Что такое ботнет? Обзор и сравнение C&C и P2P ботнетов.

[FireFox 22]

 

Ботнет - это сеть компьютеров, которые были заражены разнообразными вирусами и используются в личных целях самого обладателя ботнета. Ботнеты - самая серьезная угроза безопасности в Интернете на сегодняшний день. Хотя и большинство бот-сетей полагаются на центральный сервер управления (C&C), относительно недавно появились более опасные одноранговые (P2P). Ботнеты P2P более устойчивы к применяемым защитным мерам безопасности, поскольку им не хватает серверов C&C обычных бот-сетей.

Централизованные Vs P2P ботнеты:

Ботнет состоит из сети зараженных компьютеров (ботов), с запущенным в них вредоносным программным обеспечением, которое было тихо установлено с помощью множества методов, включая червей, троянов и вирусов. Эти скомпрометированные машины или зомби-компьютеры удаленно контролируются злоумышленником или «ботмастером». Когда ботнет состоит из большого количества машин, он имеет огромную совокупную пропускную способность и надежные вычислительные возможности. Они эксплуатируются их владельцами для запуска различных видов вредоносных действий, включая массовую рассылку сообщений по электронной почте, взломы паролей и атак с отказами в обслуживании (DDoS).

В настоящее время централизованные бот-сети широко используются в мире киберпреступности. Они основываются на базе Internet Relay Chat (IRC), которые на сегодняшний день наиболее широко используются для распространения сообщений между бот-сетями и их ботмастерами. В рамках централизованной сети боты подключаются к одному или нескольким серверам для приема команд. Эта структура проста и очень эффективна при распределении задач, но есть большая вероятность отказа сервера управления и командования (C & C). Если IRC-сервер выключится, все боты потеряют связь со своим создателем. Кроме того, защитники могут контролировать данный бот-сет, создавая приманку, чтобы присоединиться к соответствующему каналу IRC.

Централизованный Ботнет

Совсем недавно, одноранговые (P2P) сети, такие как Stormnet и Trojan.Peacomm botnet, были внедрены в систему, когда злоумышленники осознали ограничения традиционных централизованных бот-сетей. Аналогично сетям P2P, которые совместимы с динамическим оттоком (т.е. одноранговые соединения объединяются и выходят из сети с высокой скоростью), связь через бот-сеть не будет нарушена, если некоторое количество ботов потеряет связь с сетью. В бот-сети P2P, не существует централизованного сервера, и боты обмениваются друг с другом топологическим образом, они действуют в качестве клиента и C&C сервера. Ботнеты P2P оказались намного эффективнее традиционных централизованных бот-сетей. Представляя новую эпоху, P2P бесспорно являются гораздо более мощными и с ними намного сложнее справиться специалистам, работающим в сфере безопасности.

Одноранговая система ботнетов

Недавно исследователи обратили внимание на различные виды ботнетов P2P. Stormnet и Trojan.Peacomm botnet широко изучались, поскольку они представляют собой наиболее часто встречающуюся разновидность. Тем не менее, чтобы эффективно противодействовать этим новым формам бот-сетей, анализ каждого по очереди недостаточен. Кроме того, Р2Р ботнеты должны быть изучены систематически, что бы иметь возможность в должной мере защититься от них.

Одноранговая структура (P2P):

Создание P2P ботнета — это процесс, который состоит из двух этапов:

1. Злоумышленник должен заразить как можно больше машин в интернете, чтобы он мог удаленно их контролировать. Для этого можно использовать все виды вредоносных векторов, таких как вирусы, трояны, черви и мгновенные сообщения (IM);
2. Скомпрометированные машины будут выполнять конкретные действия, определенные ботмастером. В зависимости от цели злоумышленника этот шаг может с каждым разом отличаться от предыдущего, (например, DDoS-атаки, кейлоггинг, спам и т. д.) На протяжении этого шага боты действуют как оба клиента, выполняя действия, предопределенные ботмастером.

Существует два способа подключения новых коллег к сети P2P:

1. Исходный набор одноранговых узлов жестко закодирован в каждом клиенте P2P. Когда появится новый одноранговый узел, он попытается связаться с каждым из них в пределах этого первоначального набора, чтобы обновить информацию от соединения.
2. Общий сетевой кэш (например, Gnutella), который сохраняется где-то в сети, вставляется в код бота. Соответственно, новые одноранговые узлы могут обновлять список соседних узлов, обращаясь к веб-кешу и получая последние обновления.

Например, Trojan.Peacomm — это вредоносная программа, создающая ботнет P2P, который использует протокол Overnet P2P для связи C&C. Код бота будет содержать группу узлов Overnet, которые, скорее всего, будут в сети. Когда компьютер заражен и выполняется код Trojan.Peacomm, он попытается связаться с группой одноранговых узлов, перечисленных в коде бота. Stormnet, другой ботнет P2P, использует аналогичный механизм; Информация о партнерах, с которыми взаимодействуют новые зараженные компьютеры после выполнения кода, кодируется в файле конфигурации, который сохраняется на машине жертвы червем Storm.

[Mikes 13]

Давно искал подробную статью об этом, спасибо за ее написание или сливание на форум, короче спасибо )

[tryme 6]

Да да да , все раписано подробно, радует прям