устройство пронизано программным обеспечением от вредоносных программ распределения (вредоносное ПО). Контроллер ботнета может управлять действиями этих скомпрометированных компьютеров через каналы связи, сформированные стандартными сетевыми протоколами , такими как IRC и протокол передачи гипертекста (HTTP). [3] [4]

Ботсети все чаще аренда от кибер - преступников в качестве товаров для различных целей. [5]

Архитектура [ править ]

Архитектура ботнета со временем развивалась, чтобы избежать обнаружения и нарушения работы. Традиционно программы-боты строятся как клиенты, которые общаются через существующие серверы. Это позволяет пастуху (человеку, управляющему ботнетом) осуществлять все управление из удаленного места, что скрывает трафик. [6] Многие недавние ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти программы-боты P2P выполняют те же действия, что и модель клиент-сервер, но им не требуется центральный сервер для связи.

Модель клиент-сервер [ править ]

Сеть, основанная на модели клиент-сервер, где отдельные клиенты запрашивают услуги и ресурсы с централизованных серверов.

Первые бот-сети в Интернете использовали модель клиент-сервер для выполнения своих задач. Обычно эти бот-сети работают через сети, домены или веб-сайты ретрансляционного чата в Интернете. Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд от сервера. Бот-пастух отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о своих результатах бот-пастуху.

В случае ботнетов IRC зараженные клиенты подключаются к зараженному серверу IRC и присоединяются к каналу, предварительно назначенному для C&C бот-мастером. Бот-пастух отправляет команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно в IRC-канал с результатами своих действий. [6]

Одноранговый [ править ]

Одноранговая (P2P) сеть, в которой взаимосвязанные узлы («одноранговые узлы») совместно используют ресурсы друг с другом без использования централизованной административной системы.

В ответ на попытки обнаружить и обезглавить IRC-ботнеты, бот-пастыри начали развертывать вредоносное ПО в одноранговых сетях. Эти боты могут использовать цифровые подписи, так что только тот, у кого есть доступ к закрытому ключу, может управлять ботнетом. [7] См., Например, ботнет Gameover ZeuS и ZeroAccess .

Новые ботнеты полностью работают в сетях P2P. Вместо того, чтобы связываться с централизованным сервером, P2P-боты работают как сервер распределения команд и как клиент, который получает команды. [8] Это позволяет избежать единой точки отказа, что является проблемой для централизованных ботнетов.

Чтобы найти другие зараженные машины, бот незаметно исследует случайные IP-адреса, пока не свяжется с другой зараженной машиной. Бот, с которым вы связались, отвечает с такой информацией, как версия его программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем версия другого, они инициируют передачу файла для обновления. [7] Таким образом, каждый бот увеличивает свой список зараженных машин и обновляется, периодически связываясь со всеми известными ботами.

Основные компоненты [ править ]

Создатель ботнета (известный как « пастух ботов » или «мастер ботов») управляет ботнетом удаленно. Это известно как командование и контроль (C&C). Программа операции должна связываться через скрытый канал с клиентом на машине жертвы (компьютер-зомби).

Протоколы управления [ править ]

IRC - это исторически излюбленное средство управления и контроля из-за его протокола связи . Бот-пастух создает канал IRC для подключения зараженных клиентов. Сообщения, отправленные на канал, транслируются всем участникам канала. Бот-пастырь может установить тему канала для управления ботнетом. Например, сообщение :[email protected] TOPIC #channel DDoS www.victim.comот бот-пастуха предупреждает всех зараженных клиентов, принадлежащих к #channel, о начале DDoS-атаки на веб-сайт www.victim.com. Пример ответа :[email protected] PRIVMSG #channel I am DDoSing www.victim.comбота-клиента предупреждает ботовода о начале атаки. [7]

Некоторые ботнеты реализуют собственные версии хорошо известных протоколов. Различия в реализации могут быть использованы для обнаружения ботнетов. Например, Mega-D имеет слегка измененную реализацию SMTP для проверки возможности спама. Доведение вниз Mega-D «s SMTP сервер отключает весь пул ботов , которые полагаются на том же SMTP - сервер. [9]

Компьютер-зомби [ править ]

