Из Википедии, бесплатной энциклопедии
  (Перенаправлено из Command and Control (вредоносное ПО) )
Перейти к навигации Перейти к поиску

Диаграмма ботнета Stacheldraht, показывающая DDoS-атаку. (Обратите внимание, что это также пример типа клиент-серверной модели ботнета.)

Ботнет является количество Интернет -связным устройств, каждое из которых работает под управлением одной или нескольких ботов . Ботнеты могут использоваться для выполнения распределенных атак типа «отказ в обслуживании» (DDoS) , кражи данных, [1] рассылки спама и предоставления злоумышленнику доступа к устройству и его подключению. Владелец может управлять ботнетом с помощью программного обеспечения для управления и контроля (C&C). [2] Слово «ботнет» является контаминация слов « робот » и « сеть ». Этот термин обычно используется с негативным или злонамеренным подтекстом.

Обзор [ править ]

Ботнет - это логическая совокупность подключенных к Интернету устройств, таких как компьютеры, смартфоны или устройства Интернета вещей (IoT), безопасность которых была нарушена, а контроль передан третьей стороне. Каждое взломанное устройство, известное как «бот», создается, когда на устройство проникает программное обеспечение из распространения вредоносного ПО (вредоносного ПО). Контроллер ботнета может направлять действия этих скомпрометированных компьютеров через каналы связи, сформированные стандартными сетевыми протоколами , такими как IRC и протокол передачи гипертекста (HTTP). [3] [4]

Ботсети все чаще аренда от кибер - преступников в качестве товаров для различных целей. [5]

Архитектура [ править ]

Архитектура ботнета со временем развивалась, чтобы избежать обнаружения и нарушения. Традиционно программы-боты строятся как клиенты, которые обмениваются данными через существующие серверы. Это позволяет пастуху (контроллеру ботнета) осуществлять все управление из удаленного места, что скрывает трафик. [6] Многие недавние ботнеты теперь полагаются на существующие одноранговые сети для связи. Эти программы-боты P2P выполняют те же действия, что и модель клиент-сервер, но им не требуется центральный сервер для связи.

Модель клиент-сервер [ править ]

Сеть, основанная на модели клиент-сервер , где отдельные клиенты запрашивают услуги и ресурсы с централизованных серверов.

Первые бот-сети в Интернете использовали модель клиент-сервер для выполнения своих задач. [7] Как правило, эти бот-сети работают через сети, домены или веб-сайты ретрансляционного чата в Интернете . Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд от сервера. Бот-пастух отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о своих результатах бот-пастуху.

В случае ботнетов IRC зараженные клиенты подключаются к зараженному серверу IRC и присоединяются к каналу, предварительно назначенному для C&C бот-пастырем. Бот-пастух отправляет команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно в IRC-канал с результатами своих действий. [6]

Одноранговый [ править ]

Одноранговая (P2P) сеть, в которой взаимосвязанные узлы («одноранговые узлы») совместно используют ресурсы друг с другом без использования централизованной административной системы.

В ответ на попытки обнаружить и обезглавить IRC-ботнеты, бот-пастыри начали развертывать вредоносное ПО в одноранговых сетях. Эти боты могут использовать цифровые подписи, так что только тот, у кого есть доступ к закрытому ключу, может управлять ботнетом. [8] См., Например, ботнет Gameover ZeuS и ZeroAccess .

Новые ботнеты полностью работают в сетях P2P. Вместо того, чтобы связываться с централизованным сервером, P2P-боты работают как сервер распределения команд и как клиент, который получает команды. [9] Это позволяет избежать единой точки отказа, что является проблемой для централизованных ботнетов.

Чтобы найти другие зараженные машины, бот незаметно исследует случайные IP-адреса, пока не свяжется с другой зараженной машиной. Бот, с которым связались, отвечает, сообщая такую ​​информацию, как версия его программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем у другого, они инициируют передачу файла для обновления. [8] Таким образом, каждый бот увеличивает свой список зараженных машин и обновляется, периодически связываясь со всеми известными ботами.

Основные компоненты [ править ]

Создатель ботнета (известный как « пастух ботов » или «хозяин ботов») управляет ботнетом удаленно. Это называется командно-административным управлением (C&C). Программа для операции должна общаться через скрытый канал с клиентом на машине жертвы (компьютер-зомби).

