Botnet چیست؟

۱۷ آبا ۱۳۹۵ بدون دیدگاه مطالب آموزشی

همه چیز درباره Botnet و Zombie

بدافزار یا کدهای کامپیوتری خرابکارانه، حدود ۴۰ سال است که در اطراف ما و رایانه ها و سخت افزارهای مختلف پرسه می زنند، اما استفاده از بدافزار برای کنترل گروهی از کامپیوترها که برای انجام هدف خرابکارانه خاصی تنظیم شده اند Botnet خوانده می شود و مفهومی است که در حدود دو دهه است که وارد ادبیات مربوط به حوزه ویروس و بدافزار شده است. Botnetها مسئول برخی از پرهزینه ترین حملات بدافزارها در طول یک دهه گذشته بوده اند، بنابر تلاش های زیادی برای دفاع در برابر Botnet یا حتی درصورت امکان خاموش کردن شبکه Botnet ها صورت گرفته است.

در تهیه این متن عمده تمرکز خود را بر روی مصاحبه با شخصی گذاشته ایم که بخش بزرگی از زندگی خود را صرف مبارزه با Botnetها کرده است. مدیر برنامه امنیت هوشمند Eset یعنی Pierre-Marc Bureau به بسیاری از سوالهای ما جواب داده است. در عین حال برای کامل تر کردن مطلب، به صحبتهای Pierre بسنده نکرده ایم و اطلاعات چند منبع دیگر نیز مورد استفاده ما قرار گرفته است. در ادامه متن تعدادی از مخوف ترین Botnetهای تاریخ را معرفی کرده ایم. ما از Pierre پرسش های بسیاری داشتیم، از جمله اینکه Botnetها چه هستند؟ چه تهدیداتی را در بر می گیرند؟ و چگونه باید با آنها مقابله کنیم؟

برای ایمن شدن، همین حالا اقدام کن...

بالاترین سطح امنیت، پیشگیری است، شاید تنها لحظه ای بعد خیلی دیر باشد!!!

Botnet چگونه کار می کند و گسترش پیدا می کند؟

کلمه Botnet از دو کلمه تشکیل شده است. اولی Bot است که مخفف Robot می باشد نامی که ما اغلب به کامپیوتری که تحت حمله بدافزاری قرار گرفته اطلاق می کنیم، Net هم که مخفف Network یا شبکه است و به مجموعه ای از کامپیوترها که به هم پیوند دارند اطلاق می شود. اشخاصی که بدافزارها رو برنامه نویسی و طراحی می کنند، بدون شک زمان و نیروی ورود برای استفاده از همه کامپیوترهای آلوده شده را ندارند، پس راه حل این است که به کمک Botnet مجموعه وسیعی از کامپیوترهای آلوده را تحت کنترل بگیرند تا کنترل و آلوده کردن باقی سیستم ها به صورت خودکار انجام گیرد. Botnet شبکه ای از کامپیوترهای آلوده است که برای گسترش بدافزار مورد استفاده قرار می گیرد.

کامپیوتر Zombie چیست؟
کامپیوتر زامبی

کامپیوتر Zombie چیست؟

وقتی کامپیوتری آلوده شد، با از دست رفتن توان امنیتی تبدیل به یک زامبی می شود. در واقع این کامپیوتر، حال دیگر تنها شباهت ظاهری به کامپیوتر دارد و ضمن دزدیدن اطلاعات حساس شما، اقدام به انجام فعالیت های مخرب، گسترش آلودگی از طریق ارسال هرزنامه یا روش های دیگر می نماید. زامبی ها در کنار باقی زامبی ها فعالیت می کنند و تشکیل یک ارتش زامبی یا Botnet می دهند.

چگونه می فهمیم که کامپیوتر ما بخشی از یک Botnet شده است؟ آیا Botnet تأثیر خاصی روی کارآیی سیستم می گذارد؟

وقتی یک کامپیوتر، عضوی از یک Botnet می شود، در این صورت می توان از آن در یک ساختار خاص، مثلا ارسال هرزنامه ها یا اجرای فرامینی برای ایجاد بار بیش از حد روی منابع یک وب سایت خاص برای از کار انداختن یا ایجاد مشکلات امنیتی استفاده کرد. این پیشامدها ممکن است برای کاربر محسوس باشد، مثلا با دیدن اینکه پهنای باند سیستم کمتر از حدی است که مورد انتظار است.

