Ботнет. Ботнеттер қалай және не үшін жасалады. Ботнеттерден қорғалу құралдары.

«Бот» термині - «робот» сөзінің қысқартылған нұсқасы болып табылады. Зиянкестер сіздің компьютеріңізді ботқа немесе зомби-компьютерге айналдыру қабілеті бар зиянды бағдарламаларды таратады. Бұл жағдайда Интернет арқылы берілетін команда бойынша сіздің компьютер сізге білдірмей белгілі міндеттерді орындай алады.

Зиянкестер әдетте боттарды басқа компьютерлердің көптеген санын зияндау үшін пайдаланады. Мұндай компьютерлер ботнет деп аталатын желіге біріктіріледі. Ботнет немесе зомби-желі – бұл зиянкестерге бөгде машиналарды иелерінің келісімінсіз қашықтықтан басқаруға мүмкіндік беретін, зиянды бағдарламамен зияндалған компьютерлердің желісі.

Бот-желілердің көмегімен зиянкестер спамдарды жібере алады, вирустарды тарата алады, компьютерлер мен серверлерге шабуыл, сондай-ақ басқа қылмыстар мен алаяқтық түрлерін жасай алады. Егер компьютер бот-желінің қатысушысы болса, оның өнімділігі түседі, ал сіз қылмыскерлердің еріксіз қылмыс жасаушы сыбайласы болуыңыз мүмкін. Соңғы жылдары зомби-желілер киберқылмыскерлер үшін тұрақты табыс көзіне айналды.

Менің компьютерім ботпен зияндалған ба?

Бұл сұраққа жауап беру оңай емес. Компьютердің күнделікті жұмысына боттардың араласуын іс жүзінде бақылау мүмкін емес, себебі ол жүйенің жылдам жұмыс істеуіне ешқандай кедергі келтірмейді. Дегенмен, жүйеде боттың болуын айқындауға мүмкіндік беретін бірқатар белгі бар:

- белгісіз бағдарламалар Интернетпен қосылуды жүзеге асыруға әрекеттенеді, бұл туралы брандмауэр немесе вирусқа қарсы бағдарламалық қамтамасыз етуді мерзімді баяндап тұрады;

- сіз Желімен шамалы пайдалансаңыз да интернет-трафик өте үлкен болып кетеді;

- іске қосылған жүйелік процестердің тізімінде Windows күнделікті процестеріне ұқсас жаңа процестер пайда болады (мысалы, боттың атауы scvhost.exe болуы мүмкін – бұл атау Windows svchost.exe жүйелік процестің атауына өте ұқсас; айырмашылықты байқау өте қиын).

Ботнеттер не үшін құрылады

Ботнеттер ақша табу үшін құрылады. Зомби-желілерді коммерциялық табысты пайдаланудың бірнеше саласын ерекшелеуге болады: DDoS- шабуылдар, құпия ақпаратты жинау, спам тарату, фишинг, іздеу спамы, шақыру-есептегіштерді бұрау және т.б. Зиянкес таңдаған кез келген бағдар табысты болатынын атап өту қажет, әрі ботнет барлық аталған қызмет түрлерін бір уақытта жүзеге асыруға мүмкіндік береді.

DDoS-шабуылдарды жүргізу

DDoS-шабуыл (ағыл. Distributed Denial-of-Service) – компьютерлік жүйеге, мысалы веб-сайтқа жасалатын шабуыл, оның мақсаты жүйені «бұзылу» деңгейіне жеткізу болып табылады, яғни оны заңды пайдаланушылардың сұрау салуларын қабылдай және өңдей алмайтын жағдайға жеткізу. DDoS-шабуылды жүргізудің ең таралған тәсілдерінің бірі – компьютерге немесе құрбан сайтқа көптеген сұрау салулар жіберу, егер шабуыл жасалатын компьютердің ресурстары барлық келіп түсетін сұрау салуларды өңдеу үшін жеткілікті болмаса, бұл қызмет көрсетуден бас тартуға әкеп соғады. DDoS-шабуылдар хакерлердің қаһарлы қаруы болып табылады, ал ботнет – оларды жүргізуге арналған кемшіліксіз аспап.

DDoS-шабуылдар жосықсыз бәсекелік күрес құралымен қатар кибертерроризм шабуылдары болуы мүмкін. Ботнеттің иесі кез келген өте кінәмшіл емес кәсіпкерге қызмет көрсете алады – DDoS-шабуылды оның бәсекелесінің сайтына өткізу. Шабуыл жасалатын ресурс мұндай жүктемеден кейін «басылады», шабуылға тапсырыс беруші уақытша артықшылыққа ие болады, ал киберқылмыскер – орташа (немесе орташа емес) сыйақы алады.

Ботнеттердің иелері өздері де DDoS-шабуылдарды осылай ірі компаниялардан ақшаны қорқытып алу үшін пайдалануы мүмкін. Бұл ретте компаниялар киберқылмыскерлердің талаптарын орындауды дұрыс көреді, себебі сәтті DDoS-шабуылдардың салдарын жою өте қымбатқа түседі.