В информатике компьютер- зомби - это компьютер, подключенный к Интернету, который был взломан хакером, компьютерным вирусом или троянским конем и может использоваться для выполнения вредоносных задач того или иного рода удаленно. Бот-сети компьютеров-зомби часто используются для распространения спама в электронной почте и запуска атак типа «отказ в обслуживании». Большинство владельцев зомби-компьютеров не знают, что их система используется таким образом. Поскольку владелец обычно не подозревает, эти компьютеры образно сравнивают с зомби. Скоординированная DDoS-атака нескольких машин ботнета также напоминает атаку орды зомби. Многие пользователи компьютеров не знают, что их компьютер заражен ботами. [10]

Процесс кражи вычислительных ресурсов в результате присоединения системы к «ботнету» иногда называют «скрампингом». [11]

Командование и контроль [ править ]

Протоколы управления и контроля ботнета (C&C) были реализованы разными способами, от традиционных подходов IRC до более сложных версий.

Telnet [ править ]

Ботнеты Telnet используют простой протокол ботнета C&C, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью скрипта сканирования, скрипт сканирования запускается на внешнем сервере и сканирует диапазоны IP-адресов для входа в систему через Telnet и SSH-сервер по умолчанию. Как только логин обнаружен, он добавляется в список заражений и заражается вредоносной линией заражения через SSH с сервера сканера. Когда команда SSH запускается, она заражает сервер и дает ему команду проверить связь с управляющим сервером и становится его подчиненным из-за заражающего его вредоносного кода. После заражения серверов на сервере контроллер бота может запускать DDoS-атаки большого объема с помощью панели C&C на главном сервере.

IRC [ править ]

В сетях IRC используются простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и используются с умеренным успехом для координации DDoS-атак и спам-кампаний, имея при этом возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 ( IRC ) популярен среди ботнетов. Первый известный сценарий контроллера ботнета, MaXiTE Bot, использовал протокол IRC XDCC для частных команд управления.

Одна из проблем с использованием IRC заключается в том, что каждый бот-клиент должен знать IRC-сервер, порт и канал, чтобы быть полезными для ботнета. Организации по борьбе с вредоносным ПО могут обнаруживать и отключать эти серверы и каналы, эффективно останавливая атаку ботнета. Если это происходит, клиенты по-прежнему заражены, но обычно бездействуют, поскольку не имеют возможности получать инструкции. [7] Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаруживать и блокировать дополнительные серверы или каналы ботнета, перехватывая трафик IRC. Злоумышленник ботнета может даже потенциально получить информацию о схеме управления и имитировать бот-пастуха, правильно выполнив команды. [12]

P2P [ править ]

Поскольку большинство бот-сетей, использующих IRC-сети и домены, со временем могут быть отключены, хакеры перешли на P2P-бот-сети с C&C, чтобы усложнить их отключение.

Некоторые также использовали шифрование как способ защитить или заблокировать ботнет от других, в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом, и возникают проблемы как при ее реализации, так и при ее взломе.

Домены [ править ]

Многие крупные ботнеты , как правило, используют домены , а не IRC в их конструкции (см Rustock ботнет и Srizbi ботнет ). Обычно они размещаются на надежных хостингах . Это один из самых ранних типов C&C. Компьютер- зомби получает доступ к специально разработанной веб-странице или доменам, которые обслуживают список управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который можно легко обновлять.

Недостатки этого метода заключаются в том, что он использует значительную полосу пропускания в крупном масштабе, а домены могут быть быстро захвачены государственными учреждениями без особых усилий и усилий. Если домены, управляющие ботнетами, не будут захвачены, они также станут легкой мишенью для взлома с помощью атак типа «отказ в обслуживании» .

Fast-flux DNS может использоваться как способ усложнить отслеживание управляющих серверов, которые могут меняться день ото дня. Управляющие серверы также могут переключаться из домена DNS в домен DNS, при этом алгоритмы генерации домена используются для создания новых имен DNS для серверов контроллеров.

Некоторые ботнеты используют бесплатные службы DNS- хостинга, такие как DynDns.org , No-IP.com и Afraid.org, чтобы указать субдомен на IRC-сервер, на котором находятся боты. Хотя эти бесплатные службы DNS сами по себе не организуют атаки, они предоставляют ориентиры (часто жестко запрограммированные в исполняемый файл ботнета). Удаление таких сервисов может вывести из строя весь ботнет.

