Ботнет

Сбор скомпрометированных подключенных к Интернету устройств, контролируемых третьей стороной

Диаграмма ботнета Stacheldraht , демонстрирующая атаку DDoS. (Обратите внимание, что это также пример клиент-серверной модели ботнета.)

Ботнет — это группа подключенных к Интернету устройств, каждое из которых запускает одного или нескольких ботов . Ботнеты могут использоваться для выполнения распределенных атак типа «отказ в обслуживании» (DDoS), кражи данных, ^[1] рассылки спама и предоставления злоумышленнику доступа к устройству и его подключению. Владелец может управлять ботнетом с помощью программного обеспечения для командования и управления (C&C). ^[2] Слово «ботнет» является гибридом слов « робот » и « сеть ». Этот термин обычно используется с негативным или вредоносным подтекстом.

Обзор

Ботнет — это логическая совокупность подключенных к Интернету устройств, таких как компьютеры, смартфоны или устройства Интернета вещей (IoT), безопасность которых была нарушена, а контроль передан третьей стороне. Каждое скомпрометированное устройство, известное как «бот», создается, когда в устройство проникает программное обеспечение из дистрибутива вредоносного ПО (вредоносного ПО). Контролер ботнета может направлять действия этих скомпрометированных компьютеров через каналы связи, образованные сетевыми протоколами на основе стандартов , такими как IRC и протокол передачи гипертекста (HTTP). ^{[3] [4]}

Киберпреступники все чаще сдают ботнеты в аренду в качестве товара для различных целей, ^[5] в том числе в качестве сервисов загрузки/стрессинга .

Архитектура

Архитектура ботнета со временем развивалась в попытке избежать обнаружения и прерывания работы. Традиционно бот-программы создаются как клиенты , которые взаимодействуют через существующие серверы. Это позволяет пастуху ботов (контроллеру ботнета) осуществлять все управление из удаленного местоположения, что скрывает трафик. ^[6] Многие недавние ботнеты теперь полагаются на существующие одноранговые сети для взаимодействия. Эти программы P2P-ботов выполняют те же действия, что и модель клиент-сервер, но им не требуется центральный сервер для взаимодействия.

Модель клиент-сервер

Сеть, основанная на модели клиент-сервер , где отдельные клиенты запрашивают услуги и ресурсы у централизованных серверов.

Первые ботнеты в Интернете использовали модель клиент-сервер для выполнения своих задач. ^[7] Обычно эти ботнеты работают через сети Internet Relay Chat , домены или веб-сайты . Зараженные клиенты получают доступ к заранее определенному местоположению и ждут входящих команд с сервера. Пастух ботов отправляет команды на сервер, который передает их клиентам. Клиенты выполняют команды и сообщают о результатах пастуху ботов.

В случае IRC-ботнетов зараженные клиенты подключаются к зараженному IRC- серверу и присоединяются к каналу, заранее назначенному для C&C пастухом ботов. Пастух ботов отправляет команды на канал через IRC-сервер. Каждый клиент получает команды и выполняет их. Клиенты отправляют сообщения обратно на IRC-канал с результатами своих действий. ^[6]

Пиринговый

Одноранговая (P2P) сеть, в которой взаимосвязанные узлы («одноранговые узлы») делятся ресурсами друг с другом без использования централизованной административной системы.

В ответ на попытки обнаружить и обезглавить IRC-ботнеты, ботоводы начали развертывать вредоносное ПО в одноранговых сетях. Эти боты могут использовать цифровые подписи, так что только тот, у кого есть доступ к закрытому ключу, может контролировать ботнет, ^[8] как в Gameover ZeuS и ботнете ZeroAccess .

Новые ботнеты полностью работают через P2P-сети. Вместо того, чтобы взаимодействовать с централизованным сервером, P2P-боты выполняют функции как сервера распределения команд, так и клиента, который получает команды. ^[9] Это позволяет избежать единой точки отказа, что является проблемой для централизованных ботнетов.

Чтобы найти другие зараженные машины, P2P-боты незаметно проверяют случайные IP-адреса , пока не обнаружат другую зараженную машину. Связанный бот отвечает информацией, такой как версия его программного обеспечения и список известных ботов. Если версия одного из ботов ниже, чем у другого, они инициируют передачу файла для обновления. ^[8] Таким образом, каждый бот увеличивает свой список зараженных машин и обновляет себя, периодически связываясь со всеми известными ботами.

Основные компоненты

Создатель ботнета (известный как « ботерхер » или «хозяин бота») управляет ботнетом удаленно. Это известно как командно-контрольный центр (C&C). Программа для операции должна связываться по скрытому каналу с клиентом на машине жертвы (зомби-компьютере).

