En av mina favorit cybersäkerhetsvillkor är "botnet". Det framkallar alla slags bilder: sammankopplade robotar, legioner av nätverksarbetare som samtidigt drivs mot ett enda mål. Funnily nog, den bild som ordet framkallar liknar vad en botnet är - i runda förhållanden, åtminstone.
Botnets står för en seriös mängd datorkraft runt om i världen. Och den kraften är regelbundet (kanske till och med konsekvent) källan till skadlig kod, ransomware, spam och mer. Men hur kommer botnets till liv? Vem styr dem? Och hur kan vi stoppa dem?
Vad är en Botnet?
Botnets definition i SearchSecurity säger att "en botnet är en samling internetanslutna enheter, som kan innefatta datorer, servrar, mobila enheter och internet av saker som är infekterade och kontrollerade av en vanlig typ av skadlig kod. Användare är ofta omedvetna om att botnet infekterar deras system. "
Den sista meningen i definitionen är nyckeln. Enheter inom en botnet är vanligtvis inte villiga. Apparater som är smittade med vissa malwarevarianter styrs av avlägsna hotaktörer, även cyberkriminella. Malware hide de skadliga botnetaktiviteterna på enheten vilket gör ägaren omedveten om sin roll i nätverket. Du kan skicka skräppost som erbjuder appendage-förstoringsplattor av tusentals - utan inkling.
Som sådan hänvisar vi ofta till smittade botnetenheter Är din dator en zombie? Och vad är en Zombie Computer, hur som helst? [MakeUseOf Förklarar] Är din dator en zombie? Och vad är en Zombie Computer, hur som helst? [MakeUseOf Explains] Har du någonsin undrat varifrån all internet-spam kommer ifrån? Du får antagligen hundratals spam-filtrerade skräppostar varje dag. Betydar det att det finns hundratals och tusentals människor ute och sitter ... Läs mer till som "zombies".
Vad gör en botnet?
En botnet har flera gemensamma funktioner beroende på botnoperatörens önskan:
- Spam: Överför stora volymer spam runt om i världen. Exempelvis var den genomsnittliga andelen spam i global e-posttrafik mellan januari och september 56, 69 procent. När säkerhetsforskningsföretag FireEye tillfälligt upphörde övergången till den notoriska Srizbi botnet efter att den ökända McColo-värdingen gick offline gick global spam med ett stort antal (och i själva verket när det äntligen gick offline, sänkt global spam tillfälligt med cirka 50 procent).
- Malware: Levererar skadlig kod och spionprogram till utsatta maskiner. Botnet resurser köps och säljs av manfaktorer för att vidareutveckla sina kriminella företag.
- Data: Fånga lösenord och annan privat information. Detta knyter till ovanstående.
- Klicka bedrägeri: En infekterad enhet besöker webbplatser för att generera falska webbtrafik och annonsvisningar.
- Bitcoin: Botnet controllers direkt infekterade enheter till min Bitcoin och andra cryptocurrencies för att generera vinst tyst.
- DDoS: Botnet-operatörer leder effekten av infekterade enheter vid specifika mål och tar dem offline i distribuerade avslag på beteende.
Botnetoperatörer byter vanligtvis sina nätverk till ett antal av dessa funktioner för att generera vinst. Exempelvis äger botnätoperatörer som skickar medicinsk spam till amerikanska medborgare också de apotek som levererar varorna. (Åh ja, det finns faktiska produkter i slutet av e-postmeddelandet. Brian Krebs Spam Nation är ett utmärkt inslag i detta.)
Spam Nation: Den inre berättelsen om organiserad cyberbrottslighet - från global epidemi till din främre dörrspam Nation: Inside Story of Organized Cybercrime-från global epidemi till din dörr Köp nu hos Amazon $ 9.31
De stora botnäten har ändrats något under de senaste åren. Medan medicinska och andra liknande typer av skräppost var mycket lönsamma under en lång tid, upprepade regeringstopp i flera länder utarmad vinst. Som sådan ökade antalet e-postmeddelanden som innehöll en skadlig bilaga till en i varje 359 e-postmeddelanden, enligt Symantecs informationsrapport för juli 2017.
Vad ser en botnet ut?
Vi vet att en botnet är ett nätverk av infekterade datorer. Emellertid är kärnkomponenterna och den faktiska botnetarkitekturen intressanta att överväga.
Arkitektur
Det finns två huvudsakliga botnet arkitekturer:
- Klientservermodell: En klient-server botnet använder vanligtvis en chattklient (tidigare IRC, men moderna botnät har använt Telegram och andra krypterade meddelandetjänster), domän eller webbplats för att kommunicera med nätverket. Operatören skickar ett meddelande till servern, vidarebefordra det till klienter, som utför kommandot. Även om botnetinfrastrukturen skiljer sig från grundläggande till väldigt komplexa, kan en koncentrerad ansträngning avaktivera en klient-server botnet.
