Een van mijn favoriete cybersecurity-termen is 'botnet'. Het roept allerlei soorten beelden op: onderling verbonden robots, legio's van netwerkmedewerkers die gelijktijdig naar een enkel doel draaien. Grappig genoeg is het beeld dat het woord oproept vergelijkbaar met wat een botnet is - tenminste, in termen van rotondes.
Botnets zorgen voor een serieuze hoeveelheid rekenkracht over de hele wereld. En die kracht is regelmatig (misschien zelfs consequent) de bron van malware, ransomware, spam en meer. Maar hoe ontstaan botnets? Wie controleert ze? En hoe kunnen we ze stoppen?
Wat is een botnet?
De definitie van het SearchSecurity-botnet stelt dat "een botnet een verzameling internetgebonden apparaten is, waaronder mogelijk pc's, servers, mobiele apparaten en internet of things-apparaten die zijn geïnfecteerd en worden beheerd door een veelvoorkomende vorm van malware. Gebruikers zijn zich vaak niet bewust van een botnet dat hun systeem infecteert. "
De laatste zin van de definitie is de sleutel. Apparaten binnen een botnet zijn meestal niet gewillig aanwezig. Apparaten die zijn geïnfecteerd met bepaalde malwarevarianten worden beheerd door actoren op afstand, zoals cybercriminelen. De malware verbergt de kwaadwillende botnetactiviteiten op het apparaat waardoor de eigenaar zich niet bewust is van zijn rol in het netwerk. U zou duizenden advertenties kunnen sturen om tabletten toe te voegen - zonder een flauw idee.
Daarom verwijzen we vaak naar geïnfecteerde botnet-apparaten Is Your PC A Zombie? En wat is een zombiecomputer eigenlijk? [MakeUseOf Explains] Is jouw pc een zombie? En wat is een zombiecomputer eigenlijk? [MakeUseOf Explains] Heb je je ooit afgevraagd waar alle internet-spam vandaan komt? U ontvangt waarschijnlijk elke dag honderden spam-gefilterde ongewenste e-mails. Betekent dit dat er honderden en duizenden mensen zijn die daar zitten ... Lees meer als 'zombies'.
Wat doet een botnet?
Een botnet heeft verschillende algemene functies, afhankelijk van de wens van de botnetoperator:
- Spam: het verzenden van enorme hoeveelheden spam over de hele wereld. Het gemiddelde aandeel van spam in het wereldwijde e-mailverkeer tussen januari en september was bijvoorbeeld 56, 69 procent. Toen beveiligingsonderzoeksbureau FireEye de overgang van het beruchte Srizbi-botnet tijdelijk stopzette nadat de beruchte McColo-hosting offline ging, daalde de wereldwijde spam met een groot aantal (en in feite, toen het eindelijk offline ging, daalde de wereldwijde spam tijdelijk met ongeveer 50 procent).
- Malware: het leveren van malware en spyware aan kwetsbare machines. Botnetbronnen worden door malefactoren gekocht en verkocht om hun criminele bedrijven verder te helpen.
- Gegevens: wachtwoorden en andere privégegevens vastleggen. Dit sluit aan bij het bovenstaande.
- Klikfraude: een geïnfecteerd apparaat bezoekt websites om valse webmeldingen en advertentievertoningen te genereren.
- Bitcoin: Botnetcontrollers sturen geïnfecteerde apparaten naar de mijne Bitcoin en andere cryptocurrencies om stil winst te genereren.
- DDoS: Botnet-operators sturen de kracht van geïnfecteerde apparaten naar specifieke doelen, waardoor ze offline worden bij aanvallen met gedistribueerde denial-of-service.
Botnetbeheerders schakelen hun netwerken meestal naar een aantal van deze functies om winst te genereren. Zo hebben botnet-exploitanten die medische spam naar Amerikaanse burgers sturen, ook de apotheek die de goederen aflevert weg. (Oh ja, er zijn echte producten aan het einde van de e-mail.) De Spam-natie van Brian Krebs is hier een uitstekende kijk op.)
Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door Nu kopen bij Amazon $ 9, 31
De belangrijkste botnets zijn de afgelopen jaren enigszins van richting veranderd. Terwijl medische en andere soortgelijke soorten spam lange tijd extreem winstgevend waren, hebben de overheidsoptredens in verschillende landen de winst uitgehold. Als zodanig steeg het aantal e-mails met een kwaadaardige bijlage tot één op de 359 e-mails, volgens het Intelligence-rapport van juli 2017 van Symantec.
