Bosh sahifa Wiki Botnet

Botnet

Botnet — zararli dastur orqali boshqaruv ostiga olingan kompyuter, server, telefon, router yoki IoT qurilmalar tarmog‘i. Botnet tarkibidagi zararlangan qurilmalar ko‘pincha bot, zombie yoki agent deb ataladi. Qurilma egasi uning tashqi buyruqlarni bajarayotganini bilmasligi mumkin.

Botnetlar katta miqdordagi hisoblash quvvati, tarmoq bandwidthi va turli IP manzillarini bitta operator nazoratida birlashtiradi. Shu sababli ular DDoS, spam, credential stuffing, zararli dastur tarqatish, reklama firibgarligi va boshqa noqonuniy faoliyatlarda ishlatilishi mumkin.

Botga aylanish jarayoni

Qurilma botnetga odatda zararli dastur o‘rnatilgandan keyin qo‘shiladi. Dastlabki kirish quyidagi yo‘llar orqali yuz berishi mumkin:

  • phishing xabari;
  • zararli attachment;
  • zaif web yoki network service;
  • standart parol;
  • pirat dastur;
  • noto‘g‘ri sozlangan IoT qurilma;
  • supply-chain hujumi;
  • boshqa malware tomonidan yuklash.

Zararli komponent ishga tushgach persistence yaratishi va boshqaruv infratuzilmasi bilan aloqa o‘rnatishi mumkin.

Command and Control

Botnet operatori qurilmalarga buyruq yuboradigan tizim Command and Control, qisqacha C2 deb ataladi. Bot C2 bilan davriy bog‘lanib:

  • yangi buyruq oladi;
  • natija yuboradi;
  • konfiguratsiyani yangilaydi;
  • yangi payload yuklaydi;
  • ishlayotganini bildiruvchi heartbeat yuboradi.

C2 kanali HTTP, HTTPS, DNS, messaging protokoli, peer-to-peer aloqa yoki maxsus binary protokol orqali ishlashi mumkin.

Markazlashgan arxitektura

Markazlashgan botnetda barcha botlar bitta yoki bir nechta markaziy serverga ulanadi. Bu modelni boshqarish oson:

Botlar → C2 server → Operator

Kamchiligi — C2 server aniqlansa yoki bloklansa botnetning katta qismi boshqaruvsiz qolishi mumkin. Shu sababli operatorlar domenlarni tez almashtirish, proxy va ko‘p serverli infratuzilmadan foydalanishi mumkin.

Peer-to-peer botnet

Peer-to-peer modelda botlar buyruqlarni bir-biridan olishi mumkin. Markaziy yagona C2 nuqtasi bo‘lmaydi.

Afzalligi:

  • bitta serverga qaram emas;
  • bloklash qiyinroq;
  • tarmoq o‘zini qisman tiklashi mumkin.

Kamchiligi — protocol va membership boshqaruvi murakkabroq. Himoya jamoalari zararli peerlar ro‘yxatini o‘rganib tarmoq tuzilishini aniqlashga harakat qiladi.

DDoS hujumlari

Botnetlar ko‘p qurilmadan bir vaqtda katta trafik yuborib service’ni ishdan chiqarishi mumkin. Hujum:

  • bandwidthni to‘ldirish;
  • connection limitini tugatish;
  • application endpointni band qilish;
  • DNS yoki boshqa infratuzilmani zo‘riqtirish

orqali bajariladi.

Har botning trafik hajmi kichik bo‘lsa ham minglab yoki millionlab qurilma umumiy katta oqim yaratadi.

Spam va phishing

Botnet email, SMS yoki ijtimoiy platformalarda katta hajmda xabar tarqatishi mumkin. Turli IP manzillaridan yuborish blacklist va rate limitni chetlab o‘tishga yordam beradi.

Zararlangan qurilma:

sifatida ishlatilishi mumkin.