Протоколы управления [ править ]

IRC - это исторически излюбленное средство управления и контроля из-за его протокола связи . Бот-пастух создает канал IRC для подключения зараженных клиентов. Сообщения, отправленные на канал, транслируются всем участникам канала. Бот-пастырь может установить тему канала для управления ботнетом. Например, сообщение :[email protected] TOPIC #channel DDoS www.victim.comот бот-пастуха предупреждает всех зараженных клиентов, принадлежащих #channel, о начале DDoS-атаки на веб-сайт www.victim.com. Пример ответа :[email protected] PRIVMSG #channel I am DDoSing www.victim.comклиента-бота предупреждает пастуха о том, что он начал атаку. [8]

Некоторые ботнеты реализуют собственные версии известных протоколов. Различия в реализации могут быть использованы для обнаружения ботнетов. Например, Mega-D имеет слегка модифицированный протокол Simple Mail Transfer (SMTP) реализацию для тестирования возможностей спама. Выключение SMTP-сервера Mega-D отключает весь пул ботов, которые полагаются на один и тот же SMTP-сервер. [10]

Компьютер-зомби [ править ]

В информатике , зомби компьютер это компьютер , подключенный к Интернету , который был взломан хакером , компьютерный вирусом или трояном и может быть использован для выполнения вредоносных задач при удаленном направлении. Бот-сети компьютеров-зомби часто используются для распространения спама в электронной почте и запуска атак типа «отказ в обслуживании» (DDoS). Большинство владельцев компьютеров-зомби не знают, что их система используется таким образом. Поскольку владелец обычно не подозревает, эти компьютеры образно сравнивают с зомби . Скоординированная DDoS-атака несколькими ботнет-машинами также напоминает атаку орды зомби. [11]

Процесс кражи вычислительных ресурсов в результате присоединения системы к «ботнету» иногда называют «скрампингом». [12]

Командование и контроль [ править ]

Протоколы управления и контроля ботнета (C&C) были реализованы разными способами, от традиционных подходов IRC до более сложных версий.

Telnet [ править ]

Ботнеты Telnet используют простой протокол ботнета C&C, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью скрипта сканирования , который запускается на внешнем сервере и сканирует диапазоны IP-адресов для входа на telnet- и SSH- серверы по умолчанию. Как только логин обнаружен, сервер сканирования может заразить его через SSH вредоносным ПО, которое пингует сервер управления.

IRC [ править ]

В сетях IRC используются простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и используются с умеренным успехом для координации DDoS-атак и спам-кампаний, имея при этом возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 ( IRC ) популярен среди ботнетов. Первый известный сценарий контроллера ботнета, MaXiTE Bot, использовал протокол IRC XDCC для частных команд управления.

Одна из проблем с использованием IRC заключается в том, что каждый бот-клиент должен знать IRC-сервер, порт и канал, чтобы быть полезным для ботнета. Организации по борьбе с вредоносным ПО могут обнаруживать и отключать эти серверы и каналы, эффективно останавливая атаку ботнета. Если это происходит, клиенты по-прежнему заражены, но обычно бездействуют, поскольку не имеют возможности получать инструкции. [8] Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. По-прежнему можно обнаруживать и нарушать работу дополнительных серверов или каналов ботнета, перехватывая IRC-трафик. Злоумышленник ботнета может даже потенциально получить знания о схеме управления и имитировать бот-пастуха, правильно выполнив команды. [13]

P2P [ править ]

Поскольку большинство ботнетов, использующих сети и домены IRC, со временем могут быть отключены, хакеры перешли на ботнеты P2P с C&C, чтобы сделать ботнет более устойчивым и устойчивым к завершению.

Некоторые также использовали шифрование как способ защитить или заблокировать ботнет от других, в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом, и возникают проблемы как при ее реализации, так и при ее взломе.

Домены [ править ]

Многие крупные ботнеты , как правило, используют домены , а не IRC в их конструкции (см Rustock ботнет и Srizbi ботнет ). Обычно они размещаются на надежных хостингах . Это один из самых ранних типов C&C. Компьютер-зомби получает доступ к специально разработанной веб-странице или доменам, которые обслуживают список управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который можно легко обновлять.

Недостатки этого метода заключаются в том, что он использует значительную полосу пропускания в крупном масштабе, а домены могут быть быстро захвачены государственными учреждениями с небольшими усилиями. Если домены, управляющие ботнетами, не будут захвачены, они также станут легкой мишенью для взлома с помощью атак типа «отказ в обслуживании» .

Fast-flux DNS может использоваться для затруднения отслеживания серверов управления, которые могут меняться день ото дня. Управляющие серверы также могут переключаться с домена DNS на домен DNS, при этом алгоритмы генерации домена используются для создания новых имен DNS для серверов контроллеров.

