Botnet to zbiór urządzeń podłączonych do Internetu zainfekowanych złośliwym oprogramowaniem, które pozwala hakerom na kontrolowanie ich. Cyberprzestępcy wykorzystują botnety do przeprowadzania ataków botnetowych, które obejmują szkodliwe działania, takie jak wycieki danych uwierzytelniających, nieautoryzowany dostęp, kradzież danych i ataki DDoS.
Jak działa atak botnetowy?
Właściciele botnetów mogą mieć dostęp do kilku tysięcy komputerów jednocześnie i mogą nakazać im wykonywanie szkodliwych działań. Cyberprzestępcy początkowo uzyskują dostęp do tych urządzeń za pomocą specjalnych wirusów trojańskich, które atakują systemy bezpieczeństwa komputerów, a następnie wdrażają oprogramowanie dowodzenia i kontroli, które umożliwia im przeprowadzanie szkodliwych działań na dużą skalę. Działania te mogą być zautomatyzowane, aby zachęcić do jak największej liczby jednoczesnych ataków. Różne rodzaje ataków botnetowych mogą obejmować:
- Ataki DDoS (ang. Distributed Denial of Service), które powodują nieplanowane przestoje aplikacji
- Weryfikowanie list wyciekłych danych uwierzytelniających (ataki typu credential-stuffing) prowadzące do przejęcia kont
- Ataki na aplikacje internetowe w celu kradzieży danych
- Uzyskanie przez atakującego dostępu do urządzenia i jego połączenia z siecią
W innych przypadkach, cyberprzestępcy sprzedają dostęp do sieci botnet, czasami nazywanej siecią „zombie”, aby inni cyberprzestępcy mogli wykorzystać ją do własnych szkodliwych działań, takich jak aktywacja kampanii spamowej.
Ile botów znajduje się w botnecie?
Liczba botów będzie różna w zależności od botnetu i zależy od zdolności właściciela botnetu do infekowania niezabezpieczonych urządzeń. Na przykład:
- Atak DDoS w sierpniu 2017 r. przeciwko klientowi Akamai zaobserwowano, że pochodził z botnetu składającego się z ponad 75 000 botów
- Atak typu credential-stuffing w grudniu 2016 r. wykorzystał botnet z prawie 13,000 członków do wysłania prawie 270 000 żądań logowania na godzinę przeciwko wielu klientom Akamai
Skutki ataku botnetu mogą być druzgocące, od powolnego działania urządzeń po ogromne rachunki za Internet i skradzione dane osobowe. Istnieją również implikacje prawne, które należy rozważyć, na przykład, jeśli Twój komputer jest używany jako część ataku botnetu, możesz być prawnie odpowiedzialny za konsekwencje wszelkich złośliwych działań, które pochodzą z Twojego urządzenia.
Botnet Mirai
Kiedy botnet Mirai został odkryty we wrześniu 2016 roku, Akamai był jednym z jego pierwszych celów. Nasza platforma nadal otrzymywała i skutecznie broniła się przed atakami z botnetu Mirai w późniejszym okresie. Badania Akamai oferują silną wskazówkę, że Mirai, podobnie jak wiele innych botnetów, przyczynia się obecnie do utowarowienia DDoS. Podczas gdy wiele węzłów C&C botnetu zostało zaobserwowanych podczas przeprowadzania „dedykowanych ataków” przeciwko wybranym IP, jeszcze więcej zostało zauważonych jako uczestniczące w atakach, które można by uznać za „pay-for-play”. W takich sytuacjach zaobserwowano, że węzły Mirai C&C atakowały IP przez krótki czas, przechodziły w stan bezczynności, a następnie pojawiały się ponownie, aby zaatakować inne cele. Więcej o botnecie Mirai dowiesz się tutaj.
Złośliwe oprogramowanie PBot
Złośliwe oprogramowanie PBot DDoS ponownie pojawiło się jako podstawa najsilniejszych ataków DDoS zaobserwowanych przez Akamai w drugim kwartale 2017 r. W przypadku PBot złośliwi aktorzy wykorzystali kilkudziesięcioletni kod PHP do wygenerowania zmasowanego ataku DDoS. Atakujący byli w stanie stworzyć mini botnet DDoS zdolny do przeprowadzenia ataku DDoS o prędkości 75 gigabitów na sekundę (Gbps). Co ciekawe, mimo że botnet PBot składał się ze stosunkowo niewielkiej liczby 400 węzłów, był w stanie wygenerować znaczny poziom ruchu związanego z atakiem. Więcej o złośliwym oprogramowaniu PBot dowiesz się tutaj.
Jak mogę się zabezpieczyć przed atakiem botnetu?
Ważne jest, aby zrozumieć, że botnet jest zbiorem urządzeń podłączonych do Internetu i znajdujących się pod kontrolą właściciela botnetu. W związku z tym, botnet może być wykorzystywany do przeprowadzania różnych rodzajów ataków, z których każdy może wymagać innego rodzaju ochrony. Akamai oferuje kilka rozwiązań Cloud Security Solutions do wykrywania i ochrony przed botnetami. Należą do nich:
- Rozwiązania do łagodzenia ataków DDoS – Dowiedz się więcej o rozwiązaniach Akamai do łagodzenia DDoS tutaj
- Jedyne rozwiązanie cloud-native uznane za lidera w 2017 Gartner Magic Quadrant for Web Application Firewalls
- Rozwiązania do zarządzania botami w celu ochrony przed atakami typu credential-stuffingiem i innymi formami oszustw internetowych – więcej o rozwiązaniach Akamai do zarządzania botami dowiesz się tutaj
Aby dowiedzieć się więcej o tym, które rozwiązanie do ochrony przed atakami botnetów jest najbardziej odpowiednie dla Ciebie i Twojego przedsiębiorstwa, skontaktuj się z Akamai już dziś.