Jak botnety są wykorzystywane w atakach DDoS?

Opublikowany: 2021-04-24

Ataki DDoS, a także umożliwiające im botnety są jedną z najpotężniejszych broni w Internecie. Co więcej, każdy może kupić botnet i siać spustoszenie za pomocą zaledwie kilku kliknięć. Wystarczy kilkadziesiąt dolarów i pewne środki ostrożności, aby to zrobić z sukcesem.

Na przykład Mirai, jeden z największych i najbardziej (nie)sławnych botnetów w historii, był dziełem trzech studentów próbujących włamać się do serwerów Minecrafta. Jednak ten atak z 2016 r. okazał się największym tego typu atakiem do tej pory, kradnąc ponad 1 terabit na sekundę i infekując ponad 600 000 urządzeń IoT.

Jeśli chcesz uniknąć stania się częścią botnetu lub bycia przez nie zaatakowanym, odpowiednia ochrona i przygotowanie są koniecznością. Przede wszystkim powinieneś dowiedzieć się, jak działają botnety i ataki DDoS.

Spis treści pokaż
  • Co to jest botnet?
  • Botnety i ataki DDoS
  • Sposoby kontroli botnetów
  • Najbardziej znane botnety w historii
  • Jak trzymać się z dala od botnetów i ataków DDoS?
  • Końcowe przemyślenia

Co to jest botnet?

hasło-cyberbezpieczeństwo-blokada-hacking

Jak sama nazwa wskazuje, botnet to sieć botów, czyli urządzeń, które zostały przejęte przy użyciu jakiegoś złośliwego oprogramowania. Hakerzy wykorzystują je na wiele złośliwych sposobów — od ataków DDoS i generowania kliknięć po kradzież danych i spamowanie, ale zazwyczaj łączą one strategie ataków.

Każdy botnet składa się z trzech głównych komponentów. Po pierwsze, nic nie byłoby możliwe bez botaników, organizatorów operacji.

Dalej są też serwery dowodzenia i kontroli (C&C) lub urządzenia, które pozwalają pasterzowi komunikować się z botami. Robią to z odległej lokalizacji, starając się jak najlepiej ukryć swoją tożsamość. Ponadto istnieje wiele protokołów komunikacyjnych, z których mogą wybierać hakerzy — oldschoolowy IRC, TelNet, domenowy, peer-to-peer, media społecznościowe itp.

Wreszcie botnet byłby niczym bez „armii komputerów zombie”. Każde urządzenie IoT może z łatwością stać się botem bez wiedzy i zgody użytkowników, bez względu na to, czy jest to smartfon, czy zwykła elektroniczna niania.

Polecane dla Ciebie: Atak DDoS: Jak chronić swoją witrynę przed atakami DDoS?

Botnety i ataki DDoS

cyber-bezpieczeństwo-sieci-internet-ochrona-sieci-bezpieczeństwo-ddos-ataki

Jeśli chodzi o ataki DDoS, głównym celem botnetów jest przenoszenie ogromnego ruchu na serwer, a następnie jego likwidacja. Przestój powoduje, że firmy tracą cenny czas i pieniądze. W konsekwencji szkodzi to ich reputacji i łamie zaufanie tysięcy ich klientów.

Według raportu International Data Group z 2018 r. średni czas przestoju na atak wynosi od 7 do 12 godzin, co odpowiada kosztom ataku wynoszącym od 2,3 do 4 milionów dolarów. Motywacją większości ataków typu botnet DDoS jest albo przewaga konkurencyjna, czysta wściekłość i wandalizm, albo pieniądze (w przypadku oprogramowania ransomware).

W przypadku ataków DDoS sieci lub warstwy 3 boty zalewają docelowy serwer ruchem, zużywając jego przepustowość i przytłaczając go żądaniami. Ataki warstwy 7 lub ataki warstwy aplikacji wykorzystują tę samą strategię. Jednak ich głównym celem są słabe aplikacje i systemy operacyjne.

Każdego roku ataki DDoS stają się coraz bardziej powszechne, a także coraz bardziej wyrafinowane, przez co śledzenie i eliminowanie botnetów jest trudniejsze niż kiedykolwiek. Co więcej, każdy może kupić lub wypożyczyć botnet, czasami za mniej niż 10 USD za godzinę. Istnieją również zestawy do wypożyczania botnetów, które nazywamy booterami/stresatorami i stają się one coraz bardziej popularne.