Hoe ziet een botnet eruit?
We weten dat een botnet een netwerk van geïnfecteerde computers is. De kerncomponenten en de werkelijke botnetarchitectuur zijn echter interessant om te overwegen.
architectuur
Er zijn twee belangrijke botnet-architecturen:
- Client-servermodel: een client-server-botnet maakt meestal gebruik van een chatclient (voorheen IRC, maar moderne botnets hebben gebruikgemaakt van Telegram en andere gecodeerde berichtenservices), domein of website om met het netwerk te communiceren. De operator stuurt een bericht naar de server en stuurt dit door naar clients, die het commando uitvoeren. Hoewel de botnetinfrastructuur verschilt van eenvoudig tot zeer complex, kan een geconcentreerde inspanning een client-server-botnet uitschakelen.
- Peer-to-peer: een peer-to-peer (P2P) -botnet probeert beveiligingsprogramma's en onderzoekers te stoppen met het identificeren van specifieke C2-servers door een gedecentraliseerd netwerk te maken. Een P2P-netwerk is geavanceerder 10 Netwerkvoorwaarden die u waarschijnlijk nooit hebt geweten, en wat ze betekenen 10 Netwerkvoorwaarden die u waarschijnlijk nooit hebt geweten, en wat ze betekenen Hier zullen we 10 algemene netwerktermen onderzoeken, wat zij betekenen en waar u waarschijnlijk zult tegenkomen hen. Meer lezen, in sommige opzichten dan een client-servermodel. Bovendien verschilt hun architectuur van hoe de meeste visie is. In plaats van een enkel netwerk van onderling verbonden geïnfecteerde apparaten die communiceren via IP-adressen, gebruiken operators het liefst zombie-apparaten die zijn verbonden met knooppunten, op hun beurt verbonden met elkaar en met de hoofdcommunicatieserver. Het idee is dat er gewoon te veel onderling verbonden maar afzonderlijke knooppunten zijn om tegelijkertijd te verwijderen.
Commando en controle
Commando- en Control (soms geschreven C & C of C2) protocollen zijn er in verschillende gedaanten:
- Telnet: Telnet-botnets zijn relatief eenvoudig en gebruiken een script om IP-bereiken te scannen voor standaard telnet- en SSH-serveraanmelding om kwetsbare apparaten toe te voegen om bots toe te voegen.
- IRC: IRC-netwerken bieden een communicatiemethode met uiterst lage bandbreedte voor het C2-protocol. De mogelijkheid om snel van kanaal te wisselen, biedt een extra beveiliging voor botnetoperators, maar betekent ook dat geïnfecteerde clients eenvoudig kunnen worden afgesneden van het botnet als ze geen bijgewerkte kanaalinformatie ontvangen. IRC-verkeer is relatief eenvoudig te onderzoeken en te isoleren, wat betekent dat veel operatoren afstand hebben genomen van deze methode.
- Domeinen: sommige grote botnets gebruiken domeinen in plaats van een berichtenclient voor besturing. Geïnfecteerde apparaten hebben toegang tot een specifiek domein dat een lijst met besturingsopdrachten biedt, waardoor wijzigingen en updates direct kunnen worden doorgevoerd. Het nadeel is de enorme bandbreedtevereisten voor grote botnets, evenals het relatieve gemak waarmee verdachte besturingsdomeinen worden uitgeschakeld. Sommige operatoren gebruiken zogenaamde bulletproof hosting om buiten de jurisdictie van landen met strikte internetwetgeving te opereren.
- P2P: een P2P-protocol implementeert meestal digitale ondertekening met behulp van asymmetrische codering (één publieke en één private sleutel). Dit betekent dat terwijl de operator de private sleutel vasthoudt, het uiterst moeilijk (in wezen onmogelijk) is voor iemand anders om verschillende commando's aan het botnet te geven. Evenzo maakt het ontbreken van een enkele gedefinieerde C2-server het aanvallen en vernietigen van een P2P-botnet moeilijker dan zijn tegenhangers.
