Что нужно знать о Botnet’ах и как с ними бороться

Botnet’ы! Сама мысль о botnet-инфицированных компьютерах в офисе, краже данных, хостинге мошеннических веб-сайтов и участие в DoS атаках способна вызвать достаточную панику у любого руководителя. Это не удивительно, потому что botnet’ы в настоящее время считается одним из ведущих Интернет-угроз безопасности.

Эта статья предназначена для того, чтобы доступно изложить основную информацию о том, как такие вредоносные сети создаются и управляются – это поможет вам не стать ее жертвой.

Botnet(буквально – сеть зомби) — это набор компьютеров, которые были инфицированы программными роботами. Зараженные системы могут быть объединены в сеть «зомби», которые выполняют различные команды автоматически по сигналу от удаленных командиров («botmaster«). Например, червь Storm, который распространяется через спам, является наиболее распространенным botnet-агентом и его распространенность в период «расцвета» по разным оценкам колебалась от 1 млн. до 25 млн. компьютеров. Суммарная мощность сети Storm сравнима с мощью суперкомпьютеров и при организации нападений на любой веб-сайт сеть не оставит ему никаких шансов на существование.

Были предприняты различные попытки для уничтожения или подчинения сети Storm, но вредоносная программа оказалась удивительно устойчивой. Еще хуже, пока эксперты по безопасности пытались сражаться со Storm’ом, появилась более серьезная угроза: Nugache. Как и Storm, Nugache является сетью, спроектированной для создания неупорядоченных атак.

Угрозы Botnet-сетей

Botnet может подвергнуть зараженный им компьютер, а также другие компьютеры, расположенные с зараженным в одной сети, различным угрозам, в том числе:

Spyware: зомби можно приказать контролировать и похитить личные или финансовые данные.

Adware: Зомби можно дать команду загружать и отображать рекламные сообщения. Некоторые зомби заставляют браузеры инфицированных систем посещать определенные веб-сайты.

Спам: Большинство нежелательной почты отправляется от зомби. Владельцы зараженных компьютеров, как правило, даже не представляют, что их машина используется для совершения преступлений.

Фишинг: Зомби могут использовать компьютер как площадку для размещения фишинг-сайтов.

DoS атаки: Наиболее опасная угроза от сетей зомби это организация распределенной DoS атаки, которой тяжело противодействовать, поскольку один зараженный компьютер передает другому(и так по всей сети) команду отсылать массовые запросы для организации перегрузки определенного веб-сайта.

Обнаружение и борьба с Botnet’ами

Поскольку botnet-атаки используют различные методы, необходимы различные инструменты для обнаружения вредоносных программ и смягчения их последствий, в том числе:

Анти-вредоносные программы: Анти-вредоносные программы могут прекратить действие вредоносной программы-червя и запретить пользователям скачивать их. Они могут произвести проверку системы на наличие червей, троянских коней и других типов угроз.

IDS’ы (системы обнаружения вторжений): Обнаружив отклонения от обычного трафика в сети, IDS может определить начала DoS атаки, предоставляя сетевому администратору время принимать ответные действия, например, блокировать IP-адреса, с которых происходит атака.

IPS’ы (системы предупреждения вторжений): IPS предназначены принимать немедленные решения — такие, как блокировка определенных IP-адресов — по мере возникновения отклонения от нормального трафика, что, вероятно, ослабит воздействие DoS атаки. ASIC (applicationspecific integrated circuit – специализированная интегральная схема) на основе IPS – мощное средство для глубокого анализа, необходимое для выявления и блокирования DoS атаки, функционирующее как автоматический выключатель.

Honeypot: Данная технология заключается в намеренном предоставлении «слабого места» в сети для привлечения вероятных атак. Это может отвлечь внимание сетевых червей, пытающихся зомбировать сеть, от критически важных машин в сети. Этот метод используется для получения раннего предупреждения о нападении. Кроме того, honeypot дает возможность экспертам проанализировать методы проникновения вредоносных программ, выявить слабые места в сетевой безопасности, что позволяет правильно подобрать средства воздействия на попытки внедрения вредоносного кода или отражения DoS атаки.

Botnet’ы вряд ли когда-нибудь исчезнут. Все признаки указывают на то, что они со временем станут только сильнее. Бдительность и актуальность антивредоносных программ и принятие неотложных мер по смягчению последствий нападения являются наилучшими средствами, которые можно предпринять.

Источник

04 февраля 2009 16:17 | Статьи

Один ответ к “Что нужно знать о Botnet’ах и как с ними бороться”

  1. Герман говорит:

    Спасибо за статью. Многого не знал.

Оставить коментарий