Botnet
Botnet je v informatice označení pro softwarové agenty nebo pro internetové roboty, kteří fungují autonomně nebo automaticky. V současné době je termín nejvíce spojován s malwarem, kdy botnet označuje síť počítačů infikovaných speciálním softwarem, který je řízen z jednoho centra. Botnet pak provádí nežádoucí činnost, jako je rozesílání spamu, útoky DDoS a podobně.
Pozadí
Hlavní hnací silou pro tvorbu botnetu je uznání a finanční zisk. Čím větší botnet je, tím větší „prestiž“ má majitel napříč komunitou. Ten také pronajímá část třetím stranám například k rozesílání spamu a útokům DDoS. Díky velkému množství počítačů, jež jsou součástí botnetu, je schopen vygenerovat velký síťový provoz ať už jako útok, nebo spam. Nicméně v poslední době se snížil počet spamů odeslaných z jednoho počítače, aby nedošlo k jeho odhalení ISP nebo antispamovými algoritmy. Botnety se staly značnou součástí internetu, avšak velmi dobře skryty. Protože IRC sítě zavedly protiopatření a blokují správcům přístup, musejí si najít vlastní servery, což jim přináší další náklady a komplikace. Někdy se správci podaří schovat instanci IRC serveru na výukový nebo firemní počítač s vysokorychlostním připojením a ten tak může podpořit ostatní boty. Tato metoda, kdy bot ovládá další boty, se rozšířila teprve nedávno.
Organizace
Botnety jsou obvykle pojmenovány podle malwaru, pod kterým se šíří, avšak typicky existuje několik souběžných botnetů ovládaných různými lidmi s původem v jednom malwaru. Termín botnet může označovat libovolnou skupinu botů, jako můžou být i legitimní IRC-boti. Nejčastěji označuje množinu kompromitovaných počítačů (zvaných zombies), na kterých běží software, o kterém majitel nemusí vědět a zpravidla ani neví. Ten se může nainstalovat jeho ukvapeným klikáním nebo exploitem v browseru či systému. Původce botnetu (anglicky bot herder) ovládá skupinu vzdáleně, například přes IRC veřejné servery nebo vlastní. Zkušenější a technicky zdatnější správci si vytvářejí vlastní protokoly, které mohou být i šifrované a tak se odhalení nebo vlámání do botnetu stává složitějším. Centrální uzel je v angličtině nazýván command-and-control server (C&C). Bot jako takový je před uživatelem schovaný a používá ke komunikaci s C&C serverem relativně běžné komunikační kanály (IRC, IM, twitter). V prvopočátku původce infikoval několik počítačů pomocí různých zranitelností. Noví boti pak mohou prohlížet své okolí a propagovat se do dalších počítačů opět pomocí zranitelností, nebo třeba slabých hesel. Obecně platí, že čím více slabostí dokáže bot najít v okolí a zneužít, tím se stává pro svého majitele cennějším, protože se lépe vypropaguje do sítě a rychleji rozšíří. Architektura botnetů se časem vyvíjela a ne všechny botnety mají stejnou topologii pro příkazy a ovládání. V závislosti na topologii na které je botnet postaven je různě odolný proti vypnutí, vyčíslení jeho síly a nebo lokalizaci hlavního C&C uzlu. Nicméně některé topologie naopak omezují prodejnost a pronajímatelnost botnetu pro třetí stranu (spammeři). Typické topologie botnetů jsou:
- hvězdicová topologie
- multi server
- stromová topologie
- náhodná
Formování botnetu a exploitace
Obrázek ilustruje jak vzniká botnet a je následně použit k rozesílání spamu.
- Operátor botnetu rozesílá viry a červy, které infikují počítač oběti zákeřnou aplikací ve které je bot.
- Bot na infikovaném počítači se přihlásí ke svému C&C serveru. Tím je nejčastěji IRC server.
- Spammer využije služeb botnetu za příslušnou finanční částku.
- Spammer poskytne správci zprávy(spamové emaily), které chce poslat do světa. Správce pak vydá botům instrukce co mají vykonat přes IRC server a boti je splní a rozesílají tak spam.
Životní cyklus botnetu
- Původce nakonfiguruje parametry bota, jako je C&C server, případné cíle a způsoby útoku na okolní počítače.
- Registrace Dynamického DNS záznamu.
- Registrace statické IP adresy
- Původce rozšíří první boty, kteří se již sami šíří dále.
- Boti se rozšiřují a infikují další počítače.
- Rozšíření způsobí větší a silnější DDoS na oběti, rozesílání spamů nebo jiné nekalé aktivity.
- Ztráta botů ve prospěch konkurenčních botnetů
Druhy útoků
- Denial of Service: velké množství počítačů přistupuje najednou k jednomu konkrétnímu systému nebo internetové službě a zaměstnává tak cílový systém, popřípadě zvětšuje odezvy nebo způsobí nedostupnost služby.
- Adware: bez vědomí uživatele inzeruje a podbízí mu reklamu, kterou chce majitel botnetu, například záměnou reklamních bannerů na webových stránkách.
- Spyware: odesílá správci botnetu informace, které sbírá bez vědomí uživatele. Často to jsou hesla, čísla platebních karet nebo osobní údaje. Tyto jsou následně prodávány na černém trhu. Ještě cennější jsou pro správce botnetu počítače uvnitř firemní infrastruktury, neboť mohou mít přístup k citlivým informacím společnosti.
- E-mailový spam: počítač oběti rozesílá nevyžádané reklamní nabídky.
- Podvodné klikání: počítač oběti zobrazuje a popřípadě kliká na reklamní odkazy na stránkách bez vědomí uživatele. Vytváří se tak dojem, že stránky mají návštěvnost a inzerenti přicházejí o peníze.