Другое [ править ]

Вызов обратно в больших социальных медиа сайтов [13] , такие как GitHub , [14] Twitter , [15] [16] Reddit , [17] Instagram , [18] XMPP с открытым исходным кодом протокола мгновенных сообщений [19] и Tor скрытые услуги [ 20] являются популярными способами избежать фильтрации исходящего трафика для связи с C&C сервером. [21]

Строительство [ править ]

Традиционный [ править ]

Этот пример показывает, как ботнет создается и используется для злонамеренной выгоды.

  1. Хакер покупает или создает троянский и / или эксплойт-комплект и использует его для заражения компьютеров пользователей, полезной нагрузкой которых является вредоносное приложение - бот .
  2. Бот указывает зараженный компьютер для подключения к конкретной командно-контроля (C & C) сервера. (Это позволяет бот-мастеру вести журналы о том, сколько ботов активны и находятся в сети.)
  3. Затем бот-мастер может использовать ботов для сбора нажатий клавиш или использовать захват форм для кражи учетных данных в Интернете и может сдавать ботнет в аренду в качестве DDoS и / или спама в качестве услуги или продавать учетные данные в Интернете для получения прибыли.
  4. В зависимости от качества и возможностей ботов значение увеличивается или уменьшается.

Более новые боты могут автоматически сканировать свое окружение и распространять себя, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнета. [22]

Компьютеры могут быть включены в ботнет, когда они запускают вредоносное ПО. Этого можно добиться, соблазнив пользователей выполнить загрузку на машине , используя уязвимости веб-браузера или заставив пользователя запустить программу- троян , которая может исходить из вложения электронной почты. Эта вредоносная программа обычно устанавливает модули, которые позволяют оператору ботнета управлять компьютером и управлять им. После загрузки программное обеспечение позвонит домой (отправит пакет переподключения ) на главный компьютер. При повторном подключении, в зависимости от того, как оно написано, троянец может затем удалить себя или может оставаться при обновлении и обслуживании модулей.

Другое [ править ]

В некоторых случаях ботнет может быть временно создан добровольцами- хактивистами , например, с помощью низкоорбитальной ионной пушки, которая использовалась участниками 4chan во время проекта Chanology в 2010 году. [23]

Китайская Великая пушка Китая позволяет модифицировать законный трафик просмотра веб-страниц в магистралях Интернета в Китай, чтобы создать большой эфемерный ботнет для атаки крупных целей, таких как GitHub, в 2015 году [24].

Общие черты [ править ]

  • В настоящее время большинство бот-сетей используют распределенные атаки типа «отказ в обслуживании», при которых несколько систем отправляют как можно больше запросов к одному компьютеру или службе Интернета, перегружая их и не позволяя обслуживать законные запросы. Примером может служить атака на сервер жертвы. Сервер жертвы бомбардируется запросами ботов, которые пытаются подключиться к серверу, что приводит к его перегрузке.
  • Шпионское ПО - это программное обеспечение, которое отправляет своим создателям информацию о действиях пользователя - обычно пароли, номера кредитных карт и другую информацию, которая может быть продана на черном рынке. Взломанные машины, расположенные в корпоративной сети, могут быть более полезными для бот-пастыря, поскольку они часто могут получить доступ к конфиденциальной корпоративной информации. Несколько целевых атак на крупные корпорации с целью кражи конфиденциальной информации, например ботнет Aurora. [25]
  • Спам в электронной почте - это сообщения электронной почты, замаскированные под сообщения от людей, но являющиеся либо рекламными, либо раздражающими, либо вредоносными.
  • Мошенничество с кликами происходит, когда компьютер пользователя посещает веб-сайты без ведома пользователя, чтобы создать ложный веб-трафик для личной или коммерческой выгоды. [26]
  • Согласно CHEQ, Ad Fraud 2019, Экономическая цена злоумышленников в Интернете, рекламное мошенничество часто является следствием злонамеренных действий ботов. [27] Коммерческие цели ботов включают в себя влиятельных лиц, использующих их для повышения своей предполагаемой популярности, и онлайн-издателей, использующих ботов для увеличения количества кликов, получаемых рекламой, что позволяет сайтам получать больше комиссионных от рекламодателей.
  • Майнинг биткойнов использовался в некоторых из последних ботнетов, которые включают добычу биткойнов в качестве функции для получения прибыли для оператора ботнета. [28] [29]
  • Самораспространяющаяся функция поиска предварительно сконфигурированных команд управления и контроля (ЧПУ) содержит целевые устройства или сеть для нацеливания большего количества заражений, также обнаружена в нескольких ботнетах. Некоторые бот-сети используют эту функцию для автоматизации своих заражений.