Протоколы контроля

IRC — исторически предпочитаемое средство C&C из-за своего протокола связи . Погонщик ботов создает канал IRC, к которому могут присоединиться зараженные клиенты. Сообщения, отправляемые на канал, транслируются всем участникам канала. Погонщик ботов может задать тему канала, чтобы управлять ботнетом. Например, сообщение :[email protected] TOPIC #channel DDoS www.victim.comот погонщика ботов оповещает всех зараженных клиентов, принадлежащих к #channel, о начале DDoS-атаки на веб-сайт www.victim.com. Пример ответа :[email protected] PRIVMSG #channel I am DDoSing www.victim.comклиента-бота оповещает погонщика ботов о том, что он начал атаку. ^[8]

Некоторые ботнеты реализуют пользовательские версии известных протоколов. Различия в реализации могут использоваться для обнаружения ботнетов. Например, Mega-D имеет слегка измененную реализацию Simple Mail Transfer Protocol (SMTP) для тестирования возможностей спама. Отключение SMTP-сервера Mega-D отключает весь пул ботов, которые полагаются на тот же SMTP-сервер. ^[10]

Зомби-компьютер

В информатике зомби-компьютер — это компьютер, подключенный к Интернету, который был взломан хакером , компьютерным вирусом или троянским конем и может использоваться для выполнения вредоносных задач под удаленным управлением. Ботнеты зомби-компьютеров часто используются для распространения спама по электронной почте и запуска атак типа «отказ в обслуживании» (DDoS). Большинство владельцев зомби-компьютеров не знают, что их система используется таким образом. Поскольку владелец, как правило, не знает об этом, эти компьютеры метафорически сравнивают с зомби . Скоординированная DDoS-атака несколькими машинами ботнета также напоминает атаку орды зомби. ^[11]

Процесс кражи вычислительных ресурсов в результате присоединения системы к «ботнету» иногда называют «скрампингом». ^[12]

Правоохранительные органы мира, Министерство юстиции и ФБР, ликвидировали ботнет 911 S5, ответственный за кражу на сумму 5,9 млрд долларов и различные киберпреступления. Гражданину Китая ЮньХе Вану, обвиняемому в управлении ботнетом, грозит до 65 лет тюрьмы. Власти конфисковали активы на сумму 60 млн долларов, включая предметы роскоши и недвижимость. ^[13]

Командование и контроль

Протоколы управления и контроля ботнетов (C&C) были реализованы разными способами: от традиционных подходов IRC до более сложных версий.

Телнет

Telnet botnets используют простой протокол C&C botnet, в котором боты подключаются к главному командному серверу для размещения ботнета. Боты добавляются в ботнет с помощью скрипта сканирования , который запускается на внешнем сервере и сканирует диапазоны IP-адресов для входа на сервер telnet и SSH по умолчанию. После того, как вход найден, сканирующий сервер может заразить его через SSH вредоносным ПО, которое пингует сервер управления.

ИРЦ

Сети IRC используют простые методы связи с низкой пропускной способностью, что делает их широко используемыми для размещения ботнетов. Они, как правило, относительно просты в конструкции и использовались с умеренным успехом для координации DDoS-атак и спам-кампаний, при этом имея возможность постоянно переключать каналы, чтобы избежать отключения. Однако в некоторых случаях простая блокировка определенных ключевых слов оказалась эффективной для остановки ботнетов на основе IRC. Стандарт RFC 1459 ( IRC ) популярен среди ботнетов. Первый известный популярный скрипт контроллера ботнета, «MaXiTE Bot», использовал протокол IRC XDCC для частных команд управления.

Одна из проблем с использованием IRC заключается в том, что каждый клиент бота должен знать сервер IRC, порт и канал, чтобы быть полезным для ботнета. Организации по борьбе с вредоносным ПО могут обнаружить и отключить эти серверы и каналы, эффективно останавливая атаку ботнета. Если это происходит, клиенты все еще заражены, но они, как правило, находятся в состоянии покоя, поскольку у них нет возможности получать инструкции. ^[8] Чтобы смягчить эту проблему, ботнет может состоять из нескольких серверов или каналов. Если один из серверов или каналов отключается, ботнет просто переключается на другой. Все еще возможно обнаружить и нарушить работу дополнительных серверов или каналов ботнета, прослушивая трафик IRC. Противник ботнета может даже потенциально получить знания о схеме управления и имитировать пастуха ботов, правильно отдавая команды. ^[14]

P2P

Поскольку большинство ботнетов, использующих сети и домены IRC, со временем можно вывести из строя, хакеры перешли на P2P-ботнеты с C&C, чтобы сделать ботнет более устойчивым и защищенным от уничтожения.

Некоторые также использовали шифрование как способ защиты или блокировки ботнета от других; в большинстве случаев, когда они используют шифрование, это криптография с открытым ключом , и ее реализация и взлом сопряжены с трудностями.

Домены

Многие крупные ботнеты, как правило, используют домены, а не IRC в своей конструкции (см. ботнет Rustock и ботнет Srizbi ). Обычно они размещаются на защищенных хостинговых сервисах. Это один из самых ранних типов C&C. Зомби-компьютер получает доступ к специально разработанной веб-странице или домену(ам), которые обслуживают список управляющих команд. Преимущества использования веб-страниц или доменов в качестве C&C заключаются в том, что большой ботнет можно эффективно контролировать и поддерживать с помощью очень простого кода, который можно легко обновлять.

Недостатки использования этого метода в том, что он использует значительную часть полосы пропускания в больших масштабах, и домены могут быть быстро захвачены государственными органами без особых усилий. Если домены, контролирующие ботнеты, не захвачены, они также являются легкой целью для компрометации с помощью атак типа «отказ в обслуживании» .

