Botnet — zararli dastur orqali boshqaruv ostiga olingan kompyuter, server, telefon, router yoki IoT qurilmalar tarmog‘i. Botnet tarkibidagi zararlangan qurilmalar ko‘pincha bot, zombie yoki agent deb ataladi. Qurilma egasi uning tashqi buyruqlarni bajarayotganini bilmasligi mumkin.
Botnetlar katta miqdordagi hisoblash quvvati, tarmoq bandwidthi va turli IP manzillarini bitta operator nazoratida birlashtiradi. Shu sababli ular DDoS, spam, credential stuffing, zararli dastur tarqatish, reklama firibgarligi va boshqa noqonuniy faoliyatlarda ishlatilishi mumkin.
Botga aylanish jarayoni
Qurilma botnetga odatda zararli dastur o‘rnatilgandan keyin qo‘shiladi. Dastlabki kirish quyidagi yo‘llar orqali yuz berishi mumkin:
- phishing xabari;
- zararli attachment;
- zaif web yoki network service;
- standart parol;
- pirat dastur;
- noto‘g‘ri sozlangan IoT qurilma;
- supply-chain hujumi;
- boshqa malware tomonidan yuklash.
Zararli komponent ishga tushgach persistence yaratishi va boshqaruv infratuzilmasi bilan aloqa o‘rnatishi mumkin.
Command and Control
Botnet operatori qurilmalarga buyruq yuboradigan tizim Command and Control, qisqacha C2 deb ataladi. Bot C2 bilan davriy bog‘lanib:
- yangi buyruq oladi;
- natija yuboradi;
- konfiguratsiyani yangilaydi;
- yangi payload yuklaydi;
- ishlayotganini bildiruvchi heartbeat yuboradi.
C2 kanali HTTP, HTTPS, DNS, messaging protokoli, peer-to-peer aloqa yoki maxsus binary protokol orqali ishlashi mumkin.
Markazlashgan arxitektura
Markazlashgan botnetda barcha botlar bitta yoki bir nechta markaziy serverga ulanadi. Bu modelni boshqarish oson:
Botlar → C2 server → Operator
Kamchiligi — C2 server aniqlansa yoki bloklansa botnetning katta qismi boshqaruvsiz qolishi mumkin. Shu sababli operatorlar domenlarni tez almashtirish, proxy va ko‘p serverli infratuzilmadan foydalanishi mumkin.
Peer-to-peer botnet
Peer-to-peer modelda botlar buyruqlarni bir-biridan olishi mumkin. Markaziy yagona C2 nuqtasi bo‘lmaydi.
Afzalligi:
- bitta serverga qaram emas;
- bloklash qiyinroq;
- tarmoq o‘zini qisman tiklashi mumkin.
Kamchiligi — protocol va membership boshqaruvi murakkabroq. Himoya jamoalari zararli peerlar ro‘yxatini o‘rganib tarmoq tuzilishini aniqlashga harakat qiladi.
DDoS hujumlari
Botnetlar ko‘p qurilmadan bir vaqtda katta trafik yuborib service’ni ishdan chiqarishi mumkin. Hujum:
- bandwidthni to‘ldirish;
- connection limitini tugatish;
- application endpointni band qilish;
- DNS yoki boshqa infratuzilmani zo‘riqtirish
orqali bajariladi.
Har botning trafik hajmi kichik bo‘lsa ham minglab yoki millionlab qurilma umumiy katta oqim yaratadi.
Spam va phishing
Botnet email, SMS yoki ijtimoiy platformalarda katta hajmda xabar tarqatishi mumkin. Turli IP manzillaridan yuborish blacklist va rate limitni chetlab o‘tishga yordam beradi.
Zararlangan qurilma:
sifatida ishlatilishi mumkin.
Credential stuffing
O‘g‘irlangan login va parollar turli saytlarda avtomatik sinab ko‘riladi. Botnet ko‘p IP va qurilmadan foydalanib, bitta manbaga qo‘yilgan limitlarni chetlab o‘tishga urinadi.