Рынок [ править ]

Сообщество контроллеров ботнета ведет постоянную и непрерывную борьбу за то, у кого больше всего ботов, самая высокая общая пропускная способность и самые «высококачественные» зараженные машины, такие как университетские, корпоративные и даже правительственные машины. [30]

Хотя ботнеты часто называют в честь создавшего их вредоносного ПО, несколько бот-сетей обычно используют одно и то же вредоносное ПО, но управляются разными организациями. [31]

Фишинг [ править ]

Ботнеты могут использоваться для многих электронных мошенников. Эти бот-сети могут использоваться для распространения вредоносных программ, таких как вирусы, для получения контроля над компьютером / программным обеспечением обычных пользователей [32]. Взяв под контроль чей-то персональный компьютер, они получают неограниченный доступ к своей личной информации, включая пароли и данные для входа в учетные записи. Это называется фишингом . Фишинг - это получение информации для входа в учетные записи «жертвы» с помощью ссылки, по которой «жертва» нажимает, которая отправляется по электронной почте или в текстовом виде. [33] Опрос, проведенный Verizon, показал, что около двух третей случаев электронного «шпионажа» связаны с фишингом. [34]

Контрмеры [ править ]

Географическое рассредоточение ботнетов означает, что каждый новобранец должен быть индивидуально идентифицирован / загонен / исправлен, и ограничивает преимущества фильтрации .

Эксперты по компьютерной безопасности преуспели в разрушении или подрыве сетей управления и контроля вредоносных программ, в том числе путем захвата серверов или их отключения от Интернета, запрета доступа к доменам, которые должны были использоваться вредоносными программами для связи с его инфраструктурой управления и контроля. и, в некоторых случаях, взлом самой сети C&C. [35] [36] [37] В ответ на это операторы C&C прибегли к таким методам, как наложение своих сетей C&C на другую существующую безопасную инфраструктуру, такую ​​как IRC или Tor , используя одноранговые сетевые системы, которые не зависят от на любых фиксированных серверах и с использованием шифрования с открытым ключомдля предотвращения попыток взлома или подделки сети. [38]

Norton AntiBot был нацелен на потребителей, но большинство нацелено на предприятия и / или интернет-провайдеров. Методы, основанные на хосте, используют эвристику для определения поведения бота, обходящего обычное антивирусное ПО . Сетевые подходы, как правило, используют методы, описанные выше; выключение C&C серверов, нулевые записи DNS-маршрутизации или полное выключение серверов IRC. BotHunter - это программное обеспечение, разработанное при поддержке Исследовательского бюро армии США , которое обнаруживает активность ботнетов в сети, анализируя сетевой трафик и сравнивая его с шаблонами, характерными для вредоносных процессов.

Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно используя один миллион ядер Linux - аналогичный масштабу ботнета - в качестве виртуальных машин в высокопроизводительном компьютерном кластере с 4480 узлами для имитации очень большой сети, позволяя им наблюдать за ботнеты работают и экспериментируют, пытаясь их остановить. [39]

Обнаружение автоматических атак ботов становится все сложнее с каждым днем, поскольку злоумышленники запускают новые и более сложные поколения ботов. Например, автоматическая атака может развернуть большую армию ботов и применить методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегружать сайты десятками тысяч запросов с разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день. [40] В этих случаях многие инструменты пытаются использовать объемное обнаружение, но автоматические атаки ботов теперь имеют способы обойти триггеры объемного обнаружения.

Один из методов обнаружения этих атак ботов - это так называемые «системы на основе сигнатур», в которых программное обеспечение будет пытаться обнаружить шаблоны в пакете запроса. Но атаки постоянно развиваются, поэтому этот вариант может оказаться нежизнеспособным, если шаблоны невозможно выделить из тысяч запросов. Существует также поведенческий подход к противодействию ботам, который в конечном итоге пытается отличить ботов от людей. Выявляя нечеловеческое поведение и распознавая известное поведение ботов, этот процесс может применяться на уровне пользователя, браузера и сети.

Самый эффективный метод использования программного обеспечения для борьбы с вирусом - это использование программного обеспечения- приманки , чтобы убедить вредоносное ПО в уязвимости системы. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.