Fast-flux DNS может использоваться для затруднения отслеживания серверов управления, которые могут меняться изо дня в день. Серверы управления могут также перескакивать с одного домена DNS на другой, при этом алгоритмы генерации доменов используются для создания новых имен DNS для серверов контроллеров.

Некоторые ботнеты используют бесплатные DNS- хостинги, такие как DynDns.org , No-IP.com и Afraid.org, чтобы направить поддомен на IRC-сервер, на котором размещаются боты. Хотя эти бесплатные DNS-сервисы сами по себе не размещают атаки, они предоставляют контрольные точки (часто жестко закодированные в исполняемом файле ботнета). Удаление таких сервисов может парализовать весь ботнет.

Другие

Обращение к популярным сайтам ^[15] , таким как GitHub , ^[16] Twitter , ^{[17] [18]} Reddit , ^[19] Instagram , ^[20] протоколу обмена мгновенными сообщениями с открытым исходным кодом XMPP ^[21] и скрытым сервисам Tor ^[22], является популярным способом обойти фильтрацию исходящего трафика для связи с сервером управления и контроля. ^[23]

Строительство

Традиционный

Этот пример иллюстрирует, как создается и используется ботнет в вредоносных целях.

1. Хакер приобретает или создает троян и/или набор эксплойтов и использует его для заражения компьютеров пользователей, полезной нагрузкой которого является вредоносное приложение — бот .
2. Бот дает команду зараженному ПК подключиться к определенному командно-контрольному серверу (C&C). (Это позволяет ботмастеру вести журналы того, сколько ботов активны и находятся в сети.)
3. Затем бот-мастер может использовать ботов для сбора нажатий клавиш или использовать захват форм для кражи учетных данных в Интернете, а также может сдавать ботнет в аренду для проведения DDoS-атак и/или рассылки спама или продавать учетные данные в Интернете с целью получения прибыли.
4. В зависимости от качества и возможностей ботов стоимость увеличивается или уменьшается.

Новые боты могут автоматически сканировать свою среду и распространяться, используя уязвимости и слабые пароли. Как правило, чем больше уязвимостей бот может сканировать и распространять, тем более ценным он становится для сообщества контроллеров ботнета. ^[24]

Компьютеры могут быть вовлечены в ботнет, когда они запускают вредоносное программное обеспечение. Это может быть достигнуто путем соблазнения пользователей на выполнение скрытой загрузки , использования уязвимостей веб-браузера или обмана пользователя на запуск программы- трояна , которая может быть получена из вложения электронной почты. Эта вредоносная программа обычно устанавливает модули, которые позволяют оператору ботнета управлять компьютером и контролировать его. После загрузки программного обеспечения оно звонит домой (отправляет пакет повторного подключения ) на хост-компьютер. Когда выполняется повторное подключение, в зависимости от того, как он написан, троян может затем удалить себя или остаться для обновления и обслуживания модулей.

Другие

В некоторых случаях ботнет может быть временно создан добровольцами -хактивистами , например, с помощью реализаций низкоорбитальной ионной пушки , использовавшейся участниками 4chan во время проекта Chanology в 2010 году. ^[25]

«Великая китайская пушка» позволяет изменять легитимный трафик веб-браузеров на интернет-магистралях в Китае, чтобы создать большую временную бот-сеть для атак на крупные цели, такие как GitHub в 2015 году. ^[26]

Распространенное использование

• Распределенные атаки типа «отказ в обслуживании» являются одним из наиболее распространенных видов использования ботнетов, в которых несколько систем отправляют как можно больше запросов на один интернет-компьютер или службу, перегружая его и не давая ему обслуживать законные запросы. Примером может служить атака на сервер жертвы. Сервер жертвы бомбардируется запросами ботов, которые пытаются подключиться к серверу, тем самым перегружая его. Король мошенничества Google Шуман Гошемаджумдер сказал, что подобные атаки, вызывающие сбои на крупных веб-сайтах, будут продолжать регулярно происходить из-за использования ботнетов в качестве услуги. ^[27]
• Шпионское ПО — это программное обеспечение, которое отправляет своим создателям информацию о действиях пользователя — обычно пароли, номера кредитных карт и другую информацию, которую можно продать на черном рынке. Скомпрометированные машины, расположенные в корпоративной сети, могут быть более ценными для ботовода, поскольку они часто могут получить доступ к конфиденциальной корпоративной информации. Несколько целевых атак на крупные корпорации, направленных на кражу конфиденциальной информации, такие как ботнет Aurora. ^[28]
• Спам в электронной почте — это электронные сообщения, замаскированные под сообщения от людей, но являющиеся либо рекламными, либо раздражающими, либо вредоносными.
• Мошенничество с кликами происходит, когда компьютер пользователя посещает веб-сайты без его ведома, чтобы создать ложный веб-трафик для личной или коммерческой выгоды. ^[29]
• По данным CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet, мошенничество с рекламой часто является следствием вредоносной активности ботов. ^[30] Коммерческие цели ботов включают использование их влиятельными лицами для повышения своей предполагаемой популярности, а также использование ботов онлайн-издателями для увеличения количества кликов по рекламе, что позволяет сайтам получать больше комиссионных от рекламодателей.
• Атаки с подстановкой учетных данных используют ботнеты для входа во многие учетные записи пользователей с помощью украденных паролей, как, например, при атаке на General Motors в 2022 году. ^[31]
• Майнинг биткоинов использовался в некоторых из последних ботнетов, которые включают майнинг биткоинов в качестве функции для получения прибыли оператором ботнета. ^{[32] [33]}
• Самораспространяющаяся функциональность, для поиска предварительно настроенных командно-контрольных (CNC) командных инструкций, содержащих целевые устройства или сеть, для нацеливания на большее заражение, также замечена в нескольких ботнетах. Некоторые из ботнетов используют эту функцию для автоматизации своих заражений.

