Wat is een Botnet en is uw computer onderdeel van één?
Een van mijn favoriete cybersecurity-termen is “botnet.” Het roept allerlei soorten beelden op: onderling verbonden robots, legio's van netwerkmedewerkers die gelijktijdig naar een enkel doel draaien. Grappig genoeg is het beeld dat het woord oproept vergelijkbaar met wat een botnet is - tenminste, in termen van rotondes.
Botnets zorgen voor een serieuze hoeveelheid rekenkracht over de hele wereld. En die kracht is regelmatig (misschien zelfs consequent) de bron van malware, ransomware, spam en meer. Maar hoe ontstaan botnets? Wie controleert ze? En hoe kunnen we ze stoppen?
Wat is een botnet?
In de definitie van het SearchSecurity-botnet staat dat “een botnet is een verzameling met internet verbonden apparaten, waaronder pc's, servers, mobiele apparaten en internet of things apparaten die zijn geïnfecteerd en worden beheerd door een veelvoorkomende vorm van malware. Gebruikers zijn zich er vaak niet van bewust dat een botnet hun systeem infecteert.”
De laatste zin van de definitie is de sleutel. Apparaten binnen een botnet zijn meestal niet gewillig aanwezig. Apparaten die zijn geïnfecteerd met bepaalde malwarevarianten worden beheerd door actoren op afstand, zoals cybercriminelen. De malware verbergt de kwaadwillende botnetactiviteiten op het apparaat waardoor de eigenaar zich niet bewust is van zijn rol in het netwerk. Je zou het sturen van een spamaanbieding met duizenden tabletten kunnen versturen - zonder een flauw idee.
Daarom verwijzen we vaak naar geïnfecteerde botnet-apparaten Is Your PC A Zombie? En wat is een zombiecomputer eigenlijk? [MakeUseOf Explains] Is jouw pc een zombie? En wat is een zombiecomputer eigenlijk? [MakeUseOf Explains] Heb je je ooit afgevraagd waar alle internet-spam vandaan komt? U ontvangt waarschijnlijk elke dag honderden spam-gefilterde ongewenste e-mails. Betekent dit dat er honderden en duizenden mensen zijn die daar zitten ... Lees meer als as “zombies.”
Wat doet een botnet?
Een botnet heeft verschillende algemene functies, afhankelijk van de wens van de botnetoperator:
- Spam: Het verzenden van enorme hoeveelheden spam over de hele wereld. Het gemiddelde aandeel van spam in het wereldwijde e-mailverkeer tussen januari en september was bijvoorbeeld 56,69 procent. Toen beveiligingsonderzoeksbureau FireEye de overgang van het beruchte Srizbi-botnet tijdelijk stopzette nadat de beruchte McColo-hosting offline ging, daalde de wereldwijde spam met een groot aantal (en in feite, toen het eindelijk offline ging, daalde de wereldwijde spam tijdelijk met ongeveer 50 procent).
- malware: Malware en spyware leveren aan kwetsbare machines. Botnetbronnen worden door malefactoren gekocht en verkocht om hun criminele bedrijven verder te helpen.
- Gegevens: Wachtwoorden en andere privé-informatie vastleggen. Dit sluit aan bij het bovenstaande.
- Klik fraude: Een geïnfecteerd apparaat bezoekt websites om valse webmeldingen en advertentievertoningen te genereren.
- Bitcoin: Botnetcontrollers sturen geïnfecteerde apparaten naar Bitcoin en andere cryptocurrencies om stil winst te genereren.
- DDoS: Botnetoperators sturen de kracht van geïnfecteerde apparaten naar specifieke doelen door ze off-line te nemen bij gedistribueerde denial-of-service-aanvallen.
Botnetbeheerders schakelen hun netwerken meestal naar een aantal van deze functies om winst te genereren. Zo hebben botnet-exploitanten die medische spam naar Amerikaanse burgers sturen, ook de apotheek die de goederen aflevert in de handen. (Oh ja, er zijn echte producten aan het einde van de e-mail.) De Spam-natie van Brian Krebs is hier een uitstekende kijk op.)
Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door Koop nu bij Amazon $ 6,00
De belangrijkste botnets zijn de afgelopen jaren enigszins van richting veranderd. Terwijl medische en andere soortgelijke soorten spam lange tijd extreem winstgevend waren, hebben de overheidsoptredens in verschillende landen de winst uitgehold. Als zodanig steeg het aantal e-mails met een kwaadaardige bijlage tot één op de 359 e-mails, volgens het Intelligence Report van juli 2017 van Symantec..
Hoe ziet een botnet eruit??
We weten dat een botnet een netwerk van geïnfecteerde computers is. De kerncomponenten en de werkelijke botnetarchitectuur zijn echter interessant om te overwegen.
architectuur
Er zijn twee belangrijke botnet-architecturen:
- Client-server model: Een client-server-botnet maakt doorgaans gebruik van een chatclient (voorheen IRC, maar moderne botnets hebben gebruikgemaakt van Telegram en andere gecodeerde berichtenservices), domein of website om met het netwerk te communiceren. De operator stuurt een bericht naar de server en stuurt dit door naar clients, die het commando uitvoeren. Hoewel de botnetinfrastructuur verschilt van eenvoudig tot zeer complex, kan een geconcentreerde inspanning een client-server-botnet uitschakelen.
- Peer naar peer: Een peer-to-peer (P2P) -botnet probeert beveiligingsprogramma's en onderzoekers te stoppen met het identificeren van specifieke C2-servers door een gedecentraliseerd netwerk te maken. Een P2P-netwerk is geavanceerder 10 Netwerkvoorwaarden die u waarschijnlijk nooit hebt geweten, en wat ze betekenen 10 Netwerkvoorwaarden die u waarschijnlijk nooit hebt geweten, en wat ze betekenen Hier zullen we 10 algemene netwerktermen onderzoeken, wat zij betekenen en waar u waarschijnlijk zult tegenkomen hen. Meer lezen, in sommige opzichten dan een client-servermodel. Bovendien verschilt hun architectuur van hoe de meeste visie is. In plaats van een enkel netwerk van onderling verbonden geïnfecteerde apparaten die communiceren via IP-adressen, gebruiken operators het liefst zombie-apparaten die zijn verbonden met knooppunten, op hun beurt verbonden met elkaar en met de hoofdcommunicatieserver. Het idee is dat er gewoon te veel onderling verbonden maar afzonderlijke knooppunten zijn om tegelijkertijd te verwijderen.
Commando en controle
Commando en controle (soms geschreven C & C of C2) protocollen komen in verschillende vormen:
- Telnet: Telnet-botnets zijn relatief eenvoudig, met behulp van een script om IP-bereiken te scannen voor standaard telnet- en SSH-serveraanmeldingen om kwetsbare apparaten toe te voegen om bots toe te voegen.
- IRC: IRC-netwerken bieden een communicatiemethode met uiterst lage bandbreedte voor het C2-protocol. De mogelijkheid om snel van kanaal te wisselen, biedt een extra beveiliging voor botnetoperators, maar betekent ook dat geïnfecteerde clients eenvoudig kunnen worden afgesneden van het botnet als ze geen bijgewerkte kanaalinformatie ontvangen. IRC-verkeer is relatief eenvoudig te onderzoeken en te isoleren, wat betekent dat veel operatoren afstand hebben genomen van deze methode.
- domeinen: Sommige grote botnets gebruiken domeinen in plaats van een berichtenclient voor controle. Geïnfecteerde apparaten hebben toegang tot een specifiek domein dat een lijst met besturingsopdrachten biedt, waardoor wijzigingen en updates direct kunnen worden doorgevoerd. Het nadeel is de enorme bandbreedtevereisten voor grote botnets, evenals het relatieve gemak waarmee verdachte besturingsdomeinen worden uitgeschakeld. Sommige operatoren gebruiken zogenaamde bulletproof hosting om buiten de jurisdictie van landen met strikte internetwetgeving te opereren.
- P2P: Een P2P-protocol implementeert meestal digitale ondertekening met behulp van asymmetrische codering (een publieke en een private sleutel). Dit betekent dat terwijl de operator de private sleutel vasthoudt, het uiterst moeilijk (in wezen onmogelijk) is voor iemand anders om verschillende commando's aan het botnet te geven. Evenzo maakt het ontbreken van een enkele gedefinieerde C2-server het aanvallen en vernietigen van een P2P-botnet moeilijker dan zijn tegenhangers.