کاربر می تواند  بروز آلودگی در رایانه را از طریق ابزارهای مختلف آگاه شود. متعارف ترین ابزار، یک محصول ضد بدافزار مناسب است. برای کاربران عادی، ابزاری مثل Eset Smart Security مناسب است یا برای کاربرانی که درک عمیق تری از تکنولوژی دارند، ابزارهای تشخیصی نظیر ESET SysInspector کارآمد است که می تواند در میان Processهای سیستم عامل جستجو کند و فرآیندی که وجود آلودگی بدافزار Botnet را منعکس می کند را شناسایی کند. بنابر این باید بدانیم همیشه فهمیدن حضور Botnet در سیستم هایمان بدون ابزارهای تشخیصی میسر نیست.

چه کسی پشت Botnetها است و Botnetها برای چه منظوری استفاده می شوند؟

Botnetها توسط افراد مختلفی برای مقاصد مختلف همچون سرقت اطلاعات، ارسال هرزنامه یا هر جرمی که سود بیشتری داشته باشد مورد استفاده قرار می گیرند. هرچه اطلاعات بیشتری به دست بیاید، سرعت و حجم خرابکاری وسیع تر خواهد بود. اشخاص مختلفی عملیات Botnet را انجام می دهند، مثلا دارو دسته های جنایتکار از Botnet برای سرقت اطلاعات بانکی و فریبکاری های مختلف استفاده می کنند یا برای جاسوسی وب کم و دزدی اطلاعات و نسخه برداری از فعالیت های قربانیان از Botnet استفاده می کنند.

نقش Command-and-Control server یا سرور فرمان و کنترل در Botnet چیست؟ آیا از بین بردن سرور فرمان و کنترل، منجر به از کار افتادن کل Botnet می شود؟

همه چیز درباره Botnet
همه چیز درباره Botnet

آن چیزی که سرور فرمان و کنترل یاcommand and control server  (گاهی وقت ها  C&C یا  C2) می خوانیم در واقع یک سرور مرکزی است که برای اتصال کامپیوترهای آلوده بهم استفاده می شود. در بسیاری از Botnetها خاموش کردن سرور فرمان و کنترل، به معنای خاموش کردن کل Botnet است. اما استثناهایی هم وجود دارد، مثلا Botnet هایی که برای ارتباط از شبکه های Peer-to-Peer مثل تورنت استفاده می کنند در واقع فاقد سرور فرمان و کنترل هستند. پس چیزی نیست که آن را از کار بیندازیم. مورد دوم Botnetهایی هستند که بیش از یک سرور فرمان و کنترل دارند و خاموش کردن یکی از آنها دردی از ما دوا نمی کند. این سرورها در کشورها و حوزه های مختلفی هستند و خاموش کردن یکی هیچ تاثیری روی کارایی Botnet ندارد.

در مورد Botnet ها بزرگترین خطری که متوجه کاربران و صاحبان کسب و کار چیست؟

خطراتی که از سوی Botnetها وجود دارد همان خطراتی هستند که از سوی همه بدافزارها سیستم شما را تهدید می کند. خطرات متنوع هستند، مثلا اطلاعاتی مهم از دستگاه سخت افزاری شما دزدیده شوند، مثل مالکیت معنوی، نقشه ها، رمزهای عبور برای دسترسی به منابع حساس و حتی بازی های آنلاین می توانند شامل این مورد شوند. کامپیوترهای آلوده می توانند برای بارگذاری بیش از حد هرزنامه روی سرور نیز استفاده شوند.

درک این نکته بسیار مهم است که کامپیوتر آلوده شده دیگر متعلق به صاحب آن نیست و می تواند در دستان یک خرابکار در آنسوی دنیا باشد. این شخص می تواند هر عمل غیرقانونی را با حساب های شما انجام دهد.

کسب و کار یا کاربران خانگی، کدام بیشتر در معرض خطر Botnet هستند؟

در واقع مرزهای بین کامپیوترهای شخصی و کسب و کار به شدت از بین رفته است. بسیاری از فعالیت های کسب و کار ما ممکن است از رایانه ها یا تلفن هوشمند و.. نیز انجام شوند. در عین حال شرکت ها معمولا مجهز به سیستم های امنیتی و نرم  افزارهای پیشگیری از حملات و امکانات مانیتورینگ متعددی هستند، هرچند که از سوی دیگر، اطلاعات حساس تری نیز روی سیستم های کسب و کار نسبت به سیستم های خانگی وجود دارد.

آیا نوع خاصی از کاربران هستند که در برابر Botnet آسیب پذیرتر باشند؟

نه واقعا، چنین چیزی نیست. انواع مختلفی از بدافزار وجود دارد که گروه های هدف مختلفی دارند.