Рынок

Сообщество контроллеров ботнетов постоянно конкурирует за то, у кого больше всего ботов, самая высокая общая пропускная способность и самые «качественные» зараженные машины, такие как университетские, корпоративные и даже правительственные машины. ^[34]

Хотя ботнеты часто называют в честь вредоносного ПО, которое их создало, несколько ботнетов обычно используют одно и то же вредоносное ПО, но управляются разными организациями. ^[35]

Фишинг

Ботнеты могут использоваться для многих электронных мошенничеств. Эти ботнеты могут использоваться для распространения вредоносного ПО, такого как вирусы, для захвата контроля над компьютером/программным обеспечением обычного пользователя ^[36] Взяв под контроль чей-то персональный компьютер, они получают неограниченный доступ к его личной информации, включая пароли и информацию для входа в учетные записи. Это называется фишингом . Фишинг — это получение информации для входа в учетные записи «жертвы» с помощью ссылки, по которой «жертва» нажимает, и которая отправляется по электронной почте или в текстовом сообщении. ^[37] Исследование Verizon показало, что около двух третей случаев электронного «шпионажа» происходят из-за фишинга. ^[38]

Контрмеры

Географическое распределение ботнетов означает, что каждого рекрута необходимо индивидуально идентифицировать/загонять/ремонтировать, что ограничивает преимущества фильтрации .

Эксперты по компьютерной безопасности преуспели в уничтожении или подрыве сетей управления и контроля вредоносного ПО, среди прочего, путем захвата серверов или их отключения от Интернета, отказа в доступе к доменам, которые должны были использоваться вредоносным ПО для связи с его инфраструктурой C&C, и, в некоторых случаях, путем взлома самой сети C&C. ^{[39] [40] [41]} В ответ на это операторы C&C прибегли к использованию таких методов, как наложение своих сетей C&C на другую существующую безвредную инфраструктуру, такую ​​как IRC или Tor , использование одноранговых сетевых систем, которые не зависят от каких-либо фиксированных серверов, и использование шифрования с открытым ключом для отражения попыток взлома или подделки сети. ^[42]

Norton AntiBot был нацелен на потребителей, но большинство нацелено на предприятия и/или интернет-провайдеров. Методы на основе хоста используют эвристику для определения поведения бота, которое обходит обычное антивирусное программное обеспечение . Сетевые подходы, как правило, используют описанные выше методы: отключение серверов C&C, нулевые маршрутные записи DNS или полное отключение серверов IRC. BotHunter — это программное обеспечение, разработанное при поддержке Исследовательского управления армии США , которое обнаруживает активность ботнетов в сети, анализируя сетевой трафик и сравнивая его с шаблонами, характерными для вредоносных процессов.

Исследователи из Sandia National Laboratories анализируют поведение ботнетов, одновременно запуская один миллион ядер Linux (аналогичный масштаб ботнета) в качестве виртуальных машин на высокопроизводительном компьютерном кластере из 4480 узлов для эмуляции очень большой сети, что позволяет им наблюдать за работой ботнетов и экспериментировать со способами их остановки. ^[43]

Обнаружение автоматизированных атак ботов становится все сложнее с каждым днем, поскольку злоумышленники запускают все новые и более сложные поколения ботов. Например, автоматизированная атака может развернуть большую армию ботов и применять методы грубой силы с высокоточными списками имен пользователей и паролей для взлома учетных записей. Идея состоит в том, чтобы перегрузить сайты десятками тысяч запросов с разных IP-адресов по всему миру, но при этом каждый бот отправляет только один запрос каждые 10 минут или около того, что может привести к более чем 5 миллионам попыток в день. ^[44] В этих случаях многие инструменты пытаются использовать объемное обнаружение, но автоматизированные атаки ботов теперь имеют способы обойти триггеры объемного обнаружения.

Одним из методов обнаружения этих атак ботов является то, что известно как «системы на основе сигнатур», в которых программное обеспечение будет пытаться обнаружить шаблоны в пакете запроса. Однако атаки постоянно развиваются, поэтому это может быть нежизнеспособным вариантом, когда шаблоны невозможно различить из тысяч запросов. Существует также поведенческий подход к противодействию ботам, который в конечном итоге пытается отличить ботов от людей. Выявляя нечеловеческое поведение и распознавая известное поведение бота, этот процесс может применяться на уровне пользователя, браузера и сети.