Некоторые ботнеты используют бесплатные службы хостинга DNS, такие как DynDns.org , No-IP.com и Afraid.org, чтобы указать субдомен на IRC-сервер, на котором находятся боты. Хотя эти бесплатные службы DNS сами по себе не организуют атаки, они предоставляют ориентиры (часто жестко запрограммированные в исполняемый файл ботнета). Удаление таких сервисов может вывести из строя весь ботнет.

Другое [ править ]

Вызов обратно в больших социальных медиа сайтов [14] , такие как GitHub , [15] Twitter , [16] [17] Reddit , [18] Instagram , [19] XMPP с открытым исходным кодом протокола мгновенных сообщений [20] и Tor скрытые услуги [ 21] - популярные способы избежать фильтрации исходящего трафика для связи с C&C сервером. [22]

Строительство [ править ]

Традиционный [ править ]

Этот пример показывает, как ботнет создается и используется для злонамеренной выгоды.

  1. Хакер покупает или создает троян и / или комплект эксплойтов и использует его для заражения компьютеров пользователей, полезной нагрузкой которых является вредоносное приложение - бот .
  2. Бот указывает зараженный компьютер для подключения к конкретной командно-контроля (C & C) сервера. (Это позволяет бот-мастеру вести журналы о том, сколько ботов активны и находятся в сети.)
  3. Затем бот-мастер может использовать ботов для сбора нажатий клавиш или использовать захват форм для кражи учетных данных в Интернете и может сдавать ботнет в аренду в качестве DDoS и / или спама в качестве услуги или продавать учетные данные в Интернете для получения прибыли.
  4. В зависимости от качества и возможностей ботов значение увеличивается или уменьшается.

Более новые боты могут автоматически сканировать свое окружение и распространять себя, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнета. [23]

Компьютеры могут быть включены в бот-сеть, когда они запускают вредоносное ПО. Этого можно достичь, соблазнив пользователей выполнить загрузку на машине , используя уязвимости веб-браузера или заставив пользователя запустить программу « троянский конь », которая может исходить из вложения электронной почты. Эта вредоносная программа обычно устанавливает модули, которые позволяют оператору ботнета управлять компьютером и управлять им. После загрузки программное обеспечение позвонит домой (отправит пакет переподключения ) на главный компьютер. При повторном подключении, в зависимости от того, как оно написано, троянец может затем удалить себя или может оставаться при обновлении и обслуживании модулей.

Другое [ править ]

В некоторых случаях ботнет может быть временно создан добровольцами- хактивистами , например, с помощью низкоорбитальной ионной пушки, которая использовалась участниками 4chan во время проекта Chanology в 2010 году. [24]

Китайская Великая пушка Китая позволяет модифицировать законный трафик просмотра веб-страниц в магистралях Интернета в Китай для создания большого эфемерного ботнета для атаки крупных целей, таких как GitHub, в 2015 году [25].

Общие черты [ править ]

  • В настоящее время в большинстве ботнетов используются распределенные атаки типа «отказ в обслуживании», при которых несколько систем отправляют как можно больше запросов на один компьютер или службу Интернета, перегружая их и не позволяя обслуживать законные запросы. Примером может служить атака на сервер жертвы. Сервер жертвы бомбардируется запросами ботов, которые пытаются подключиться к серверу, что приводит к его перегрузке.
  • Шпионское ПО - это программное обеспечение, которое отправляет своим создателям информацию о действиях пользователя - обычно пароли, номера кредитных карт и другую информацию, которая может быть продана на черном рынке. Взломанные машины, расположенные в корпоративной сети, могут быть более полезными для ботоведов, поскольку они часто могут получить доступ к конфиденциальной корпоративной информации. Несколько целевых атак на крупные корпорации с целью кражи конфиденциальной информации, например ботнет Aurora. [26]
  • Спам в электронной почте - это сообщения электронной почты, замаскированные под сообщения от людей, но являющиеся либо рекламными, либо раздражающими, либо вредоносными.
  • Мошенничество с кликами происходит, когда компьютер пользователя посещает веб-сайты без ведома пользователя, чтобы создать ложный веб-трафик для личной или коммерческой выгоды. [27]
  • Согласно CHEQ, Ad Fraud 2019, Экономическая цена злоумышленников в Интернете, рекламное мошенничество часто является следствием злонамеренных действий ботов. [28] В коммерческие цели ботов входят влиятельные лица, использующие их для повышения своей предполагаемой популярности, и онлайн-издатели, использующие ботов для увеличения количества кликов, получаемых рекламой, что позволяет сайтам получать больше комиссионных от рекламодателей.
  • Майнинг биткойнов использовался в некоторых из последних ботнетов, которые включают добычу биткойнов в качестве функции для получения прибыли для оператора ботнета. [29] [30]
  • Самораспространяющаяся функция поиска предварительно сконфигурированных команд управления и контроля (ЧПУ) содержит целевые устройства или сеть для нацеливания большего количества заражений, также обнаружена в нескольких ботнетах. Некоторые бот-сети используют эту функцию для автоматизации своих заражений.