- Peer-to-Peer: En peer-to-peer (P2P) botnet försöker stoppa säkerhetsprogram och forskare som identifierar specifika C2-servrar genom att skapa ett decentraliserat nätverk. Ett P2P-nätverk är mer avancerat 10 Nätverksvillkor du antagligen aldrig visste och vad de betyder 10 Nätverksvillkor du antagligen aldrig visste och vad de betyder Här undersöker vi 10 vanliga nätverksvillkor, vad de menar och var du sannolikt kommer att stöta på dem. Läs mer, på något sätt än en klient-server-modell. Dessutom skiljer sig deras arkitektur från hur de flesta föreställer sig. I stället för ett enda nätverk av sammankopplade infekterade enheter som kommunicerar via IP-adresser föredrar operatörer att använda zombie-enheter kopplade till noder, i sin tur kopplade till varandra och huvudkommunikationsservern. Tanken är att det bara finns för många sammankopplade men separata noder att ta ner samtidigt.
Kommando och kontroll
Command and Control (ibland skrivna C & C eller C2) protokoll kommer i olika former:
- Telnet: Telnet botnets är relativt enkla, med ett skript för att skanna IP-intervall för standardtelnet och SSH-serverns inloggningar för att lägga till sårbara enheter för att lägga till robotar.
- IRC: IRC-nätverk erbjuder en extremt låg bandbreddskommunikationsmetod för C2-protokollet. Möjligheten att snabbt växla kanaler ger ytterligare säkerhet för botnätoperatörer, men innebär också att smittade klienter enkelt skares från botnet om de inte får uppdaterad kanalinformation. IRC-trafiken är relativt lätt att undersöka och isolera, vilket innebär att många operatörer har flyttat sig bort från denna metod.
- Domäner: Vissa stora botnät använder domäner i stället för en meddelandeklient för kontroll. Infekterade enheter har tillgång till en specifik domän med en lista över kontrollkommandon, vilket möjliggör ändringar och uppdateringar i flygningen. Nackdelen är det stora kravet på bandbredd för stora botnät, liksom den relativa lättnad som misstänkta kontrolldomäner stängs av. Vissa operatörer använder så kallad bulletproof hosting för att fungera utanför jurisdiktion i länder med strikt brottslig internetlag.
- P2P: Ett P2P-protokoll använder vanligtvis digital signering med asymmetrisk kryptering (en offentlig och en privat nyckel). Medan operatören innehar den privata nyckeln är det extremt svårt (i princip omöjligt) för någon annan att utfärda olika kommandon till botnet. På samma sätt gör avsaknaden av en enda definierad C2-server svårare än sina motparter att attackera och förstöra ett P2P-botnät.
- Andra: Under åren har vi sett botnetoperatörer använda några intressanta Command and Control-kanaler. De som omedelbart kommer ihåg är sociala medier, t.ex. Android Twitoor botnet, som styrs via Twitter eller Mac.Backdoor.iWorm som utnyttjar Minecraft-serverns lista subreddit för att hämta IP-adresser för sitt nätverk. Instagram är inte säkert heller. I 2017 använde Turla, en cyberspionagegrupp med nära länkar till rysk intelligens, kommentarer till Britney Spears Instagram-bilder för att lagra platsen för en C2-server med skadlig kodfördelning.
zombies
Den sista delen av botnetpusseln är de infekterade enheterna (dvs. zombiesna).
Botnetoperatörer söker efter och infekterar sårbara enheter avsiktligt för att utöka sin driftskraft. Vi listade de viktigaste botnet användningarna ovan. Alla dessa funktioner kräver datorkraft. Dessutom är botnätoperatörer inte alltid vänliga med varandra, vilket förvandlar kraften hos sina infekterade maskiner till varandra.
De allra flesta ägare av zombieapparater är inte medvetna om sin roll i botnetet. Ibland fungerar dock botnet malware som en ledning för andra malwarevarianter.
Denna ESET-video ger en bra förklaring till hur botnets expanderar:
Typer av enheter
Nätverksanslutna enheter kommer online med en häpnadsväckande takt. Och botnät är inte bara på jakt efter en PC eller Mac. Som du läser mer av i följande avsnitt är enheter för Internet av saker lika mottagliga (om inte mer) för att botnet skadliga varianter. Särskilt om de sökes på grund av deras hemska säkerhet.
Om jag berättade för mina föräldrar om att återvända till sin helt nya smarta TV som de fick till försäljning eftersom IOT är väldigt osäker gör det mig en bra dotter eller en dålig dotter?
