Mi is az a “botnet”?

Napjainkban egyre többször találkozunk a botnet fogalmával. Mivel egyre több embert érint, ideje közelebbről is megismerkednünk vele, hiszen enélkül védekezni sem tudunk ellene, a fertőzött gépek gazdái pedig nem is tudják, hogy kormányzati szervek weboldalainak megbénításában, kéretlen email-ek, vagy zsarolóvírusok terjesztésében vesznek részt.

A botnet olyan hálózatra kapcsolt gépek összessége, amelyek felett átvették az irányítást. Ezeket egész egyszerűen csak “botoknak”, vagy zombi gépeknek hívjuk. A ilyen számítógépeket többnyire valamilyen malware-rel fertőzik meg azért, hogy a távolból is irányítani lehessen őket. Vannak olyan botnetek is, amelyek több százezer – esetenként több millió – számítógépből (vagy újabban okostelefonokból) állnak.

A “bot” kifejezés a “robot” szóból ered és csakúgy mint a robotok, a szoftveres botok is lehetnek jók és rosszak is. Tehát az a szó önmagában, hogy “bot” nem mindig utal negatív tevékenységre, ám a legtöbb ember rögtön valamilyen malware-re gondol e kifejezés hallatán.

A botnetekről bővebben

Amikor a számítógépünk egy botnet része, akkor rendszerint malware-rel van megfertőzve. A bot ilyenkor vagy egy távoli szerverrel létesít kapcsolatot, vagy egész egyszerűen csak más, közeli botokkal lép kapcsolatba, majd ezt követően várja az utasításokat a hálózat irányítójától. Mindez pedig lehetővé teszi a támadó számára, hogy egyszerre több számítógép irányításával valósíthassa meg az általában nem túl “nemes” céljait.
A botnetekre kapcsolt számítógépek egyéb malware-ekkel is megfertőződhetnek, mint pl. olyan keyloggerekkel, amelyek először rögzítik a pénzügyi adatainkat, majd elküldik azokat egy távoli szervernek. Egy számítógép attól lesz egy botnet része, hogy a többi géppel együttesen válik irányíthatóvá. Miután a számítógépeket a hálózathoz kapcsolják, onnantól kezdve a botnetet létrehozók már szabadon dönthetnek arról, hogy mit tegyenek a botokkal – pl. arra utasíthatják a számítógépeket, hogy további malware-eket töltsenek le, vagy akár arra is, hogy bizonyos folyamatokat együttesen (egyfajta felhős szuperszámítógépként) végezzék el.

A botnet céljai

Előfordul, hogy a botnetek alkotói nem a saját céljaik megvalósítására szeretnék használni a hálózatot, hanem elsőként annyi számítógépet akarnak megfertőzni, amennyit csak lehet, azért, hogy ezt követően bérbe adhassák a botnetet, így a legtöbb malware-t manapság pusztán haszonszerzés céljából készítik.

 

how-a-botnet-works
A botnetek elég sokmindenre használhatók, ugyanis több százezer különálló számítógép egyszerre való műveletvégzését teszik lehetővé, egy botnet például használható arra is, hogy véghez lehessen vinni vele egy DDoS támadást egy adott webszerver ellen. Ilyenkor több százezer számítógép “bombázhat” egy weboldalt egy időben, ezzel túlterhelve és jelentősen lelassítva azt. Akár teljesen elérhetetlenné is tehetik azok számára, akik éppen használni szeretnék az adott oldalt.
Egy botnet ezen kívül levélszemét küldésére is kiváló lehet. E-mailek küldözgetése esetén ugyan nem kell túl sok befektetett energia, azonban némi számítási kapacitásra még így is szükség van. A spammereknek nem kell fizetniük a legitim eszközökért abban az esetben, ha botnetet használnak. A botnetek ún. “klikk fraud”-ra (“klikk-csalás”) is használhatóak, ilyenkor a hálózatra kapcsolt számítógépek a háttérben weboldalakat tölthetnek be, illetve rákattinthatnak a nevünkben az adott oldalhoz tartozó hirdetésekre is, így az adott oldal tulajdonosa pénzt csinálhat az így szerzett “kamu” klikkelésekből is.

Emellett a botnetek Bitcoin-bányászatra is használhatók. A legtöbb számítógép ma már önmagában nem tud nyereségesen Bitcoin-t bányászni, ugyanis a felhasznált áram ilyenkor többe kerül, mint maga a Bitcoinok értéke. A botnet tulajdonosát azonban az cseppet sem érdekli, ha az áldozatai nem győzik majd fizetni a villanyszámlát, neki így is meg lesz a haszna.

btc-botnet

A botnetek más malware-ek terjesztésére is használhatóak – a bot szoftvere lényegében úgy működik, mint egy trójai, azaz – miután bejut a rendszerbe – egyéb, kellemetlen dolgokat tölthet le a számítógépünkre. A botnetet irányítók pl. arra utasíthatják a botneten lévő számítógépeket, hogy további malware-eket töltsenek le, mint pl. keyloggereket, adwareket vagy épp olyan malware-eket, amelyek valamilyen fenyegetéssel próbálnak pénzt kicsikarni a felhasználóból (pl.: CryptoLocker). Ezek a dolgok tehát mind profitszerzési eszközként szolgálhatnak az adott botnet készítői (vagy bérlői) számára.
Az imént említett gyakorlatra helytálló példa lehet a Symantec tanulmánya a “ZeroAccess” nevű botnetről. A ZeroAccess hálózata összesen 1,9 millió “pénzcsináló” számítógépből állt 2013 szeptemberében, melyek mindegyike Bitcoin bányászattal és click fraudolással termelte a több tízmillió dolláros profitot az üzemeltetők számára. Eközben csak az áramfogyasztással közel napi hatszázezer dollár kárt okozott a fertőzött gépek gazdáinak. (infografika itt…)

