Jak botnety są wykorzystywane w atakach DDoS?

Opublikowany: 2021-04-24

Ataki DDoS oraz botnety, które je umożliwiają, to jedna z najpotężniejszych broni w Internecie. Co więcej, każdy może kupić botnet i siać spustoszenie za pomocą zaledwie kilku kliknięć. Wszystko, czego potrzebują, aby zrobić to z powodzeniem, to kilkadziesiąt dolarów i pewne środki ostrożności.

Na przykład Mirai, jeden z największych i najbardziej (nie)sławnych botnetów w historii, był dziełem trzech studentów próbujących włamać się na serwery Minecrafta. Jednak ten atak z 2016 roku okazał się największym jak dotąd tego rodzaju, kradnąc ponad 1 terabajta na sekundę i infekując ponad 600 000 urządzeń IoT.

Jeśli chcesz uniknąć stania się częścią botnetu lub bycia przez niego zaatakowanym, niezbędna jest odpowiednia ochrona i przygotowanie. Przede wszystkim powinieneś dowiedzieć się, jak działają botnety i ataki DDoS.

Pokaż spis treści
  • Co to jest botnet?
  • Botnety i ataki DDoS
  • Sposoby kontroli botnetu
  • Najbardziej znane botnety w historii
  • Jak trzymać się z dala od botnetów i ataków DDoS?
  • Końcowe przemyślenia

Co to jest botnet?

hasło-hakowanie-hackowania-hasła

Jak sama nazwa wskazuje, botnet to sieć botów, tj. urządzeń, które zostały przejęte przy użyciu pewnego rodzaju złośliwego oprogramowania. Hakerzy wykorzystują je na wiele złośliwych sposobów — od ataków DDoS i generowania kliknięć po kradzież danych i spamowanie, ale zazwyczaj łączą strategie ataków.

Każdy botnet składa się z trzech głównych komponentów. Na początek nic nie byłoby możliwe bez pasterzy botów, mózgów operacji.

Są też serwery lub urządzenia dowodzenia i kontroli (C&C), które pozwalają pasterzowi komunikować się z botami. Robią to z odległej lokalizacji, starając się jak najlepiej ukryć swoją tożsamość. Ponadto istnieje wiele protokołów komunikacyjnych, z których hakerzy mogą wybierać — oldschoolowy IRC, TelNet, domena, peer-to-peer, media społecznościowe itp.

Wreszcie, botnet byłby niczym bez swojej „armii komputerów zombie”. Każde urządzenie IoT może łatwo stać się botem bez wiedzy i zgody użytkownika, bez względu na to, czy jest to smartfon, czy zwykła niania elektroniczna.

Polecane dla Ciebie: Atak DDoS: Jak zabezpieczyć swoją witrynę przed atakami DDoS?

Botnety i ataki DDoS

cyber-bezpieczeństwo-sieci-internet-ochrona-bezpieczeństwa-ddos-ataki

Jeśli chodzi o ataki DDoS, głównym celem botnetów jest skierowanie ogromnej ilości ruchu na serwer i ostatecznie jego usunięcie. Przestoje powodują, że firmy tracą cenny czas i pieniądze. W konsekwencji szkodzi to ich reputacji i łamie zaufanie tysięcy ich klientów.

Według raportu International Data Group z 2018 r. średni czas przestoju na atak wynosi od 7 do 12 godzin, co przekłada się na ogromne koszty od 2,3 do 4 mln USD na atak. Motywacją większości ataków botnetów DDoS jest albo przewaga konkurencyjna, czysta wściekłość i wandalizm, albo pieniądze (w przypadku oprogramowania ransomware).

W przypadku ataków DDoS w sieci lub warstwie 3 boty zalewają serwer docelowy ruchem, zużywając jego przepustowość i przytłaczając go żądaniami. Ataki warstwy 7 lub ataki warstwy aplikacji wykorzystują tę samą strategię. Jednak ich głównym celem są słabe aplikacje i systemy operacyjne.

Każdego roku ataki DDoS stają się coraz bardziej powszechne i coraz bardziej wyrafinowane, przez co śledzenie i eliminowanie botnetów jest trudniejsze niż kiedykolwiek. Co więcej, każdy może kupić lub wynająć botnet, czasami za mniej niż 10 dolarów za godzinę. Istnieją również zestawy botnetów do wynajęcia, które nazywamy programami uruchamiającymi/stresującymi, i stają się one coraz bardziej popularne.

