Ботнет. Техническое описание

Ботнет ( англ. botnet от robot и network) - это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами - автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, которая скрыто устанавливается на компьютере жертвы и позволяет злоумышленнику выполнять определенные действия с использованием ресурсов зараженного компьютера. Обычно используются противоправной деятельности - рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании, получение персональной информации о пользователях, кража номеров кредитных карт и паролей доступа.

Техническое описание

Привлечение компьютеров в ботнет

Компьютер может попасть в сеть ботнета путем установления определенного программного обеспечения, без ведома пользователя. Случается это обычно через:

• Инфицирование компьютера вирусом через уязвимость в ПО (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
• Неопытности или невнимательности пользователя - вредоносное ПО маскируется под "полезное программное обеспечение".
• Использование санционованого доступа к компьютеру (редко).
• Брут административного пароля к расшаренных ресурсов (например, до $ ADMIN, что позволяет удаленно выполнить программу) - преимущественно в локальных сетях.

Механизм маскировки

Механизм самозащиты аналогичный у большинства вирусов и руткитов, в частности:

• маскировка под системный процесс;
• подмена системных файлов для самомаскування;
• инжекция кода непосредственно в адресное пространство системного процесса или процесса эксплуатации
• перехвата системных вызовов для маскировки наличия в системе файлов ботнета и ссылок на него;
• перехват системных процедур работы с сетью для маскировки тарфику ботнета под трафик пользователя или системных утилит.
• использования полиморфного кода, что затрудняет сигнатурный анализ
• маскировка под полезное ПО (ускорители Интернет, загружаемые на диск онлайн-видео и-аудио и др.).

Механизм самозащиты

• создание препятствий нормальной работе антивирусного ПО
• перезагрузка компьютера и другие нарушения нормальной работы при попытке доступа к исполняемым файлам или ключей автозапуска, в которых прописаны файлы программы ботнета;

Механизм автозапуска

Для автозапуска чаще всего используются следующие технологии:

• использование нестандартных методов запуска (используются пути автозапуска от старого программного обеспечения, подмена наладчика процессов);
• использование двух процессов которые перезапускают друг друга, в случае снятия одного из этих процессов другой процесс снова его запустит;
• подмена системных файлов, которые автоматически загружаются операционной системой;
• регистрация в ключах автозапуска или в списке модулей расширения функциональности системы;

Механизм управления ботнетом

Ранее управление предполагало «ожидания» определенного набора по определенному порту, или участие в IRC -чате. При отсутствии команд программа «спит» ожидая команду владельца, возможно пытается саморазмножаться. При получении команды от «владельца» ботнета, начинает выполнять указанную команду. В ряде случаев по команде загружается исполняемый файл (таким образом, есть возможность «обновлять» программу и загружать модули которые добавляют функциональность).

Сейчас получили распространение ботнеты которые управляются через веб-сайт или по принципу p2p - сетей.