15 июля 2014 года Подкомитет по преступности и терроризму Комитета судебной власти Сената США провел слушания по поводу угроз, исходящих от бот-сетей, а также государственных и частных усилий по их пресечению и ликвидации. [41]

Исторический список ботнетов [ править ]

Первый ботнет был впервые обнаружен и разоблачен EarthLink во время судебного процесса с печально известным спамером Ханом С. Смитом [42] в 2001 году с целью массового спама, составлявшего почти 25% всего спама в то время. [43]

Примерно в 2006 году, чтобы помешать обнаружению, некоторые бот-сети уменьшились в размерах. [44]

Дата созданияДата демонтажаИмяПо оценкам нет. ботовЕмкость спама (млрд / сутки)Псевдонимы
1999!a999,999,999100000!a
2003 г.MaXiTE500-1000 серверов0Бот MaXiTE XDCC, скрипт MaXiTE IRC TCL, MaxServ
2004 (Ранний)Bagle230 000 [45]5,7Бигль, Митглидер, Лодейт
Марина Ботнет6 215 000 [45]92Дэймон Брайант, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Торпиг180 000 [46]Синовал, Ансерин
Буря160 000 [47]3Нувар, Пикомм, Желатин
2006 (около)2011 (март)Rustock150 000 [48]30РКРусток, Кострат
Донбот125 000 [49]0,8Бузус, Баксой
2007 (около)Cutwail1 500 000 [50]74Пандекс, Мутант (родственник: Вигон, Пушдо)
2007 г.Акбот1 300 000 [51]
2007 (март)2008 (ноябрь)Сризби450 000 [52]60Cbeplay, Обменник
Летик260 000 [45]2никто
Xarvester10,000 [45]0,15Rlsloup, Pixoliz
2008 (около)Sality1 000 000 [53]Сектор, Куку
2008 (около)2009-декабрьМарипоса12 000 000 [54]
2008 (ноябрь)Конфикер10 500 000+ [55]10DownUp, DownAndUp, DownAdUp, Kido
2008 (ноябрь)2010 (март)Валедак80 000 [56]1.5Waled, Waledpak
Маазбен50 000 [45]0,5Никто
Onewordsub40 000 [57]1,8
Гег30,000 [45]0,24Тофзее, Мондера
Нукрипт20,000 [57]5Лоский, Локский
Wopla20,000 [57]0,6Покер, трудяга, загадочный
2008 (около)Asprox15 000 [58]Danmec, Hydraflux
0Spamthru12 000 [57]0,35Спам-DComServ, Covesmer, Xmiler
2008 (около)Gumblar
2009 (май)Ноябрь 2010 г. (не полностью)BredoLab30 000 000 [59]3,6Oficla
2009 (около)2012-07-19Грум560 000 [60]39,9Тедру
Мега-Д509 000 [61]10Оздок
Kraken495 000 [62]9Kracken
2009 (август)Festi250 000 [63]2,25Спамность
2010 (март)Вулканбот
2010 (январь)LowSec11 000+ [45]0,5LowSecurity, FreeMoney, Ring0.Инструменты
2010 (около)TDL44,500,000 [64]TDSS, Алуреон
Зевс3 600 000 (только США) [65]Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 г.(Несколько: 2011, 2012)Kelihos300 000+4Hlux
2011 или ранее2015-02Рамнит3 000 000 [66]
2012 (около)Хамелеон120 000 [67]Никто
2016 (август)Мираи380 000Никто
2014 г.Necurs6 000 000
  • Исследователи из Калифорнийского университета в Санта-Барбаре взяли под свой контроль ботнет, который оказался в шесть раз меньше, чем ожидалось. В некоторых странах пользователи часто меняют свой IP-адрес несколько раз в день. Исследователи часто используют оценку размера ботнета по количеству IP-адресов, что может приводить к неточным оценкам. [68]

См. Также [ править ]

  • Компьютерный червь
  • Спамбот
  • Хронология компьютерных вирусов и червей
  • Расширенная постоянная угроза

Ссылки [ править ]

