Ботнет (от англ. robot — робот и network — сеть) — сеть зараженных вредоносным ПО устройств, активностью которых удаленно управляют киберпреступники. Как правило, пользователь зараженного устройства не подозревает о его вредоносной активности, однако существуют хактивистские ботнеты, к которым можно подключаться добровольно. Обычно они возникают на время проведения хактивистской кампании, а затем распадаются.
Ботнеты иногда также называют армиями зомби или зомби-сетями. Зараженные устройства, соответственно, называются боты или зомби, а злоумышленник, управляющий ботнетом — ботмастер.
Структура ботнетов
Ботнеты могут состоять из любых подключенных к интернету устройств. Чаще всего в них входят:
- компьютеры;
- ноутбуки;
- телефоны;
- планшеты;
- IoT-устройства;
- серверы.
Существуют две основных модели организации ботнета: клиент-серверная и одноранговая.
В рамках клиент-серверной модели каждым устройством в бот-сети управляет один или несколько командных серверовЕсли вывести эти серверы из строя, перестает работать весь ботнет.
При одноранговой модели (P2P) каждое устройство функционирует и как бот, и как сервер: все участники зомби-сети обмениваются информацией с другими ее участниками и координируют работу друг друга. Если одно или несколько устройств выходят из строя, ботнет в целом продолжает работать.
Создание и использование ботнетов
Чтобы сделать устройство частью ботнета и удаленно управлять им, злоумышленники устанавливают на него вредоносное программное обеспечение. Для заражения они могут, например, рассылать электронные письма со зловредом во вложении или ссылкой на него, эксплуатировать уязвимости в программном обеспечении устройств и т. д. Вредоносные программы, формирующие ботнеты, часто автоматически сканируют доступные по сети устройства на предмет уязвимостей и/или рассылают спам с собой для дальнейшего распространения.
Как правило, злоумышленники используют ботнеты в следующих целях:
- Проведение DDos-атак.
- Массовая рассылка спама.
- Майнинг.
- Накручивание кликов (кликфрод) или показов рекламы.
- Кража денег или конфиденциальных данных.
- Распространение нелегального (часто вредоносного) ПО.
Киберпреступники могут продавать ботнеты или сдавать их в аренду другим злоумышленникам по модели Malware-as-a-Service.
Известные ботнеты
К числу наиболее известных и опасных ботнетов относятся ZeuS, Emotet, Trickbot, Mirai, Necurs и другие. Примером хактивистского ботнета может послужить Low Orbit Ion Cannon, который группировка Anonymous использовала для атак на сайентологов.