Sposoby kontroli botnetów

niebezpieczeństwo-bezpieczeństwo-zagrożenie-cyber-przestępczość-oszustwo-wirus-hack

Dwa główne modele kontroli botnetu to klient-serwer i peer-to-peer.

Klient-serwer

punkt-01

Zanim pojawiły się sieci peer-to-peer, hakerzy wykorzystywali tradycyjną metodę klient-serwer. Ten rodzaj sieci zakłada istnienie centralnego serwera, który kontroluje zasoby i dane. Z drugiej strony w międzyczasie pojawiły się nowe i skuteczniejsze sposoby na to.

peer-to-peer

punkt-02

Jednym z takich sposobów jest sieć peer-to-peer (P2P). Jego główną zaletą jest to, że nie posiada scentralizowanego serwera. Zamiast tego sieć równorzędnych lub węzłów kontroluje wszystkie zasoby. Model ten znacznie zmniejsza ryzyko zakłóceń lub awarii, ponieważ zawsze istnieją serwery zapasowe na wypadek awarii. Te sieci P2P są często szyfrowane, co czyni je jeszcze trudniejszymi do wykrycia i pokonania. Większość nowoczesnych botnetów korzysta z tego typu sieci.

Najbardziej znane botnety w historii

hacking-cyber-przestępczość-bezpieczeństwo-blokada-ochrona-ochrona

Chociaż nie znamy dokładnych danych liczbowych, liczba i rozmiar botnetów od jakiegoś czasu rośnie, a dzisiejsze botnety mają miliony stworów w swoich armiach. W świetle tego przyjrzyjmy się największym i najbardziej zapadającym w pamięć botnetom, jakie kiedykolwiek istniały.

Może ci się spodobać: 5 największych zagrożeń bezpieczeństwa cybernetycznego dzisiaj i poza nimi.

Spamer ziemski (2000)

botnety-ddos-ataki-1

Earthlink Spammer był pierwszym w historii botnetem. Wysłał miliony złośliwych, ale pozornie uzasadnionych wiadomości e-mail z zamiarem wyłudzenia informacji, tj. kradzieży poufnych danych odbiorcy. Po kliknięciu linku w wiadomości e-mail wirus byłby natychmiast pobierany na ich komputer, po czym wysyłał informacje z powrotem do nadawcy.

Szrizbi (2007-2008)

botnety-ddos-ataki-2

Srizbi był botnetem opartym na trojanach, który składał się z ponad 450 000 zainfekowanych urządzeń firmy Microsoft. W tamtym czasie był to największy botnet w historii, będący na szczycie niesławnego botnetu Storm.

Srizbi był odpowiedzialny za połowę spamu rozsyłanego w tym roku, rozpowszechniając codziennie ponad 60 bilionów zagrożeń, w tym spamowe wiadomości e-mail reklamujące zegarki, długopisy i tabletki na powiększanie penisa. W pewnym momencie Srizbi rozsyłał nawet spam polityczny, promujący kampanię kandydata na prezydenta USA Rona Paula, choć do dziś nie jest jasne, dlaczego tak się dzieje.

ZeuS (2007-2014)

botnety-ddos-ataki-3

Około 10 lat temu ZeuS był popularnym trojanem, który umożliwiał hakerowi wykonywanie wszelkiego rodzaju działań przestępczych, najczęściej kradzieży informacji bankowych. Przed aresztowaniem podejrzanych powiązanych z ZeuSem udało mu się zainfekować ponad 3,6 miliona urządzeń i ponad 70 000 kont w wielu serwisach internetowych, takich jak Bank of America, NASA, Amazon, ABC itp.

Jednak niespełna dekadę później ZeuS pojawił się ponownie, tym razem jako zaszyfrowana sieć peer-to-peer o nazwie GameOver Zeus. Został usunięty w 2014 roku, ale jego twórca, Evgeny Bogachev, wciąż znajduje się na liście najbardziej poszukiwanych przez FBI.

Emotet (2014-2021)

botnety-ddos-ataki-4

Emotet był nie tylko botnetem, ale także dużą międzynarodową operacją cyberprzestępczą. Podobnie jak wiele innych, używał trojana bankowego, rozpowszechniając go za pośrednictwem niewinnie wyglądających załączników do wiadomości e-mail, takich jak dokumenty Microsoft Word.

Jednak Emotet był czymś znacznie więcej. Ewoluował, by stać się rozwiązaniem typu Malware-as-a-Service (MaaS) dla grup cyberprzestępczych najwyższego poziomu, wspomagając operacje ransomware, takie jak Ryuk. Tłumienie Emotetu w 2021 r. było wynikiem współpracy ponad ośmiu krajów, w tym Niemiec, Ukrainy, USA itp.