- Anderen: in de loop van de jaren hebben we gezien dat botnetoperators een aantal interessante Command and Control-kanalen gebruikten. Degenen die direct in je geheugen opduiken, zijn sociale mediakanalen, zoals het Android Twitoor-botnet, beheerd via Twitter, of de Mac.Backdoor.iWorm die de Minecraft-serverlijst heeft gebruikt om de IP-adressen voor zijn netwerk op te halen. Instagram is ook niet veilig. In 2017 gebruikte Turla, een cyberspionagegroep met nauwe banden met Russische inlichtingendiensten, commentaren op Britney Spears Instagram-foto's om de locatie van een C2-server voor verspreiding van malware op te slaan.
zombies
Het laatste stukje van de botnet-puzzel zijn de geïnfecteerde apparaten (de zombies).
Botnetoperators scannen doelbewust naar kwetsbare apparaten en infecteren deze om hun werkende kracht uit te breiden. We hebben het belangrijkste gebruik van de botnet hierboven vermeld. Al deze functies vereisen rekenkracht. Bovendien zijn botnetoperators niet altijd vriendelijk tegen elkaar, waardoor de macht van hun geïnfecteerde machines op elkaar wordt overgezet.
De overgrote meerderheid van de eigenaren van zombie-apparaten zijn zich niet bewust van hun rol in het botnet. Soms is botnet-malware echter een conduit voor andere malwarevarianten.
Deze ESET-video geeft een mooie uitleg over hoe botnets uitbreiden:
Soorten apparaten
Genetwerkte apparaten komen verrassend snel online. En botnets zijn niet alleen op zoek naar een pc of Mac. Zoals u verderop in het volgende gedeelte meer zult lezen, zijn apparaten van Internet of Things net zo vatbaar (zo niet meer) op varianten van botnet-malware. Vooral als ze worden gezocht vanwege hun vreselijke veiligheid.
Als ik mijn ouders zou vertellen om hun gloednieuwe smart-tv terug te geven die ze te koop kregen omdat IOT erg onzeker is, ben ik dan een goede dochter of een slechte dochter?
Ik vroeg of het naar spraakopdrachten kon luisteren, ze zeiden ja; Ik maakte een knettergeluid. Ze zeiden dat we morgen zullen praten.- Tanya Janca (@shehackspurple) 28 december 2017
Smartphones en tablets zijn ook niet beveiligd. Android heeft de afgelopen jaren verschillende botnets gezien. Android is een eenvoudig doel Hoe komt malware naar uw smartphone? Hoe komt malware naar uw smartphone? Waarom willen leveranciers van malware uw smartphone infecteren met een geïnfecteerde app en hoe komt malware in de eerste plaats in een mobiele app? Lees meer: het is open source, heeft meerdere besturingssysteemversies en meerdere kwetsbaarheden tegelijkertijd. Verheug je niet zo snel, iOS-gebruikers. Er zijn een aantal malwarevarianten die mobiele apparaten van Apple targeten, hoewel ze meestal beperkt zijn tot gejailbreakte iPhones met beveiligingsproblemen.
Een ander kerndoel van het botnetapparaat is een kwetsbare router 10 Manieren waarop uw router niet zo veilig is als u denkt 10 manieren waarop uw router niet zo veilig is als u denkt Hier zijn 10 manieren waarop uw router kan worden uitgebuit door hackers en drive-by draadloze kapers . Lees verder . Routers met oude en onveilige firmware zijn gemakkelijke doelen voor botnets, en veel eigenaren zullen zich niet realiseren dat hun internetportaal een infectie bevat. Op dezelfde manier kan een gewoon enorme hoeveelheid internetgebruikers de standaardinstellingen van hun routers niet veranderen. 3 Standaardwachtwoorden die u moet wijzigen en waarom 3 standaardwachtwoorden die u moet wijzigen & waarom wachtwoorden ongemakkelijk zijn, maar noodzakelijk. Veel mensen hebben de neiging om waar mogelijk wachtwoorden te vermijden en gebruiken graag de standaardinstellingen of hetzelfde wachtwoord voor al hun accounts. Dit gedrag kan uw gegevens en ... Lees meer na de installatie. Net als IoT-apparaten kan malware zich verspreiden in een verbluffende snelheid, met weinig weerstand bij de infectie van duizenden apparaten.
