בוטנט

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש

בוטנט (רובורשת; באנגלית: botnet) הוא מערך תוכנות הנמצא על מחשבים רבים המחוברים ברשת זה לזה[1]. ה"בוטנט" יכול לממש "משימה" על ידי ניצול המשאבים של המחשבים ברשת ובדרך כלל, המונח מתייחס ל"משימה זדונית".

"בוטנטים" חוקיים[עריכת קוד מקור | עריכה]

ככל הידוע, במקור, הבוטנטים נועדו לייצר יכולת לשוחח בפורומים מרובי משתתפים על בסיס פרוטוקול Internet Relay Chat, IRC. מטרת הפרוטוקול לאפשר "שיחה" של משתתפים רבים באמצעות הודעות טקסט ושיתוף קבצים. הפרוטוקול ממומש מעל תצורת "שרת/ לקוח".

נכון לאפריל 2011, מאה הרשתות המובילות שרתו למעלה מחצי מיליון משתמשים בכל נקודת זמן, באמצעות כ-1500 שרתים, שהיו אז כחצי מכמות השרתים.

"בוטנטים" זדוניים[עריכת קוד מקור | עריכה]

"בוטנטים" שתכליתם לבצע "משימות זדוניות" עבור מי ששולט בהם. שימוש שהיה נפוץ בעבר כלל ביצוע מתקפת DDOS,כלומר, התקפת מחשב יעד מסוים על ידי "הפצצתו" בהרבה מאוד הודעות בו-זמנית כך שהוא לא יוכל לתת את השירות המקורי אליו הוא היה מיועד. מימוש ההתקפה במקרה הזה, מתבצע על ידי שליחה של מירב הודעות מכל אחד מהמחשבים הנגועים אל מחשב היעד - בו-זמנית.

שימוש מפורסם נוסף ב"בוטנטים" הוא לצורכי הפצת דואר "ספאם" בכמויות גדולות.

ל"בוטנטים" יש בדרך כלל ערוץ "פיקוד ושליטה" שדרכו מועברות הוראות ההפעלה אל המחשבים השונים. לחלק מה"בוטים" יש גם שרתים ייעודיים המשמשים כ"שטח אחסון" שאליו מועבר מידע שנגנב ובשלב כלשהו, בזמן שנוח לישות ששולטת ב"בוטנט" הוא מוריד אליו את המידע שנגנב מהמחשבים השונים ונשמר על "שרת האחסון" (Drop Zone). "בוטנטים" מודרניים מסווים את מסלול ההתקשרות משרת הפיקוד אל המחשבים הנגועים ומהמחשבים הנגועים אל "שטח האחסון"[2].

מכיוון שיש כיום לא מעט גורמי חוק שמנסים "לחסל" את ה"בוטנטים", רובם מדלגים הן את שרת הפיקוד-שליטה והן את שרת "שטח האחסון" כדי להימנע ממצב שבו שרת כזה נופל לידי רשויות החוק.

למחשבים ה"נגועים" בתחנות הקצה נוהג לקרוא "זומביז" ובדרך כלל, המשתמש החוקי של תחנת הקצה לא יודע שהמחשב שלו "נגוע" והוא למעשה מארח "בוטנט" זדוני.

"בוטנטים" בשימוש מדינתי[עריכת קוד מקור | עריכה]

לפי מקורות שונים, מדינות עושות שימוש ב"בוטנטים" לצורכי לוחמת סייבר.