Credential stuffing

O‘g‘irlangan login va parollar turli saytlarda avtomatik sinab ko‘riladi. Botnet ko‘p IP va qurilmadan foydalanib, bitta manbaga qo‘yilgan limitlarni chetlab o‘tishga urinadi.

Himoya uchun:

ishlatiladi.

IoT botnet

Router, kamera, DVR, sensor va smart qurilmalar botnet uchun qulay nishon bo‘lishi mumkin. Sabablar:

  • default credential;
  • uzoq vaqt patch qilinmaslik;
  • internetga ochiq service;
  • zaif firmware;
  • owner monitoringining kamligi.

IoT qurilma kichik CPUga ega bo‘lsa ham network traffic yuborish uchun yetarli bo‘lishi mumkin.

Fast-flux

Botnet zararli domenning IP manzillarini tez-tez o‘zgartirishi mumkin. Ko‘p zararlangan host proxy yoki relay vazifasini bajaradi.

Bu fast-flux usuli hostingning haqiqiy backendini yashirish va bloklashni qiyinlashtirish uchun ishlatiladi. DNS recordlar qisqa TTL bilan yangilanadi.

Domain Generation Algorithm

Ayrim botlar har kuni yoki har soatda ko‘plab ehtimoliy domen nomlarini hisoblaydi. Operator ulardan bittasini ro‘yxatdan o‘tkazib C2 sifatida ishlatadi.

Himoya tizimlari algoritmga o‘xshash domenlar, g‘ayrioddiy DNS so‘rovlari va yangi ro‘yxatdan o‘tgan domenlarni kuzatadi.

Belgilar

Botnetga qo‘shilgan qurilmada quyidagi alomatlar bo‘lishi mumkin:

  • noma’lum outbound trafik;
  • CPU yoki bandwidthning keskin oshishi;
  • yangi process yoki service;
  • g‘ayrioddiy DNS so‘rovlari;
  • security vositalarining o‘chishi;
  • ko‘p connection;
  • qurilmaning sekinlashishi;
  • noma’lum scheduled task.

Bitta belgi botnet mavjudligini to‘liq isbotlamaydi.

Aniqlash

Aniqlash vositalari:

Botlar odatiy HTTPS trafikiga o‘xshash aloqa qilishi mumkin, shu sababli faqat port bo‘yicha tekshirish yetarli emas.

Sinkhole

Himoya jamoalari zararli domen yoki protocol oqimini nazoratdagi serverga yo‘naltirishi mumkin. Bu sinkhole orqali:

  • botlar sonini baholash;
  • zararlangan IPlarni aniqlash;
  • C2 buyruqlarini to‘xtatish;
  • takedown jarayoniga yordam berish

mumkin.

Sinkhole huquqiy va operatsion nazorat ostida bajariladi.

Tozalash

Zararlangan qurilma:

  1. tarmoqdan ajratiladi;
  2. log va dalillar saqlanadi;
  3. zararli persistence aniqlanadi;
  4. firmware yoki operatsion tizim yangilanadi;
  5. zarur bo‘lsa ishonchli image’dan qayta o‘rnatiladi;
  6. credentiallar almashtiriladi;
  7. boshqa qurilmalar tekshiriladi.

Faqat C2 domenini bloklash qurilmadagi malware’ni olib tashlamaydi.

Botnet iqtisodiyoti

Botnet operatori infratuzilmani o‘zi ishlatishi yoki boshqa hujumchilarga vaqtincha ijaraga berishi mumkin. Xizmat sifatida taklif etilgan botnet DDoS, spam yoki credential sinovlarini arzonlashtiradi. Zararlangan qurilma egasi elektr, internet va hardware xarajatini bilmasdan qoplaydi. Shu sababli botnet bilan kurash faqat bitta malware faylini o‘chirish emas, uning tarqatish, C2, to‘lov va monetizatsiya zanjirini buzishni ham qamrab oladi.

Bog‘liq tushunchalar

Malware, Command and Control, Zombie, DDoS, IoT security, Fast-flux, Domain Generation Algorithm, Sinkhole, Credential stuffing, Network monitoring