Как ботнеты используются в DDoS-атаках?

Атаки DDoS, а также ботнеты, которые позволяют им происходить, являются одним из самых мощных видов оружия в Интернете. Более того, любой желающий может купить ботнет и сеять хаос всего за несколько кликов. Все, что им нужно, чтобы сделать это успешно, - это несколько десятков долларов и некоторые меры предосторожности.

Например, Mirai, один из крупнейших и самых (не)известных ботнетов, был создан тремя студентами колледжа, пытавшимися взломать серверы Minecraft. Однако эта атака 2016 года стала крупнейшей в своем роде на сегодняшний день, похитив более 1 терабита в секунду и заразив более 600 000 устройств IoT.

Если вы не хотите стать частью ботнета или подвергнуться его атаке, необходима адекватная защита и подготовка. Прежде всего, вы должны узнать, как работают ботнеты и DDoS-атаки.

Что такое ботнет?

Как следует из названия, ботнет — это сеть ботов, т. е. устройств, которые были взломаны с помощью какого-либо вредоносного ПО. Хакеры используют их разными способами — от DDoS-атак и генерации кликов до кражи данных и рассылки спама, но обычно они комбинируют стратегии атак.

Каждый ботнет состоит из трех основных компонентов. Во-первых, ничего не было бы возможно без пастухов ботов, вдохновителей операции.

Кроме того, есть также серверы или устройства управления и контроля (C&C), которые позволяют пастуху общаться с ботами. Они делают это из удаленного места, изо всех сил стараясь скрыть свою личность. Кроме того, хакеры могут выбирать из нескольких протоколов связи — IRC старой школы, TelNet, домен, одноранговая сеть, социальные сети и т. д.

Наконец, ботнет был бы ничем без своей «армии зомби-компьютеров». Любое IoT-устройство может легко стать ботом без ведома или одобрения пользователей, будь то смартфон или простая радионяня.

Рекомендуется для вас: DDoS-атака: как обезопасить свой сайт от DDoS-атак?

Ботнеты и DDoS-атаки

Когда дело доходит до DDoS-атак, основная цель ботнетов — направить огромные объемы трафика на сервер и в конечном итоге отключить его. Простои приводят к тому, что предприятия теряют драгоценное время и деньги. Следовательно, это наносит ущерб их репутации и подрывает доверие тысяч и тысяч их клиентов.

Согласно отчету International Data Group за 2018 год, среднее время простоя одной атаки составляет от 7 до 12 часов, что составляет колоссальные затраты на одну атаку от 2,3 до 4 миллионов долларов. Мотивация большинства DDoS-атак ботнетов заключается либо в конкурентном преимуществе, чистой ярости и вандализме, либо в деньгах (в случае программ-вымогателей).

При сетевых DDoS-атаках или DDoS-атаках уровня 3 боты перегружают целевой сервер трафиком, потребляя его пропускную способность и перегружая его запросами. Атаки уровня 7 или атаки прикладного уровня используют ту же стратегию. Однако их основными целями являются слабые приложения и операционные системы.

С каждым годом DDoS-атаки становятся все более распространенными и изощренными, что делает ботнеты более сложными для отслеживания и уничтожения, чем когда-либо. Более того, любой желающий может купить или арендовать ботнет, иногда менее чем за 10 долларов в час. Есть также наборы ботнетов, которые можно взять напрокат, которые мы называем booters/stressers, и они становятся все более популярными.

Средства контроля ботнета

Двумя основными моделями управления ботнетами являются клиент-серверная и одноранговая.

Клиент-сервер

До появления одноранговых сетей хакеры использовали традиционный метод клиент-сервер. Этот тип сети подразумевает наличие центрального сервера, который контролирует ресурсы и данные. С другой стороны, за это время появились новые и более эффективные способы сделать это.

Пиринговый

Одним из таких способов является одноранговая сеть (P2P). Его главное преимущество в том, что он не имеет централизованного сервера. Вместо этого сеть пиров или узлов контролирует все ресурсы. Эта модель значительно снижает риск сбоя или сбоя, поскольку всегда есть резервные серверы на случай, если один из них выйдет из строя. Эти P2P-сети часто зашифрованы, что еще больше затрудняет их обнаружение и взлом. Большинство современных ботнетов используют этот тип сети.

Самые известные ботнеты в истории

Хотя мы не знаем точных цифр, количество и размер ботнетов уже некоторое время растут, и сегодняшние ботнеты имеют в своих армиях миллионы миньонов. В свете этого давайте рассмотрим самые большие и запоминающиеся ботнеты, которые когда-либо существовали.

Вам может понравиться: Топ-5 угроз кибербезопасности сегодня и в будущем.

Спамер Earthlink (2000)

Earthlink Spammer был первым в мире ботнетом. Он разослал миллионы вредоносных, но, казалось бы, законных электронных писем с целью фишинга, то есть кражи конфиденциальных данных у получателя. При переходе по ссылке из письма вирус мгновенно загружался на их компьютер, после чего отправлял информацию обратно отправителю.

Сризби (2007-2008)

Srizbi был ботнетом на основе троянов, который состоял из более чем 450 000 зараженных устройств Microsoft. В то время это был крупнейший ботнет, опередивший печально известный ботнет Storm.