آیا Eset می تواند تمامی Botnetها را شناسایی کند؟

بله ما یکی از بزرگترین پروژه های تحقیقاتی Botnet که تاکنون وجود داشته را مدیریت می کنیم. تیم تحقیقاتی ما در سال گذشته شبکه ای از سرورهای آلوده که به منظور انتقال کاربران به وب سایت های خرابکارانه فعالیت می کردند یا اطلاعات اعتباری را می دزدیدند و یا هرزنامه ارسال می کردند را شناسایی کرده است. ما فهمیدیم که در طول سالهای گذشته، حدود ۲۵ هزار سرور آلوده شده اند. در لحظه نوشتن این گزارش هنوز ۱۰۰۰۰ سرور آلوده وجود دارد!!

کدام سیستم عامل برای Botnet ها طعمه مناسب تری است؟ آیا روی مک، لینوکس یا اندروید هم Botnet موفق به خرابکاری شده است؟

ما بدافزارهای بسیاری را دیده ایم که برای اجرا روی سیستم عامل های بزرگ مجهز شده اند. گرد هم آوردن دستگاه های آلوده در دل شبکه ها یا Botnet ها برای آسیب به هر پلتفرم یا سیستم عامل کار دشواری نیست. به عنوان مثال بدافزار Flashback صدها هزار سیستم عامل مک را آلوده کرد.

۱۰ Botnet مخرب تاریخ

10 Botnet مخرب تاریخ
۱۰ Botnet مخرب تاریخ

ما در اینجا ۱۰ مورد از بدترین Botnetهای تاریخ را مثال می زنیم.

شماره یک: Zeus

اولین و مخوف ترین Botnet زئوس است که تنهای ۳.۶ میلیون کاربر را در آمریکا آلوده کرد. زئوس برای دزدی اطلاعات بانکی، اطلاعات کارتهای اعتباری و اطلاعات وارد شده در فرم های اینترنتی تنظیم شده بود و این کار را از طریق وارد کردن کد در فرم های HTML انجام می داد.

شماره دو: Koobface

یک کرم پلید که به جان سیستم های کاربران و عاشقان شبکه های اجتماعی افتاد. Koobface یک پیام ساده بود که مثلا به یک لینک ویدئویی باحال اشاره داشت. از قضا این ویدئو که مدتها دنبالش بودید باز نمی شد و یک لینک برای اجرای codec به شما پیشنهاد می شد. دانلود Codec و اجرای آن، فصل تازه ای از زندگی وحشتناک برای کاربران می ساخت. تنها ۲.۶ میلیون کاربر در آمریکا مزه دستپخت این کرم را چشیدند.

شماره سه: TidServ

یک انگل کامپیوتری (computer parasite) مخرب بدذات بود که معمولا به صورت ضمیمه یک هرزنامه ارائه می شد. پس از دانلود و اجرای ضمیمه، TidServ اجرا می شد و از طرق مختلف، کدهایی را وارد رجیستری می کرد و امنیت سیستم را دستخوش مشکلات بسیار می کرد. تنها در آمریکا ۱.۵ میلیون کاربر آلوده شدند.

شماره چهار: Trojan.Fakeavalert

انگل کامپیوتری که برنامه های بدافزاری را بدون هشدار به کاربر دانلود می کرد. Trojan.Fakeavalert خیلی اوقات برنامه های ضد جاسوس افزار دروغین را دانلود می کرد. این بدافزار از طریق هرزنامه منجر به آلوده کردن ۱.۲ میلیون سیستم شد.

شماره پنج: TR/Dldr.Agent.JKH

انگل کامپیوتری با ساختاری واقعا مشابه با انگل که تا ماه ها بدون فعالیت در سیستم آلوده شده نهفته می ماند. بعد از این مدت، هنگامی که دستورات را از سرور فرمان و کنترل دریافت می کرد، اقدام به اجرای فعالیت های خرابکارانه از راه دور می کرد. مثلا پیام های تبلیغاتی نمایش می داد که کاربران را برای دانلود نرم افزارهای آلوده تحریک می کرد. ۱.۲ میلیون کاربر توسط TR/Dldr.Agent.JKH آلوده شدند.

شماره شش: Monkif

یک انگل کامپیوتری بود که به عنوان یک ابزار کمکی روی مرورگر کاربران نصب می شد. ۵۲۰هزار کامپیوتر توسط این انگل آلوده شدند و به مجرد اتصال به اینترنت به عنوان یک تهدید امنیتی واقعا جدی، کاربران را دچار مشکلات جدی کرد.