Jag frågade om det kan lyssna på röstkommandon, de sa ja; Jag gjorde ett knäckande ljud. De sa att vi ska prata imorgon.- Tanya Janca (@shehackspurple) 28 december 2017
Smartphones och surfplattor är inte heller säkra. Android har sett flera botnets under de senaste åren. Android är ett enkelt mål Hur skadas skadlig kod i din smartphone? Hur går skadlig kod i din smartphone? Varför vill malwarepraktiker infektera din smartphone med en infekterad app, och hur skadas malware i en mobilapp först? Läs mer: det är öppen källkod, har flera versioner av operativsystem och många sårbarheter vid någon tidpunkt. Glöm inte så snabbt, iOS-användare. Det har förekommit några malwarevarianter som riktar sig mot Apples mobila enheter, men är vanligtvis begränsade till jailbroken iPhones med säkerhetsproblem.
Ett annat grundläggande botnet-enhetsmål är en sårbar router 10 sätt din router är inte så säker som du tror 10 sätt din router är inte så säker som du tror Här är 10 sätt som din router kan utnyttjas av hackare och drivrutiner för trådlösa kapare . Läs mer . Routrar som kör gammal och osäker firmware är enkla mål för botnät, och många ägare inser inte att deras internetportal bär en infektion. På samma sätt misslyckas en helt enkelt häpnadsväckande mängd internetanvändare att ändra standardinställningarna på sina routrar. 3 Standardlösenord Du måste ändra och varför 3 standardlösenord du måste ändra och varför lösenord är obekvämt men nödvändigt. Många människor tenderar att undvika lösenord när det är möjligt och är glada att använda standardinställningar eller samma lösenord för alla sina konton. Detta beteende kan göra dina data och ... Läs mer efter installationen. I likhet med IoT-enheter tillåter detta att skadlig kod sprids i en svimlande takt, med lite motstånd mött i infektionen av tusentals enheter.
Tar ner en Botnet
Att ta ner en botnet är inte en lätt uppgift, av ett antal skäl. Ibland tillåter botnetarkitekturen en operatör att snabbt bygga om. Vid andra tillfällen är botnet helt enkelt för stort för att ta sig ner i ett fall. Majoriteten av botnet takedowns kräver samordning mellan säkerhetsforskare, myndigheter och andra hackare, ibland beroende av tips eller oväntade bakdörrar.
Ett stort problem för säkerhetsforskare är den relativa lätthet med vilka copycatoperatörer startar operationer med samma skadliga program.
GameOver Zeus
Jag kommer att använda GameOver Zeus (GOZ) botnet som ett exempel på taket. GOZ var en av de största senaste botnäten, som trodde att den hade över en miljon smittade enheter på topp. Botnetets primära användning var monetärt stöld (distribuering av CryptoLocker ransomware En historia av Ransomware: Var det började och var det går en historia om Ransomware: Var det började och var det kommer Ransomware från mitten av 2000-talet och som många datorsäkerhetshot, härstammar från Ryssland och Östeuropa innan de utvecklas till ett alltmer potentiellt hot. Men vad håller framtiden för ransomware? Läs mer) och skräppost och med hjälp av en sofistikerad algoritm för peer-to-peer-domänen tycktes det vara ostoppbar.
En domängenereringsalgoritm gör det möjligt för botnet att generera långa listor med domäner för användning som "rendezvous-punkter" för botnets malware. Flera rendezvous-punkter gör att spridningen är nästan omöjlig, eftersom endast operatörerna känner till domänlistan.
Under 2014, ett team av säkerhetsforskare, som arbetade i samarbete med FBI och andra internationella organ, tvingar slutligen GameOver Zeus offline, i Operation Tovar. Det var inte lätt. Efter att ha noterat domänregistreringssekvenser, registrerade laget cirka 150 000 domäner under de sex månaderna fram till starten av operationen. Detta var att blockera eventuell framtida domänregistrering från botnetoperatörerna.
Därefter gav flera Internetleverantörer kontrollen över GOZs proxynoder, som användes av botnätoperatörerna för att kommunicera mellan kommando- och styrservrarna och själva botnätet. Elliot Peterson, den ledande FBI-utredaren på Operation Tovar, sa: "Vi kunde övertyga de bots som vi var bra att prata med, men alla kamrater och proxier och supernoder kontrollerade av de dåliga killarna var dåliga att prata med och borde ignoreras. "
Botnetägaren Evgeniy Bogachev (online-alias Slavik) insåg att takedownen var på plats efter en timme, och försökte slå tillbaka i ytterligare fyra eller fem timmar innan "conceding" nederlag.
I efterdyningarna kunde forskarna knäcka den ökända CryptoLocker ransomware kryptering, skapa gratis dekrypteringsverktyg för offer CryptoLocker Is Dead: Så här kan du få dina filer tillbaka! CryptoLocker är död: Så här kan du få dina filer tillbaka! Läs mer .