  1. ^ "Thingbots: будущее ботнетов в Интернете вещей" . Разведка безопасности . 20 февраля 2016 . Проверено 28 июля 2017 года .
  2. ^ "ботнет" . Дата обращения 9 июня 2016 .
  3. ^ Ramneek, Пури (8 августа 2003). «Боты и ботнет: обзор» . Институт SANS . Проверено 12 ноября 2013 года .
  4. ^ Путман, CGJ; Абхишта; Nieuwenhuis, LJM (март 2018 г.). «Бизнес-модель ботнета». 2018 26-я Международная конференция Euromicro по параллельной, распределенной и сетевой обработке (PDP) : 441–445. arXiv : 1804.10848 . Bibcode : 2018arXiv180410848P . DOI : 10,1109 / PDP2018.2018.00077 . ISBN 978-1-5386-4975-6.
  5. ^ Данчев, Даий (11 октября 2013). «Новички в кибер-играх предлагают коммерческий доступ к пяти мини-ботнетам» . Проверено 28 июня 2015 года .
  6. ^ a b Schiller, Craig A .; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон: Syngress. С. 29–75. DOI : 10.1016 / B978-159749135-8 / 50004-4 . ISBN 9781597491358.
  7. ^ a b c d Герон, Саймон (1 апреля 2007 г.). «Методы управления ботнетами». Сетевая безопасность . 2007 (4): 13–16. DOI : 10.1016 / S1353-4858 (07) 70045-4 .
  8. ^ Ван, Пинг и др. (2010). «Одноранговые ботнеты» . В штампе, марке; Ставроулакис, Питер (ред.). Справочник по информационной и коммуникационной безопасности . Springer. ISBN 9783642041174.CS1 maint: uses authors parameter (link)
  9. ^ CY Чо, Д. Бабич, Р. Шин и Д. Сонг. Вывод и анализ формальных моделей протоколов управления и контроля ботнета , 2010 ACM Conference on Computer and Communications Security.
  10. Тереза ​​Диксон Мюррей (28 сентября 2012 г.). «Банки не могут предотвратить кибератаки, подобные атакам на PNC, Key, US Bank на этой неделе» . Cleveland.com . Проверено 2 сентября 2014 года .
  11. ^ Arntz, Питер (30 марта 2016). «Факты о ботнетах» . Дата обращения 27 мая 2017 .
  12. ^ Шиллер, Крейг А .; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон: Syngress. С. 77–95. DOI : 10.1016 / B978-159749135-8 / 50005-6 . ISBN 978-159749135-8.
  13. Зельцер, Ленни. «Когда боты используют социальные сети для управления и контроля» .
  14. ^ Осборн, Чарли. «Hammertoss: российские хакеры нацелены на распространение вредоносного ПО в облаке, Twitter и GitHub» . ZDNet . Проверено 7 октября 2017 года .
  15. ^ Зингель, Райан (13 августа 2009). «Хакеры используют Twitter для управления ботнетом» . Дата обращения 27 мая 2017 .
  16. ^ «Обнаружен первый Android-ботнет, управляемый Twitter» . 24 августа 2016 . Дата обращения 27 мая 2017 .
  17. Рианна Галлахер, Шон (3 октября 2014 г.). «Ботнет на базе Reddit заразил тысячи компьютеров Mac по всему миру» . Дата обращения 27 мая 2017 .
  18. ^ Cimpanu, Каталин (6 июня 2017). «Российские государственные хакеры используют посты Бритни Спирс в Instagram для борьбы с вредоносным ПО» . Дата обращения 8 июня 2017 .
  19. ^ Dorais-Joncas, Алексис (30 января 2013). «Прохождение Win32 / Jabberbot. Командный центр обмена мгновенными сообщениями» . Дата обращения 27 мая 2017 .
  20. Константин, Лучиан (25 июля 2013 г.). «Киберпреступники используют сеть Tor для управления своими ботнетами» . Дата обращения 27 мая 2017 .
  21. ^ «Руководство по фильтру трафика ботнета Cisco ASA» . Дата обращения 27 мая 2017 .
  22. ^ Атака ботов на Wired
  23. Нортон, Куинн (1 января 2012 г.). "Anonymous 101 Part Deux: Триумф морали над Лулзом" . Wired.com . Проверено 22 ноября 2013 года .
  24. Петерсон, Андреа (10 апреля 2015 г.). «Китай использует новое оружие для онлайн-цензуры в виде« Великой пушки » » . Вашингтон Пост . Проверено 10 апреля 2015 года .
  25. ^ «Операция Аврора - Командная структура» . Damballa.com. Архивировано из оригинального 11 июня 2010 года . Проверено 30 июля 2010 года .