Наиболее эффективным методом использования программного обеспечения для борьбы с вирусом было использование программного обеспечения honeypot , чтобы убедить вредоносную программу в том, что система уязвима. Затем вредоносные файлы анализируются с помощью криминалистического программного обеспечения.

15 июля 2014 года Подкомитет по преступности и терроризму Комитета ^[45] по правосудию Сената США провел слушания по угрозам, создаваемым ботнетами, а также государственным и частным усилиям по их разрушению и демонтажу. ^[46]

Рост числа уязвимых устройств IoT привел к увеличению числа атак ботнетов на основе IoT. Для решения этой проблемы был представлен новый сетевой метод обнаружения аномалий для IoT под названием N-BaIoT. Он делает снимки поведения сети и использует глубокие автокодировщики для выявления аномального трафика со скомпрометированных устройств IoT. Метод был протестирован путем заражения девяти устройств IoT ботнетами Mirai и BASHLITE, что показало его способность точно и быстро обнаруживать атаки, исходящие со скомпрометированных устройств IoT в ботнете. ^[47]

Кроме того, сравнение различных способов обнаружения ботнетов действительно полезно для исследователей. Это помогает им увидеть, насколько хорошо работает каждый метод по сравнению с другими. Такое сравнение хорошо, потому что позволяет исследователям справедливо оценивать методы и находить способы сделать их лучше. ^[48]

Исторический список ботнетов

Первый ботнет был впервые признан и разоблачен EarthLink во время судебного процесса с известным спамером Ханом С. Смитом ^[49] в 2001 году. Ботнет был создан для массовой рассылки спама и на тот момент составлял почти 25% всего спама. ^[50]

Примерно в 2006 году, чтобы помешать обнаружению, некоторые ботнеты стали уменьшаться в размерах. ^[51]

• Исследователи из Калифорнийского университета в Санта-Барбаре взяли под контроль ботнет, который был в шесть раз меньше ожидаемого. В некоторых странах пользователи часто меняют свой IP-адрес несколько раз в день. Оценка размера ботнета по количеству IP-адресов часто используется исследователями, что может привести к неточным оценкам. ^[76]

Смотрите также

• Компьютерная безопасность
• Компьютерный червь
• Спамбот
• Хронология компьютерных вирусов и червей
• Расширенная постоянная угроза
• Добровольные вычисления

