Botnetz

Stacheldraht Botnetzdiagramm mit einem DDOS -Angriff. (Beachten Sie, dass dies auch ein Beispiel für eine Art Client -Server -Modell eines Botnetzes ist.)

A Botnetz ist eine Reihe von Internet-NEECTED -Geräte, von denen jeder einen oder mehrere ausführt Bots. Botnets können zur Durchführung verwendet werden Distributed Denial-of-Service (DDOs) Angriffe, Daten stehlen,[1] senden Spamund lassen Sie den Angreifer auf das Gerät und seine Verbindung zugreifen. Der Eigentümer kann das Botnetz mithilfe von Befehls- und Steuerungssoftware (C & C) steuern.[2] Das Wort "Botnet" ist a Handkoffer der Worte "Roboter" und "Netzwerk"Der Begriff wird normalerweise mit einer negativen oder böswilligen Konnotation verwendet.

Überblick

Ein Botnetz ist eine logische Sammlung von Internet-NEECTED -Geräte wie Computer, Smartphones oder Internet der Dinge (IoT) Geräte, deren Sicherheit wurden verletzt und kontrolliert an einen Dritten. Jedes kompromittierte Gerät, das als "Bot" bezeichnet wird, wird erstellt, wenn ein Gerät durch Software von a durchdrungen wird Malware (bösartige Software) Vertrieb. Der Controller eines Botnetzes kann die Aktivitäten dieser kompromittierten Computer über Kommunikationskanäle leiten, die aus standardbasierten Standards gebildet werden Netzwerkprotokolle, wie zum Beispiel IRC und Hypertext Transfer Protocol (Http).[3][4]

Botnets werden zunehmend ausgebucht durch Cyberkriminelle als Waren für eine Vielzahl von Zwecken.[5]

Die Architektur

Die Botnet -Architektur hat sich im Laufe der Zeit entwickelt, um der Erkennung und Störung zu entgehen. Traditionell werden Bot -Programme als konstruiert als Kunden die über vorhandene Server kommunizieren. Dies erlaubt das Botshirte (Der Controller des Botnetzes), um die gesamte Steuerung von einem entfernten Standort aus durchzuführen, der den Verkehr verschleiert.[6] Viele jüngste Botnets verlassen sich jetzt auf bestehende Peer-to-Peer-Netzwerke kommunizieren. Diese P2P -Bot -Programme führen dieselben Aktionen aus wie das Client -Server -Modell, benötigen jedoch keinen zentralen Server, um zu kommunizieren.

Client -Server -Modell

Ein Netzwerk basierend auf dem Client -Server -Modell, wo einzelne Kunden Dienste und Ressourcen von zentralisierten Servern anfordern

Die ersten Botnets im Internet verwendeten ein Client -Server -Modell, um ihre Aufgaben zu erfüllen.[7] Normalerweise arbeiten diese Botnets durch Internet Relay Chat Netzwerke, Domänen, oder Websites. Infizierte Clients greifen auf einen vorgegebenen Ort zu und warten auf eingehende Befehle vom Server. Der Bot Herder sendet Befehle an den Server, der sie an die Clients weiterleitet. Kunden führen die Befehle aus und melden ihre Ergebnisse dem Bot -Herder zurück.

Bei IRC-Botnets stellen infizierte Clients eine Verbindung zu einem infizierten IRC-Server her und beitreten einem Kanal, der vom Bot-Herder für C & C vorgezeichnet wurde. Der Bot Herder sendet Befehle über den IRC -Server an den Kanal. Jeder Client ruft die Befehle ab und führt sie aus. Clients senden Nachrichten mit den Ergebnissen ihrer Aktionen an den IRC -Kanal zurück.[6]

Peer-To-Peer

Ein Peer-to-Peer-Netzwerk (P2P), in dem miteinander verbundene Knoten ("Peers") Ressourcen untereinander teilen, ohne dass ein zentrales Verwaltungssystem verwendet wird

Als Reaktion auf die Bemühungen zur Erkennung und Enthauptung von IRC -Botnets haben Bot -Hirten begonnen, Malware einzustellen Peer-To-Peer Netzwerke. Diese Bots können verwenden digitale Signaturen Damit nur jemand mit Zugriff auf den privaten Schlüssel das Botnetz steuern kann.[8] Siehe z. Gameover Zeus und Zero Access Botnetz.

Neuere Botnets arbeiten vollständig über P2P -Netzwerke. Anstatt mit einem zentralisierten Server zu kommunizieren, treten P2P -Bots sowohl als Befehlsverteilungsserver als auch als Client aus, der Befehle empfängt.[9] Dies vermeidet einen einzelnen Ausfallpunkt, was ein Problem für zentralisierte Botnets darstellt.

Um andere infizierte Maschinen zu finden, untersucht der Bot diskret zufällig IP -Adressen bis es eine andere infizierte Maschine kontaktiert. Der kontaktierte Bot antwortet mit Informationen wie der Softwareversion und der Liste bekannter Bots. Wenn eine der Versionen der Bots niedriger als der andere ist, werden eine Dateiübertragung zum Aktualisieren eingeleitet.[8] Auf diese Weise baut jeder Bot seine Liste infizierter Maschinen aus und aktualisiert sich selbst, indem er alle bekannten Bots regelmäßig kommuniziert.

Kernkomponenten

Der Urheber eines Botnetzes (bekannt als "Botshirte"oder" Bot Master ") steuert das Botnet aus der Ferne. Dies ist als Befehl und Kontroll (C & C) bekannt. Das Programm für den Vorgang muss über einen kommunizieren verdeckter Kanal an den Kunden auf der Maschine des Opfers (Zombie -Computer).