A botnetek irányítása

A botnetek sokféleképpen irányíthatók. Vannak kezdetleges hálózatok, amiket könnyebb zátonyra futtatni, és vannak olyanok is, amik trükkösebbek, így ezeket nehezebb lekapcsolni is.
Egy botnet irányításának a legegyszerűbb módja az, amikor mindegyik botot egy távoli szerverhez kapcsoljuk. Például a botok előre megadott időközönként letölthetnek egy-egy fájlt a http://valami.com/bot oldalról, majd ezt követően a fertőzött számítógépek már az éppen letöltött fájlban lévő utasításokat fogják követni. Ebben az esetben általában egy C&C (Command and Control) szerverről van szó. A botokat úgy is irányíthatják, hogy azokat először hozzákapcsolják egy adott szerveren elhelyezett internetes csevegőprogramhoz (IRC), ezután a számítógépek pedig már az IRC-n keresztül várják az instrukciókat. Az olyan botneteket – amelyek ezt a technológiát használják – viszonylag könnyű leállítani. Ilyenkor meg kell figyelni, hogy mely webszerverekhez kapcsolódnak a botok, majd egész egyszerűen le kell állítani ezeket a szervereket. Ezután a botok nem tudnak majd kommunikálni a hálózat üzemeltetőivel.

cc
Néhány botnet akár szétosztott, peer-to-peer formában is kommunikálhat egymással. A botok ilyenkor mindig a közelükben lévő botokkal kommunikálnak. Ebben az esetben nincs központilag azonosítható pont, ahonnan a botok utasításokat kapnának. Ilyen pl. az a DHT hálózat is, amit a BitTorrent és egyéb peer-to-peer hálózati protokollok használnak. Ennek ellenére meg lehet támadni egy p2p hálózatot is úgy, hogy vagy hamis parancsokat adunk ki, vagy szétkapcsoljuk a botokat.

dc
Az utóbbi időben néhány botnet a Tor hálózaton keresztül kezdett el kommunikálni. Mivel a Tor az anonimitás megőrzésére szakosodott titkosított hálózat, így egy olyan botot elég nehezen lehet leállítani, amely ezen a hálózaton belül kapcsolódik egy tulajdonképpen teljesen rejtett szolgáltatáshoz. Elméletileg lehetetlen azonosítani egy ilyen “rejtett” szolgáltatás helyét, bár az olyan felderítő szervezetek, mint az amerikai NSA mindig tartogatnak valamit a tarsolyukban. Biztosan hallottatok már a Silk Road nevű online feketepiacról, ahonnan illegális drogokat lehetett beszerezni. Ennek az oldalnak a szerverét is a Tor egyik rejtett szolgáltatója üzemeltette, ezért volt nagyon nehéz lekapcsolni a szájtot, de végül 2014 októberében a hatóságoknak sikerült elfogniuk az alkotóját.

A botnetek tehát olyan – fertőzött számítógépekből álló – szervezett csoportosulások, melyeket a bűnözők a saját céljaik elérésének érdekében irányítanak, és ilyenkor általában a haszonszerzésen van a fő hangsúly.

Védekezés

Mivel a fertőzést “hagyományos” malware-ek terjesztik, azokhoz hasonlóan is védekezünk ellenük. Nincs külön “botnet-írtó” szoftver, a vírusirtónk dolga kiszűrni azokat a rosszindulatú alkalmazásokat, amik megpróbálják rabigába hajtani a rendszerünket. Az áldozatul eső gépek általában elavult rendszert, vírusirtót, vagy egyéb sebezhető szoftvereket futtatnak, tehát tanuljunk a hibájukból és tartsuk naprakészen programjainkat, kerüljük a megbízhatatlan forrásból származó szoftvereket és ne klikkeljünk meggondolatlanul az email-ekkel érkező csatolt fájlokra! Kis odafigyeléssel és naprakész vírusvédelemmel biztonságban tudhatjuk a gépünket.

4 hozzászólás érkezett ehhez a poszthoz

  1. Profile photo of PARADOXON

    Sziasztok !
    Jó az cikk .
    Védekezéshez jó bármelyik 2 irányú tűzfal ami jelszóval védhető + eleve blokkolja a kimenő kapcsolatot.
    Tehát csak úgy tudsz bármilyen szabályt érvényesíteni ha megadod a jelszavad 🙂
    Ez 2 okból jó :
    1, Nincs semmilyen program ami ” automata ” módon hozzá adja magát tűzfalhoz..
    2, Riasztásnál látod mi akar hová menni 🙂 /+ ezek a programok nem tartalmaznak jelszó törő összetevőt eddigi tapasztalataim alapján/, így nem is tudnak mit csinálni ha esetleg telepítetted őket pl más programba ágyazva.
    Erre van ingyenes ” egyszerű alternatíva is ” :

    Tetszik (2)
  2. Profile photo of Peter17

    Én a Deep Freeze szoftvert használom. Minden újraindítás után visszaáll a gépem az eredeti, frissen felinstallált állapotába. Így nem kell vírusoktól rettegnem, és nem kell adatszemét miatt különféle karbantartó szoftvereket használnom, amelyek csak tönkrevágják a gépet.
    A letöltéseknél megtaláljátok, pár hete feltettem.

    Tetszik (1)

Szólj hozzá a cikkhez