IoT Botnets är olika
Åtgärderna för att bekämpa GameOver Zeus var omfattande men nödvändiga. Det illustrerar att den rena kraften hos ett smart utformat botnet kräver ett globalt tillvägagångssätt för att mildra, vilket kräver "innovativ juridisk och teknisk taktik med traditionella brottsbekämpande verktyg" samt "starka arbetsförhållanden med privata industrins experter och brottsbekämpande motsvarigheter på mer än 10 länder runt om i världen. "
Men inte alla botnät är desamma. När en botnet möter slutet, lär en annan operatör från förstörelsen.
År 2016 var den största och hetaste botnet Mirai. Innan dess delvisa upptagning slog Internet på sakbaserade Mirai botnet flera framträdande mål Varför ditt kryptomynt är inte så säkert som du tror Varför ditt kryptomynt är inte så säkert som du tror Bitcoin fortsätter att träffa nya höjder. Cryptocurrency nykomling Ethereum hotar att explodera i sin egen bubbla. Intresset för blockchain, mining och cryptocurrency är på heltidshöjd. Så varför är kryptocurrencyentusiaster hotade? Läs mer med svindlande DDoS-attacker. En sådan attack träffade säkerhetsforskare Brian Krebs blogg med 620Gbps, och så småningom tvingar Krebs DDoS-skydd att släppa honom som klient. En annan attack i följande dagar slog franska moln-hosting-leverantören OVH med 1.2Tbps i den största attacken som någonsin sett. Nedanstående bild illustrerar hur många länder Mirai slog.
Även om Mirai inte ens var nära att vara den största botnet någonsin sett, producerade den de största attackerna. Mirai gjorde förödande användning av svängningarna av löjligt osäkra IoT-enheter. Är ditt smarta hem i fara från säkerhetsproblem i Internet? Är ditt smarta hem i fara från sårbarhetssäkerhet? Är Säkerhetens Internet säkert? Du skulle hoppas det, men en ny studie har framhävt att säkerhetsproblem som uppstod för flera år sedan ännu inte tagits upp. Du smart hemma kan vara i fara. Läs mer, med en lista med 62 osäkra standardlösenord för att samla enheter (admin / admin var överst i listan, gå figur).
Säkerhetsforskare Marcus Hutchins (aka MalwareTech) förklarar att en del av orsaken till Mirais massiva kraft är att majoriteten av IoT-enheter sitter där och inte gör någonting förrän efterfrågas. Det betyder att de nästan alltid är online och nästan alltid har nätverksresurser att dela med sig av. En traditionell botnetoperatör skulle analysera sina toppmaktperioder och tidsangrepp i enlighet därmed. IoT botnets, inte så mycket.
Så, då mer dåligt konfigurerade IoT-enheter kommer online, växer chansen att exploatera.
Vistas säkert
Vi har lärt oss vad botnet gör, hur de växer och mer. Men hur slutar du att enheten ska bli en del av en? Tja, det första svaret är enkelt: uppdatera ditt system Så här åtgärdar du Windows 10: En nybörjars FAQ Hur fixar du Windows 10: En nybörjars FAQ Behöver du lite hjälp med Windows 10? Vi svarar på de vanliga frågorna om hur du använder och konfigurerar Windows 10. Läs mer. Regelbundna uppdateringar patch sårbara hål i ditt operativsystem, i sin tur skär av vägar för exploatering.
Den andra är nedladdning och uppdatering av ett antivirusprogram, och ett antimalwareprogram också. Det finns många gratis antiviruspaket där ute som erbjuder utmärkt, lågt skydd. Investera i ett antimalware-program, som Malwarebytes Den fullständiga malwareavlägsningsguiden Den fullständiga Malware Removal Guide Malware är överallt i dessa dagar, och att utrota malware från ditt system är en lång process som kräver vägledning. Om du tror att din dator är infekterad, så är det den guide du behöver. Läs mer . En Premium-prenumeration med Malwarebytes ger dig tillbaka $ 24, 95 för året, vilket ger dig skydd mot realtidsskydd. Väl värt investeringen, enligt min mening.
Slutligen ta lite ytterligare webbläsarsäkerhet. Drive-by-utnyttjande kit är en olägenhet, men de är lätt att undvika när du använder en skriptblockerande tillägg som uBlock Origin. Vad är Cryptojacking och hur kan du undvika det? Vad är Cryptojacking och hur kan du undvika det? Ett nytt säkerhetshot är i stan: cryptojacking, där din dator är kapad att generera Bitcoins. Men hur utbredd är det, och hur kan du stoppa ditt system att dämpas på det här sättet? Läs mer .
Var din dator del av ett botnet? Hur inser du? Fick du ut vilken smärta som använde din enhet? Låt oss veta dina erfarenheter nedan!