Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #70, СЕНТЯБРЬ 2006 г.

компьютеры — зомби

NONAME

Спецвыпуск: Хакер, номер #070, стр. 070-028-2


[использование уязвимостей в системах.]

В первых двух вариантах предполагается непосредственное участие пользователя. То есть, теоретически, продвинутый пользователь, обладающий здоровой долей паранойи, может счастливо избежать заражения при помощи таких техник. Тогда на помощь злоумышленникам приходят другие методы, которые не требуют от владельца машины никаких действий. В практически любой компьютерной системе есть хотя бы одна уязвимость, которая может быть использована для загрузки на машину троянской программы, бота или другого вредоносного ПО. Злоумышленник может производить сканирование выбранного диапазона IP-адресов как вручную, так и при помощи автоматизированных средств. Автоматическое сканирование Сети с целью поиска машин с какой-либо конкретной уязвимостью помогло таким всем известным вирусам, как CodeRed, Mydoom и Sql Slammer распространиться и заразить миллионы компьютеров. Для распространения исполняемых бот-файлов используются те же самые методы. Если ты посмотришь на топ-20 самых распространенных угроз, то увидишь, что порядка 30% этих угроз составляют вредоносные программы для создания бот-сетей (MYTOB, BKDR_IRCBOT, PERL_SHELLBOT и другие).

[командование армией.]

Обычно для организации бот-сети используются IRC-канал или P2P-сеть. Наиболее популярным и простым средством для организации бот-сети является IRC (Internet Relay Chat). Это довольно популярная чат-система, работающая по принципу клиент-серверной модели. IRC-сервер позволяет подключенным клиентам общаться, используя IRC-протокол, как через сервер, так и устанавливать соединение напрямую.

[управление бот-сетью.]

Исполняемая часть бота настраивается для входа в предопределенные каналы IRC.

[использование бот-сетей.]

Размеры ботнетов могут быть самыми разными. В среднем размер зомби-сети варьируется от нескольких сотен до нескольких тысяч машин. Но известны также бот-сети размером 30, 50 тысяч машин и более. Есть данные о бот-сети (Phatbot), объединяющей 400 тысяч (!) машин.

Какой трафик может генерировать бот-сеть? Если взять бот-сеть из 1000 машин с полосой пропускания порядка 128 Кбит/сек, то нетрудно посчитать, что все вместе эти компьютеры в состоянии генерировать трафик более 100 Мбит/сек. Более крупной бот-сети достаточно меньшей пропускной способности каждого канала в отдельности. Сеть из 50000 машин со скоростью подключения 50 Кб/сек может генерировать трафик до 300 Мб/сек.

Механизмы, которые бот-сети используют для распространения – одна из главных причин фонового «шума» в интернете, особенно на 445 и 135 tcp-портах. Таким образом производится поиск новых уязвимых машин, чтобы присоединить их к бот-сети.

Бот-сеть – это инструмент, использующийся наиболее часто в качестве инструмента для получения денег (прямо или косвенно). Наиболее распространенные способы использования действующих бот-сетей выглядят следующим образом.

Назад на стр. 070-028-1  Содержание  Вперед на стр. 070-028-3