Рынок [ править ]

Сообщество контроллеров ботнета ведет постоянную и непрерывную борьбу за то, у кого больше всего ботов, самая высокая общая пропускная способность и самые «высококачественные» зараженные машины, такие как университетские, корпоративные и даже правительственные машины. [31]

Хотя ботнеты часто называют в честь создавшего их вредоносного ПО, несколько бот-сетей обычно используют одно и то же вредоносное ПО, но управляются разными организациями. [32]

Фишинг [ править ]

Ботнеты могут использоваться для многих электронных мошенников. Эти ботнеты могут использоваться для распространения вредоносных программ, таких как вирусы, для получения контроля над компьютером / программным обеспечением обычных пользователей [33]. Взяв под контроль чей-то персональный компьютер, они получают неограниченный доступ к своей личной информации, включая пароли и данные для входа в учетные записи. Это называется фишингом . Фишинг - это получение информации для входа в учетные записи «жертвы» с помощью ссылки, по которой «жертва» нажимает, которая отправляется по электронной почте или с помощью текстового сообщения. [34] Опрос, проведенный Verizon, показал, что около двух третей случаев электронного «шпионажа» связаны с фишингом. [35]

Контрмеры [ править ]

Географическое рассредоточение ботнетов означает, что каждый новобранец должен быть индивидуально идентифицирован / загонен / исправлен, и ограничивает преимущества фильтрации .

Эксперты по компьютерной безопасности преуспели в разрушении или подрыве сетей управления и контроля вредоносных программ, среди прочего, путем захвата серверов или отключения их от Интернета, отказа в доступе к доменам, которые должны были использоваться вредоносными программами для связи с его инфраструктурой управления и контроля. и, в некоторых случаях, взлом самой сети C&C. [36] [37] [38] В ответ на это операторы C&C прибегли к таким методам, как наложение своих сетей C&C на другую существующую безопасную инфраструктуру, такую ​​как IRC или Tor , используя одноранговые сетевые системы, которые не зависят от на любых фиксированных серверах и с использованием шифрования с открытым ключомдля предотвращения попыток взлома или подделки сети. [39]

Norton AntiBot был нацелен на потребителей, но большинство нацелено на предприятия и / или интернет-провайдеров. Методы на основе хоста используют эвристику для определения поведения ботов, обходящего обычное антивирусное программное обеспечение . Сетевые подходы, как правило, используют методы, описанные выше; выключение C&C серверов, нулевые записи DNS-маршрутизации или полное выключение серверов IRC. BotHunter - это программное обеспечение, разработанное при поддержке Исследовательского бюро армии США , которое обнаруживает активность ботнетов в сети, анализируя сетевой трафик и сравнивая его с шаблонами, характерными для вредоносных процессов.

Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно выполняя один миллион ядер Linux - аналогичный масштабам ботнета - в качестве виртуальных машин в высокопроизводительном компьютерном кластере с 4480 узлами для имитации очень большой сети, позволяя им наблюдать за тем, как ботнеты работают и экспериментируют, пытаясь их остановить. [40]

Обнаружение автоматических атак ботов становится все труднее с каждым днем, поскольку злоумышленники запускают новые и более сложные поколения ботов. Например, автоматическая атака может развернуть большую армию ботов и применить методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегружать сайты десятками тысяч запросов с разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день. [41] В этих случаях многие инструменты пытаются использовать объемное обнаружение, но автоматические атаки ботов теперь имеют способы обойти триггеры объемного обнаружения.

Один из методов обнаружения этих атак ботов - это так называемые «системы на основе сигнатур», в которых программное обеспечение пытается обнаружить шаблоны в пакете запроса. Но атаки постоянно развиваются, поэтому этот вариант может оказаться нежизнеспособным, если шаблоны не могут быть обнаружены в тысячах запросов. Существует также поведенческий подход к противодействию ботам, который в конечном итоге пытается отличить ботов от людей. Выявляя нечеловеческое поведение и распознавая известное поведение ботов, этот процесс может применяться на уровне пользователя, браузера и сети.

