Что такое ботнет и как защищаться от атак ботнетов

Ботнет — это сеть устройств, инфицированных вредоносным ПО и подключенных к интернету. Ботнеты часто используются в DDoS-атаках. Кроме этого, хакеры часто пользуются их совокупной вычислительной мощностью, чтобы отправлять большие объемы спама, похищать доступы большого количества пользователей или шпионить за людьми и компаниями.

Злоумышленники строят ботнеты, заражая подключенные к интернету устройства зловредным ПО и управляя ими при помощи командного сервера. Как только хакер заражает одно устройство в сети, остальные устройства также рискуют стать инфицированными.

Атака ботнета может быть сокрушительной: в 2016 году ботнет Mirai отключил большую часть интернета, включая такие сайты, как Twitter, Netflix, CNN, а также русские банки и всю Либерию. Ботнет воспользовался незащищенными устройствами интернета вещей, такими, как камеры безопасности, и установил на них зловредное ПО, которое атаковало cерверы, направляющие интернет-трафик.

Что такое ботнет

Примеры известных ботнетов

Mirai

Согласно данным отчета, опубликованного компанией Fortinet в августе 2018, Mirai был одним из самых активных ботнетов. Спустя 2 года после его создания у ботнета Mirai появились новые функции, — например, способность превращать инфицированные устройства в комплексы зловредного прокси ПО и майнинговые устройства.

Ботнеты часто используются для майнинга криптовалюты. Во время майнинга хакеры могут использовать аппаратное оборудование компьютера жертвы и электричество, чтобы майнить биткоины.

Reaper

Mirai — это только начало. Осенью 2017 инженеры компании Check Point обнаружили новый ботнет известный под названиями IoTroop и Reaper. Он взламывает устройства в интернете вещей еще быстрее, чем Mirai.

Mirai заражал уязвимые устройства, которые использовали дефолтные пароли и имена пользователей. Reaper пошел дальше, взламывая около дюжины устройств разных производителей через уязвимости — включая устройства таких известных компаний, как D-Link, Netgear и Linksys. Ботнет Reaper также гибкий, что позволяет хакерам легко обновлять его код.

Reaper использовали в атаках на европейские банки в этом году.

Почему мы не можем остановить ботнеты

Пользователям важна цена, а не безопасность

К сожалению, технически почти невозможно просто отключить от интернета зараженные устройства и отследить создателей ботнетов. Когда покупатели идут в магазин за камерой безопасностью, им важны функции, известность бренда и цена. Редко кто-то принимает во внимание безопасность. Из-за того, что устройства интернета вещей такие дешевые, вероятность того, что для них выпускают регулярные обновления, низка.

Но пока люди продолжают покупать дешевые и небезопасные устройства, количество уязвимостей растет.

Со стороны производителей нет особого желания меняться. Большинство из них не сталкивается с последствиями продажи небезопасных устройств.

Сложно/нет необходимости отслеживать трафик при небольшой атаке

Ботнеты обычно контролируются центральным командным сервером. В теории нужно отключить центральный сервер, отследить трафик к зараженным устройствам, чтобы очистить их и обезопасить. В теории это просто, но это совсем не так.

Когда ботнет такой большой, провайдеры могут объединиться, чтобы понять, что происходить, и заблокировать трафик. Так было с ботнетом Mirai.

Но когда это что-то небольшое типа спама, провайдеры обычно не обращают на это внимание. Некоторые провайдеры предупреждают пользователей, но это такой небольшой масштаб, что предупреждения никак не затрагивают ботнет. Кроме того, очень сложно отследить трафик ботнета.

Проблематично обновлять уязвимые устройства

Некоторые компании безопасности пытаются работать с интернет-провайдерами, чтобы выявлять зараженные устройства. Например, компания CrowdStrike сотрудничает с интернет-провайдерами по всему миру и сообщает им, в каких устройствах есть уязвимости. Провайдеры должны связываться с владельцами таких устройств и призывать их починить.

Но проблема в том, что таких устройств могут быть миллионы, и на них нужно устанавливать патчи безопасности. Плюс удаленная опция апгрейда часто отсутствует. Кроме этого некоторые устройства больше не поддерживаются или сделаны так, что на них нельзя установить патчи. Поэтому даже если устройство инфицировано, но оно по-прежнему работает, владельцы не особо хотят избавляться от него и покупать новое.

Как предупреждать атаки ботнетов

Устанавливать обновления для защиты от ботнетов

Ботнеты используют уязвимости, чтобы переходить от устройства к устройству и причинять наибольший вред компании. Самое важное — регулярно обновлять все системы, и лучше, чтобы это происходило автоматически.

Автоматически должны обновляться не только операционные системы и приложения, но и аппаратное оборудование. ПО и аппаратное обеспечение, для которого уже не выпускаются обновления, нужно перестать использовать.

Блокировать доступ

Все компании должны использовать мультифакторную авторизацию и принцип наименьших привилегий, при котором пользователь получает только необходимый минимум доступов для достижения целей.

Один из эффективных шагов для безопасности — использовать физические ключи безопасности. Google, например, обязала всех работников использовать такие ключи в 2017 году. С тех пор ни одна учетная запись работника не была взломана. Но, к сожалению, не все компании могут потянуть это финансово. Кроме того, что внедрить саму технологию стоит недешево, есть еще риск того, что работники потеряют ключи.

Двухфакторная аутентификация на смартфоне может быть неплохой заменой физическим ключам. Это недорого стоит и дополнительно защищает данные.

Источник: статья в издании CS Online


Понравилась статья? Оставь свой голос!