  26. Эдвардс, Джим (27 ноября 2013 г.). «Вот как это выглядит, когда бот-сеть для мошенничества с кликами тайно контролирует ваш веб-браузер» . Дата обращения 27 мая 2017 .
  27. ^ https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-congress/socialmediabotsreport.pdf
  28. Перейти ↑ Nichols, Shaun (24 июня 2014 г.). «Есть ботнет? Думаете использовать его для майнинга биткойнов? Не беспокойтесь» . Дата обращения 27 мая 2017 .
  29. ^ «Биткойн Майнинг» . BitcoinMining.com. Архивировано 30 апреля 2016 года . Проверено 30 апреля 2016 года .
  30. ^ «Троянский конь и часто задаваемые вопросы о вирусах» . DSLReports . Проверено 7 апреля 2011 года .
  31. ^ Многие-ко-многим Ботнет Отношения архивации 4 марта 2016 в Wayback Machine , Damballa , 8 июня 2009.
  32. ^ «Использование ботнетов | Проект Honeynet» . www.honeynet.org . Проверено 24 марта 2019 года .
  33. ^ «Что такое фишинг? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 24 марта 2019 года .
  34. ^ Агилар, Марио. «Количество людей, попадающихся на фишинговые письма, ошеломляет» . Gizmodo . Проверено 24 марта 2019 года .
  35. ^ «Обнаружение и демонтаж инфраструктуры управления и контроля ботнета с использованием поведенческих профайлеров и бот-информаторов» . vhosts.eecs.umich.edu .
  36. ^ «РАСКРЫТИЕ: Обнаружение командных и управляющих серверов ботнетов посредством крупномасштабного анализа NetFlow» (PDF) . Ежегодная конференция по приложениям компьютерной безопасности . ACM. Декабрь 2012 г.
  37. ^ BotSniffer: обнаружение командных и управляющих каналов ботнета в сетевом трафике . Материалы 15-го ежегодного симпозиума по безопасности сетей и распределенных систем. 2008. CiteSeerX 10.1.1.110.8092 . 
  38. ^ "IRCHelp.org - Конфиденциальность в IRC" . www.irchelp.org . Проверено 21 ноября 2020 года .
  39. ^ «Исследователи загружают миллион ядер Linux, чтобы помочь исследованию ботнета» . Новости ИТ-безопасности и сетевой безопасности. 12 августа 2009 . Проверено 23 апреля 2011 года .
  40. ^ "Атаки ботнета методом грубой силы теперь ускользают от объемного обнаружения" . ТЕМНОЕЧтение из Информационной недели . 19 декабря 2016 . Проверено 14 ноября 2017 года .
  41. ^ Соединенные Штаты. Конгресс. Сенат. Комитет по судебной власти. Подкомитет по преступности и терроризму (2018). Принимая вниз ботнеты: Государственные и частные усилия по Разрушать и разрознят киберпреступников сети: Слуховые перед подкомитетом по борьбе с преступностью и терроризмом Комитета по судебной системы , в сенате Соединенных Штатов, Сто XIII съезда, вторая сессия, 15 июля 2014 года . Вашингтон, округ Колумбия: Издательство правительства США . Проверено 18 ноября 2018 .
  42. ^ Кредер, Мэри. "Деловая хроника Атланты, штатный писатель" . bizjournals.com . Проверено 22 июля 2002 года .
  43. ^ Мэри Джейн Credeur (22 июля 2002). «EarthLink выиграла судебный процесс против нежелательной электронной почты на 25 миллионов долларов» . Проверено 10 декабря 2018 .
  44. Перейти ↑ Paulson, LD (апрель 2006 г.). «Хакеры усиливают вредоносные бот-сети, уменьшая их размер» (PDF) . Компьютер; Краткие новости . Компьютерное общество IEEE. 39 (4): 17–19. DOI : 10,1109 / MC.2006.136 . По словам Марка Саннера, технического директора MessageLabs, размер бот-сетей достиг пика в середине 2004 года, и многие из них использовали более 100 000 зараженных машин. Средний размер ботнета в настоящее время составляет около 20 000 компьютеров.
  45. ^ a b c d e f g "Symantec.cloud | Безопасность электронной почты, веб-безопасность, защита конечных точек, архивирование, непрерывность, безопасность обмена мгновенными сообщениями" . Messagelabs.com . Проверено 30 января 2014 года .[ мертвая ссылка ]