Ссылки

1. "Thingbots: Будущее ботнетов в Интернете вещей". Security Intelligence . 20 февраля 2016 г. Архивировано из оригинала 7 января 2023 г. Получено 28 июля 2017 г.
2. "botnet". Архивировано из оригинала 7 января 2023 г. Получено 9 июня 2016 г.
3. Ramneek, Puri (8 августа 2003 г.). «Боты и ботнеты: обзор». Институт SANS . Архивировано из оригинала 12 июля 2015 г. Получено 12 ноября 2013 г.
4. Putman, CGJ; Abhishta; Nieuwenhuis, LJM (март 2018 г.). «Бизнес-модель ботнета». 2018 26-я международная конференция Euromicro по параллельной, распределенной и сетевой обработке (PDP) . стр. 441–445. arXiv : 1804.10848 . Bibcode :2018arXiv180410848P. doi :10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. S2CID  13756969.
5. Данчев, Данчо (11 октября 2013 г.). «Новички-киберпреступники предлагают коммерческий доступ к пяти мини-ботнетам». Webroot . Архивировано из оригинала 1 июля 2015 г. Получено 28 июня 2015 г.
6. Шиллер, Крейг А.; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон, Вирджиния: Syngress. стр. 29–75. doi :10.1016/B978-159749135-8/50004-4. ISBN 9781597491358.
7. "Ботнеты: определение, типы, как они работают". Crowdstrike . Архивировано из оригинала 10 января 2023 г. Получено 18 апреля 2021 г.
8. Херон, Саймон (1 апреля 2007 г.). «Методы управления и контроля ботнетов». Сетевая безопасность . 2007 (4): 13–16. doi :10.1016/S1353-4858(07)70045-4.
9. Ван, Пинг (2010). «Пир-ту-пир ботнеты». В Stamp, Марк; Ставрулакис, Питер (ред.). Справочник по безопасности информации и связи . Springer. ISBN 9783642041174. Архивировано из оригинала 22 июня 2024 . Получено 28 июля 2016 .
10. Чо CY, Бабич D., Шин R. и Сонг D. Вывод и анализ формальных моделей протоколов управления и контроля ботнетов Архивировано 24 сентября 2016 г. на Wayback Machine , конференция ACM 2010 по компьютерной и коммуникационной безопасности.
11. Тереза ​​Диксон Мюррей (28 сентября 2012 г.). «Банки не могут предотвратить кибератаки, подобные тем, что обрушились на PNC, Key, US Bank на этой неделе». Cleveland.com. Архивировано из оригинала 25 июля 2015 г. Получено 2 сентября 2014 г.
12. Arntz, Pieter (30 марта 2016 г.). «Факты о ботнетах». Malwarebytes Labs . Архивировано из оригинала 17 июля 2017 г. Получено 27 мая 2017 г.
13. «США заявили, что один из крупнейших в мире ботнетов уничтожен». 25 мая 2024 г. Архивировано из оригинала 30 мая 2024 г. Получено 30 мая 2024 г.
14. Шиллер, Крейг А.; Бинкли, Джим; Харли, Дэвид; Эврон, Гади; Брэдли, Тони; Виллемс, Карстен; Кросс, Майкл (1 января 2007 г.). Ботнеты . Берлингтон, Вирджиния: Syngress. стр. 77–95. doi :10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8.
15. Зельцер, Ленни. «Когда боты используют социальные медиа для управления и контроля». zeltser.com . Архивировано из оригинала 7 октября 2017 г. Получено 27 мая 2017 г.
16. Осборн, Чарли. «Hammertoss: российские хакеры атакуют облако, Twitter, GitHub при распространении вредоносного ПО». ZDNet . Архивировано из оригинала 18 февраля 2017 г. Получено 7 октября 2017 г.
17. Singel, Ryan (13 августа 2009 г.). «Хакеры используют Twitter для управления ботнетом». Wired . Архивировано из оригинала 7 октября 2017 г. Получено 27 мая 2017 г.
18. "Обнаружен первый контролируемый Twitter ботнет Android". 24 августа 2016 г. Архивировано из оригинала 3 июля 2017 г. Получено 27 мая 2017 г.
19. Галлахер, Шон (3 октября 2014 г.). «Ботнет на базе Reddit заразил тысячи компьютеров Mac по всему миру». Ars Technica . Архивировано из оригинала 23 апреля 2017 г. Получено 27 мая 2017 г.
20. Cimpanu, Catalin (6 июня 2017 г.). «Российские государственные хакеры используют посты Бритни Спирс в Instagram для управления вредоносным ПО». Bleeping Computer . Архивировано из оригинала 8 июня 2017 г. Получено 8 июня 2017 г.
21. Дорайс-Жонкас, Алексис (30 января 2013 г.). «Прогулка по Win32/Jabberbot.C&C для обмена мгновенными сообщениями». Архивировано из оригинала 2 июня 2017 г. Получено 27 мая 2017 г.
22. Константин, Люциан (25 июля 2013 г.). «Киберпреступники используют сеть Tor для управления своими ботнетами». PC World . Архивировано из оригинала 3 августа 2017 г. Получено 27 мая 2017 г.
23. "Руководство по фильтрации трафика ботнетов Cisco ASA". Архивировано из оригинала 25 мая 2017 г. Получено 27 мая 2017 г.
24. Беринато, Скотт (ноябрь 2006 г.). «Атака ботов». Wired . Архивировано из оригинала 14 июля 2014 г.
25. Нортон, Куинн (1 января 2012 г.). «Anonymous 101 Part Deux: Morals Triumph Over Lulz». Wired.com. Архивировано из оригинала 2 февраля 2013 г. Получено 22 ноября 2013 г.
26. Петерсон, Андреа (10 апреля 2015 г.). «Китай применяет новое оружие для интернет-цензуры в виде «Великой пушки»». The Washington Post . Архивировано из оригинала 17 апреля 2015 г. Получено 10 апреля 2015 г.
27. «Вот почему массовые сбои в работе веб-сайтов будут продолжаться». Vox . 24 октября 2016 г. Архивировано из оригинала 10 октября 2022 г. Получено 31 июля 2022 г.