Himoya uchun:
- multifactor authentication;
- device va behavior tahlili;
- leaked password tekshiruvi;
- adaptive rate limiting;
- login anomaly monitoring
ishlatiladi.
IoT botnet
Router, kamera, DVR, sensor va smart qurilmalar botnet uchun qulay nishon bo‘lishi mumkin. Sabablar:
- default credential;
- uzoq vaqt patch qilinmaslik;
- internetga ochiq service;
- zaif firmware;
- owner monitoringining kamligi.
IoT qurilma kichik CPUga ega bo‘lsa ham network traffic yuborish uchun yetarli bo‘lishi mumkin.
Fast-flux
Botnet zararli domenning IP manzillarini tez-tez o‘zgartirishi mumkin. Ko‘p zararlangan host proxy yoki relay vazifasini bajaradi.
Bu fast-flux usuli hostingning haqiqiy backendini yashirish va bloklashni qiyinlashtirish uchun ishlatiladi. DNS recordlar qisqa TTL bilan yangilanadi.
Domain Generation Algorithm
Ayrim botlar har kuni yoki har soatda ko‘plab ehtimoliy domen nomlarini hisoblaydi. Operator ulardan bittasini ro‘yxatdan o‘tkazib C2 sifatida ishlatadi.
Himoya tizimlari algoritmga o‘xshash domenlar, g‘ayrioddiy DNS so‘rovlari va yangi ro‘yxatdan o‘tgan domenlarni kuzatadi.
Belgilar
Botnetga qo‘shilgan qurilmada quyidagi alomatlar bo‘lishi mumkin:
- noma’lum outbound trafik;
- CPU yoki bandwidthning keskin oshishi;
- yangi process yoki service;
- g‘ayrioddiy DNS so‘rovlari;
- security vositalarining o‘chishi;
- ko‘p connection;
- qurilmaning sekinlashishi;
- noma’lum scheduled task.
Bitta belgi botnet mavjudligini to‘liq isbotlamaydi.
Aniqlash
Aniqlash vositalari:
- endpoint detection;
- network flow tahlili;
- DNS monitoring;
- C2 indicatorlari;
- anomaly detection;
- threat intelligence;
- sinkhole ma’lumotlari;
- firmware va process auditi.
Botlar odatiy HTTPS trafikiga o‘xshash aloqa qilishi mumkin, shu sababli faqat port bo‘yicha tekshirish yetarli emas.
Sinkhole
Himoya jamoalari zararli domen yoki protocol oqimini nazoratdagi serverga yo‘naltirishi mumkin. Bu sinkhole orqali:
- botlar sonini baholash;
- zararlangan IPlarni aniqlash;
- C2 buyruqlarini to‘xtatish;
- takedown jarayoniga yordam berish
mumkin.
Sinkhole huquqiy va operatsion nazorat ostida bajariladi.
Tozalash
Zararlangan qurilma:
- tarmoqdan ajratiladi;
- log va dalillar saqlanadi;
- zararli persistence aniqlanadi;
- firmware yoki operatsion tizim yangilanadi;
- zarur bo‘lsa ishonchli image’dan qayta o‘rnatiladi;
- credentiallar almashtiriladi;
- boshqa qurilmalar tekshiriladi.
Faqat C2 domenini bloklash qurilmadagi malware’ni olib tashlamaydi.
Botnet iqtisodiyoti
Botnet operatori infratuzilmani o‘zi ishlatishi yoki boshqa hujumchilarga vaqtincha ijaraga berishi mumkin. Xizmat sifatida taklif etilgan botnet DDoS, spam yoki credential sinovlarini arzonlashtiradi. Zararlangan qurilma egasi elektr, internet va hardware xarajatini bilmasdan qoplaydi. Shu sababli botnet bilan kurash faqat bitta malware faylini o‘chirish emas, uning tarqatish, C2, to‘lov va monetizatsiya zanjirini buzishni ham qamrab oladi.
Bog‘liq tushunchalar
Malware, Command and Control, Zombie, DDoS, IoT security, Fast-flux, Domain Generation Algorithm, Sinkhole, Credential stuffing, Network monitoring