Kontrollprotokolle

IRC ist ein historisch bevorzugtes C & C -Mittel aufgrund seiner Kommunikationsprotokoll. Ein Bot -Herder erstellt einen IRC -Kanal für infizierte Kunden. Nachrichten, die an den Kanal gesendet werden, werden an alle Kanalmitglieder übertragen. Der Bot -Herder kann das Thema des Kanals für das Botnetz einstellen. Z.B. die Nachricht : Herder! [email protected] Thema #channel ddos ​​www.victim.com Von den Bot Herder alarmiert alle infizierten Kunden, die von #Channel gehören, um einen DDOS -Angriff auf der Website www.victim.com zu beginnen. Eine Beispielantwort : bot1! [email protected] privmsg #channel Ich bin ddosing www.victim.com Bei einem Bot -Kunden alarmiert der Bot -Herder, dass er den Angriff begonnen hat.[8]

Einige Botnets implementieren benutzerdefinierte Versionen bekannter Protokolle. Die Implementierungsunterschiede können zur Erkennung von Botnets verwendet werden. Zum Beispiel, Mega-d verfügt über leicht modifiziert Simple Mail Transfer Protocol (SMTP) Implementierung zum Testen von Spam -Fähigkeiten. Das niederbringen Mega-d'S SMTP -Server deaktiviert den gesamten Pool von Bots, die auf demselben SMTP -Server angewiesen sind.[10]

Zombie -Computer

Im Informatik, a Zombie -Computer ist ein Computer, der mit dem Internet verbunden ist, das durch a gefährdet wurde Hacker, Computer Virus oder Trojanisches Pferd und kann verwendet werden, um böswillige Aufgaben unter abgelegener Richtung auszuführen. Botnets von Zombie -Computern werden häufig zur Ausbreitung verwendet E-Mail-Spam und starten Denial-of-Service-Angriffe (DDOs). Die meisten Besitzer von Zombie -Computern wissen nicht, dass ihr System auf diese Weise verwendet wird. Da der Eigentümer tendenziell nicht bewusst ist, werden diese Computer metaphorisch im Vergleich zu Zombies. Ein koordinierter DDOS -Angriff mehrerer Botnetzmaschinen ähnelt auch einem Zombie -Horde -Angriff.[11]

Der Prozess des Stehlens von Computerressourcen infolge eines Systems, das einem "Botnetz" verbunden wird, wird manchmal als "Scrupping" bezeichnet.[12]

Steuerung und Kontrolle

Der Botnet -Befehl und die Kontrollprotokolle (C & C) wurden auf verschiedene Weise implementiert, von traditionellen IRC -Ansätzen bis hin zu ausgefeilteren Versionen.

Telnet

Telnet Botnets verwenden ein einfaches C & C -Botnet -Protokoll, in dem Bots mit dem Hauptbefehlserver eine Verbindung herstellen, um das Botnetz zu hosten. Bots werden dem Botnetz mithilfe eines Scannings hinzugefügt Skript, der auf einem externen Server und Scans ausgeführt wird IP -Bereiche für Telnet und Ssh Server -Standardanmeldungen. Sobald eine Anmeldung gefunden wurde, kann der Scan -Server ihn mit Malware über SSH infizieren, wodurch der Steuerserver verwendet wird.

IRC

IRC -Netzwerke verwenden einfache Kommunikationsmethoden mit niedriger Bandbreite, wodurch sie häufig zum Host -Botnets verwendet werden. Sie sind in der Regel relativ einfach im Bau und wurden mit mäßigem Erfolg für die Koordinierung von DDOS -Angriffen und Spam -Kampagnen verwendet, während sie in der Lage sind, die Kanäle kontinuierlich zu wechseln, um zu vermeiden, dass sie abgenommen werden. In einigen Fällen hat sich jedoch nur die Blockierung bestimmter Keywords als wirksam erwiesen, um IRC-basierte Botnets zu stoppen. Der RFC 1459 (IRC) Standard ist bei Botnets beliebt. Das erste bekannte beliebte Botnet -Controller -Skript, "Maxite Bot", bestand darin, das IRC XDCC -Protokoll für private Steuerbefehle zu verwenden.

Ein Problem bei der Verwendung von IRC ist, dass jeder Bot -Client den IRC -Server, den Port und den Kanal kennen, um das Botnetz zu nutzen. Anti-Malware-Organisationen können diese Server und Kanäle erkennen und abschalten, wodurch der Botnet-Angriff effektiv gestoppt wird. In diesem Fall sind Kunden immer noch infiziert, aber sie ruhen normalerweise, da sie keine Möglichkeit haben, Anweisungen zu erhalten.[8] Um dieses Problem zu mildern, kann ein Botnetz aus mehreren Servern oder Kanälen bestehen. Wenn einer der Server oder Kanäle deaktiviert wird, wechselt das Botnetz einfach auf einen anderen. Es ist weiterhin möglich, zusätzliche Botnet -Server oder -kanäle durch Schnüffeln des IRC -Verkehrs zu erkennen und zu stören. Ein Botnetzgegner kann sogar möglicherweise Kenntnisse über das Kontrollschema erlangen und den Bot -Hirten nachahmen, indem sie Befehle korrekt ausgeben.[13]

P2P

Da die meisten Botnets, die IRC -Netzwerke und -Domänen verwenden, mit der Zeit genommen werden können, haben Hacker mit C & C zu P2P -Botnets gewechselt, um das Botnetz widerstandsfähiger und resistenter gegen die Beendigung zu gestalten.

Einige haben auch verwendet Verschlüsselung Um das Botnetz von anderen zu sichern oder abzusperren, ist es die meiste Zeit, wenn sie Verschlüsselung verwenden Kryptographie der Öffentlichkeit und hat Herausforderungen bei der Implementierung und Brechen vorgestellt.