Mirai (2016-obecnie)

botnety-ddos-ataki-5

Oczywiście żadna lista nie byłaby kompletna bez legendarnego botnetu Mirai i złośliwego oprogramowania. Mając do dyspozycji miliony botów, jest to obecnie najbardziej rozpowszechniony botnet. Jego celem są przede wszystkim urządzenia IoT (tj. czujniki dymu, termostaty, inteligentne głośniki i inne gadżety), wykorzystując ich słabe lub nieistniejące hasła.

Jak wspomnieliśmy na początku, pomysłodawcami Mirai było kilku studentów, którzy chcieli popchnąć Minecrafta, ale stało się to znacznie więcej. W rzeczywistości był odpowiedzialny za niektóre z najbardziej znaczących ataków DDoS w najnowszej historii. Na przykład Mirai stał za atakiem z 2016 r. na dostawcę DNS Dyn, który jest największym kiedykolwiek odnotowanym atakiem DDoS. Z powodu ataku tego dnia nie działały tysiące popularnych stron internetowych, w tym Twitter, Reddit, Netflix i CNN.

Po ataku twórcy sprytnie postanowili opublikować kod źródłowy Mirai na GitHubie, aby ukryć swoją tożsamość. Nic dziwnego, że kod był pobierany i ponownie używany tysiące razy w różnych projektach złośliwego oprogramowania. Dlatego pełny zakres wpływu Mirai jest niezgłębiony. Chociaż autorzy podobno zostali złapani, Mirai nadal jest jednym z największych cyberzagrożeń.

Jak trzymać się z dala od botnetów i ataków DDoS?

haker-cyber-przestępczość-bezpieczeństwo-internetu-ochrona-wirusa

Niestety, większość użytkowników nie zdaje sobie sprawy, że ich urządzenie jest częścią złośliwego botnetu. Nowa technologia umożliwiła hakerom zachowanie maksymalnej dyskrecji i szybkości, jednocześnie powodując miliony dolarów szkód w firmach internetowych. Ataki DDoS są dość trudne do wykrycia, a wiele z nich pozostaje niezauważonych do godzin później. Nawet wtedy czasami trudno odróżnić atak hakerski od błędu lub awarii.

Jeśli zauważysz dziwną aktywność i nie możesz wskazać przyczyny, być może nadszedł czas, aby podejrzewać atak. Na przykład klienci lub pracownicy mogą zgłaszać, że Twoja witryna działa wolno lub całkowicie. Ponadto po przeprowadzeniu analizy logów możesz zauważyć drastyczne skoki ruchu w witrynie. Po dokładnym przeanalizowaniu i wyeliminowaniu wszystkich innych potencjalnych źródeł możesz to rozgryźć. Jednak w tym momencie miną godziny, a szkody zostaną już wyrządzone.

Najlepszą rzeczą do zrobienia jest wymyślenie wielu rozwiązań zapobiegawczych i wdrożenie ich wszystkich. Na przykład nie wystarczy zainstalować oprogramowanie anty-malware i wywołać zamknięcie. Powinieneś także rozważyć skonfigurowanie kilku dodatkowych serwerów, zwiększenie przepustowości i zakup kilku najwyższej klasy narzędzi, które pomogą Ci monitorować zasoby i aktywność. Podsumowując, powinieneś upewnić się, że w systemie bezpieczeństwa nie ma słabych punktów.

Możesz również polubić: Rosnąca potrzeba cyberbezpieczeństwa: 10 wskazówek, jak zachować ochronę w Internecie.

Końcowe przemyślenia

wniosek

Podsumowując, botnety były i nadal stanowią ogromne zagrożenie dla naszego coraz bardziej zdigitalizowanego społeczeństwa. Co ważniejsze, były one kluczowym elementem niektórych z najbardziej niszczycielskich ataków DDoS w historii. Biorąc pod uwagę, że stają się one coraz bardziej popularne, powinieneś zastosować rygorystyczne praktyki bezpieczeństwa, zanim przytrafi ci się atak DDoS i spowoduje poważne komplikacje w Twojej firmie.

Nawet jeśli jesteś wyjątkowo ostrożny, atak DDoS może ci się przytrafić. W takim przypadku najlepiej jest być dobrze zorganizowanym i przygotowanym. Wcześniejsze opracowanie dokładnego planu reakcji z pewnością pomoże złagodzić atak botnetowy i jego konsekwencje w możliwie najkrótszym czasie.