Een botnet verwijderen
Het verwijderen van een botnet is om een aantal redenen geen gemakkelijke taak. Soms laat de botnetarchitectuur een operator toe om snel opnieuw op te bouwen. Op andere momenten is het botnet simpelweg te groot om in een keer neer te halen. Het merendeel van de botnet-verwijderingen vereisen coördinatie tussen beveiligingsonderzoekers, overheidsinstanties en andere hackers, soms afhankelijk van tips of onverwachte achterdeurtjes.
Een groot probleem voor beveiligingsonderzoekers is het relatieve gemak waarmee copycat-operators met dezelfde malware beginnen te werken.
GameOver Zeus
Ik ga het botnet van GameOver Zeus (GOZ) gebruiken als een takedown-voorbeeld. GOZ was een van de grootste recente botnets, waarvan gedacht werd dat het meer dan een miljoen geïnfecteerde apparaten op zijn hoogtepunt had. Het primaire gebruik van het botnet was gelddiefstal (distributie van de CryptoLocker ransomware A Geschiedenis van Ransomware: waar het begon en waar het naartoe gaat Een geschiedenis van Ransomware: waar het begon en waar het naartoe gaat Ransomware dateert uit het midden van de jaren 2000 en net als vele computerbeveiligingsbedreigingen, is ontstaan uit Rusland en Oost-Europa voordat het evolueerde om een steeds krachtigere bedreiging te worden. Maar wat betekent de toekomst voor ransomware? Lees meer) en spammail en, met behulp van een geavanceerd algoritme voor het genereren van peer-to-peer domein, bleek het niet te stoppen.
Een domein genererend algoritme laat het botnet toe om lange lijsten met domeinen voor te genereren voor gebruik als een "rendez-vouspunt" voor de botnet-malware. Meerdere rendez-vouspunten maken het stoppen van de spread bijna onmogelijk, omdat alleen de operatoren de lijst met domeinen kennen.
In 2014 dwong een team van beveiligingsonderzoekers, in samenwerking met de FBI en andere internationale instanties, GameOver Zeus uiteindelijk offline, in Operatie Tovar. Het was niet gemakkelijk. Na het registreren van domeinregistratiesequenties, registreerde het team ongeveer 150.000 domeinen in de zes maanden voorafgaand aan het begin van de operatie. Dit moest elke toekomstige domeinregistratie van de botnetoperatoren blokkeren.
Vervolgens gaven verschillende ISP's de operationele controle van GOZ's proxy-knooppunten, gebruikt door de botnetoperators om te communiceren tussen de commando- en controleservers en het eigenlijke botnet. Elliot Peterson, de leidende FBI-onderzoeker van Operatie Tovar, zei: "We konden de bots overtuigen dat we goed waren om mee te praten, maar alle leeftijdsgenoten en volmachten en supernodes gecontroleerd door de slechteriken waren slecht om mee te praten en moeten genegeerd worden."
Botnet-eigenaar Evgeniy Bogachev (online alias Slavik) besefte dat de takedown na één uur op zijn plaats was en probeerde nog vier of vijf uur terug te vechten voordat hij de nederlaag toejuichte.
In de nasleep slaagden de onderzoekers erin de beruchte CryptoLocker-ransomware-encryptie te kraken door gratis decryptietools voor slachtoffers te maken. CryptoLocker Is Dead: Hier kun je je bestanden terughalen! CryptoLocker Is Dead: Hier is hoe u uw bestanden terug kunt krijgen! Lees verder .
IoT-botnets zijn anders
De maatregelen om GameOver Zeus te bestrijden waren uitgebreid maar noodzakelijk. Het illustreert dat de enorme kracht van een slim ontworpen botnet een wereldwijde benadering van mitigatie vereist, die "innovatieve juridische en technische tactieken met traditionele wetshandhavingsinstrumenten" vereist, evenals "sterke werkrelaties met deskundigen uit de privésector en rechtshandhavingsdiensten in meer dan tien landen". landen over de hele wereld. "
Maar niet alle botnets zijn hetzelfde. Wanneer een botnet aan zijn einde komt, leert een andere operator van de vernietiging.