Domänen

Viele große Botnets verwenden eher Domänen als IRC in ihrer Konstruktion (siehe Rustock Botnetz und Srizbi Botnet). Sie werden normalerweise mit veranstaltet mit kugelsicheres Hosting Dienstleistungen. Dies ist eine der frühesten Arten von C & c. Ein Zombie-Computer greift auf eine speziell entwickelte Webseite oder Domäne (n) zu, die der Liste der Steuerbefehle dient. Die Vorteile der Verwendung Webseiten oder Domänen als C & C ist, dass ein großes Botnetz effektiv gesteuert und mit sehr einfachem Code verwaltet werden kann, der leicht aktualisiert werden kann.

Nachteile der Verwendung dieser Methode besteht darin, dass sie in großem Maßstab eine beträchtliche Menge an Bandbreite verwendet, und Domänen können von Regierungsbehörden schnell mit geringen Anstrengungen beschlagnahmt werden. Wenn die Domänen, die die Botnets kontrollieren Denial-of-Service-Angriffe.

Fastflux-DNS Kann verwendet werden, um es schwierig zu machen, die Kontrollserver aufzuspüren, was sich von Tag zu Tag ändern kann. Kontrollserver können auch von der DNS -Domäne zur DNS -Domäne mithüpfen, mit Domänengenerierungsalgorithmen Zum Erstellen neuer DNS -Namen für Controller -Server verwendet werden.

Einige Botnets verwenden kostenlos DNS Hosting -Dienste wie z. Dyndns.org, No-ip.comund ängstlich.org auf zu zeigen a Subdomain auf einen IRC -Server, der die Bots beherbergt. Diese kostenlosen DNS-Dienste beherbergen zwar keine Angriffe, bieten jedoch Referenzpunkte (oft in der ausführbaren Botnetz-Datei). Das Entfernen solcher Dienste kann ein ganzes Botnetz verkrüppeln.

Andere

Zurück zu großen Social -Media -Websites zurückrufen[14] wie zum Beispiel GitHub,[15] Twitter,[16][17] Reddit,[18] Instagram,[19] das XMPP Open Source Instant Message Protocol[20] und Tor Versteckte Dienste[21] sind beliebte Möglichkeiten, um zu vermeiden Ausstiegsfilterung mit einem C & C -Server zu kommunizieren.[22]

Konstruktion

Traditionell

Dieses Beispiel zeigt, wie ein Botnetz für böswilligen Gewinn erstellt und verwendet wird.

  1. Ein Hacker kauft oder baut ein Trojaner und/oder Exploit -Kit ein und verwendet es, um die Computer von Benutzern zu infizieren, deren Nutzlast eine böswillige Anwendung ist - der Bot.
  2. Das Bot Weisen Sie den infizierten PC an, eine Verbindung zu einem bestimmten Befehl und Kontrollserver (C & C) herzustellen. (Dadurch kann der Botmaster Protokolle darüber aufbewahren, wie viele Bots aktiv und online sind.)
  3. Der Botmaster kann dann die Bots verwenden, um Tastenanschläge zu sammeln oder das Formular für Online -Anmeldeinformationen zu stehlen, und das Botnetz als DDOs und/oder Spam als Service ausmieten oder die Anmeldeinformationen online für einen Gewinn verkaufen.
  4. Abhängig von der Qualität und Fähigkeit der Bots wird der Wert erhöht oder verringert.

Neuere Bots können ihre Umgebung automatisch scannen und sich mit Schwachstellen und schwachen Passwörtern ausbreiten. Je mehr Schwachstellen ein Bot, desto mehr Schwachstellen wird umso wertvoller für eine Botnet -Controller -Community.[23]

Computer können in einem Botnetz kooptiert werden, wenn sie böswillige Software ausführen. Dies kann erreicht werden, indem Benutzer in die Herstellung von a locken Drive-by Download, Ausbeutung Webbrowser -Schwachstellen, oder indem man den Benutzer zum Ausführen von a betrügt Trojanisches Pferd Programm, das aus einem E -Mail -Anhang stammen kann. Diese Malware installiert normalerweise Module, mit denen der Computer vom Bediener des Botnetzes befohlen und gesteuert werden kann. Nachdem die Software heruntergeladen wurde, ruft sie zu Hause an (senden Sie eine Wiederverbindung Paket) auf den Host -Computer. Wenn die Neuverbindung durchgeführt wird, kann ein Trojaner je nach geschriebener Art und Weise sich selbst löschen oder anwesend bleiben, um die Module zu aktualisieren und zu verwalten.

Andere

In einigen Fällen kann ein Botnetz von Freiwilliger vorübergehend erstellt werden Hacktivisten, wie mit Implementierungen der Low -Orbit -Ionenkanone wie verwendet von 4chan Mitglieder während Project Chanology in 2010.[24]

Chinas Große Kanone Chinas ermöglicht die Änderung des legitimen Web -Browserverkehrs bei Internet -Backbones nach China, um ein großes kurzes Botnetz zu schaffen, um große Ziele anzugreifen, z. GitHub 2015.[25]