Самый эффективный метод использования программного обеспечения для борьбы с вирусом - это использование программного обеспечения- приманки , чтобы убедить вредоносное ПО в уязвимости системы. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.

15 июля 2014 года Подкомитет по преступности и терроризму Комитета судебной власти Сената США провел слушания по поводу угроз, исходящих от бот-сетей, а также государственных и частных усилий по их пресечению и ликвидации. [42]

Исторический список ботнетов [ править ]

Первый ботнет был впервые обнаружен и разоблачен EarthLink во время судебного процесса с печально известным спамером Ханом С. Смитом [43] в 2001 году. Ботнет был создан с целью массового спама и составлял почти 25% всего спама в то время. [44]

Примерно в 2006 году, чтобы помешать обнаружению, некоторые ботнеты уменьшились в размерах. [45]

Дата созданияДата демонтажаИмяПо оценкам нет. ботовЕмкость спама (млрд / сутки)Псевдонимы
1999!a999,999,999100000!a
2003 г.MaXiTE500-1000 серверов0Бот MaXiTE XDCC, скрипт MaXiTE IRC TCL, MaxServ
2004 (Ранний)Bagle230 000 [46]5,7Бигль, Митглидер, Лодейт
Марина Ботнет6 215 000 [46]92Дэймон Брайант, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Торпиг180 000 [47]Синовал, Ансерин
Гроза160 000 [48]3Нувар, Пикомм, Желатин
2006 (около)2011 (март)Rustock150 000 [49]30РКРусток, Кострат
Донбот125 000 [50]0,8Бузус, Бахсой
2007 (около)Cutwail1 500 000 [51]74Пандекс, Мутант (родственник: Вигон, Пушдо)
2007 г.Акбот1 300 000 [52]
2007 (март)2008 (ноябрь)Сризби450 000 [53]60Cbeplay, Обменник
Летик260 000 [46]2никто
Xarvester10,000 [46]0,15Rlsloup, Pixoliz
2008 (около)Sality1 000 000 [54]Сектор, Куку
2008 (около)2009-декабрьМарипоса12 000 000 [55]
2008 (ноябрь)Конфикер10 500 000+ [56]10DownUp, DownAndUp, DownAdUp, Kido
2008 (ноябрь)2010 (март)Валедак80 000 [57]1.5Waled, Waledpak
Маазбен50 000 [46]0,5Никто
Onewordsub40 000 [58]1,8
Гег30,000 [46]0,24Тофзее, Мондера
Нукрипт20,000 [58]5Лооский, Локский
Wopla20,000 [58]0,6Покер, трудяга, загадочный
2008 (около)Asprox15 000 [59]Danmec, Hydraflux
0Spamthru12 000 [58]0,35Спам-DComServ, Covesmer, Xmiler
2008 (около)Gumblar
2009 (май)Ноябрь 2010 г. (не завершено)BredoLab30 000 000 [60]3,6Oficla
2009 (около)2012-07-19Грум560 000 [61]39,9Тедру
Мега-Д509 000 [62]10Оздок
Kraken495 000 [63]9Kracken
2009 (август)Festi250 000 [64]2,25Спамность
2010 (март)Вулканбот
2010 (январь)LowSec11 000+ [46]0,5LowSecurity, FreeMoney, Ring0.Инструменты
2010 (около)TDL44 500 000 [65]TDSS, Алуреон
Зевс3 600 000 (только США) [66]Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 г.(Несколько: 2011, 2012)Kelihos300 000+4Hlux
2011 или ранее2015-02Рамнит3 000 000 [67]
2012 (около)Хамелеон120 000 [68]Никто
2016 (август)Мираи380 000Никто
2014 г.Necurs6 000 000
  • Исследователи из Калифорнийского университета в Санта-Барбаре взяли под свой контроль ботнет, который оказался в шесть раз меньше, чем ожидалось. В некоторых странах пользователи часто меняют свой IP-адрес несколько раз за день. Исследователи часто используют оценку размера ботнета по количеству IP-адресов, что может приводить к неточным оценкам. [69]

См. Также [ править ]

  • Компьютерный червь
  • Спамбот
  • Хронология компьютерных вирусов и червей
  • Расширенная постоянная угроза

Ссылки [ править ]