Сризби был ответственен за половину спама, рассылаемого в том году, ежедневно распространяя более 60 триллионов угроз, включая спам-письма с рекламой часов, ручек и таблеток для увеличения полового члена. В какой-то момент Сризби даже рассылал политический спам, продвигая кампанию кандидата в президенты США Рона Пола, хотя до сих пор неясно, зачем это делать.

Зевс (2007-2014)

ZeuS был популярным троянским вредоносным ПО около 10 лет назад, позволяя хакеру выполнять все виды преступной деятельности, чаще всего для кражи банковской информации. До ареста подозреваемых, связанных с ZeuS, ему удалось заразить более 3,6 млн устройств и более 70 000 учетных записей на многочисленных сайтах, таких как Bank of America, NASA, Amazon, ABC и т. д.

Однако менее десяти лет спустя ZeuS снова появился, на этот раз как зашифрованная одноранговая сеть под названием GameOver Zeus. Его сняли в 2014 году, но его создатель Евгений Богачев до сих пор находится в списке самых разыскиваемых ФБР.

Эмотет (2014-2021)

Emotet был не просто ботнетом, но и крупной международной киберпреступной операцией. Как и многие другие, он использовал банковский троян, распространяя его через безобидные на вид вложения электронной почты, такие как документы Microsoft Word.

Однако Emotet был намного больше. Он превратился в решение «Вредоносное ПО как услуга» (MaaS) для высокопоставленных групп киберпреступников, помогая таким программам-вымогателям, как Ryuk. Репрессии Emotet 2021 года стали результатом совместных усилий более чем восьми стран, включая Германию, Украину, США и т. д.

Мирай (2016-настоящее время)

Конечно, ни один список не был бы полным без легендарного ботнета Mirai и вредоносных программ. Имея в своем распоряжении миллионы ботов, это самый распространенный на сегодняшний день ботнет. В первую очередь он нацелен на устройства IoT (например, детекторы дыма, термостаты, умные колонки и другие гаджеты), используя их слабые или несуществующие пароли.

Как мы уже упоминали в начале, вдохновителями Mirai были пара студентов колледжа, которые хотели раскрутить Minecraft, но со временем это стало намного больше. Фактически, он был ответственен за некоторые из самых мощных DDoS-атак в новейшей истории. Например, Mirai стояла за атакой на DNS-провайдера Dyn в 2016 году, которая является крупнейшей из когда-либо зарегистрированных DDoS-атак. Из-за атаки в течение дня были отключены тысячи популярных веб-сайтов, включая Twitter, Reddit, Netflix и CNN.

После атаки создатели хитроумно решили опубликовать исходный код Mirai на GitHub, чтобы скрыть свою личность. Неудивительно, что код загружался и повторно использовался тысячи раз и в различных вредоносных проектах. Таким образом, полный масштаб влияния Mirai непостижим. Хотя авторы якобы были пойманы, Mirai продолжает оставаться одной из самых больших киберугроз на сегодняшний день.

Как уберечься от ботнетов и DDoS-атак?

К сожалению, большинство пользователей даже не подозревают, что их устройство является частью вредоносного ботнета. Новые технологии позволили хакерам быть максимально осторожными и быстрыми, в то же время нанося ущерб онлайн-бизнесу на миллионы долларов. DDoS-атаки довольно трудно обнаружить, и многие из них остаются незамеченными в течение нескольких часов. Даже в этом случае иногда бывает трудно отличить хакерскую атаку от ошибки или сбоя.

Если вы заметили странную активность и не можете определить причину, возможно, пришло время заподозрить атаку. Например, клиенты или сотрудники могут сообщить, что ваш веб-сайт работает медленно или вообще не работает. Кроме того, после анализа журнала вы можете заметить резкие скачки трафика на веб-сайте. Тщательно проанализировав и устранив все остальные потенциальные источники, вы, возможно, сможете это выяснить. Тем не менее, в этот момент пройдут часы, и ущерб уже будет нанесен.

Лучше всего придумать несколько превентивных решений и реализовать их все. Например, недостаточно установить программное обеспечение для защиты от вредоносных программ и отказаться от него. Вам также следует подумать о настройке нескольких дополнительных серверов, увеличении пропускной способности и приобретении некоторых первоклассных инструментов, которые помогут вам контролировать свои ресурсы и активность. В общем, вы должны убедиться, что в системе безопасности нет слабых мест.

Вам также может понравиться: Растущая потребность в кибербезопасности: 10 советов по защите в Интернете.

Последние мысли

В целом, ботнеты были и остаются огромной угрозой для нашего все более оцифрованного общества. Что еще более важно, они были ключевым элементом некоторых из самых разрушительных DDoS-атак в истории. Учитывая, что они становятся все более популярными, вы должны принять строгие меры безопасности, прежде чем DDoS-атака произойдет с вами и нанесет серьезный ущерб вашему бизнесу.

Даже если вы будете предельно осторожны, DDoS-атака все равно может случиться с вами. В этом случае лучше всего быть хорошо организованным и подготовленным. Заблаговременное составление тщательного плана реагирования наверняка поможет вам смягчить атаку ботнета и ее последствия в кратчайшие сроки.