Gemeinsamkeiten

  • Die meisten Botnets verfügen derzeit über Verteilte Denial-of-Service-Angriffe in denen mehrere Systeme so viele Anfragen wie möglich an einen einzelnen Internetcomputer oder -dienst einreichen, überladen und verhindern, dass sie legitime Anfragen bedienen. Ein Beispiel ist ein Angriff auf den Server eines Opfers. Der Server des Opfers wird mit Anfragen von den Bots bombardiert, um eine Verbindung zum Server herzustellen und damit zu überladen.
  • Spyware ist Software, die Informationen über die Aktivitäten eines Benutzers an seine Ersteller sendet - normalerweise Passwörter, Kreditkartennummern und andere Informationen, die auf dem Schwarzmarkt verkauft werden können. Kompromente Maschinen, die sich in einem Unternehmensnetzwerk befinden, können für den Bot -Herder mehr wert sein, da sie häufig Zugang zu vertraulichen Unternehmensinformationen erhalten können. Mehrere gezielte Angriffe auf große Unternehmen zielten darauf ab, vertrauliche Informationen wie das Aurora -Botnet zu stehlen.[26]
  • E-Mail-Spam Werden E-Mail-Nachrichten als Nachrichten von Menschen getarnt, sind aber entweder Werbung, nervig oder böswillig.
  • Klicken Sie auf Betrug tritt auf, wenn der Computer des Benutzers Websites ohne das Bewusstsein des Benutzers besucht, um falschen Webverkehr für den persönlichen oder kommerziellen Gewinn zu erstellen.[27]
  • Anzeigenbetrug ist laut Cheq, AD Betrug 2019, oft eine Folge von böswilliger Bot -Aktivität, die wirtschaftlichen Kosten schlechter Akteure im Internet.[28] Zu den kommerziellen Zwecken der Bots zählen Influencer, die sie verwenden, um ihre angebliche Beliebtheit zu steigern, und Online -Verleger, die Bots verwenden, um die Anzahl der Klicks zu erhöhen, die eine Anzeige erhält, und es ermöglicht, Websites mehr Provision von Werbetreibenden zu erhalten.
  • Bitcoin Der Bergbau wurde in einigen der neueren Botnets verwendet, die Bitcoin -Mining als Funktion enthalten, um Gewinne für den Betreiber des Botnetzes zu erzielen.[29][30]
  • Selbstverbreitete Funktionen, um nach vorkonfiguriertem Befehl und Kontroll (CNC) -Prossenanweisungen zu suchen, enthält gezielte Geräte oder ein Netzwerk, um mehr Infektionen anzustreben, in mehreren Botnets entdeckt. Einige der Botnets verwenden diese Funktion, um ihre Infektionen zu automatisieren.

Markt

Die Botnet Controller-Community verfügt über einen konstanten und kontinuierlichen Kampf darüber, wer die meisten Bots, die höchste Gesamtbandbreite und die "hochwertigsten" infizierten Maschinen wie Universität, Unternehmen und sogar Regierungsmaschinen hat.[31]

Während Botnets häufig nach der Malware benannt sind, die sie erstellt hat, verwenden mehrere Botnets normalerweise dieselbe Malware, werden jedoch von verschiedenen Entitäten betrieben.[32]

Phishing

Botnets können für viele elektronische Betrügereien verwendet werden. Diese Botnets können verwendet werden, um Malware wie Viren zu verteilen, um die Kontrolle eines regulären Benutzer -Computers/einer regulären Benutzer -Software zu übernehmen[33] Durch die Kontrolle über den Personalcomputer eines Menschen hat er unbegrenzten Zugriff auf ihre persönlichen Daten, einschließlich Passwörtern und Anmeldeinformationen auf Konten. Das nennt man Phishing. Phishing ist das Erwerb von Anmeldeinformationen auf die Konten des "Opfers" mit einem Link, auf das das "Opfer" klickt, das über eine E -Mail oder einen Text gesendet wird.[34] Eine Umfrage von Verizon fanden heraus, dass etwa zwei Drittel elektronischer "Spionage" Fälle von Phishing stammen.[35]

Gegenmaßnahmen

Die geografische Ausbreitung von Botnets bedeutet, dass jeder Rekrut individuell identifiziert/korraliert/repariert werden muss und die Vorteile von begrenzt Filterung.

Computersicherheitsexperten haben es gelungen, Malware -Befehls- und Kontrollnetzwerke zu zerstören oder zu untergraben, unter anderem Server zu beschlagnahmen oder sie aus dem Internet abzuschneiden, den Zugriff auf Domänen zu verweigern, die von Malware verwendet werden sollen, um seine C & C -Infrastruktur zu kontaktieren, und in einigen Fällen in das C & C -Netzwerk selbst einbrechen.[36][37][38] Als Reaktion darauf haben C & C -Betreiber auf Techniken wie Überlagerung ihrer C & C -Netzwerke auf andere bestehende gutartige Infrastruktur wie z. IRC oder Tor, verwenden Peer-to-Peer-Netzwerk Systeme, die nicht von festen Servern abhängig sind und verwenden öffentliche Schlüsselverschlüsselung Versuche zu besiegen, in das Netzwerk einzubrechen oder zu fälschen.[39]

Norton Antibot richtete sich an Verbraucher, aber die meisten Zielunternehmen und/oder ISPs. Hostbasierte Techniken verwenden Heuristiken, um das Bot-Verhalten zu identifizieren, das konventionell umgangen hat Antiviren Software. Netzwerkbasierte Ansätze neigen dazu, die oben beschriebenen Techniken zu verwenden. Schalten Sie C & C-Server, Null-Routing-DNS-Einträge oder komplett ab. Beiteitige ist Software, entwickelt mit Unterstützung von der Forschungsbüro der US -ArmeeDies erfasst Botnetzaktivitäten innerhalb eines Netzwerks durch Analyse des Netzwerkverkehrs und des Vergleichs mit Mustern, die für böswillige Prozesse charakteristisch sind.