In 2016 was Mirai het grootste en slechtste botnet. Voordat het gedeeltelijk werd verwijderd, raakte het op internet gebaseerde Mirai-botnet verschillende prominente doelen. Waarom je cryptomunt niet zo veilig is als je denkt Waarom je cryptomunt niet zo veilig is als je denkt Bitcoin blijft nieuwe hoogtepunten halen. Cryptocurrency-nieuwkomer Ethereum dreigt te exploderen in zijn eigen bubbel. De interesse in blockchain, mijnbouw en cryptocurrency is op een historisch hoog niveau. Dus waarom worden cryptocurrency-enthousiastelingen bedreigd? Lees meer met duizelingwekkende DDoS-aanvallen. Een dergelijke aanval trof de blog van beveiligingsonderzoeker Brian Krebs met 620 Gbps en dwong uiteindelijk Krebs 'DDoS-bescherming om hem als een klant te laten vallen. Een volgende aanval in de volgende dagen trof de Franse cloud-hostingprovider OVH met 1, 2 Tbps in de grootste aanval ooit gezien. De afbeelding hieronder illustreert hoeveel landen Mirai heeft getroffen.
Hoewel Mirai niet eens in de buurt was van het grootste botnet ooit gezien, produceerde het de grootste aanvallen. Mirai heeft verwoestend gebruik gemaakt van de delen van belachelijk onveilige IoT-apparaten Is uw slimme huis in gevaar van beveiligingslekken in het internet van de dingen? Loopt uw slimme huis gevaar van beveiligingslekken in het internet van de dingen? Is het internet der dingen veilig? Dat zou je hopen, maar uit een recente studie is gebleken dat veiligheidsproblemen die enkele jaren geleden zijn gerezen, nog niet zijn aangepakt. Je slimme huis kan in gevaar zijn. Meer lezen, een lijst met 62 onveilige standaardwachtwoorden gebruiken om apparaten te vergaren (admin / admin stond bovenaan de lijst, ga naar figuur).
Beveiligingsonderzoeker Marcus Hutchins (ook bekend als MalwareTech) legt uit dat een deel van de reden voor de enorme macht van Mirai is dat de meeste IoT-apparaten daar zitten en niets doen totdat erom wordt gevraagd. Dat betekent dat ze bijna altijd online zijn en bijna altijd over netwerkbronnen beschikken om te delen. Een traditionele botnetoperator zou hun piekkrachtperiodes en tijdaanvallen dienovereenkomstig analyseren. IoT-botnets, niet zo veel.
Dus, als meer slecht geconfigureerde IoT-apparaten online komen, neemt de kans op uitbuiting toe.
Veilig blijven
We hebben geleerd wat een botnet doet, hoe ze groeien en meer. Maar hoe stop je dat je apparaat onderdeel wordt van een apparaat? Welnu, het eerste antwoord is eenvoudig: werk je systeem bij Hoe Windows 10 te repareren: Veelgestelde vragen voor beginners Hoe te repareren Windows 10: Veelgestelde vragen voor beginners Heb je hulp nodig met Windows 10? We beantwoorden de meest gestelde vragen over het gebruik en de configuratie van Windows 10. Meer lezen. Regelmatige updates patchen kwetsbare gaten in uw besturingssysteem en verminderen zo de mogelijkheden voor uitbuiting.
De tweede is het downloaden en bijwerken van een antivirusprogramma en een antimalware-programma. Er zijn tal van gratis antivirus-pakketten die uitstekende bescherming tegen lage impact bieden. Investeer in een antimalware-programma, zoals Malwarebytes De complete gids voor het verwijderen van malware De volledige gids voor het verwijderen van malware Malware is overal tegenwoordig en het uitbannen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Lees verder . Met een Malwarebytes Premium-abonnement betaalt u $ 24, 95 voor het hele jaar, waardoor u real-time bescherming tegen malware krijgt. Zeker de investering waard, naar mijn mening.
Pak ten slotte enige extra browserbeveiliging. Drive-by exploitkits zijn lastig, maar ze kunnen gemakkelijk worden vermeden als u een extensie gebruikt die scriptversies blokkeert, zoals uBlock Origin What Cryptojacking en How Can You Avoid It It? Wat is Cryptojacking en hoe kun je het vermijden? Een nieuwe veiligheidsdreiging is in de stad: cryptojacking, waarbij uw computer wordt gekaapt om Bitcoins te genereren. Maar hoe wijdverbreid is het en hoe kunt u voorkomen dat uw systeem op deze manier wordt ondermijnd? Lees verder .
Was uw computer onderdeel van een botnet? Hoe wist je dat? Heb je ontdekt welke infectie je apparaat gebruikte? Laat ons hieronder je ervaringen weten!