  46. Чак Миллер (5 мая 2009 г.). «Исследователи захватывают контроль над ботнетом Torpig» . SC Magazine US. Архивировано из оригинального 24 декабря 2007 года . Проверено 7 ноября 2011 года .
  47. ^ «Сеть Storm Worm сжимается примерно до одной десятой своего прежнего размера» . Tech.Blorge.Com. 21 октября 2007 года Архивировано из оригинала 24 декабря 2007 года . Проверено 30 июля 2010 года .
  48. Чак Миллер (25 июля 2008 г.). «Ботнет Rustock снова спамит» . SC Magazine US . Проверено 30 июля 2010 года .
  49. ^ Стюарт, Джо. «Спам ботнета для Watch в 2009 году» . Secureworks.com . SecureWorks . Проверено 9 марта 2016 .
  50. ^ «Pushdo Botnet - Новые DDOS-атаки на основные веб-сайты - Гарри Уолдрон - ИТ-безопасность» . Msmvps.com. 2 февраля 2010 года Архивировано из оригинала 16 августа 2010 года . Проверено 30 июля 2010 года .
  51. ^ «Подросток из Новой Зеландии обвиняется в контроле над ботнетом на 1,3 миллиона компьютеров» . Безопасность H. 30 ноября 2007 . Проверено 12 ноября 2011 года .
  52. ^ «Технология | Спам на подъеме после краткой отсрочки» . Новости BBC. 26 ноября 2008 . Проверено 24 апреля 2010 года .
  53. ^ "Sality: История одноранговой вирусной сети" (PDF) . Symantec. 3 августа 2011 . Проверено 12 января 2012 года .
  54. ^ «Как ФБР и полиция разоблачили массивный ботнет» . theregister.co.uk . Проверено 3 марта 2010 года .
  55. ^ «Расчет размера эпидемии Downadup - F-Secure Weblog: Новости из лаборатории» . F-secure.com. 16 января 2009 . Проверено 24 апреля 2010 года .
  56. ^ "Ботнет Waledac" уничтожен "удалением MS" . Реестр. 16 марта 2010 . Проверено 23 апреля 2011 года .
  57. ^ a b c d Грегг Кейзер (9 апреля 2008 г.). «Лучшие ботнеты контролируют 1 млн угнанных компьютеров» . Компьютерный мир . Проверено 23 апреля 2011 года .
  58. ^ "Ботнет изображает солдат-зомби на gimpy веб-сайтах" . Реестр. 14 мая 2008 , Проверено 23 апреля 2011 года .
  59. ^ «Infosecurity (Великобритания) - BredoLab отключил ботнет, связанный со Spamit.com» . .canada.com. Архивировано из оригинального 11 мая 2011 года . Проверено 10 ноября 2011 года .
  60. ^ «Исследование: небольшие DIY-ботнеты, распространенные в корпоративных сетях» . ZDNet . Проверено 30 июля 2010 года .
  61. ^ Уорнер, Гэри (2 декабря 2010 г.). "Олег Николаенко, ботмастер Mega-D предстанет перед судом" . Киберпреступность и время . Проверено 6 декабря 2010 года .
  62. ^ «Новый массивный ботнет в два раза больше шторма - безопасность / периметр» . Темное чтение . Проверено 30 июля 2010 года .
  63. Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi взрывается» . Мир ПК .
  64. ^ "Обнаружение руткита TDL4 (TDSS / Alureon)" . kasperskytienda.es. 3 июля 2011 . Проверено 11 июля 2011 года .
  65. ^ «10 самых разыскиваемых ботнетов Америки» . Networkworld.com. 22 июля 2009 . Проверено 10 ноября 2011 года .
  66. ^ «Операция полиции ЕС уничтожает вредоносную компьютерную сеть» . Phys.org .
  67. ^ «Обнаружено: ботнет стоит медийным рекламодателям более шести миллионов долларов в месяц» . Spider.io. 19 марта 2013 . Проверено 21 марта 2013 года .
  68. ^ Espiner, Том (8 марта 2011). «Размер ботнета может быть преувеличен, - говорит Enisa | Security Threats | ZDNet UK» . Zdnet.com . Проверено 10 ноября 2011 года .

Внешние ссылки [ править ]

  • Проект Honeynet и исследовательский альянс - «Знай своего врага: отслеживание бот-сетей»
  • The Shadowserver Foundation - группа по наблюдению за безопасностью, состоящая исключительно из добровольцев, которая собирает, отслеживает и сообщает о вредоносных программах, активности ботнетов и электронном мошенничестве.
  • EWeek.com - «Битва ботнетов уже проиграна?»
  • Бюст ботнета - «Создатель вредоносного ПО SpyEye признал себя виновным» , ФБР