Forscher bei Sandia National Laboratories analysieren das Verhalten der Botnets, indem sie gleichzeitig eine Million Linux -Kernel ausführen - eine ähnliche Skala wie ein Botnetz - wie virtuelle Maschinen auf einer Hochleistungsstufe mit 4.480 Knoten Computercluster Um ein sehr großes Netzwerk zu emulieren und ihnen zu beobachten, wie Botnets funktionieren und mit Möglichkeiten experimentieren, um sie zu stoppen.[40]

Die Erkennung automatisierter Bot -Angriffe wird jeden Tag schwieriger, da neuere und anspruchsvollere Generationen von Bots von Angreifern eingeführt werden. Ein automatisierter Angriff kann beispielsweise eine große Bot-Armee bereitstellen und Brute-Force-Methoden mit hochgenauigen Benutzernamen- und Passwortlisten anwenden, um die Konten zu hacken. Die Idee ist, Websites mit Zehntausenden von Anfragen verschiedener IPs auf der ganzen Welt zu überwältigen, aber mit jedem Bot nur alle 10 Minuten eine einzelne Anfrage eingereicht, was zu mehr als 5 Millionen Versuchen pro Tag führen kann.[41] In diesen Fällen versuchen viele Tools, die volumetrische Erkennung zu nutzen, aber automatisierte Bot -Angriffe haben jetzt Möglichkeiten, Auslöser der volumetrischen Erkennung zu umgehen.

Eine der Techniken zum Erkennen dieser Bot-Angriffe ist das, was als "Signaturbasierte Systeme" bezeichnet wird, bei denen die Software versucht, Muster im Anforderungspaket zu erkennen. Angriffe entwickeln sich jedoch ständig weiter, sodass dies möglicherweise keine praktikable Option ist, wenn Muster nicht aus Tausenden von Anfragen erfasst werden können. Es gibt auch den Verhaltensansatz, um Bots zu vereiteln, der letztendlich versucht, Bots vom Menschen zu unterscheiden. Durch die Identifizierung von nichtmenschlichem Verhalten und Erkennen bekannter Bot-Verhalten kann dieser Prozess auf Benutzer-, Browser- und Netzwerkebene angewendet werden.

Die fähigste Methode zur Verwendung von Software zum Kampf gegen ein Virus war die Verwendung Honigtopf Software, um die Malware davon zu überzeugen, dass ein System anfällig ist. Die böswilligen Dateien werden dann mit einer forensischen Software analysiert.

Am 15. Juli 2014 veranstaltete der Unterausschuss für Kriminalität und Terrorismus des Justizausschusses, Senat der Vereinigten Staaten, eine Anhörung zu den Bedrohungen, die von Botnets ausgestattet waren, und die öffentlichen und privaten Bemühungen, sie zu stören und abzubauen.[42]

Nicht-malere Gebrauch

Nicht-malere Botnets, auch bekannt als als Freiwilligen Computing, wie der Teil von BOINC werden oft für wissenschaftliche Zwecke verwendet. Zum Beispiel gibt es Rosetta@Home, was vorhersagen will Protein -Protein -Docking und Gestaltung neuer Proteine; Lhc@home, was darauf abzielt, verschiedene Experimente in Bezug auf die zu simulieren Large Hadron Collider; Seti@home, was hilft, Daten im Zusammenhang mit der Suche nach der Suche nach Außerirdische Intelligenz und Einstein@home, die nach Signalen von drehenden Neutronensternen sucht. Diese Botnets sind freiwillig und erfordern die Zustimmung der Benutzer, einen Computer hinzuzufügen (und daher keine selbstverbreitende Fähigkeit zu haben) und ermöglicht viel einfacher aus dem Botnetz als ein böswilliger. Aufgrund des Bekanntes des Benutzers, des Mangels an selbstverbreiteten Fähigkeiten und weniger Schadensrisiken werden Computer in diesen Botnets oft nur als "Knoten" als "Zombies" bezeichnet. Diese Botnets bieten Forschern große Rechenfunktionen zu fast Nullkosten.[43]

Das Risiko eines unbeabsichtigten DDOS-Angriffs auf einer Website bleibt eine Möglichkeit, da ein schlechtes "teamed" -Botnetz zu viele, wenn nicht alle seiner Computer auf eine Website delegieren kann, zum Beispiel zum Sammeln von Daten. Weil die Knoten jedoch als gesendet werden wenig Anfragen wie möglich stellt das Botnetz häufig den Zugriff auf eine Website ein, wenn die Arbeit in dieser Website durchgeführt wird, wie die abgeschlossene Datenerfassung in diesem Fall. Keine neuen Knoten werden versuchen, eine Verbindung zur Website herzustellen, was dazu führt, dass sich der "Angriff" genauso plötzlich auflöst wie er. Die Einschränkung der Anfragen des Botnetzes selbst schwächt den "Angriff" weiter.

Historische Liste von Botnets

Das erste Botnetz wurde zuerst anerkannt und entlarvt von ERDLINK Während einer Klage mit dem berüchtigten Spammer Khan C. Smith[44] Im Jahr 2001 wurde das Botnetz zum Zwecke des Bulk -Spams errichtet und machte zu dieser Zeit fast 25% aller Spam aus.[45]

Um 2006, um die Erkennung zu vereiteln, wurden einige Botnets wieder in Größe.[46]