שיטות "הדבקה"/ "הזרקה"[עריכת קוד מקור | עריכה]

שיטה שהייתה נפוצה בתחילת דרכם של ה"בוטנטים" הייתה להגיע לטווח שבו יש קשר "ווי-פיי" למחשב המטרה ואז להזריק לתוכו את ה"נוזקה". כיום, בדרך כלל, ההפצה מתבצעת באמצעות שליחת דואר אלקטרוני עם קובץ צרופה שמכיל את הנוזקה או באמצעות שתילת "לינק" באתר אליו צפוי המשתמש לגלוש או בתוך דואר אלקטרוני. הדבקת המחשב של המשתמש מתאפשרת תוך ניצול חולשות הדפדפן שלו, חולשות מערכת ההפעלה שלו וכדומה. לאחר הדבקת מחשב מסוים, ה"מטען המועיל" עצמו בנוי כך שהוא מתפשט ברשת למחשבים אחרים מקושרים במגוון דרכים (גרסה זו של "נוזקה" נקראת "תולעת מחשב" ואולם, היום התחומים כבר מתערבבים).

מבנה ה"בוטנט"[עריכת קוד מקור | עריכה]

ה"בוטנט" כולל את המחשבים, ה"זומביז" שעליהם מותקנות ה"נוזקות", שרת לפיקוד ושליטה, שרתים ל"אחסון מידע", פרוטוקולי תקשורת ואת "מנהל הבוטנט".

כלכלת הפשע בתחום ה"בוטנטים"[עריכת קוד מקור | עריכה]

לאחר כמה שנים, כשהתחום "הבשיל" נוצרה "כלכלה" שחורה כאשר כותבי ה"מטען המועיל" הם סוג של "ספק מתמחה", הארגון שמקים את ה"בוטנט" הוא ספק מתמחה (סוג של אינטגרטור) וארגוני הפשיעה "קונים" בוטנט שהוכן עבורם מראש והם קובעים רק את משימותיו - כמו למשל גניבת סיסמאות ומספרי כרטיס אשראי.

גרסה מתקדמת עוד יותר היא קניית שירותים ממפעיל ה"בוטנט". לדוגמה, ישות מסחרית שרוצה להפיץ מיליוני הודעות "ספאם" משלמת לבעלים של ה"בוטנט" והוא "רק"מפיץ את הודעת ה"ספאם".

בדרך כלל יצירת הקשר בין הגורמים השונים והמשא ומתן הכספי מתנהלים ב"דרקנט".

שלבי הפעלה של בוטנט להפצת "ספאם", בשלב ראשון, מפעיל ה"בוטנט" מדביק את ה"זומביז", בשלב שני, המחשבים הנגועים יוצרים קשר עם שרת הפיקוד והשליטה, בשלב שלישי, המשתמש קונה את שרותי המפעיל ובשלב רביעי: המפעיל מפיץ את הודעות ה"ספאם" מטעם "המשתמש הסופי" שקנה את שרותיו

סוגי תקיפות נפוצים[עריכת קוד מקור | עריכה]

שימושים נפוצים ב"בוטנטס" כוללים:

  • התקפות DDoS
  • ספאם
  • החלפת פרסומות/ שתילת פרסומות
  • "הונאת הקלקות" על ידי שימוש ב"זומביז" לגלישה לאתרים של צד שלישי - בצורה שהמשתמש החוקי של תחנת הקצה לא רואה.
  • שימוש במשאבי ה"זומביז" מבלי שהמשתמש החוקי יודע את זה.
  • "התקפות הפחדה" - כלומר, השתלטות על תחנת הקצה והצעה ידידותית למשתמש הקצה לקנות תוכנת אנטי-וירוס כלשהי כדי להיחלץ מהסיטואציה.

התגוננות מפני "בוטנטס"[עריכת קוד מקור | עריכה]

היסטוריה ודוגמאות[עריכת קוד מקור | עריכה]

הפרסום הראשון לגבי "בוטנט" מסודר היה במהלך 2001. פרסום זה היה חלק מתביעה משפטית של ספק אינטרנט אמריקאי בשם EarthLink (אנ') כנגד ספאמר. בוטנטים מפורסמים כללו את:

  • BredoLab: למעלה מ-30 מיליון "זומביז", שימש בעיקר ל"ספאמינג", נסגר לאחר מבצע אכיפת חוק רחב היקף שבמהלכו רשויות החוק תפסו את שרתי הפיקוד והשליטה. מקורו מיוחס לארמניה.
  • Mariposa: למעלה מ-12 מיליון "זומביז", שימש להתקפות DDOS ו"ספאמינג", מיוחס לאנשים שמקורם בספרד וסלובניה.
  • Conficker: למעלה מ-10 מיליון "זומביז", נחשב ל"בוטנט" מתוחכם במיוחד. ככל הנראה, עדיין לא מוגר לחלוטין. ידועות לפחות חמש גרסאות.
  • Zeos: למעלה מ-3.5 מיליון "זומביז", משמש במיוחד לפשעים פיננסיים (גניבת כסף בווריאציות שונות). לעיתים השם הזה מתייחס רק ל"מטען המועיל" שהוא סוג של "סוס טרויאני".

פרוט "בוטנטים" מוכרים מפורט להלן:

תאריך יצירה תאירך פרוק שם כמות משוערת של מחשבים נגועים יכולת ייצור "ספאם" (מיליארד ביום) כינויים
1999 !a 999,999,999 100000 !a
2003 MaXiTE 500-1000 servers 0 MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004 (Early) Bagle 230,000[3] 5.7 Beagle, Mitglieder, Lodeight
Marina Botnet 6,215,000[3] 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180,000[4] Sinowal, Anserin
Storm 160,000[5] 3 Nuwar, Peacomm, Zhelatin
2006 (around) 2011 (March) Rustock 150,000[6] 30 RKRustok, Costrat
Donbot 125,000[7] 0.8 Buzus, Bachsoy
2007 (around) Cutwail 1,500,000[8] 74 Pandex, Mutant (related to: Wigon, Pushdo)
2007 Akbot 1,300,000[9]
2007 (March) 2008 (November) Srizbi 450,000[10] 60 Cbeplay, Exchanger
Lethic 260,000[3] 2 none
Xarvester 10,000[3] 0.15 Rlsloup, Pixoliz
2008 (around) Sality 1,000,000[11] Sector, Kuku
2008 (around) 2009-Dec Mariposa 12,000,000[12]
2008 (November) Conficker 10,500,000+[13] 10 DownUp, DownAndUp, DownAdUp, Kido
2008 (November) 2010 (March) Waledac 80,000[14] 1.5 Waled, Waledpak
Maazben 50,000[3] 0.5 None
Onewordsub 40,000[15] 1.8
Gheg 30,000[3] 0.24 Tofsee, Mondera
Nucrypt 20,000[15] 5 Loosky, Locksky
Wopla 20,000[15] 0.6 Pokier, Slogger, Cryptic
2008 (around) Asprox 15,000[16] Danmec, Hydraflux
0 Spamthru 12,000[15] 0.35 Spam-DComServ, Covesmer, Xmiler
2008 (around) Gumblar
2009 (May) November 2010 (not complete) BredoLab 30,000,000[17] 3.6 Oficla
2009 (Around) 2012-07-19 Grum 560,000[18] 39.9 Tedroo
Mega-D 509,000[19] 10 Ozdok
Kraken 495,000[20] 9 Kracken
2009 (August) Festi 250,000[21] 2.25 Spamnost
2010 (March) Vulcanbot
2010 (January) LowSec 11,000+[3] 0.5 LowSecurity, FreeMoney, Ring0.Tools
2010 (around) TDL4 4,500,000[22] TDSS, Alureon
Zeus 3,600,000 (US only)[23] Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 (Several: 2011, 2012) Kelihos 300,000+ 4 Hlux
2011 or earlier 2015-02 Ramnit 3,000,000[24]
2013 (early) 2013 Zer0n3t 200+ server computers 4 Fib3rl0g1c, Zer0n3t, Zer0Log1x
2012 (Around) Chameleon 120,000[25] None
2016 (August) Mirai (malware) 380,000 None