شماره هفت: Hamweq

یک انگل Autorun بود که ۴۸۰,۰۰۰ سیستم را در ایالات متحده آلوده کرد. این انگل می توانست یک در پشتی ایجاد کند و با ورود به کامپیوتر، به تکثیر خویش بپردازد. به دلیل ساختار Autorun، می توانست روی فلش مموری ها و سایر حافظه های خارجی قرار بگیرد و بعد از اتصال آن به دستگاه جدید، با دسترسی به حافظه اجرا شود. این انگل روی استارتاپ سیستم های عامل قرار می گرفت و امنیت سیستم ها را دچار مخاطرات بسیاری می کرد.

شماره هشت: Swizzor

این Botnet با دانلود تروجان و برنامه های آلوده روی سیستم های ۳۷۰,۰۰۰ کاربر در ایالات متحده، مشکلات فراوانی را به وجود آورد.

شماره نه: Gammima

در حدود ۲۳۰,۰۰۰ یارانه در سرتاسر آمریکا توسط این Botnet آلوده شدند که ایستگاه فضایی بین المللی نیز از آن جمله بود. هدف اصلی این Botnet حساب های مربوط به بازی های آنلاین بود و می توانست از طریق حافظه های جانبی گسترش یابد. به دلیل آلوده کردن Explorer.exe رفع مشکل این Botnet بسیار دردناک بود. Gammima در اینترنت با نام های  Krap، Frethog، Vakik  و Gamina نیز شناخته شده است.

شماره ده:کرم Conficker

کرم Conficker یکی از مخوف ترین و بدنام ترین Botnetها است که در زمان انتشار، سر وصدای زیادی در رسانه های خبری ایجاد کرد. حدود ۶ میلیون سیستم در سرتاسر دنیا و ۲۱۰هزار در آمریکا، با مشکلات و دردسرهای متعددی دست به گریبان شدند. این کرم با نام های  Kudo و  Downadup نیز شناخته شده است.

مؤثرترین راه مبارزه با Botnet ها چیست؟

از منظر حرفه ای راه های متعددی برای مبارزه با Botnetها وجود دارد و راه حل آغازین یک ضد بدافزار است. شرکت های امنیتی معتبر می توانند موقعیت Botnet را در ترافیک شبکه، حافظه دستگاه های آلوده شده یا روی هارددیسک ها شناسایی کنند. اما تصور ما بر این است که بهترین راه مبارزه با اما تصور ما بر این است که بهترین راه مبارزه با Botnet آگاهی است. لازم است با افزایش آگاهی نسبت به این نوع از تهدید نرم افزاری، کاربران را آگاه کنیم که کامپیوتر یا دستگاه آنها پس از آلوده شدن می تواند جرائم هولناکی را مرتکب شود. بنابر این به مجرد اینکه کامپیوتری آلوده شد و این مسئله آشکار شد، باید به سرعت آفلاین شده و از بدافزار پاک شود. در نهایت، همکاری کاربران، گروه های پژوهشی، سرویس دهندگان اینترنت و نهادهای قانونی در مبارزه با Botnet ها و سپردن مجرمان به دستگاه عدالت بسیار کارآمد است.

پی نوشت

بخشی از پرسش و پاسخ های مربوط به ترجمه این مطلب، از نوشته منتشر شده در وب سایت “ما عاشق امنیت هستیم” ترجمه شده است که از مصاحبه Stephen Cobb با Pierre-Marc Bureau، مدیر برنامه امنیت هوشمند Eset برگرفته شده است. سعی کردیم با معرفی ۱۰ بات نت معروف مطلب را کامل تر کنیم و در مورد کامپیوتر زامبی که عبارتی رایج در ادبیات مربوط به Botnet هاست نیز توضیحاتی را بیان کردیم و نگاهی نیز به مطالب قوی دیگر در زمینه Botnet داشته ایم. طبیعی است که کلیه محصولات ویروس کش توان مقابله با همه تهدیدات از جمله Botnet را دارند. به دلیل رعایت امانت داری به متن اصلی، تغییری در ترجمه نداده ایم. اگر در مواردی تنها به نام Eset اشاره شده است، دلیلی برای برتری این محصول نسبت به سایر محصولات وب سایت ویروس کش نیست. طبیعی است که به دلیل فعال بودن آقای Pierre-Marc Bureau در Eset پاسخ های ایشان، منسوب به شرکت مطبوعشان باشد.

برای ایمن شدن، همین حالا اقدام کن...

اطلاعات مهم تر و با ارزش تر، امنیت بسیار بیشتری می خواهند!!!

برچسب ها

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

+ 17 = 18