Құпия ақпаратты жинау

Пайдаланушылардың компьюетлерінде сақталатын құпия ақпарат зиянкестердің назарын қашанда тартады. Ең үлкен қызығушылықты несие карталарының нөмірлері, қаржылық ақпарат және түрлі қызметтердің: пошта жәшіктеріне, FTP-серверлерге, «мессенджерлерге» және т.б. парольдері тартады. Бұл ретте қазіргі зиянды бағдарламалар зиянкестерге тек қана оларға қызықты деректерді таңдауға мүмкіндік береді, - бұл үшін компьютерге тиісті модульді жүктеу жеткілікті болады.

Зиянкестер ұрланған ақпаратты не сатуы, не оны өз мүддесінде пайдалануы мүмкін. Желідегі көптеген форумдарда күнделікті банктердің есептік жазбаларын сату туралы жүздеген хабарламалар шығады. Шынымен көп ақша табу үшін оларға соңғы деректердің тұрақты түсімі қажет, ал ол үшін зомби-желілердің саны үнемі өсуі тиіс. Қаржылық ақпарат әсіресе кардерлерге – банк карталарын қолдан жасаумен айналысатын зиянкестерге қызықты.

Электрондық поштадағы адрестер ботнеттер жинайтын ақпараттың тағы бір түрі болып табылады, және несие карталарының нөмірлері мен есептік жазбаларға қарағанда, бір зияндалған компьютердің адрестік кітабынан көптеген электрондық адрестерді алуға болады. Жинақталған адрестер сатыға қойылады, әрі кейде мегабайтпен «бөліп өлшенеді». Мұндай «тауардың» негізгі сатып алушылары спамерлер болып табылады.

Сондай-ақ қылмыскерлерді түрлі ақылы сервистер мен интернет-дүкендердің есептік жазбалары қызықтырады. Олар банктік есептік жазбалардан арзанға түсетіні сөзсіз, бірақ оларды жүзеге асыру құқық қорғау органдары тарапынан болатын қудалау қатерінің төмендігімен байланысты.

Спам тарату

Жыл сайын барлық әлемде миллиондаған хабарлама – спамдар ара-қатынаста болады. Сұратылмаған поштаны тарату қазіргі ботнеттердің негізгі функцияларының бірі. «Касперский зертханасының» деректері бойынша барлық спамның 80%-ға жуығы зомби-желілері арқылы таратылады. Осылайша, еш кінәсі жоқ пайдаланушылардың компьютерлеріне қатер төндіреді: тарату жүргізілген адрестер вирусқа қарсы компаниялардың қара тізімдеріне түседі.

Соңғы жылдары спам-қызмет көрсету саласының өзі де кеңейді: ICQ-спам, әлеуметтік желілердегі, форумдардағы, блогтардағы спам пайда болды. Бұл да ботнеттерді иеленушілердің «жетістігі»: себебі бот-клиентке жаңа бизнеске жол ашатын қосымша модульді қосып жазу қиын емес.

Іздестіру спамын құру

Ботнеттерді пайдаланудың тағы бір нұсқасы – іздестіру жүйелерінде сайттардың танымалдығын арттыру. Іздестіруді оңтайландыру кезінде ресурстардың әкімшілері іздестіру нәтижелерінде сайттың позициясын арттыруға тырысады, өйткені ол қаншалықты жоғары болса, сәйкесінше іздестіру жүйелері арқылы сайтқа кірушілердің саны көбейеді, сондықтан сайт иесінің табысы көбейеді, мысалы, веб-парақтардағы жарнама алаңдарын сатудан. Көптеген компаниялар сайтты «іздеушілерде» бірінші позицияларға шығару үшін веб-шеберлерге аз ақша төлемейді. Ботнеттердің иелері олардың кейбір амалдарын көріп алып, іздестіруді оңтайландыру процесін автоматтандырды.

Арнайы жасалған бағдарлама зомби-компьютерге жүктеледі және оның иесінің атынан танымал ресурстарда танымал ететін сайтқа сілтемелер берілген түсініктемелер қалдырады.

Ботнеттер қалай құрылады

Бірінші қадам: жаңа зомби-желіні құру. Бұл үшін пайдаланушылардың компьютерлерін арнайы бағдарлама – ботпен зияндау керек. Зияндау үшін тарату – спамдар, форумдар мен әлеуметтік желілерде постинг хабарламалар және басқа да тәсілдер қолданылады; вирустар мен зиянкестер сияқты ботқа жиі өзіндігінен тарау функциясы беріледі.

Ықтимал құрбанды бот орнатуға мәжбүрлеу үшін әлеуметтік инженерия тәсілдері пайдаланылады. Мысалы, қызықты видео көруді ұсынады, бұл үшін арнайы кодекті көшіріп алу талап етіледі. Осындай файлды жүктеп, іске қосқаннан кейін пайдаланушы, әрине, ешқандай видео көре алмайды және тіпті ешқандай өзгерістер байқамайды, ал оның компьютері зияндалған болып шығады да ботнет иесінің барлық командаларын орындайтын тіл алғыш қызметшісі болады.