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ תיאור מבנה בסיסי של "בוטנטס"
  2. ^ תיאור מספר טופולוגיות אפשריות של "בוטנטס"
  3. ^ 3.0 3.1 3.2 3.3 3.4 3.5 3.6 "Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security". Messagelabs.com. בדיקה אחרונה ב-30 בינואר 2014. (הקישור אינו פעיל)
  4. ^ Chuck Miller (5 במאי 2009). "Researchers hijack control of Torpig botnet". SC Magazine US. בדיקה אחרונה ב-10 בנובמבר 2011. 
  5. ^ "Storm Worm network shrinks to about one-tenth of its former size". Tech.Blorge.Com. 21 באוקטובר 2007. אורכב מ-המקור ב-24 December 2007. בדיקה אחרונה ב-30 ביולי 2010. 
  6. ^ Chuck Miller (25 ביולי 2008). "The Rustock botnet spams again". SC Magazine US. בדיקה אחרונה ב-30 ביולי 2010. 
  7. ^ Stewart, Joe. "Spam Botnets to Watch in 2009". Secureworks.com. SecureWorks. בדיקה אחרונה ב-9 במרץ 2016. 
  8. ^ "Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security". Msmvps.com. 2 בפברואר 2010. אורכב מ-המקור ב-16 August 2010. בדיקה אחרונה ב-30 ביולי 2010. 
  9. ^ "New Zealand teenager accused of controlling botnet of 1.3 million computers". The H security. 30 בנובמבר 2007. בדיקה אחרונה ב-12 בנובמבר 2011. 
  10. ^ "Technology | Spam on rise after brief reprieve". BBC News. 26 בנובמבר 2008. בדיקה אחרונה ב-24 באפריל 2010. 
  11. ^ "Sality: Story of a Peer-to-Peer Viral Network". Symantec. 3 באוגוסט 2011. בדיקה אחרונה ב-12 בינואר 2012. 
  12. ^ "How FBI, police busted massive botnet". theregister.co.uk. בדיקה אחרונה ב-3 במרץ 2010. 
  13. ^ "Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab". F-secure.com. 16 בינואר 2009. בדיקה אחרונה ב-24 באפריל 2010. 
  14. ^ "Waledac botnet 'decimated' by MS takedown". The Register. 16 במרץ 2010. בדיקה אחרונה ב-23 באפריל 2011. 
  15. ^ 15.0 15.1 15.2 15.3 Gregg Keizer (9 באפריל 2008). "Top botnets control 1M hijacked computers". Computerworld. בדיקה אחרונה ב-23 באפריל 2011. 
  16. ^ "Botnet sics zombie soldiers on gimpy websites". The Register. 14 במאי 2008. בדיקה אחרונה ב-23 באפריל 2011. 
  17. ^ "Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com". .canada.com. אורכב מ-המקור ב-11 May 2011. בדיקה אחרונה ב-10 בנובמבר 2011. 
  18. ^ "Research: Small DIY botnets prevalent in enterprise networks". ZDNet. בדיקה אחרונה ב-30 ביולי 2010. 
  19. ^ Warner, Gary (2 בדצמבר 2010). "Oleg Nikolaenko, Mega-D Botmaster to Stand Trial". CyberCrime & Doing Time. בדיקה אחרונה ב-6 בדצמבר 2010. 
  20. ^ "New Massive Botnet Twice the Size of Storm — Security/Perimeter". DarkReading. בדיקה אחרונה ב-30 ביולי 2010. 
  21. ^ Kirk, Jeremy (16 באוגוסט 2012). "Spamhaus Declares Grum Botnet Dead, but Festi Surges". PC World. 
  22. ^ "Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)". kasperskytienda.es. 3 ביולי 2011. בדיקה אחרונה ב-11 ביולי 2011. 
  23. ^ "America's 10 most wanted botnets". Networkworld.com. 22 ביולי 2009. בדיקה אחרונה ב-10 בנובמבר 2011. 
  24. ^ "EU police operation takes down malicious computer network". 
  25. ^ "Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month". Spider.io. 19 במרץ 2013. בדיקה אחרונה ב-21 במרץ 2013.