Datum erstellt Datum abgebaut Name Geschätzte Nr. von Bots Spam -Kapazität (BN/Tag) Aliase
1999 !a 999.999.999 100000 !a
2003 Maxit 500-1000 Server 0 Maxite XDCC Bot, Maxite IRC TCL -Skript, MaxServe
2004 (früh) Bagle 230.000[47] 5.7 Beagle, Mitglieder, Lodeight
Marina Botnetz 6.215.000[47] 92 Damon Brant, Bob.dc, Cotmonger, Hacktool.spammer, Kraken
Torpig 180.000[48] Sinowal, Anserin
Sturm 160.000[49] 3 Nuwar, Peacomm, Zhelatin
2006 (um) 2011 (März) Rustock 150.000[50] 30 Rkrustok, costrat
Donbot 125.000[51] 0,8 Buzus, Bachsoy
2007 (um) CutWail 1.500.000[52] 74 Pandex, Mutante (bezogen auf: Wigon, Pushdo)
2007 Akbot 1.300.000[53]
2007 (März) 2008 (November) Srizbi 450.000[54] 60 Cbeplay, Austauscher
Lethisch 260.000[47] 2 keiner
Xarvester 10.000[47] 0,15 Rlsloup, pixoliz
2008 (um) Salität 1.000.000[55] Sektor, Kuku
2008 (um) 2009-Dez Schmetterling 12.000.000[56]
2008 (November) Konficker 10.500.000+[57] 10 Downup, Downandup, Downadup, Kido
2008 (November) 2010 (März) Waledac 80.000[58] 1.5 Waled, Waledpak
Maazben 50.000[47] 0,5 Keiner
OneWordSub 40.000[59] 1.8
Gheg 30.000[47] 0,24 Tofsee, Mondera
Nucrypt 20.000[59] 5 Loosky, Lockksky
Wopla 20.000[59] 0,6 Pokier, slogger, kryptisch
2008 (um) ASProx 15.000[60] Danmec, Hydraflux
Spamthru 12.000[59] 0,35 Spam-dcomServ, Covesmer, Xmiler
2008 (um) Gumblar
2009 (Mai) November 2010 (nicht vollständig) Bredolab 30.000.000[61] 3.6 Oficla
2009 (um) 2012-07-19 Grum 560.000[62] 39.9 Tedroo
Mega-d 509.000[63] 10 Ozdok
Krake 495.000[64] 9 Kracken
2009 (August) Festi 250.000[65] 2.25 Spamnost
2010 (März) Vulcanbot
2010 (Januar) Towsec 11.000+[47] 0,5 Tiefsecurity, Freemoney, Ring0.Tools
2010 (um) Tdl4 4.500.000[66] TDSS, Alureon
Zeus 3.600.000 (nur USA)[67] Zbot, PRG, WSNPOEM, Gorhax, Kneber
2010 (Mehrere: 2011, 2012) Kelihos 300.000+ 4 Hlux
2011 oder früher 2015-02 Ramnit 3.000.000[68]
2012 (um) Chamäleon 120.000[69] Keiner
2016 (August) Mirai 380.000 Keiner
2014 Necurs 6.000.000
  • Forscher der University of California, Santa Barbara, übernahmen die Kontrolle über ein sechsmal kleineres Botnetz als erwartet. In einigen Ländern ist es üblich, dass Benutzer an einem Tag einige Male ihre IP -Adresse ändern. Die Schätzung der Größe des Botnetzes anhand der Anzahl der IP -Adressen wird häufig von Forschern verwendet, was möglicherweise zu ungenauen Bewertungen führt.[70]