- anderen: In de loop der jaren hebben we gezien dat botnetoperators een aantal interessante Command and Control-kanalen gebruikten. Degenen die direct in je geheugen opduiken, zijn sociale mediakanalen, zoals het Android Twitoor-botnet, beheerd via Twitter, of de Mac.Backdoor.iWorm die de Minecraft-serverlijst heeft gebruikt om de IP-adressen voor zijn netwerk op te halen. Instagram is ook niet veilig. Turla, een cyberspionagegroep met nauwe banden met Russische inlichtingendiensten, gebruikte in 2017 commentaren op Instagram-foto's van Britney Spears om de locatie van een C2-server voor malwaredistributie op te slaan..
zombies
Het laatste stukje van de botnet-puzzel zijn de geïnfecteerde apparaten (de zombies).
Botnetoperators scannen doelbewust naar kwetsbare apparaten en infecteren deze om hun werkende kracht uit te breiden. We hebben het belangrijkste gebruik van de botnet hierboven vermeld. Al deze functies vereisen rekenkracht. Bovendien zijn botnetoperators niet altijd vriendelijk tegen elkaar, waardoor de macht van hun geïnfecteerde machines op elkaar wordt afgestemd.
De overgrote meerderheid van de eigenaren van zombie-apparaten zijn zich niet bewust van hun rol in het botnet. Soms is botnet-malware echter een conduit voor andere malwarevarianten.
Deze ESET-video geeft een mooie uitleg over hoe botnets uitbreiden:
Soorten apparaten
Genetwerkte apparaten komen verrassend snel online. En botnets zijn niet alleen op zoek naar een pc of Mac. Zoals u verderop in het volgende gedeelte meer zult lezen, zijn apparaten van Internet of Things net zo vatbaar (zo niet meer) op varianten van botnet-malware. Vooral als ze worden gezocht vanwege hun vreselijke veiligheid.
Als ik mijn ouders vertelde om hun gloednieuwe smart-tv terug te geven die ze te koop kregen omdat IOT erg onzeker is, maakt dit me tot een goede dochter of een slechte dochter.?
Ik vroeg of het naar spraakopdrachten kon luisteren, ze zeiden ja; Ik maakte een knettergeluid. Ze zeiden dat we morgen zullen praten.- Tanya Janca (@shehackspurple) 28 december 2017
Smartphones en tablets zijn ook niet beveiligd. Android heeft de afgelopen jaren verschillende botnets gezien. Android is een eenvoudig doel Hoe komt malware naar uw smartphone? Hoe komt malware naar uw smartphone? Waarom willen leveranciers van malware uw smartphone infecteren met een geïnfecteerde app en hoe komt malware in de eerste plaats in een mobiele app? Lees meer: het is open source, heeft meerdere besturingssysteemversies en meerdere kwetsbaarheden tegelijkertijd. Verheug je niet zo snel, iOS-gebruikers. Er zijn een aantal malwarevarianten die mobiele apparaten van Apple targeten, hoewel ze meestal beperkt zijn tot gejailbreakte iPhones met beveiligingsproblemen.
Een ander kerndoel van het botnetapparaat is een kwetsbare router 10 Manieren waarop uw router niet zo veilig is als u denkt 10 manieren waarop uw router niet zo veilig is als u denkt Hier zijn 10 manieren waarop uw router kan worden uitgebuit door hackers en drive-by draadloze kapers . Lees verder . Routers met oude en onveilige firmware zijn gemakkelijke doelen voor botnets, en veel eigenaren zullen zich niet realiseren dat hun internetportaal een infectie bevat. Op dezelfde manier kan een gewoonweg enorme hoeveelheid internetgebruikers de standaardinstellingen van hun routers niet veranderen. 3 Standaardwachtwoorden die u moet wijzigen en waarom 3 standaardwachtwoorden die u moet wijzigen & waarom wachtwoorden ongemakkelijk zijn, maar noodzakelijk. Veel mensen hebben de neiging om waar mogelijk wachtwoorden te vermijden en gebruiken graag de standaardinstellingen of hetzelfde wachtwoord voor al hun accounts. Dit gedrag kan uw gegevens en ... Lees meer na de installatie. Net als IoT-apparaten kan malware zich verspreiden met een verbluffende snelheid, met weinig weerstand bij de infectie van duizenden apparaten.
