Et botnet (sammentrekning av det engelske "ro bot net ": "nettverk av roboter") er et nettverk av datamaskinbots , programmer koblet til Internett som kommuniserer med andre lignende programmer for å utføre bestemte oppgaver.
Historisk refererte botnet til IRC-botnett . Betydningen av botnet har utvidet til botnets av botnett , som brukes spesielt for gruvedrift kryptovaluta men også for skadelige formål , for eksempel å sende spam og datavirus , eller denial of service (DDoS) angrep.
På IRC er deres bruk å administrere diskusjonskanaler, eller å tilby brukerne forskjellige tjenester, for eksempel spill, statistikk på kanalen osv. Å være koblet til et nettverk lar dem gi hverandre status som kanaloperatør på en sikker måte, for effektivt å kontrollere flomangrep eller andre angrep . Deling av brukerlister, bannere og all slags informasjon gjør dem mer effektive.
Det er andre legitime bruksområder for botnett, for eksempel nettindeksering : datamengden som skal utforskes og nødvendig bruk av parallellisering krever bruk av botnettverk .
De første driftene dukket opp på IRC-nettverk: IRC botnett ( Eggdrop i desember 1993, deretter GTbot i april 1998) ble brukt under sammenstøt for å ta kontroll over kanalen.
I dag brukes dette begrepet ofte for å betegne et nettverk av botmaskiner , fordi IRC var et av de første måtene som ondsinnede nettverk brukte for å kommunisere med hverandre, ved å omdirigere den primære bruken av IRC. Den første av dem det ble referert til var W32 / Pretty.worm, også kalt PrettyPark, og målrettet mot 32-biters Windows-miljøer, og tok ideene til Eggdrop og GTbot. På den tiden ble de ikke ansett som veldig farlige, og det var først i 2002 at flere ondsinnede botnett (Agobot, SDBot og deretter SpyBot i 2003) fikk folk til å snakke om dem og at trusselen tok av. '
Enhver maskin som er koblet til Internett vil sannsynligvis være et mål for å bli en zombiemaskin : Windows-maskiner, som representerer de fleste forurensede maskiner, men også i mindre grad Linux, Apple-maskiner, til og med spillkonsoller eller enheter.
I 2007 vurderte Vint Cerf at en av fire datamaskiner var en del av et botnet.
Nylig har dette fenomenet utviklet seg på telefonterminaler av smarttelefon og spesielt på Android- operativsystemet der den kinesiske trojanen kalt "Geinimi" dukket opp i desember 2010.
Hovedkarakteristikken til botnett er samlingen av flere forskjellige maskiner, noen ganger veldig mange, noe som gjør den ønskede aktiviteten mer effektiv (siden vi har muligheten til å bruke mange ressurser), men også vanskeligere å stoppe.
Ondsinnede botnett brukes hovedsakelig til å:
Spam : for å sende flere e-poster.
DDoS : send flere angrep til en server for å få den til å slutte å fungere.
BruteForcing : Finne et passord raskere.
Økonomisk motivasjonDet økonomiske aspektet er av største betydning: størrelsen på botnet samt evnen til å bli lett kontrollert er elementer som bidrar til å tiltrekke seg kriminell aktivitet, både for eieren av botnet (noen ganger kalt en "plager" eller "botmaster") enn for brukere, som mesteparten av tiden leier tjenestene til et botnet for å utføre en bestemt oppgave (sending av spam, datamaskinaffekt, nektelse av tjeneste, informasjonstyveri, etc.). I april 2009 genererte et botnet på 1.900.000 maskiner som ble funnet av Finjian-selskapet en estimert inntekt på 190.000 dollar per dag for sine “botmastere”.
Ideologisk motivasjonBortsett fra det økonomiske aspektet, kan datamaskinaffekter bli et våpen for propaganda eller gjengjeldelse, spesielt under væpnede konflikter eller under symbolske hendelser. For eksempel, under konflikten mellom Russland og Georgia i 2008, ble det georgiske nettverket angrepet i flere former (for å gjøre det utilgjengelig eller for å beseire offisielle nettsteder). I 2007 skjedde også et stort angrep mot Estland : motivasjonen til piratene ville være fjerning av et monument som en hyllest til de russiske soldatene fra sentrum av den estiske hovedstaden. Tidlig i 2010 sies Vietnam å stå bak et botnet som er rettet mot å dempe politisk uenighet.
Personlig motivasjonHevn eller utpressing kan også være en del av motivasjonen til angriperne, uten at det økonomiske aspektet nødvendigvis er av største betydning: en dårlig betalt ansatt eller beseiret online spillere kan hevne seg på arbeidsgiveren eller vinneren av spillet.
Botnet består av personlige datamaskiner eller servere og består nå av smarttelefoner eller en hvilken som helst type tilkoblet objekt .
Et botnet har flere livsfaser. En modulær design gjør det mulig å administrere disse fasene med formidabel effektivitet, spesielt så snart den målrettede maskinen er kompromittert. Infeksjonsfasen er åpenbart alltid den første, men rekkefølgen til disse fasene er ikke alltid lineær, og avhenger av utformingen av botnet.
