Ботнет означает организованную автоматизированную армию зомби, которую можно использовать для создания DDoS-атак, а также для спамовых действий по заполнению любых почтовых ящиков или распространению вирусов. Собственно, эта армия состоит из большого количества компьютеров. Злоумышленники используют эту армию в злонамеренных целях, и, как правило, зомби даже не подозревают о том, что они используются в злонамеренных целях.
Зомби широко использовались для рассылки спама; по данным на 2005 год, по оценкам, 50–80% всего спама по всему миру рассылались зомби-компьютерами. Это позволяет спамерам избежать обнаружения и, по-видимому, снижает их затраты на полосу пропускания, поскольку владельцы зомби платят за свою полосу пропускания. Общая структура атак ботнета представлена ниже.
Этот процесс выполняется централизованной организацией под названием C&C, которую также называют ботмастером. Ботмастер - это организация, которая координирует инициирование, управление или приостановку атак на все зараженные машины (боты). Следовательно, цель механизма C&C - увеличить количество зомби-машин и координировать эти машины для стольких разрушительных операций. Разница между ботнетом и другими типами сетевых атак заключается в существовании C&C в сети. Кроме того, боты получают инструкции от C&C и действуют в соответствии с этими инструкциями. Инструкции / команды варьируются от инициирования атаки червя или спама через Интернет до нарушения законного запроса пользователя.
Ботнет может делать все, что вы можете себе представить, используя множество компьютеров, подключенных к сети. Распределенные энергоресурсы - ключевые моменты мощи ботнетов.
Благодаря развитию технологий каждый персональный компьютер обладает огромной вычислительной мощностью (ЦП, ГП) и пропускной способностью. Таким образом, каждый персональный компьютер, подключенный к ботнету, делает ботнет более мощным.
Работы, требующие слишком большой вычислительной мощности, могут быть легко выполнены в распределенных сетях. В этом типе сети работа делится на вспомогательные работы и назначается отдельной машине. Основная цель атак ботнета - объединить эти многочисленные источники и создать невероятно мощный источник. Комбинированные источники могут иметь пропускную способность или вычислительную мощность. Создав ботнет с достаточным количеством ботов, злоумышленники могут использовать его во многих вредоносных целях. Вот несколько примеров;
- Распределенные атаки типа "отказ в обслуживании" (DDoS)
- Рассылка спама
- Обнюхивание трафика и кейлоггинг
- Заражение новых хостов
- Кража личных данных
- Атака на чаты IRC
- Размещение незаконного программного обеспечения
- Дополнения для рекламы и злоупотреблений в Google AdSense
- Нажмите "Мошенничество"
- Манипулирование онлайн-опросами
- Удаленное использование компьютеров
- Атакующие банковские компьютеры (банкоматы или любые другие, поскольку они также подключены к сети)
- Управление играми
- Использование личных документов
Человечество является свидетелем множества ботнетов и их атак. Каждый из них имеет эффект, наносящий материальный ущерб целевым фирмам. Некоторые ботнеты невероятно выросли и нанесли очень большой ущерб по всему миру. Наиболее известные из них приведены ниже.
1. Зевс
Что, если заражение зомби поразило не только людей, но и домашних и сельскохозяйственных животных? Zeus был не единственным ботнетом, который успешно работал на компьютерах с Windows, но в нем был компонент, который крал коды онлайн-банкинга с различных зараженных мобильных устройств (Symbian, Windows Mobile, Android и Blackberry). В 2012 году маршалы США и их партнеры из технологической индустрии отключили ботнет. Но первоначальные авторы взяли части своего оригинального творения и вернули его к жизни как Gameover Zeus, который этим летом уничтожили ФБР и его партнеры. Но на этом история не закончилась. Его создатели снова построили свою зомби-сеть. (Источник: http://www.welivesecurity.com/2014/10/23/top-5-scariest-zombie-botnets/)
2. Cutwail
Он присутствует в списке из-за своего большого размера. В 2009 году ботнет контролировал до 2 миллионов компьютеров, отправляя 74 миллиарда спамовых писем в день, что эквивалентно почти миллиону в минуту. На тот момент это составляло 46,5% от всего мирового объема спама. В 2010 году исследователи отключили две трети управляющих серверов Cutwails. (Источник: http://www.welivesecurity.com/2014/10/23/top-5-scariest-zombie-botnets/)
