Ботнет (от англ. robot — робот и network — сеть) — сеть зараженных вредоносным ПО устройств, активностью которых удаленно управляют киберпреступники. Как правило, пользователь зараженного устройства не подозревает о его вредоносной активности, однако существуют хактивистские ботнеты, к которым можно подключаться добровольно. Обычно они возникают на время проведения хактивистской кампании, а затем распадаются.

Ботнеты иногда также называют армиями зомби или зомби-сетями. Зараженные устройства, соответственно, называются боты или зомби, а злоумышленник, управляющий ботнетом — ботмастер.

Структура ботнетов

Ботнеты могут состоять из любых подключенных к интернету устройств. Чаще всего в них входят:

Существуют две основных модели организации ботнета: клиент-серверная и одноранговая.

В рамках клиент-серверной модели каждым устройством в бот-сети управляет один или несколько командных серверовЕсли вывести эти серверы из строя, перестает работать весь ботнет.

При одноранговой модели (P2P) каждое устройство функционирует и как бот, и как сервер: все участники зомби-сети обмениваются информацией с другими ее участниками и координируют работу друг друга. Если одно или несколько устройств выходят из строя, ботнет в целом продолжает работать.

Создание и использование ботнетов

Чтобы сделать устройство частью ботнета и удаленно управлять им, злоумышленники устанавливают на него вредоносное программное обеспечение. Для заражения они могут, например, рассылать электронные письма со зловредом во вложении или ссылкой на него, эксплуатировать уязвимости в программном обеспечении устройств и т. д. Вредоносные программы, формирующие ботнеты, часто автоматически сканируют доступные по сети устройства на предмет уязвимостей и/или рассылают спам с собой для дальнейшего распространения.

Как правило, злоумышленники используют ботнеты в следующих целях:

  • Проведение DDos-атак.
  • Массовая рассылка спама.
  • Майнинг.
  • Накручивание кликов (кликфрод) или показов рекламы.
  • Кража денег или конфиденциальных данных.
  • Распространение нелегального (часто вредоносного) ПО.

Киберпреступники могут продавать ботнеты или сдавать их в аренду другим злоумышленникам по модели Malware-as-a-Service.

Известные ботнеты

К числу наиболее известных и опасных ботнетов относятся ZeuS, Emotet, Trickbot, Mirai, Necurs и другие. Примером хактивистского ботнета может послужить Low Orbit Ion Cannon, который группировка Anonymous использовала для атак на сайентологов.

Публикации на схожие темы