28. «Операция «Аврора» — структура командования». Damballa.com. Архивировано из оригинала 11 июня 2010 года . Получено 30 июля 2010 года .
29. Эдвардс, Джим (27 ноября 2013 г.). «Вот как это выглядит, когда ботнет для мошенничества с кликами тайно контролирует ваш веб-браузер». Архивировано из оригинала 23 июля 2017 г. Получено 27 мая 2017 г.
30. FTC. «Боты в социальных сетях и обманчивая реклама» (PDF) . Архивировано (PDF) из оригинала 22 июня 2024 г. . Получено 26 июля 2020 г. .
31. Берт, Джефф. «Атака с использованием учетных данных на GM раскрывает данные владельцев автомобилей». www.theregister.com . Архивировано из оригинала 31 июля 2022 г. . Получено 31 июля 2022 г. .
32. Николс, Шон (24 июня 2014 г.). «Есть ботнет? Думаете использовать его для майнинга биткоинов? Не беспокойтесь». Архивировано из оригинала 14 сентября 2017 г. Получено 27 мая 2017 г.
33. "Bitcoin Mining". BitcoinMining.com. Архивировано из оригинала 19 апреля 2016 года . Получено 30 апреля 2016 года .{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка )
34. "Trojan horse, and Virus FAQ". DSLReports. Архивировано из оригинала 20 октября 2012 года . Получено 7 апреля 2011 года .
35. Связи ботнетов «многие ко многим». Архивировано 4 марта 2016 г. на Wayback Machine , Дамбалла , 8 июня 2009 г.
36. "Использование ботнетов | Проект Honeynet". www.honeynet.org . Архивировано из оригинала 20 марта 2019 г. Получено 24 марта 2019 г.
37. "Что такое фишинг? - Определение с сайта WhatIs.com". SearchSecurity . Архивировано из оригинала 24 марта 2019 г. Получено 24 марта 2019 г.
38. Агилар, Марио (14 апреля 2015 г.). «Количество людей, попадающихся на фишинговые письма, ошеломляет». Gizmodo . Архивировано из оригинала 24 марта 2019 г. Получено 24 марта 2019 г.
39. «Обнаружение и демонтаж инфраструктуры управления и контроля ботнетов с использованием поведенческих профайлеров и информаторов ботов». vhosts.eecs.umich.edu .
40. "РАСКРЫТИЕ: Обнаружение серверов управления и контроля ботнетов с помощью крупномасштабного анализа NetFlow" (PDF) . Ежегодная конференция по приложениям компьютерной безопасности . ACM. Декабрь 2012 г. Архивировано (PDF) из оригинала 4 марта 2016 г. . Получено 16 июня 2017 г. .
41. BotSniffer: Обнаружение каналов управления и контроля ботнетов в сетевом трафике . Труды 15-го ежегодного симпозиума по безопасности сетей и распределенных систем. 2008. CiteSeerX 10.1.1.110.8092 . 
42. "IRCHelp.org – Конфиденциальность на IRC". www.irchelp.org . Архивировано из оригинала 22 июня 2024 . Получено 21 ноября 2020 .
43. «Исследователи загружают миллион ядер Linux, чтобы помочь исследованию ботнетов». Новости ИТ-безопасности и сетевой безопасности. 12 августа 2009 г. Получено 16 августа 2024 г.
44. «Атаки ботнетов методом грубой силы теперь не поддаются объемному обнаружению». DARKReading из Information Week . 19 декабря 2016 г. Архивировано из оригинала 14 ноября 2017 г. Получено 14 ноября 2017 г.
45. "Подкомитет по преступности и терроризму | Комитет Сената США по правосудию". www.judiciary.senate.gov . Архивировано из оригинала 11 декабря 2022 г. Получено 11 декабря 2022 г.
46. Соединенные Штаты. Конгресс. Сенат. Комитет по судебной системе. Подкомитет по преступности и терроризму (2018). Уничтожение ботнетов: государственные и частные усилия по прерыванию и ликвидации киберпреступных сетей: слушания перед подкомитетом по преступности и терроризму Комитета по судебной системе, Сенат Соединенных Штатов, Сто тринадцатый Конгресс, вторая сессия, 15 июля 2014 г. Вашингтон, округ Колумбия: Издательское бюро правительства США. Архивировано из оригинала 22 июня 2024 г. Получено 18 ноября 2018 г.
47. Мейдан, Яир (2018). «Обнаружение атак ботнетов IoT на основе N-BaIoT с использованием глубоких автокодировщиков». IEEE Pervasive Computing . 17 (3): 12–22. arXiv : 1805.03409 . doi : 10.1109/MPRV.2018.03367731. S2CID  13677639.
48. García, S.; Grill, M.; Stiborek, J.; Zunino, A. (1 сентября 2014 г.). «Эмпирическое сравнение методов обнаружения ботнетов». Computers & Security . 45 : 100–123. doi : 10.1016/j.cose.2014.05.011. hdl : 11336/6772 . ISSN  0167-4048. Архивировано из оригинала 9 декабря 2022 г. Получено 8 декабря 2023 г.
49. Кредер, Мэри. «Atlanta Business Chronicle, Staff Writer». bizjournals.com. Архивировано из оригинала 22 марта 2019 года . Получено 22 июля 2002 года .
50. Мэри Джейн Кредер (22 июля 2002 г.). «EarthLink выигрывает иск на 25 миллионов долларов против спамера». Архивировано из оригинала 23 марта 2019 г. Получено 10 декабря 2018 г.
51. Paulson, LD (апрель 2006 г.). «Хакеры усиливают вредоносные ботнеты, уменьшая их» (PDF) . Компьютер; News Briefs . 39 (4). IEEE Computer Society: 17–19. doi :10.1109/MC.2006.136. S2CID  10312905. Архивировано (PDF) из оригинала 12 ноября 2013 г. . Получено 12 ноября 2013 г. Размер бот-сетей достиг пика в середине 2004 г., при этом многие использовали более 100 000 зараженных машин, по словам Марка Саннера, главного технического директора MessageLabs. По его словам, средний размер ботнета сейчас составляет около 20 000 компьютеров.