Sposoby kontroli botnetu

niebezpieczeństwo-zagrożenie-bezpieczeństwa-cyberprzestępczości-oszustwo-wirus-hack

Dwa główne modele kontroli botnetów to klient-serwer i peer-to-peer.

Klient-serwer

punkt-01

Zanim pojawiły się sieci peer-to-peer, hakerzy używali tradycyjnej metody klient-serwer. Ten typ sieci implikuje istnienie centralnego serwera, który kontroluje zasoby i dane. Z drugiej strony, w międzyczasie pojawiły się nowe, skuteczniejsze sposoby na to.

Peer-to-peer

punkt-02

Jednym z takich sposobów jest sieć peer-to-peer (P2P). Jego główną zaletą jest brak scentralizowanego serwera. Zamiast tego sieć równorzędnych lub węzłów kontroluje wszystkie zasoby. Ten model znacznie zmniejsza ryzyko zakłóceń lub awarii, ponieważ zawsze istnieją serwery zapasowe na wypadek awarii. Te sieci P2P są często szyfrowane, co jeszcze bardziej utrudnia ich wykrycie i pokonanie. Większość nowoczesnych botnetów wykorzystuje ten typ sieci.

Najbardziej znane botnety w historii

hacking-cyber-przestępczość-bezpieczeństwo-blokada-bezpieczeństwa-ochrona

Chociaż nie znamy dokładnych liczb, liczba i rozmiary botnetów od jakiegoś czasu rosną, a dzisiejsze botnety mają w swoich armiach miliony sługusów. W związku z tym przyjrzyjmy się największym i najbardziej zapadającym w pamięć botnetom, jakie kiedykolwiek istniały.

Może Cię zainteresować: 5 największych zagrożeń dla cyberbezpieczeństwa dzisiaj iw przyszłości.

Spamer Earthlink (2000)

botnety-ddos-ataki-1

Earthlink Spammer był pierwszym w historii botnetem. Wysyłał miliony złośliwych, ale pozornie legalnych e-maili z zamiarem phishingu, tj. kradzieży poufnych danych od odbiorcy. Po kliknięciu łącza z wiadomości e-mail wirus zostałby natychmiast pobrany na ich komputer, po czym wysłałby informacje z powrotem do nadawcy.

Srizbi (2007-2008)

botnety-ddos-ataki-2

Srizbi był opartym na trojanie botnetem, który składał się z ponad 450 000 zainfekowanych urządzeń firmy Microsoft. W tamtym czasie był to największy botnet w historii, przewyższający niesławny botnet Storm.

Srizbi był odpowiedzialny za połowę spamu rozesłanego w tym roku, rozsyłając codziennie ponad 60 bilionów zagrożeń, w tym e-maile spamowe reklamujące zegarki, długopisy i pigułki powiększające penisa. W pewnym momencie Srizbi rozsyłał nawet polityczny spam, promując kampanię kandydata na prezydenta USA, Rona Paula, choć nadal nie jest jasne, dlaczego to robi.

ZeuS (2007-2014)

botnety-ddos-ataki-3

Około 10 lat temu ZeuS był popularnym złośliwym oprogramowaniem typu trojan, umożliwiającym hakerowi wykonywanie wszelkiego rodzaju działań przestępczych, najczęściej w celu kradzieży informacji bankowych. Przed aresztowaniem podejrzanych powiązanych z ZeuS-em udało mu się zainfekować ponad 3,6 miliona urządzeń i ponad 70 000 kont na wielu portalach, takich jak Bank of America, NASA, Amazon, ABC itp.

Jednak niecałą dekadę później ZeuS pojawił się ponownie, tym razem jako zaszyfrowana sieć peer-to-peer o nazwie GameOver Zeus. Został usunięty w 2014 roku, ale jego twórca, Evgeny Bogachev, nadal znajduje się na liście najbardziej poszukiwanych przez FBI.

Emotet (2014-2021)

botnety-ddos-ataki-4

Emotet był nie tylko botnetem, ale także dużą międzynarodową operacją cyberprzestępczą. Podobnie jak wiele innych, wykorzystywał trojana bankowego, który rozpowszechniał go za pośrednictwem niewinnie wyglądających załączników do wiadomości e-mail, takich jak dokumenty programu Microsoft Word.

Jednak Emotet był czymś więcej. Ewoluował, by stać się rozwiązaniem typu Malware-as-a-Service (MaaS) dla grup cyberprzestępczych najwyższego poziomu, wspomagając operacje ransomware, takie jak Ryuk. Rozprawa z Emotetem w 2021 r. była wynikiem wspólnych wysiłków ponad ośmiu krajów, w tym Niemiec, Ukrainy, USA itp.