Siehe auch

Verweise

  1. ^ "Thingbots: Die Zukunft der Botnets im Internet der Dinge". Sicherheitsintelligenz. 20. Februar 2016. Abgerufen 28. Juli 2017.
  2. ^ "Botnetz". Abgerufen 9. Juni 2016.
  3. ^ Ramneek, Puri (8. August 2003). "Bots &; Botnet: Eine Übersicht". Ohne Institut. Abgerufen 12. November 2013.
  4. ^ Putman, C. G. J.; Abhisch -a; Nieuwenhuis, L. J. M. (März 2018). "Geschäftsmodell eines Botnetzes". 2018 26. Euromicro International Conference für parallele, verteilte und netzwerkbasierte Verarbeitung (PDP): 441–445. Arxiv:1804.10848. Bibcode:2018ArXIV180410848p. doi:10.1109/pdp2018.2018.00077. ISBN 978-1-5386-4975-6. S2CID 13756969.
  5. ^ Danchev, Dancho (11. Oktober 2013). "Novice Cyberciminals bieten kommerziellen Zugang zu fünf Mini -Botnets". Webroot. Abgerufen 28. Juni 2015.
  6. ^ a b Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1. Januar 2007). Botnets. Burlington, Virginia: Syngress. S. 29–75. doi:10.1016/b978-159749135-8/50004-4. ISBN 9781597491358.
  7. ^ "Botnets: Definition, Typen, wie sie funktionieren". Crowdstrike. Abgerufen 18. April 2021.
  8. ^ a b c d Heron, Simon (1. April 2007). "Botnet -Befehls- und Steuertechniken". Netzwerksicherheit. 2007 (4): 13–16. doi:10.1016/s1353-4858 (07) 70045-4.
  9. ^ Wang, Ping (2010). "Peer-to-Peer-Botnets". In Stempel, Mark; Stavroulakis, Peter (Hrsg.). Handbuch der Informations- und Kommunikationssicherheit. Springer. ISBN 9783642041174.
  10. ^ C.Y. Cho, D. Babic, R. Shin und D. Lied. Inferenz und Analyse formaler Modelle von Botnet -Befehls- und Steuerungsprotokollen, 2010 ACM -Konferenz über Computer- und Kommunikationssicherheit.
  11. ^ Teresa Dixon Murray (28. September 2012). "Banken können Cyber ​​-Angriffe nicht verhindern, wie diejenigen, die diese Woche auf PNC, Key, US -Bank treffen.". Cleveland.com. Abgerufen 2. September 2014.
  12. ^ Arntz, Pieter (30. März 2016). "Die Fakten über Botnets". Malwarebytes Labs. Abgerufen 27. Mai 2017.
  13. ^ Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1. Januar 2007). Botnets. Burlington, Virginia: Syngress. S. 77–95. doi:10.1016/b978-159749135-8/50005-6. ISBN 978-159749135-8.
  14. ^ Zeltser, Lenny. "Wenn Bots soziale Medien für Befehl und Kontrolle verwenden". Zeltser.com.
  15. ^ Osborne, Charlie. "Hammertoss: Russische Hacker zielen auf die Cloud, Twitter, Github in Malware Spread" ab ". ZDNET. Abgerufen 7. Oktober 2017.
  16. ^ Singel, Ryan (13. August 2009). "Hacker verwenden Twitter, um das Botnetz zu steuern". Verdrahtet. Abgerufen 27. Mai 2017.
  17. ^ "Erstes Twitter-kontrolliertes Android-Botnet entdeckt". 24. August 2016. Abgerufen 27. Mai 2017.
  18. ^ Gallagher, Sean (3. Oktober 2014). "Reddit-betriebenes Botnetz infizierte Tausende von Macs weltweit". Ars Tecnica. Abgerufen 27. Mai 2017.
  19. ^ Cimpanu, Catalin (6. Juni 2017). "Russische Staatshacker verwenden Britney Spears Instagram -Posts, um Malware zu kontrollieren". Piepiercomputer. Abgerufen 8. Juni 2017.
  20. ^ Dorais-Joncas, Alexis (30. Januar 2013). "Gehen Sie durch Win32/Jabberbot.a Instant Messaging C & C". Abgerufen 27. Mai 2017.
  21. ^ Konstantin, Lucian (25. Juli 2013). "Cyberkriminelle nutzen das TOR -Netzwerk, um ihre Botnets zu steuern.". PC Welt. Abgerufen 27. Mai 2017.
  22. ^ "Cisco ASA Botnet -Verkehrsfilterhandbuch". Abgerufen 27. Mai 2017.
  23. ^ Angriff der Bots bei Verdrahtet
  24. ^ Norton, Quinn (1. Januar 2012). "Anonymous 101 Teil Deux: Moral Triumph über Lulz". Wired.com. Abgerufen 22. November 2013.
  25. ^ Peterson, Andrea (10. April 2015). "China setzt neue Waffen für die Online -Zensur in Form von 'Great Cannon' ein.". Die Washington Post. Abgerufen 10. April 2015.
  26. ^ "Operation Aurora - die Kommandostruktur". Damballa.com. Archiviert von das Original am 11. Juni 2010. Abgerufen 30. Juli 2010.
  27. ^ Edwards, Jim (27. November 2013). "So sieht es aus, wenn ein Klick-Frag-Botnetz Ihren Webbrowser heimlich steuert.". Abgerufen 27. Mai 2017.
  28. ^ https://www.ftc.gov/system/files/documents/reports/social-media-bots-advertising-ftc-report-cegress/socialmediabotsreport.pdf[Bare URL PDF]
  29. ^ Nichols, Shaun (24. Juni 2014). "Hast du ein Botnetz? Ich denke daran, es mit Bitcoin zu verwenden? Mach dir nicht darum," zu stören ". Abgerufen 27. Mai 2017.
  30. ^ "Bitcoin -Bergbau". Bitcoinmining.com. Archiviert vom Original am 30. April 2016. Abgerufen 30. April 2016.
  31. ^ "Trojanisches Pferd und Virus -FAQ". DSLReports. Abgerufen 7. April 2011.
  32. ^ Viele zu viele Botnetzbeziehungen Archiviert 4. März 2016 bei der Wayback -Maschine, Damballa, 8. Juni 2009.
  33. ^ "Verwendungen von Botnets | Das Honeynet -Projekt". www.honeynet.org. Archiviert von das Original am 20. März 2019. Abgerufen 24. März 2019.
  34. ^ "Was ist Phishing? - Definition von Whatis.com". Searchsecurity. Abgerufen 24. März 2019.
  35. ^ Aguilar, Mario (14. April 2015). "Die Anzahl der Menschen, die sich auf Phishing -E -Mails verlieben, ist erstaunlich". Gizmodo. Abgerufen 24. März 2019.
  36. ^ "Befehls- und Steuerinfrastruktur mit Verhaltensprofilern und Bot -Informanten erkennen und abbauen" und den Botnetz erfassen ".. Vhosts.eecs.umich.edu.
  37. ^ "Offenlegung: Erkennen von Botnet-Befehls- und Kontrollservern durch eine großflächige NetFlow-Analyse" (PDF). Jährliche Konferenz für Computersicherheitsanwendungen. ACM. Dezember 2012.
