Botnet

Botnet (ing. Botnet, "robot" və "network" (şəbəkə) sözlərindən) − istifadəçinin xəbəri olmadan kompüteri məsafədən idarə etməyə imkan verən ziyankar proqramlarla^[1] − botlarla yoluxmuş kompüterlərdən ibarət şəbəkə.

DDoS hücumunu göstərən Stacheldraht botnet diaqramı. (Qeyd edək ki, bu, həm də botnetin müştəri-server modelinin bir növüdür.)

Bot istifadəçinin kompüterində gizli quraşdırılan və bəd niyyətli şəxsin yoluxmuş kompüterin resurslarından istifadə etməklə müəyyən əməlləri yerinə yetirməsinə imkan verən proqramdır.^[2]

Botnetlər adətən spam göndərilməsi, konfidensial informasiyanın toplanması, xidmətdən imtina hücumları (Dos-hücum), fişinq və s. üçün istifadə edilir.^[3]

Ümumi görünüş

 

Fərdi müştərilərin mərkəzləşdirilmiş serverlərdən xidmət və resurslar tələb etdiyi müştəri-server modelinə əsaslanan şəbəkə

Botnet, təhlükəsizliyi pozulmuş və nəzarəti üçüncü tərəfə verilmiş kompüterlər, smartfonlar və ya əşyaların interneti (IoT) cihazları kimi İnternetə qoşulmuş cihazların məntiqi toplusudur. "bot" kimi tanınan hər bir təhlükəyə məruz qalmış cihaz, zərərli proqram (malicious software) paylanmasından proqram təminatı tərəfindən cihaza daxil olduqda yaradılır. Botnetin nəzarətçisi IRC və Hypertext Transfer Protocol (HTTP) kimi standartlara əsaslanan şəbəkə protokolları ilə yaradılmış rabitə kanalları vasitəsilə bu təhlükəyə məruz qalmış kompüterlərin fəaliyyətini idarə edə bilir.^[4][5]

Botnetlər kibercinayətkarlar tərəfindən getdikcə daha çox müxtəlif məqsədlər üçün əmtəə kimi icarəyə verilir.^[6]

Arxitektura

Botnet arxitekturası zaman keçdikcə aşkarlanma və pozulmalardan yayınmaq üçün təkamül etmişdir. Ənənəvi olaraq, bot proqramları mövcud serverlər vasitəsilə əlaqə saxlayan müştərilər kimi qurulur. Bu, bot herder-inə (bot çobanı; botnetin nəzarətçisi) bütün nəzarəti uzaq bir yerdən həyata keçirməyə imkan verir ki, bu da trafiki qarışdırır. Bir çox yeni botnetlər indi ünsiyyət üçün mövcud peer-to-peer şəbəkələrinə etibar edirlər. Bu P2P bot proqramları klient-server modeli ilə eyni hərəkətləri yerinə yetirir, lakin ünsiyyət üçün mərkəzi server tələb etmir.^[7]

Müştəri-server modeli

İnternetdəki ilk botnetlər öz vəzifələrini yerinə yetirmək üçün müştəri-server modelindən istifadə edirdilər.^[8] Tipik olaraq, bu botnetlər Internet Relay Chat şəbəkələri, domenlər və ya vebsaytlar vasitəsilə fəaliyyət göstərir. Yoluxmuş müştərilər əvvəlcədən müəyyən edilmiş yerə daxil olur və serverdən gələn əmrləri gözləyirlər. Bot çobanı əmrləri serverə göndərir, bu da onları müştərilərə ötürür. Müştərilər əmrləri yerinə yetirir və nəticələrini bot çobanına bildirirlər.

IRC botnetləri vəziyyətində, yoluxmuş müştərilər yoluxmuş IRC serverinə qoşulur və bot çobanı tərəfindən C&C üçün əvvəlcədən təyin edilmiş kanala qoşulur. Bot çobanı IRC serveri vasitəsilə kanala əmrlər göndərir. Hər bir müştəri əmrləri alır və onları yerinə yetirir. Müştərilər hərəkətlərinin nəticələri ilə IRC kanalına geri mesaj göndərirlər.^[7]

Peer-to-peer

IRC botnetlərinin aşkarlanması və silinməsi səylərinə cavab olaraq, bot çobanları peer-to-peer şəbəkələrində zərərli proqramları yerləşdirməyə başladılar. Bu botlar rəqəmsal imzalardan istifadə edə bilər ki, yalnız şəxsi açara çıxışı olan kimsə botneti idarə edə bilsin, məsələn, Gameover ZeuS və ZeroAccess botnetində.^[9]

Daha yeni botnetlər tam olaraq P2P şəbəkələri üzərində işləyir. P2P botları mərkəzləşdirilmiş serverlə ünsiyyət qurmaq əvəzinə həm əmr paylama serveri, həm də əmrləri qəbul edən müştəri kimi çıxış edir. Bu, mərkəzləşdirilmiş botnetlər üçün problem olan hər hansı bir uğursuzluq nöqtəsinin qarşısını alır.