  1. ^ "Thingbots: будущее ботнетов в Интернете вещей" . Разведка безопасности . 20 февраля 2016 . Проверено 28 июля 2017 года .
  2. ^ "ботнет" . Проверено 9 июня +2016 .
  3. ^ Ramneek, Пури (8 августа 2003). «Боты и ботнет: обзор» . Институт SANS . Проверено 12 ноября 2013 года .
  4. ^ Putman, CGJ; Абхишта; Nieuwenhuis, LJM (март 2018 г.). «Бизнес-модель ботнета». 2018 26-я Международная конференция Euromicro по параллельной, распределенной и сетевой обработке (PDP) : 441–445. arXiv : 1804.10848 . Bibcode : 2018arXiv180410848P . DOI : 10,1109 / PDP2018.2018.00077 . ISBN 978-1-5386-4975-6. S2CID  13756969 .
  5. ^ Данчев, Даий (11 октября 2013). «Новички в кибер-играх предлагают коммерческий доступ к пяти мини-ботнетам» . Проверено 28 июня 2015 года .
  6. ^ a b Schiller, Craig A .; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон: Syngress. С. 29–75. DOI : 10.1016 / B978-159749135-8 / 50004-4 . ISBN 9781597491358.
  7. ^ "Ботнеты: определение, типы, как они работают | CrowdStrike" . crowstrike.com . Проверено 18 апреля 2021 года .
  8. ^ a b c d Херон, Саймон (1 апреля 2007 г.). «Методы управления ботнетами». Сетевая безопасность . 2007 (4): 13–16. DOI : 10.1016 / S1353-4858 (07) 70045-4 .
  9. ^ Ван, Пинг и др. (2010). «Одноранговые ботнеты» . В штампе, марке; Ставроулакис, Питер (ред.). Справочник по информационной и коммуникационной безопасности . Springer. ISBN 9783642041174.CS1 maint: uses authors parameter (link)
  10. ^ CY Чо, Д. Бабич, Р. Шин и Д. Сонг. Вывод и анализ формальных моделей протоколов управления и контроля ботнета , 2010 ACM Conference on Computer and Communications Security.
  11. Тереза ​​Диксон Мюррей (28 сентября 2012 г.). «Банки не могут предотвратить кибератаки, подобные атакам на PNC, Key, US Bank на этой неделе» . Cleveland.com . Проверено 2 сентября 2014 года .
  12. ^ Arntz, Питер (30 марта 2016). «Факты о ботнетах» . Проверено 27 мая 2017 года .
  13. ^ Шиллер, Крейг А .; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон: Syngress. С. 77–95. DOI : 10.1016 / B978-159749135-8 / 50005-6 . ISBN 978-159749135-8.
  14. Зельцер, Ленни. «Когда боты используют социальные сети для управления и контроля» .
  15. Осборн, Чарли. «Hammertoss: российские хакеры нацелены на распространение вредоносного ПО в облаке, Twitter и GitHub» . ZDNet . Проверено 7 октября 2017 года .
  16. ^ Зингель, Райан (13 августа 2009). «Хакеры используют Twitter для управления ботнетом» . Проверено 27 мая 2017 года .
  17. ^ «Обнаружен первый Android-ботнет, управляемый Twitter» . 24 августа 2016 . Проверено 27 мая 2017 года .
  18. Рианна Галлахер, Шон (3 октября 2014 г.). «Ботнет на базе Reddit заразил тысячи компьютеров Mac по всему миру» . Проверено 27 мая 2017 года .
  19. ^ Cimpanu, Каталин (6 июня 2017). «Российские государственные хакеры используют посты Бритни Спирс в Instagram для борьбы с вредоносным ПО» . Проверено 8 июня +2017 .
  20. ^ Dorais-Joncas, Алексис (30 января 2013). «Прогулка по Win32 / Jabberbot. C&C для обмена мгновенными сообщениями» . Проверено 27 мая 2017 года .
  21. Константин, Лучиан (25 июля 2013 г.). «Киберпреступники используют сеть Tor для управления своими ботнетами» . Проверено 27 мая 2017 года .
  22. ^ «Руководство по фильтру трафика ботнета Cisco ASA» . Проверено 27 мая 2017 года .
  23. ^ Атака ботов на Wired
  24. Нортон, Куинн (1 января 2012 г.). "Anonymous 101 Part Deux: Триумф морали над Лулзом" . Wired.com . Проверено 22 ноября 2013 года .
  25. Петерсон, Андреа (10 апреля 2015 г.). «Китай использует новое оружие для онлайн-цензуры в виде« Большой пушки » » . Вашингтон Пост . Проверено 10 апреля 2015 года .
  26. ^ «Операция Аврора - Командная структура» . Damballa.com. Архивировано из оригинального 11 июня 2010 года . Проверено 30 июля 2010 года .