52. "Symantec.cloud | Безопасность электронной почты, веб-безопасность, защита конечных точек, архивирование, непрерывность, безопасность мгновенных сообщений". Messagelabs.com. Архивировано из оригинала 18 ноября 2020 г. Получено 30 января 2014 г.
53. Чак Миллер (5 мая 2009 г.). «Исследователи захватывают контроль над ботнетом Torpig». SC Magazine US. Архивировано из оригинала 24 декабря 2007 г. Получено 7 ноября 2011 г.
54. "Сеть Storm Worm сократилась примерно до одной десятой от своего прежнего размера". Tech.Blorge.Com. 21 октября 2007 г. Архивировано из оригинала 24 декабря 2007 г. Получено 30 июля 2010 г.
55. Чак Миллер (25 июля 2008 г.). «Ботнет Rustock снова рассылает спам». SC Magazine US. Архивировано из оригинала 4 апреля 2016 г. Получено 30 июля 2010 г.
56. Стюарт, Джо (13 января 2009 г.). «Спам-ботнеты, за которыми стоит следить в 2009 году». Secureworks.com . SecureWorks. Архивировано из оригинала 5 марта 2016 г. . Получено 9 марта 2016 г. .
57. "Pushdo Botnet — Новые DDOS-атаки на крупные веб-сайты — Гарри Уолдрон — IT Security". Msmvps.com. 2 февраля 2010 г. Архивировано из оригинала 16 августа 2010 г. Получено 30 июля 2010 г.
58. "Новозеландский подросток обвиняется в управлении ботнетом из 1,3 миллиона компьютеров". The H security. 30 ноября 2007 г. Архивировано из оригинала 8 марта 2013 г. Получено 12 ноября 2011 г.
59. "Технологии | Спам растет после короткой передышки". BBC News . 26 ноября 2008 г. Архивировано из оригинала 22 мая 2010 г. Получено 24 апреля 2010 г.
60. "Sality: Story of a Peer-to-Peer Viral Network" (PDF) . Symantec. 3 августа 2011 г. Архивировано из оригинала (PDF) 24 сентября 2015 г. Получено 12 января 2012 г.
61. "Как ФБР и полиция раскрыли огромный ботнет". theregister.co.uk. Архивировано из оригинала 5 марта 2010 года . Получено 3 марта 2010 года .
62. "Новый огромный ботнет, вдвое больше Storm — Security/Perimeter". DarkReading. 7 апреля 2008 г. Архивировано из оригинала 11 июня 2016 г. Получено 30 июля 2010 г.
63. «Расчет размера вспышки Downadup — F-Secure Weblog: Новости из лаборатории». F-secure.com. 16 января 2009 г. Архивировано из оригинала 23 мая 2016 г. Получено 24 апреля 2010 г.
64. "Ботнет Waledac 'уничтожен' MS takedown". The Register. 16 марта 2010 г. Архивировано из оригинала 18 апреля 2011 г. Получено 23 апреля 2011 г.
65. Грегг Кайзер (9 апреля 2008 г.). «Топ-ботнеты контролируют 1 млн захваченных компьютеров». Computerworld. Архивировано из оригинала 13 августа 2014 г. Получено 23 апреля 2011 г.
66. "Ботнет sics zombie soldiers on gimpy websites". The Register. 14 мая 2008 г. Архивировано из оригинала 11 мая 2011 г. Получено 23 апреля 2011 г.
67. "Infosecurity (UK) - BredoLab уничтожил ботнет, связанный со Spamit.com". .canada.com. Архивировано из оригинала 11 мая 2011 г. Получено 10 ноября 2011 г.
68. "Исследование: небольшие самодельные ботнеты распространены в корпоративных сетях". ZDNet. Архивировано из оригинала 11 мая 2011 г. Получено 30 июля 2010 г.
69. Warner, Gary (2 декабря 2010 г.). «Олег Николаенко, Mega-D Botmaster предстанет перед судом». CyberCrime & Doing Time. Архивировано из оригинала 7 января 2016 г. Получено 6 декабря 2010 г.
70. Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет Grum Botnet мертвым, но Festi Surges». PC World . Архивировано из оригинала 1 июля 2015 г. Получено 11 марта 2016 г.
71. «Как обнаружить и блокировать руткит TDL4 (TDSS/Alureon)» . kasperskytienda.es. 3 июля 2011 года. Архивировано из оригинала 14 марта 2016 года . Проверено 11 июля 2011 г.
72. "10 самых разыскиваемых ботнетов Америки". Networkworld.com. 22 июля 2009 г. Архивировано из оригинала 22 июня 2024 г. Получено 10 ноября 2011 г.
73. "Операция полиции ЕС уничтожает вредоносную компьютерную сеть". phys.org . Архивировано из оригинала 7 октября 2019 г. . Получено 7 октября 2019 г. .
74. «Обнаружено: ботнет обходится рекламодателям дисплейной рекламы более чем в шесть миллионов долларов в месяц». Spider.io. 19 марта 2013 г. Архивировано из оригинала 9 июля 2017 г. Получено 21 марта 2013 г.
75. «Этот крошечный ботнет запускает самые мощные DDoS-атаки на сегодняшний день». ZDNet . Архивировано из оригинала 31 июля 2022 г. . Получено 31 июля 2022 г. .
76. Эспинер, Том (8 марта 2011 г.). «Размер ботнета может быть преувеличен, говорит Enisa | Угрозы безопасности». Zdnet.com. Архивировано из оригинала 23 октября 2012 г. Получено 10 ноября 2011 г.

Внешние ссылки

• Проект Honeynet и исследовательский альянс – «Знай своего врага: отслеживание ботнетов»
• Shadowserver Foundation – группа по наблюдению за безопасностью, состоящая из добровольцев, которая собирает, отслеживает и сообщает о вредоносных программах, активности ботнетов и электронном мошенничестве.
• EWeek.com – «Битва с ботнетами уже проиграна?»
• Разоблачение ботнета – «Владелец вредоносного ПО SpyEye признал себя виновным», ФБР