Een botnet verwijderen
Het verwijderen van een botnet is om een aantal redenen geen gemakkelijke taak. Soms laat de botnetarchitectuur een operator toe om snel opnieuw op te bouwen. Op andere momenten is het botnet simpelweg te groot om in een keer neer te halen. Het merendeel van de botnetservice vereist afstemming tussen beveiligingsonderzoekers, overheidsinstanties en andere hackers, soms afhankelijk van tips of onverwachte backdoors.
Een groot probleem voor beveiligingsonderzoekers is het relatieve gemak waarmee copycat-operators met dezelfde malware beginnen te werken.
GameOver Zeus
Ik ga het botnet van GameOver Zeus (GOZ) gebruiken als een takedown-voorbeeld. GOZ was een van de grootste recente botnets, waarvan gedacht werd dat het meer dan een miljoen geïnfecteerde apparaten op zijn hoogtepunt had. Het primaire gebruik van het botnet was gelddiefstal (distributie van de CryptoLocker ransomware A Geschiedenis van Ransomware: waar het begon en waar het naartoe gaat Een geschiedenis van Ransomware: waar het begon en waar het naartoe gaat Ransomware dateert uit het midden van de jaren 2000 en net als veel computerbeveiligingsbedreigingen, afkomstig uit Rusland en Oost-Europa voordat het evolueerde om een steeds krachtigere bedreiging te worden. Maar wat betekent de toekomst voor ransomware? Lees meer) en spammail en, met behulp van een geavanceerd algoritme voor het genereren van peer-to-peer domein, bleek het niet te stoppen.
Een domein genererend algoritme laat het botnet toe om lange lijsten met domeinen vooraf te genereren voor gebruik als een “rendez-vous punten” voor de botnet-malware. Meerdere rendez-vouspunten maken het stoppen van de spread bijna onmogelijk, omdat alleen de operatoren de lijst met domeinen kennen.
In 2014 dwong een team van beveiligingsonderzoekers, in samenwerking met de FBI en andere internationale instanties, GameOver Zeus uiteindelijk offline, in Operatie Tovar. Het was niet gemakkelijk. Na het registreren van domeinregistratiesequenties, registreerde het team ongeveer 150.000 domeinen in de zes maanden voorafgaand aan het begin van de operatie. Dit moest elke toekomstige domeinregistratie van de botnetoperatoren blokkeren.
Vervolgens gaven verschillende ISP's de operationele controle van GOZ's proxy-knooppunten, gebruikt door de botnetoperators om te communiceren tussen de commando- en controleservers en het eigenlijke botnet. Elliot Peterson, de leidende FBI-onderzoeker van Operatie Tovar, zei: “We konden de bots overtuigen dat we goed waren om mee te praten, maar alle leeftijdsgenoten en volmachten en supernodes gecontroleerd door de slechteriken waren slecht om mee te praten en moeten worden genegeerd.”
Botnet-eigenaar Evgeniy Bogachev (online alias Slavik) realiseerde zich dat de takedown na één uur op zijn plaats was en probeerde nog vier of vijf uur voor terug te vechten “toe te geven” nederlaag.
In de nasleep slaagden de onderzoekers erin de beruchte CryptoLocker-ransomware-encryptie te kraken door gratis decryptietools voor slachtoffers te maken. CryptoLocker Is Dead: Hier kun je je bestanden terughalen! CryptoLocker Is Dead: Hier is hoe u uw bestanden terug kunt krijgen! Lees verder .
IoT-botnets zijn anders
De maatregelen om GameOver Zeus te bestrijden waren uitgebreid maar noodzakelijk. Het illustreert dat de pure kracht van een slim vervaardigd botnet een wereldwijde benadering van mitigatie vereist, die vereist “innovatieve juridische en technische tactieken met traditionele wetshandhavingsinstrumenten” net zoals “sterke werkrelaties met deskundigen uit de privésector en rechtshandhavingsdiensten in meer dan 10 landen over de hele wereld.”
Maar niet alle botnets zijn hetzelfde. Wanneer een botnet aan zijn einde komt, leert een andere operator van de vernietiging.