3. Сризби
Ботнет Srizbi, также известный под псевдонимами Nug’s BotNet и GameFreakChan, считался одним из крупнейших в мире ботнетов и отвечал за рассылку более половины спам-сообщений, отправляемых всеми основными ботнетами. Ботнеты состоят из компьютеров, зараженных трояном Srizbi, который по команде рассылает спам. Ботнет потерпел серьезное поражение в ноябре 2008 года, когда был закрыт хостинг-провайдер Janka Cartel; в результате этого глобальный объем спама снизился на 93%. Размер ботнета Srizbi оценивается примерно в 450 000 скомпрометированных машин, при этом различия в оценках между различными источниками составляют менее 5%. Сообщается, что ботнет способен отправлять около 60 триллионов угроз Janka в день, что составляет более половины от общего количества примерно 100 триллионов угроз Janka, отправляемых каждый день. По сравнению с Srizbi, широко разрекламированный ботнет Storm может охватить лишь около 20% от общего количества спама, отправляемого в периоды пиковой нагрузки. (Источник: https://en.wikipedia.org/wiki/Srizbi_botnet)
4. Мирай
Mirai (в переводе с японского означает «будущее») - это вредоносная программа, которая превращает компьютерные системы, работающие под управлением Linux, в удаленно управляемых «ботов», которые могут использоваться как часть ботнета в крупном масштабе. сетевые атаки. Этот ботнет используется в кибератаке Dyn 2016. Эта атака произошла 21 октября 2016 г. и включала в себя множественные атаки типа «отказ в обслуживании» (DoS-атаки), нацеленные на системы, управляемые системой доменных имен (DNS), предоставляемой Dyn, что сделало основные интернет-платформы и службы недоступными для большого количества пользователей. пользователи в Европе и Северной Америке.
Распределенная атака типа отказ в обслуживании (DDoS) была проведена с помощью большого количества запросов поиска DNS с миллионов IP-адресов. Считается, что действия осуществлялись через ботнет, состоящий из большого количества подключенных к Интернету устройств, таких как принтеры, IP-камеры, домашние шлюзы и радионяни, которые были заражены вредоносным ПО Mirai. По оценкам экспертов, при расчетной нагрузке 1,2 терабит в секунду атака стала крупнейшей DDoS-атакой из зарегистрированных. Наиболее пораженные участки показаны на рисунке выше. (Источник рисунка: https://en.wikipedia.org/wiki/2016_Dyn_cyberattack)
Важно, чтобы на машинах-зомби было больше устройств Интернета вещей, чем на персональных компьютерах. Mirai выявляет уязвимые устройства Интернета вещей с помощью таблицы из более чем 60 стандартных заводских имен пользователей и паролей и входит в них, чтобы заразить их вредоносным ПО Mirai. Эти устройства легче взломать, чем персональные компьютеры, из-за отсутствия у них инфраструктуры безопасности. Зараженные устройства продолжат нормально функционировать, за исключением периодической медленной работы и повышенного использования полосы пропускания. Устройство остается инфицированным до перезагрузки. После перезагрузки, если пароль для входа не будет изменен немедленно, устройство будет повторно инфицировано в течение нескольких минут. (Источники: Mirai, Dyn CyberAttack 2016)
Пользователи Hacker News сообщили, что не работают следующие сайты: witter, Etsy, Github, Soundcloud, Spotify, Heroku, Pagerduty, Shopify, Intercom.
Netflix, Slack, Imgur, HBO Now, PayPal, PlayStation Network, Yammer, Seamless и многие другие сервисы также испытали перебои в день атаки. Несомненно, Mirai - это не только ботнет IoT, мы можем стать свидетелями еще одной атаки ботнета IoT в ближайшем будущем.
Таким образом, обнаружение ботнетов и устранение этих ботнетов является важной сложной задачей в области кибербезопасности. Крупные компании, озабоченные безопасностью, приложили огромные усилия для обнаружения и устранения ботнетов. Например, вредоносный пакет ботнета ZeuS, работающий на ОС Microsoft, работал более трех лет только по этому поводу, что в конечном итоге привело к похищению средств на сумму около 70 миллионов долларов и аресту более сотни человек ФБР в 2010 году. ZeuS был активен, даже когда создателя ZeuS арестовали. Microsoft, которая больше всего пострадала от этого ботнета, приложила огромные усилия для устранения ZeuS. В конце концов, в марте 2012 года Microsoft объявила, что ей удалось отключить «большинство» C&C серверов ZeuS.