  38. ^ BOTSNIFFER: Botnet -Befehl und steuern Kanäle im Netzwerkverkehr. Verfahren des 15. jährlichen Netzwerks und des verteilten Systemsicherheitssymposiums. 2008. Citeseerx 10.1.1.110.8092.
  39. ^ "Irchelp.org - Privatsphäre auf IRC". www.irchelp.org. Abgerufen 21. November 2020.
  40. ^ "Forscher bauen Millionen Linux -Kernel, um Botnet -Forschung zu unterstützen". IT Security & Network Security News. 12. August 2009. Abgerufen 23. April 2011.[Permanent Dead Link]
  41. ^ "Brute-Force-Botnet-Angriffe entziehen sich jetzt der volumetrischen Erkennung". Darkreading von Informationswoche. 19. Dezember 2016. Abgerufen 14. November 2017.
  42. ^ Vereinigte Staaten. Kongress. Senat. Justizausschuss. Unterausschuss für Kriminalität und Terrorismus (2018). Botnets einnehmen: öffentliche und private Bemühungen, Cyberkriminelle Netzwerke zu stören und abzubauen: Anhörung vor dem Unterausschuss über Kriminalität und Terrorismus des Ausschusses für Justiz, Senat der Vereinigten Staaten, einhundert dreizehntes Kongress, zweite Sitzung, 15. Juli 2014. Washington, DC: Verlagsbüro der US -Regierung. Abgerufen 18. November 2018.
  43. ^ Kondo, D et al. "Kosten-Nutzen-Analyse von Cloud Computing im Vergleich zu Desktop-Gittern." 2009 IEEE International Symposium für parallele und verteilte Verarbeitung. IEEE, 2009. 1–12. Netz.
  44. ^ Credeur, Mary. "Atlanta Business Chronicle, Staff Writer". bizjournals.com. Abgerufen 22. Juli 2002.
  45. ^ Mary Jane Credeur (22. Juli 2002). "Earthlink gewinnt eine Klage in Höhe von 25 Millionen US-Dollar gegen Junk-E-Mailer". Abgerufen 10. Dezember 2018.
  46. ^ Paulson, L.D. (April 2006). "Hacker stärken bösartige Botnets, indem sie sie verkleinern". " (PDF). Computer; Nachrichtenblicken. IEEE Computer Society. 39 (4): 17–19. doi:10.1109/mc.2006.136. S2CID 10312905. Laut Mark Sunner, Chief Technology Officer von Messagelab, beträgt die durchschnittliche Botnetzgröße jetzt etwa 20.000 Computer, sagte er, sagte er, die Größe der BOT-Netzwerke.
  47. ^ a b c d e f g "Symantec.cloud | E -Mail -Sicherheit, Websicherheit, Endpunktschutz, Archivierung, Kontinuität, Sofortnachrichtensicherheit". Messagelabs.com. Archiviert von das Original am 18. November 2020. Abgerufen 30. Januar 2014.
  48. ^ Chuck Miller (5. Mai 2009). "Forscher entführen die Kontrolle des Torpig -Botnetzes". SC Magazine US. Archiviert von das Original am 24. Dezember 2007. Abgerufen 7. November 2011.
  49. ^ "Das Sturmwurm-Netzwerk schrumpft auf etwa ein Zehntel seiner früheren Größe". Tech.blorge.com. 21. Oktober 2007. archiviert von das Original am 24. Dezember 2007. Abgerufen 30. Juli 2010.
  50. ^ Chuck Miller (25. Juli 2008). "Das Rustock -Botnet spams wieder". SC Magazine US. Archiviert von das Original am 4. April 2016. Abgerufen 30. Juli 2010.
  51. ^ Stewart, Joe. "Spam -Botnets zu sehen im Jahr 2009". SecureWorks.com. SecureWorks. Abgerufen 9. März 2016.
  52. ^ "Pushdo Botnet - Neue DDOS -Angriffe auf wichtigen Websites - Harry Waldron - IT -Sicherheit". Msmvps.com. 2. Februar 2010. archiviert von das Original am 16. August 2010. Abgerufen 30. Juli 2010.
  53. ^ "Neuseeländischer Teenager, der beschuldigt wird, Botnetz von 1,3 Millionen Computern zu kontrollieren". Die H -Sicherheit. 30. November 2007. Abgerufen 12. November 2011.
  54. ^ "Technologie | Spam beim Aufstieg nach kurzer Aufschub". BBC News. 26. November 2008. Abgerufen 24. April 2010.
  55. ^ "Sality: Geschichte eines Peer-to-Peer-Virus-Netzwerks" (PDF). Symantec. 3. August 2011. Abgerufen 12. Januar 2012.
  56. ^ "Wie FBI, Polizei massives Botnetz verteilt hat". dadurch.co.uk. Abgerufen 3. März 2010.
  57. ^ "Berechnung der Größe des Ausbruchs des Downadups-F-Secure Weblog: Nachrichten aus dem Labor". F-secure.com. 16. Januar 2009. Abgerufen 24. April 2010.
  58. ^ "Waledac Botnet 'Decimated' von MS Takedown". Das Register. 16. März 2010. Abgerufen 23. April 2011.
  59. ^ a b c d Gregg Keiser (9. April 2008). "Top Botnets Control 1M Hijacked Computers". Computerwelt. Abgerufen 23. April 2011.
  60. ^ "Botnet Sics Zombie -Soldaten auf Gimpy -Websites". Das Register. 14. Mai 2008. Abgerufen 23. April 2011.
  61. ^ "Infosecurity (UK) - Bredolab Downed Botnet mit spamit.com verknüpft". .Canada.com. Archiviert von das Original am 11. Mai 2011. Abgerufen 10. November 2011.
  62. ^ "Forschung: kleine DIY -Botnets, die in Unternehmensnetzwerken vorherrschen". ZDNET. Abgerufen 30. Juli 2010.
  63. ^ Warner, Gary (2. Dezember 2010). "Oleg Nikolaenko, Mega-D-Botmaster, um Gericht zu stellen". Cyberkriminalität & Zeit machen. Abgerufen 6. Dezember 2010.
  64. ^ "Neues massives Botnetz doppelt so groß wie Sturm - Sicherheit/Umfang". Darkreading. 7. April 2008. Abgerufen 30. Juli 2010.
  65. ^ Kirk, Jeremy (16. August 2012). "Spamhaus erklärt Grum Botnet für tot, aber die Festiten stürmen". PC Welt.
  66. ^ "Cómo Detectar y Borrar El Rootkit TDL4 (TDSS/Alureon)". kasperskytienda.es. 3. Juli 2011. Abgerufen 11. Juli 2011.
  67. ^ "Amerikas 10 meistgesuchte Botnets". Networkworld.com. 22. Juli 2009. Abgerufen 10. November 2011.
  68. ^ "Die EU -Polizeibetrieb nimmt bösartiges Computernetzwerk ab". Phys.org.
  69. ^ "Entdeckt: Botnet Costing Display -Werbetreibende über sechs Millionen Dollar pro Monat". Spider.io. 19. März 2013. Abgerufen 21. März 2013.
  70. ^ Espiner, Tom (8. März 2011). "Botnetzgröße kann übertrieben sein, sagt Enisa | Sicherheitsbedrohungen | Zdnet UK". Zdnet.com. Abgerufen 10. November 2011.

Externe Links