In 2016 was Mirai het grootste en slechtste botnet. Voordat het gedeeltelijk werd verwijderd, raakte het op internet gebaseerde Mirai-botnet verschillende prominente doelen. Waarom je cryptomunt niet zo veilig is als je denkt Waarom je cryptomunt niet zo veilig is als je denkt Bitcoin blijft nieuwe hoogtepunten halen. Cryptocurrency-nieuwkomer Ethereum dreigt te exploderen in zijn eigen bubbel. De interesse in blockchain, mijnbouw en cryptocurrency is op een historisch hoog niveau. Dus waarom worden cryptocurrency-enthousiastelingen bedreigd? Lees meer met duizelingwekkende DDoS-aanvallen. Een dergelijke aanval trof de blog van beveiligingsonderzoeker Brian Krebs met 620 Gbps en dwong uiteindelijk Krebs 'DDoS-bescherming om hem als een klant te laten vallen. Een volgende aanval in de volgende dagen trof de Franse cloud-hostingprovider OVH met 1,2 Tbps in de grootste aanval ooit gezien. De afbeelding hieronder illustreert hoeveel landen Mirai heeft getroffen.
Hoewel Mirai niet eens in de buurt was van het grootste botnet ooit gezien, produceerde het de grootste aanvallen. Mirai heeft verwoestend gebruik gemaakt van de delen van belachelijk onveilige IoT-apparaten Is uw slimme huis in gevaar van beveiligingslekken in het internet van de dingen? Loopt uw slimme huis gevaar van beveiligingslekken in het internet van de dingen? Is het internet der dingen veilig? Dat zou je hopen, maar uit een recente studie is gebleken dat veiligheidsproblemen die enkele jaren geleden zijn gerezen, nog niet zijn aangepakt. Je slimme huis kan in gevaar zijn. Meer lezen, een lijst met 62 onveilige standaardwachtwoorden gebruiken om apparaten te vergaren (admin / admin stond bovenaan de lijst, ga figuur).
Beveiligingsonderzoeker Marcus Hutchins (ook bekend als MalwareTech) legt uit dat een deel van de reden voor de enorme macht van Mirai is dat de meeste IoT-apparaten daar zitten en niets doen totdat erom wordt gevraagd. Dat betekent dat ze bijna altijd online zijn en bijna altijd over netwerkbronnen beschikken om te delen. Een traditionele botnetoperator zou hun piekkrachtperiodes en tijdaanvallen dienovereenkomstig analyseren. IoT-botnets, niet zo veel.
Dus, als meer slecht geconfigureerde IoT-apparaten online komen, neemt de kans op uitbuiting toe.
Veilig blijven
We hebben geleerd wat een botnet doet, hoe ze groeien en meer. Maar hoe stop je dat je apparaat onderdeel wordt van een apparaat? Welnu, het eerste antwoord is eenvoudig: werk je systeem bij Hoe Windows 10 te repareren: Veelgestelde vragen voor beginners Hoe te repareren Windows 10: Veelgestelde vragen voor beginners Heb je hulp nodig met Windows 10? We beantwoorden de meest gestelde vragen over het gebruik en de configuratie van Windows 10. Meer lezen. Regelmatige updates patchen kwetsbare gaten in uw besturingssysteem en verminderen zo de mogelijkheden voor uitbuiting.
De tweede is het downloaden en bijwerken van een antivirusprogramma en een antimalware-programma. Er zijn tal van gratis antivirus-pakketten die uitstekende bescherming tegen lage impact bieden. Investeer in een antimalware-programma, zoals Malwarebytes De complete gids voor het verwijderen van malware De volledige gids voor het verwijderen van malware Malware is overal tegenwoordig en het uitbannen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Lees verder . Met een Malwarebytes Premium-abonnement betaalt u $ 24,95 voor het hele jaar, waardoor u real-time bescherming tegen malware krijgt. Zeker de investering waard, naar mijn mening.
Pak ten slotte enige extra browserbeveiliging. Drive-by exploitkits zijn lastig, maar ze kunnen gemakkelijk worden vermeden als u een extensie gebruikt die scriptversies blokkeert, zoals uBlock Origin.
Was uw computer onderdeel van een botnet? Hoe wist je dat? Heb je ontdekt welke infectie je apparaat gebruikte? Laat ons hieronder uw ervaringen weten!
Ontdek meer over: Botnet, Computerbeveiliging.