  27. Эдвардс, Джим (27 ноября 2013 г.). «Вот как это выглядит, когда бот-сеть для мошенничества с кликами тайно контролирует ваш веб-браузер» . Проверено 27 мая 2017 года .
  28. ^ https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-congress/socialmediabotsreport.pdf
  29. Николс, Шон (24 июня 2014 г.). «Есть ботнет? Думаете использовать его для майнинга биткойнов? Не беспокойтесь» . Проверено 27 мая 2017 года .
  30. ^ «Биткойн Майнинг» . BitcoinMining.com. Архивировано 30 апреля 2016 года . Проверено 30 апреля 2016 года .
  31. ^ «Троянский конь и часто задаваемые вопросы о вирусах» . DSLReports . Проверено 7 апреля 2011 года .
  32. ^ Многие-ко-многим Ботнет Отношения архивации 4 марта 2016 в Wayback Machine , Damballa , 8 июня 2009.
  33. ^ «Использование ботнетов | Проект Honeynet» . www.honeynet.org . Проверено 24 марта 2019 года .
  34. ^ «Что такое фишинг? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 24 марта 2019 года .
  35. ^ Агилар, Марио. «Число людей, попадающихся на фишинговые письма, ошеломляет» . Gizmodo . Проверено 24 марта 2019 года .
  36. ^ «Обнаружение и демонтаж инфраструктуры управления и контроля ботнета с использованием поведенческих профилировщиков и бот-информаторов» . vhosts.eecs.umich.edu .
  37. ^ «РАСКРЫТИЕ: Обнаружение серверов команд и управления ботнетами посредством крупномасштабного анализа NetFlow» (PDF) . Ежегодная конференция по приложениям компьютерной безопасности . ACM. Декабрь 2012 г.
  38. ^ BotSniffer: обнаружение командных и управляющих каналов ботнета в сетевом трафике . Материалы 15-го ежегодного симпозиума по безопасности сетей и распределенных систем. 2008. CiteSeerX 10.1.1.110.8092 . 
  39. ^ "IRCHelp.org - Конфиденциальность в IRC" . www.irchelp.org . Проверено 21 ноября 2020 года .
  40. ^ "Исследователи загружают миллион ядер Linux, чтобы помочь исследованию ботнетов" . Новости ИТ-безопасности и сетевой безопасности. 12 августа 2009 . Проверено 23 апреля 2011 года .
  41. ^ "Атаки ботнета методом грубой силы теперь ускользают от объемного обнаружения" . ТЕМНОЕЧтение из Информационной недели . 19 декабря 2016 . Проверено 14 ноября 2017 года .
  42. ^ Соединенные Штаты. Конгресс. Сенат. Комитет по судебной власти. Подкомитет по преступности и терроризму (2018). Принимая вниз ботнеты: Государственные и частные усилия по Разрушать и разрознят киберпреступников сети: Слуховые перед подкомитетом по борьбе с преступностью и терроризмом Комитета по судебной системы , в сенате Соединенных Штатов, Сто XIII съезда, вторая сессия, 15 июля 2014 года . Вашингтон, округ Колумбия: Издательство правительства США . Проверено 18 ноября 2018 .
  43. ^ Кредер, Мэри. "Деловая хроника Атланты, штатный писатель" . bizjournals.com . Проверено 22 июля 2002 года .
  44. ^ Мэри Джейн Credeur (22 июля 2002). «EarthLink выиграла судебный процесс против нежелательной электронной почты на сумму 25 миллионов долларов» . Проверено 10 декабря 2018 .
  45. Перейти ↑ Paulson, LD (апрель 2006 г.). «Хакеры усиливают вредоносные бот-сети, уменьшая их размер» (PDF) . Компьютер; Краткие новости . Компьютерное общество IEEE. 39 (4): 17–19. DOI : 10,1109 / MC.2006.136 . S2CID 10312905 . По словам Марка Саннера, технического директора MessageLabs, размер бот-сетей достиг пика в середине 2004 года, и многие из них использовали более 100 000 зараженных машин. Средний размер ботнета в настоящее время составляет около 20 000 компьютеров.  
  46. ^ a b c d e f g «Symantec.cloud | Безопасность электронной почты, веб-безопасность, защита конечных точек, архивирование, непрерывность, безопасность обмена мгновенными сообщениями» . Messagelabs.com . Проверено 30 января 2014 .[ мертвая ссылка ]