MaskininfeksjonDette er logisk nok den innledende fasen. Forurensning innebærer ofte installasjon av et primært programvareverktøy, som ikke nødvendigvis er det endelige verktøyet. Denne forurensningen av maskinen bruker de klassiske infeksjonsmekanismene:
Når programvaren er installert, kan den erklære maskinen til et kontrollsenter, som deretter vil betrakte den som aktiv . Dette er en av nøklene til botnet-konseptet, nemlig at den infiserte maskinen nå kan fjernstyres av en (eller flere) tredjepartsmaskiner. I noen tilfeller er andre faser nødvendige (selvbeskyttelse, oppdatering osv.) For å bytte til driftsfasen.
OppdaterNår maskinen er infisert og aktiveringen er utført, kan botnet oppdatere seg selv, endre selv, legge til funksjoner osv. Dette har betydelig innvirkning på botnettets farlighet, og på kontrollverktøyens evne til å stoppe det, fordi et botnet dermed kan endre sin virussignatur og andre egenskaper som kan føre til at det blir oppdaget og identifisert.
SelvforsvarOpprinnelig, eller etter en oppdateringsfase, vil botnet søke å gi seg midler til å fortsette sin handling så vel som skjulingsmidler. Dette kan omfatte:
Størrelsen på et botnet er både effektivitet og merverdi for sponsorene og brukerne av botnet. Det er derfor vanlig at zombie-maskinen etter installasjon søker å utvide botnet:
Når botnet er installert og erklært, kan zombiemaskinen følge ordrene som den får for å utføre handlingene som angriperen ønsker (med, om nødvendig, installasjon av tilleggsverktøy via en ekstern oppdatering):
Her er arbeidsprinsippet til et botnet som brukes til å sende e-post :
Det er ekstremt vanskelig å ha pålitelige og presise tall, siden de fleste botnett bare kan oppdages indirekte. Noen organisasjoner som shadowserver.org prøver å etablere tall fra nettverksaktivitet, oppdagelse av kommandosentre (C&C) osv.
Antall nettverk (botnett)Per februar 2010 ble det anslått at det var mellom 4000 og 5000 aktive botnett. Denne figuren bør betraktes som et lavt område, siden botnett blir stadig mer skjult og overvåking av hele internettnettverket er umulig.
NettverksstørrelseStørrelsen på et botnet varierer, men det blir vanlig at et nettverk består av tusenvis av zombiemaskiner . I 2008, under RSA-konferansen, inkluderte de 10 beste nettverkene 10.000 til 315.000 maskiner, med en e-postsendingskapasitet på 300 til 60 milliarder per dag (for Srizbi, det største botnet i dette landet). Datert).
På slutten av 2009 ga MessageLabs følgende topp 10:
Botnet navn | Antall maskiner | Kapasitet i post per minutt |
---|---|---|
Rustock | 540 000 til 810 000 | 14.000.000 |
Cutwail | 1.100.000 til 1.600.000 | 12 800 000 |
Bagle | 520 000 til 780 000 | 12.000.000 |
Bobax | 110.000 til 160.000 | 10.000.000 |
Grum | 580 000 til 860 000 | 6 800 000 |
Maazben | 240 000 til 360 000 | 1.5 millioner |
Festi | 140.000 til 220.000 | 900.000 |
Mega-D | 50.000 til 70.000 | 690 000 |
Xarvester | 20 000 til 36 000 | 615 000 |
Gheg | 50.000 til 70.000 | 300.000 |
I sin 2009-rapport estimerte MessageLabs også at 5 millioner maskiner var kompromittert i et spam- botnet-nettverk .
Selve konstitusjonen av et botnet, som noen ganger består av veldig mange maskiner, gjør sporbarheten av handlinger og kilder vanskelig. Jo større botnet, jo vanskeligere blir det også å stoppe og stoppe det, siden det er nødvendig både å stoppe spredningen av agentene som aktiverer botnet og å rydde opp i kompromitterte maskiner.
Eldre generasjoner stolte ofte på et sentralisert eller lett deaktiverende kontrollsenter ( fast IP-adresse eller domenenavn kan forbys, IRC-kanal kan lukkes osv.). Nå gir peer-to-peer en fleksibilitet i kommunikasjonssystemet, og de kaprede Web 2.0-funksjonene gjør avlytting veldig kompleks: botnet søker etter et nøkkelord på nettet og bruker det til å bestemme plasseringen til datasenteret. den må motta sine bestillinger.
Flere samordnede handlinger der Microsofts sikkerhetsavdeling var sterkt involvert, har gjort det mulig å demontere to store nettverk: Waledac og Rustock (operasjoner kalt henholdsvis b49 og b107). Per mars 2011 hadde Rustock rundt 1 million maskiner som genererte 47,5% av global spam (ifølge Symantec ), og kildekoden brukte 106 IP-adresser til kontrollen.
Vanlige maskinverntiltak (anti-virus, HIDS / HIPS, passord, brukerrettighetsadministrasjon, anti-spam, oppdateringshåndtering, etc.)