Боттармен зияндаудың екінші белгілі тәсілі drive-by-жүктеу болып табылады. Пайдаланушы зияндалған веб-парақка кірген кезде оның компьютеріне қосымшадағы түрлі «осал жерлер» арқылы – алдымен танымал браузерлерде – зиянды код жүктеледі. Осал жерлерін пайдалану үшін арнайы бағдарламалар – эксплойттар пайдаланылады.

Олар вирусты немесе ботты білдірмей жүктеп қоймай, оларды байқатпай іске қосуға мүмкіндік береді. Зиянды бағдарламалық қамтамасыз етуді таратудың мұндай түрі өте қауіпті, өйткені танымал ресурс бұзылса, мыңдаған пайдаланушы зияндалады!

Ботқа компьютерлік желілер бойынша өз бетінше таралу функциясын беруге болады. Мысалы, ол барлық қол жетімді орындалатын файлдарды зияндау немесе желідегі осал компьютерлерді іздеу мен зияндау арқылы таралуы мүмкін.

Ботнетті жасаушы IRC-арнасы, веб-қосылу немесе кез келген басқа қол жетімді құралдар арқылы боттармен байланысып, ботнеттің командалық орталығы көмегімен ештеңеге күдектенбейтін пайдаланушылардың зияндалған компьютерлерін бақылай алады. Ботнеттің өзінің иесіне табыс әкелуі үшін желіге бірнеше он машиналарды біріктіру жеткілікті болады. Және де бұл табыс зомби-желінің тұрақтылығына және оның өсу қарқынына желілік тәуелді болып келеді.

PPC (Pay-per-Click) схемасы бойынша онлайн жұмыс істейтін жарнамалық компаниялар Интернет ресурста орналастырылған хабарландырулардың сілтемелері бойынша берілген бірегей шақырулары үшін ақша төлейді. Осындай компанияларды алдау бонтеттің иесі үшін пайдалы іс болып табылады.

Ботнеттерден қорғау құралдары

1. Бірінші кезекте бұл интернет-қауіптерден қорғауға арналған үнемі жаңартылатын базалары бар вирусқа қарсы бағдарламалар мен кешенді пакеттер. Олар тек қана қатерді уақтылы айқындауға көмектеспей, сіздің зомбиге айналдырылған «темір досыңыз» спамды таратуды немесе сайттарды «түсіруді» бастағанға дейін оны жоюға көмектеседі. Кешенді пакеттер жалпы командалық орталығы арқылы басқарылатын қорғау функцияларының толық жиынтығын қамтиды.

· Вирусқа қарсы модуль фондық режимде ең маңызды жүйелік салаларды сканерлеуді орындайды және вирустар басып енуі ықтимал барлық жолдарды бақылайды: электрондық пошта ішіндегісі мен ықтимал қауіпті веб-сайтттарды.

· Брандмауэр дербес компьютер мен Интернет арасындағы деректермен алмасуды бақылайды. Ол Желіден алынатын немесе сонда жіберілетін барлық деректер пакеттерін тексереді, және қажет болған кезде желілік шабуылдарды бұғаттап, жеке деректерді құпия түрінде Интернетке жіберуге кедергі жасайды.

· Спам-фильтр пошта жәшігін жарнамалық хабарламалардың енуінен қорғайды. Оның міндеттеріне сондай-ақ фишинг хаттарын айқындау кіреді, оның көмегімен зиянкестер онлайн төлем немесе банк жүйелеріне кіру үшін пайдаланушыдан оның деректері туралы ақпаратты алдап түсіруге әрекеттенеді.

2. Операциялық жүйені, веб-браузерлер мен басқа қосымшаларды үнемі жаңарту, оларды әзірлеушілер оларды қорғаудағы көптеген ақаулықтарды, сондай-ақ зиянкестер пайдаланатын осал жерлерді айқындайды және жояды.

3. Бот компьютерге кірсе де арнайы шифрлаушы бағдарламалар сіздің дербес деректерді қорғайды, себебі оларға қол жеткізу үшін ол парольді бұзуға мәжбір болады.

4. Парасатты мағына мен абайлық. Егер өз деректеріңізді түрлі қауіптерден қорғағыңыз келсе, белгісіз бағдарламаларды көшіріп, орнатпаңыз, вирусқа қарсының ескертулеріне қарамастан архивтерді ашпаңыз, браузер қауіпті деп белгілеген сайттарға кірмеңіз және т.б.

Зиянды бағдарламаны жүктеу туралы шақыруларға ермеңіздер

Зиянкестер сіздің компьютеріңізді бот-желіге келесі түрде қоса алады:

· Зиянды бағдарламалық қамтамасыз етуді Сіздің ойыңызша сурет немесе фильм болып табылатын жүктемелер құрамында немесе электрондық пошта хабарламаларында, шұғыл хабарламаларда немесе әлеуметтік желілер сайттарында табуға болатын сілтемелер арқылы жіберу арқылы.

· Сізді компьютерлік вирус туралы жалған ескертуде қамтылған түймені немесе сілтемені басатындай етіп шошыту арқылы.

Материалдарды құрастыру барысында KZ-CERT қызметі ашық ақпарат көздеріндегі ақпаратты пайдаланды.