  47. Чак Миллер (5 мая 2009 г.). «Исследователи захватывают контроль над ботнетом Torpig» . SC Magazine US. Архивировано из оригинального 24 декабря 2007 года . Проверено 7 ноября 2011 года .
  48. ^ «Сеть Storm Worm сжимается примерно до одной десятой от своего прежнего размера» . Tech.Blorge.Com. 21 октября 2007 года Архивировано из оригинала 24 декабря 2007 года . Проверено 30 июля 2010 года .
  49. Чак Миллер (25 июля 2008 г.). «Ботнет Rustock снова спамит» . SC Magazine US . Проверено 30 июля 2010 года .
  50. ^ Стюарт, Джо. «Спам ботнета для Watch в 2009 году» . Secureworks.com . SecureWorks . Проверено 9 марта +2016 .
  51. ^ «Pushdo Botnet - Новые DDOS-атаки на основные веб-сайты - Гарри Уолдрон - ИТ-безопасность» . Msmvps.com. 2 февраля 2010 года Архивировано из оригинала 16 августа 2010 года . Проверено 30 июля 2010 года .
  52. ^ «Подросток из Новой Зеландии обвиняется в контроле над ботнетом на 1,3 миллиона компьютеров» . Безопасность H. 30 ноября 2007 . Проверено 12 ноября 2011 года .
  53. ^ "Технология | Спам на подъеме после краткой отсрочки" . BBC News . 26 ноября 2008 . Проверено 24 апреля 2010 года .
  54. ^ "Sality: История одноранговой вирусной сети" (PDF) . Symantec. 3 августа 2011 . Проверено 12 января 2012 года .
  55. ^ «Как ФБР и полиция разоблачили массивный ботнет» . theregister.co.uk . Проверено 3 марта 2010 года .
  56. ^ «Расчет размера эпидемии Downadup - блог F-Secure: новости из лаборатории» . F-secure.com. 16 января 2009 . Проверено 24 апреля 2010 года .
  57. ^ "Ботнет Waledac" уничтожен "удалением MS" . Реестр. 16 марта 2010 . Проверено 23 апреля 2011 года .
  58. ^ a b c d Грегг Кейзер (9 апреля 2008 г.). «Лучшие ботнеты контролируют 1 млн угнанных компьютеров» . Компьютерный мир . Проверено 23 апреля 2011 года .
  59. ^ "Ботнет sics зомби солдат на gimpy веб-сайтах" . Реестр. 14 мая 2008 . Проверено 23 апреля 2011 года .
  60. ^ «Infosecurity (Великобритания) - BredoLab отключил ботнет, связанный со Spamit.com» . .canada.com. Архивировано из оригинального 11 мая 2011 года . Проверено 10 ноября 2011 года .
  61. ^ «Исследование: небольшие DIY-ботнеты, распространенные в корпоративных сетях» . ZDNet . Проверено 30 июля 2010 года .
  62. ^ Уорнер, Гэри (2 декабря 2010 г.). "Олег Николаенко, ботмастер Mega-D предстанет перед судом" . Киберпреступность и время . Проверено 6 декабря 2010 года .
  63. ^ «Новый массивный ботнет в два раза больше шторма - безопасность / периметр» . Темное чтение . Проверено 30 июля 2010 года .
  64. Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi взрывается» . Мир ПК .
  65. ^ "Обнаружение руткита TDL4 (TDSS / Alureon)" . kasperskytienda.es. 3 июля 2011 . Проверено 11 июля 2011 года .
  66. ^ «10 самых разыскиваемых ботнетов Америки» . Networkworld.com. 22 июля 2009 . Проверено 10 ноября 2011 года .
  67. ^ «Операция полиции ЕС уничтожает вредоносную компьютерную сеть» . Phys.org .
  68. ^ «Обнаружено: ботнет стоит рекламодателям медийной рекламы более шести миллионов долларов в месяц» . Spider.io. 19 марта 2013 . Проверено 21 марта 2013 года .
  69. ^ Espiner, Том (8 марта 2011). «Размер ботнета может быть преувеличен, - говорит Enisa | Security Threats | ZDNet UK» . Zdnet.com . Проверено 10 ноября 2011 года .

Внешние ссылки [ править ]

  • Проект и исследовательский альянс Honeynet - «Знай своего врага: отслеживание бот-сетей»
  • The Shadowserver Foundation - группа по наблюдению за безопасностью, состоящая исключительно из добровольцев, которая собирает, отслеживает и сообщает о вредоносных программах, активности ботнетов и электронном мошенничестве.
  • EWeek.com - «Битва ботнетов уже проиграна?»
  • Бюст ботнета - «Создатель вредоносного ПО SpyEye признал себя виновным» , ФБР