Mirai (2016-obecnie)

botnety-ddos-ataki-5

Oczywiście żadna lista nie byłaby kompletna bez legendarnego botnetu i złośliwego oprogramowania Mirai. Dysponując milionami botów, jest to obecnie najbardziej rozpowszechniony botnet. Jego celem są przede wszystkim urządzenia IoT (tj. czujniki dymu, termostaty, inteligentne głośniki i inne gadżety), wykorzystujące ich słabe lub nieistniejące hasła.

Jak wspomnieliśmy na początku, pomysłodawcami Mirai było kilku studentów, którzy chcieli zaatakować Minecrafta, ale później stało się to znacznie więcej. W rzeczywistości był odpowiedzialny za niektóre z najbardziej wpływowych ataków DDoS w najnowszej historii. Na przykład Mirai stał za atakiem z 2016 r. na dostawcę DNS Dyn, który jest największym jak dotąd zarejestrowanym atakiem DDoS. Z powodu ataku tysiące popularnych witryn internetowych, w tym Twitter, Reddit, Netflix i CNN, nie działało przez cały dzień.

Po ataku twórcy sprytnie postanowili udostępnić kod źródłowy Mirai na GitHubie, aby ukryć swoją tożsamość. Nic dziwnego, że kod został pobrany i ponownie wykorzystany tysiące razy w różnych projektach szkodliwego oprogramowania. Dlatego pełny zakres wpływu Mirai jest niezgłębiony. Chociaż autorzy rzekomo zostali złapani, Mirai nadal jest jednym z największych zagrożeń cybernetycznych.

Jak trzymać się z dala od botnetów i ataków DDoS?

haker-cyber-przestępczość-internet-ochrona-ochrona-wirusowa

Niestety, większość użytkowników nie jest nawet świadoma, że ​​ich urządzenie jest częścią złośliwego botnetu. Nowa technologia umożliwiła hakerom działanie tak dyskretne i szybkie, jak to tylko możliwe, jednocześnie powodując miliony dolarów szkód dla firm internetowych. Ataki DDoS są dość trudne do wykrycia, a wiele z nich pozostaje niezauważonych dopiero po kilku godzinach. Nawet wtedy czasami trudno jest odróżnić atak hakerski od błędu lub awarii.

Jeśli zauważysz dziwną aktywność i nie możesz określić przyczyny, być może nadszedł czas, aby podejrzewać atak. Na przykład klienci lub pracownicy mogą zgłaszać, że Twoja witryna działa wolno lub całkowicie nie działa. Ponadto po przeprowadzeniu analizy dziennika możesz zauważyć drastyczne skoki ruchu w witrynie. Po dokładnym przeanalizowaniu i wyeliminowaniu każdego innego potencjalnego źródła możesz być w stanie to rozgryźć. Jednak w tym momencie miną godziny, a szkody zostaną już wyrządzone.

Najlepiej jest wymyślić wiele rozwiązań zapobiegawczych i wdrożyć je wszystkie. Na przykład nie wystarczy zainstalować oprogramowanie chroniące przed złośliwym oprogramowaniem i zakończyć działanie. Powinieneś także rozważyć skonfigurowanie kilku dodatkowych serwerów, zwiększenie przepustowości i zakup kilku najwyższej klasy narzędzi, które pomogą Ci monitorować zasoby i aktywność. Podsumowując, należy upewnić się, że w systemie bezpieczeństwa nie ma słabych punktów.

Może Cię również zainteresować: Rosnąca potrzeba cyberbezpieczeństwa: 10 wskazówek, jak zachować ochronę online.

Końcowe przemyślenia

wniosek

Podsumowując, botnety były i nadal stanowią ogromne zagrożenie dla naszego coraz bardziej zdigitalizowanego społeczeństwa. Co ważniejsze, były kluczowym elementem niektórych z najbardziej niszczycielskich ataków DDoS w historii. Biorąc pod uwagę, że stają się one coraz bardziej popularne, powinieneś przyjąć surowe praktyki bezpieczeństwa, zanim przydarzy Ci się atak DDoS i spowoduje poważne niepowodzenia w Twojej firmie.

Nawet jeśli będziesz wyjątkowo ostrożny, atak DDoS może ci się przytrafić. W takim przypadku najlepiej jest być dobrze zorganizowanym i przygotowanym. Opracowanie dokładnego planu reagowania z wyprzedzeniem z pewnością pomoże złagodzić atak botnetu i jego konsekwencje w możliwie najkrótszym czasie.