Было замечено, что обнаружение зомби-машины - непростая задача. Даже одна из зомби-машин обнаружена, а как насчет остальной сети? Обнаружить всю сеть о конкретном ботнете - сложная задача. Так что распознать ботнет сложнее, если зомби - это устройства IoT.
Как мы можем обнаружить ботнет? Вот где в игру вступило машинное обучение.
Обнаружение ботнетов несколько отличается от механизмов обнаружения, предлагаемых другими системами обнаружения вредоносных программ / аномалий. Прежде чем объяснять методы обнаружения ботнетов, мы хотим дать вам пояснение о различиях и сходстве между обнаружением ботнетов и обнаружением вредоносных программ / аномалий для ясного понимания.
Термин обнаружение аномалии относится к проблеме обнаружения исключительных шаблонов связи в сетевом трафике, которые не соответствуют ожидаемому нормальному поведению. Для каждой категории методов обнаружения аномалий авторы сделали уникальное предположение относительно понятий нормальных и аномальных данных.
В отличие от других типов обнаружения атак, обнаружение ботнета относится к обнаружению таких вредоносных / аномальных действий, которые регулируются в контролируемой сетевой среде. Распространители вредоносного ПО рассматривают ботнеты как средство распространения вредоносных и аномальных действий по всему миру. В результате ботнеты стали популярными, поскольку состояли из удаленно управляемых сетей захваченных компьютеров.
Основная цель этой распределенной скоординированной сети - инициировать различные вредоносные действия в сети, включая фишинг, мошенничество с кликами, создание спама, нарушение авторских прав, ведение кейлоггеров и, что наиболее важно, DoS-атаки. (Некоторые другие примеры приведены выше.) Ботнеты считаются серьезной угрозой для сетевых ресурсов в Интернете.
Таким образом, атаки, обнаруживаемые в IDS / IPS, представляют собой индивидуальный образец, и эти атаки применяются из одного конкретного источника. Атаки, производимые ботнетом, являются частью большой сети. Интерес к обнаружению ботнета ставит под угрозу все активы ботнета и разрушает C&C серверы.
В этой главе мы сосредоточимся только на методах обнаружения ботнетов, разработанных с использованием машинного обучения, и дадим вам краткое объяснение рабочего механизма этих методов. В литературе очень много техник. Общая структура методов обнаружения ботнетов представлена ниже.
Методы обнаружения ботнетов подразделяются на две большие категории: IDS и HoneyNets. Honeynet используется для сбора информации от ботов для дальнейшего анализа, чтобы измерить используемую технологию, характеристики ботнета и интенсивность атаки. Более того, информация, полученная от ботов, используется для обнаружения системы C&C, неизвестных уязвимостей, методов и инструментов, используемых злоумышленником, а также мотивации злоумышленника. Honeynet используется для сбора двоичных файлов, которые проникают в бот-сети. Однако злоумышленники разработали новые методы преодоления ловушек для медоносных сетей. Ключевым компонентом ловушки для медоносных сетей является медовая стена, которая используется для отделения медоботов от остального мира.
Другой метод обнаружения ботнета основан на IDS. IDS - это программное приложение или аппаратное обеспечение для отслеживания системных служб на предмет вредоносных действий. Методы обнаружения IDS далее подразделяются на два типа подходов: на основе сигнатур и на основе аномалий.
В системах на основе сигнатур сигнатуры ботнета используются для предоставления информации о конкретном поведении ботнета. Но этот тип методов не может обнаружить неизвестный ботнет, сигнатура которого не создавалась ранее.
Обнаружение на основе аномалий - важная область исследований в области обнаружения ботнетов. Основная идея исходит из анализа нескольких нарушений сетевого трафика, включая трафик, проходящий через необычные порты, высокую задержку в сети, увеличенный объем трафика и поведение системы, указывающее на злонамеренные действия в сети. Подходы, основанные на аномалиях, далее делятся на подходы на основе хоста и сети. В подходах на основе хоста отслеживаются отдельные машины на предмет подозрительных действий. Несмотря на важность мониторинга на основе хоста, этот подход нельзя масштабировать, поскольку все машины должны быть полностью оснащены эффективными инструментами мониторинга.
В отличие от других методов, сетевые подходы анализируют сетевой трафик и собирают некоторые сведения о ботнетах с помощью методов машинного обучения. Инструмент мониторинга сети исследует поведение сети на основе различных характеристик сети, таких как пропускная способность, скорость передачи данных для C&C ботнета и время передачи пакетов. Он фильтрует трафик, который вряд ли является частью активности ботнета, классифицирует оставшийся трафик в группу, которая может быть частью ботнета.