Digər yoluxmuş maşınları tapmaq üçün P2P botları başqa bir yoluxmuş maşını müəyyən edənə qədər təsadüfi IP ünvanlarını təmkinli şəkildə yoxlayır. Əlaqələndirilən bot proqram versiyası və məlum botların siyahısı kimi məlumatlarla cavab verir. Botlardan biri digərindən aşağı olarsa, onlar yeniləmək üçün fayl ötürülməsinə başlayacaqlar. Beləliklə, hər bir bot yoluxmuş maşınların siyahısını genişləndirir və vaxtaşırı bütün məlum botlarla əlaqə saxlayaraq özünü yeniləyir.

Əsas komponentlər

Botnetin yaradıcısı ("bot çobanı" və ya "bot ustası" kimi tanınır) botneti uzaqdan idarə edir. Bu əmr və nəzarət (C&C) kimi tanınır. Əməliyyat üçün proqram qurbanın maşınında (zombi kompüter) müştəri ilə gizli kanal vasitəsilə əlaqə saxlamalıdır.

Nəzarət protokolları

IRC rabitə protokoluna görə tarixən üstünlük verilən C&C vasitəsidir. Bot çobanı yoluxmuş müştərilərin qoşulması üçün IRC kanalı yaradır. Kanala göndərilən mesajlar bütün kanal üzvlərinə yayımlanır. Bot çobanı botnetə əmr vermək üçün kanalın mövzusunu təyin edə bilər. Məsələn, :herder!herder@example.com TOPIC #channel DDoS www.victim.com bot çobanının mesajı #channel-a aid bütün yoluxmuş müştərilərə www.victim.com saytında DDoS hücumuna başlamaq üçün xəbərdarlıq edir. Bir bot müştərisinin nümunə cavabı :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com bot çobanına hücuma başladığı barədə xəbərdarlıq edir.^[9]

Bəzi botnetlər tanınmış protokolların xüsusi versiyalarını həyata keçirir. Tətbiq fərqləri botnetlərin aşkarlanması üçün istifadə edilə bilər. Məsələn, Mega-D spam imkanlarını sınaqdan keçirmək üçün bir qədər dəyişdirilmiş Sadə Poçt Transfer Protokolu (SMTP) tətbiqinə malikdir. Mega-D-nin SMTP serverinin aşağı salınması eyni SMTP serverinə güvənən botların bütün hovuzunu deaktiv edir.^[10]

Həmçinin bax

• Keylogger
• DoS-hücum
• Fişinq
• İnformasiya təhlükəsizliyi

İstinadlar

1. "Thingbots: Əşyaların İnternetində Botnetlərin Gələcəyi". Security Intelligence. 2016-02-20. 2023-01-07 tarixində arxivləşdirilib. İstifadə tarixi: 2017-07-28.
2. "botnet". 2023-01-07 tarixində arxivləşdirilib. İstifadə tarixi: 2016-07-09.
3. "Cert.az - Əsas anlayışlar". 2020-11-24 tarixində arxivləşdirilib. İstifadə tarixi: 2011-10-06.
4. Ramneek, Puri. "Bots &; Botnet: Ümumi baxış". SANS Institute. 2003-08-08. 2015-07-12 tarixində arxivləşdirilib. İstifadə tarixi: 2013-12-12.
5. Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. "Botnetin Biznes Modeli". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP). March 2018: 441–445. arXiv:1804.10848. Bibcode:2018arXiv180410848P. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6.
6. Danchev, Dancho. "Təcrübəsiz kiberciminallar beş mini botnetə kommersiya girişi təklif edirlər". Webroot. 2013-08-11. 2015-07-01 tarixində arxivləşdirilib. İstifadə tarixi: 28 June 2015.
7. Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael. Botnets. Burlington, Virginia: Syngress. 2007-01-01. 29–75. doi:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358.
8. "Botnetlər: Tərif, Növlər, Necə İşləyirlər". Crowdstrike (ingilis). 2023-01-10 tarixində arxivləşdirilib. İstifadə tarixi: 2021-04-18.
9. Heron, Simon. "Botnet komanda və idarəetmə üsulları". Network Security. 2007 (4). April 1, 2007: 13–16. doi:10.1016/S1353-4858(07)70045-4.
10. C.Y. Cho, D. Babic, R. Shin, and D. Song. Botnet Əmr və İdarəetmə Protokollarının Formal Modellərinin Nəticəsi və Təhlili Arxivləşdirilib 2016-09-24 at the Wayback Machine, 2010 ACM Conference on Computer and Communications Security.

Xarici keçidlər

• Honeynet Layihəsi və Tədqiqat Alyansı - "Düşməninizi tanıyın: Botnetləri İzləmə"
• EWeek.com - "Botnet Döyüşü Artıq İtirildimi?"