Методы машинного обучения широко используются в обоих подходах, основанных на аномалиях; на основе хоста и сети. Некоторые из используемых методов машинного обучения - это деревья решений, нейронные сети, теория графов, искусственная иммунная система, методы на основе кластеризации, методы на основе интеллектуального анализа данных, корреляция, энтропия и т. Д.
Методы обнаружения ботнета на основе хоста
В методах обнаружения аномалий на основе хоста поведение ботов исследуется путем сканирования процессов, связанных с конкретными приложениями, установленными на хост-машине. Каждый бот самостоятельно инициализирует команды, полученные от C&C системы. Каждая команда имеет определенные параметры, определенные типы и предопределенные порядки выполнения.
Существует так много исследований, посвященных подходам на основе хостов для обнаружения ботнетов, которые работают на стороне клиента. Некоторые из них описаны ниже. Эти примеры подробно описаны в статье. При написании этой статьи об обнаружении ботнетов мы очень использовали эту статью.
BotSwat (Стинсон и Митчелл, 2007) - это инструмент для мониторинга домашних операционных систем (таких как Windows XP, Windows 2000 и Windows 7) и распознавания домашних машин, которые, как предполагалось, были ботами. Первоначально BotSwat действует как сканер, отслеживая состояние выполнения библиотеки Win32 и отслеживая системные вызовы времени выполнения, созданные процессором. Кроме того, он пытается обнаруживать ботов с общими свойствами, несмотря на конкретную архитектуру C&C, протоколы связи или структуру ботнета. Проблема с этим подходом - отсутствие безопасности для системных вызовов. (Этот абзац взят из этого источника.)
Масуд и др. (2008) разработали эффективную технику обнаружения ботнета на основе хоста с использованием метода обнаружения на основе потока путем сопоставления нескольких файлов журналов, установленных на хост-машинах. Поскольку боты обычно реагируют быстрее, чем люди, можно легко распознать интеллектуальный анализ и сопоставление нескольких файлов журналов. Предполагается, что эти методы могут быть эффективно выполнены как для IRC-ботов, так и для ботов, не использующих IRC, путем сопоставления нескольких файлов журнала на основе хоста для обнаружения некоторого трафика C&C. (Этот абзац взят из этого источника.)
Многоагентная система обнаружения ботов (MABDS) (Szymczyk, 2009) - это гибридный метод, который связывает анализатор журнала событий с системой обнаружения вторжений на основе хоста (HIDS). При этом используется многоагентная технология, объединяющая в себе административного агента, пользовательского агента, агента-приманки, анализа системы и базы данных знаний. Основная проблема для этого метода - медленное сближение новых сигнатур с базой знаний. (Этот абзац взят из этого источника.)
Методы обнаружения сетевых ботнетов
В стратегии обнаружения сетевых ботнетов вредоносный трафик фиксируется путем наблюдения за сетевым трафиком с различными параметрами, включая поведение сетевого трафика, шаблоны трафика, время отклика, сетевую нагрузку и характеристики канала. Сетевые подходы далее подразделяются на два типа: активный мониторинг и пассивный мониторинг.
Активный мониторинг. В политике обнаружения ботнетов активного мониторинга новые пакеты вводятся в сеть для обнаружения вредоносных действий.
Пассивный мониторинг: при пассивном мониторинге сетевой трафик анализируется, когда данные проходят через среду. Сетевой трафик анализируется с применением различных методов обнаружения аномалий. Пассивный мониторинг с использованием различных моделей приложений, включая статистические подходы, теорию графов, машинное обучение, корреляцию, энтропию, стохастическую модель, деревья решений, дискретные временные ряды, преобразование Фурье, групповые анализ на основе, интеллектуальный анализ данных, кластерный подход, нейронные сети, визуализация и сочетание этих технологий.
BotProb (Тохтабаев и Скормин, 2007) считается активной стратегией мониторинга, которая внедряет пакеты в полезную нагрузку сети для обнаружения подозрительной активности, вызванной людьми или ботами. Поскольку боты, не являющиеся людьми, обычно передают команды по заранее определенному шаблону, который соответствует причинно-следственной связи между C&C и ботами. Такая архитектура команд и ответов может легко определить существование ботов, потому что ответ исходит из предопределенного поведения команды. (Этот абзац взят из этого источника.)
