Ботнет — это компьютерная сеть, состоящая из некоторого количествахостов, с запущенными ботами (специальная программа, выполняющаяавтоматически и/или по заданному расписанию какие-либо действия через те жеинтерфейсы, что и обычный пользователь). Чаще всего бот в составе ботнетаявляется программой, скрытно устанавливаемой на устройство жертвы ипозволяющей злоумышленнику выполнять некие действия с использованиемресурсов заражѐнного компьютера.

Из огромного количества вредоносных программ ботнеты являются одной изсамых распространенных и серьезных угроз кибер-атак. Ботнет сегодня одна изключевых платформа, для таких интернет атак как:

— DDOS (Distributed Denial of Service, распределѐнная атака типа отказ вобслуживании). В ходе такой атаки с зараженных компьютеров на серверпосылается большой поток ложных запросов до тех пор, пока сервер не будетперегружен и станет не доступен пользователям;

— спам. По подсчетам экспертов приблизительно 80 % спама рассылается какраз при помощи бот-сетей. Среднестатистический спамер зарабатываетприблизительно 50—100 тысяч долларов в год на таких сетях. Бот-сети, предназначенные для рассылки спама, так же могут собирать адреса электроннойпочты на зараженных машинах;

— фишинг. Вид интернет-мошенничества, целью которого являетсяполучение доступа к конфиденциальным данным пользователей. Это достигаетсяпутѐм проведения массовых рассылок электронных писем от имени популярныхбрендов, а также личных сообщений внутри различных сервисов, например, отимени банков или внутри социальных сетей.

— кража личных данных;

— кликфрод — один из видов сетевого мошенничества, представляющийсобой обманные клики на рекламную ссылку лицом, не заинтересованным врекламном объявлении;

— использование компьютерных мощностей.

Ботнет это скоординированная группа зараженных машин, которыеконтролируются по средством C&C; (Command and Control) канала. Главнаяособенность ботнета, то что боты коммуницируют с C&C; серверами, выполняютвредоносную деятельность и делают это скоординировано. Исследователипредложили несколько подходов для определения существования ботнетов вконтролируемой среде. Большинство из этих подходов спроецированы длядетекции ботнетов которые используют IRC и HTTP основанные на C&C.;

Ботнеты достаточно гибкие и в течение жизни может менять свой С&C;серверный адрес. Таким образом виды детекции ботнетов, базирующихся на IRCили HTTP могут быть неэффективными. Вот почему нам необходимо развиватьследующее поколение детекционной системы ботнетов, которая могла бы бытьнезависимой от C&C; протокола, структуры и быть гибкой по отношению кизменению серверного адреса C&C.;

Для того чтобы разработать такую общую детекционную систему,независящую от изменения от серверного адреса C&C; нужно изучить большую часть ботнет коммуникаций и характерную активность, которая остаетсяобнаруженной специальными алгоритмами.

Можно заключить, что ботнет характеризуется и C&C; коммуникационнымканалом (из которого команды ботмастера получаются) и вредоноснойдеятельностью (когда команды исполняются). С другой стороны, некоторыеприложения могут показывать коммуникацию схожую с C&C; каналом, но они ненаносят никакой вредоносной деятельности.

Существуют две ботнет структуры:

— Централизованная. В этом типе ботнет сети все компьютеры находятся вцентральном управлении, главный минус такой системы то, что главныйкомпьютер (ботмастер), при раскрытии канала C&C;, будет обнаружен

— Децентрализованная. В этом типе ботнет сети все компьютеры передаюткоманды между собой).

И в централизованной, и в децентрализованной системах боты внутри однойсистемы в плане коммуникаций ведут себя одинаково, это главным образомобъясняется тем, что боты запрограммированы вести одну и туже C&C; логику. Вцентрализованной системе даже если адрес C&C; системы будет изменен С&Скоммуникационный образец останется неизменным. В случае сдецентрализованной системой коммуникация между ботами идет одинаково длявсех ботов одной ботнет системы, хотя у каждого бота может быть разный “бот-сосед” и могут общаться по разным портам независимо от системы и все членыботнета координируются через один C&C; канал.

Технические средства защиты от бот-сетей:

1. Устройства обнаружения и подавления DDoS-атак Cisco Guard и CiscoAnomaly Detector. Устройства являются самыми функциональными и мощными изсуществующих решений для подавления наиболее опасных на сегодняшний деньугроз, исходящих от ботнетов, а именно DDoS-атак.

2. Решение Cisco Service Control Engine (Cisco SCE) обладает возможностьюконтроля трафика абонентов широкополосного доступа в сеть.

3. Устройство IronPort S-series имеет возможность мониторинга трафика на 4уровне со скоростью 1Гбит/с, обнаруживая и блокируя попытки соединений свредоносными ресурсами в сети Интернет.

4. Cisco Security Agent защищает серверы, персональные компьютеры и POS-терминалы от наиболее распространенных атак с использованием ботнета:установки ПО бота, шпионских программ, ПО для скрытого удаленногоуправления, а также целенаправленных и совершенно новых атак.

5. Системы Cisco IPS используют алгоритмы обнаружения аномалий дляобнаружения и блокирования атак с использованием ботнетов.

6. Cisco NetFlow — это лучшая из представленных в отрасли реализацияFlow-протоколов с функцией телеметрии, позволяющей получать данные о работемаршрутизаторов под управлением Cisco IOS®. Благодаря своеймасштабируемости и возможности предоставления отчетов о трафике в сетяхлюбых размеров технология Cisco NetFlow стала стандартным методом полученияполезной информации для управления трафиком и обеспечения безопасности всетях как предприятий, так и операторов связи.

Система управления автоматическим распознаванием реального пользователяи компьютерной программы осуществляет двухуровневую защиту: с однойстороны, на программном и техническом уровне, а с другой — мониторинг сетиИнтернет и рабочих машин с целью дальнейшего обнаружения и частичной илиполной ликвидации бот-сети.

Обнаружение бот-сетей в первую очередь основано на анализе сетевоготрафика. Совокупная информация об аномальных изменениях объемов входящегои выходящего трафика дает четкую картину о попытках нарушить работу,осуществить кражу информации и прочих воздействий на систему.

Следовательно, алгоритм для сбора и анализа статистки входного трафикаявляется важной составляющей всей системы.

Нейтрализация источника негативного воздействия на работу организациитак же является немаловажной задачей, потому что попытки нарушения работымогут быть неоднократными, а на борьбу с действием бот-сети требуются многоресурсов и времени.

Данный метод обнаружения основан на том, что хост может находиться водном из трѐх состояний — либо легитимный IRC-клиент, либо бот, находящийсяв состоянии ожидания команды, либо бот в состоянии атаки. Каждому из этихсостояний соответствуют специфические значения средней длины пакета ичастоты пересылки пакетов.

Анализируя сегодняшнюю ситуацию развития кибер-преступности, можноприйти к выводам, что бот-сети являются одной из самых доходных сфер, а также,что злоумышленники вряд ли сами откажутся от подобного вида заработков, и, всвою очередь, вряд ли исчезнет конкуренция в сфере бизнеса, где сохранностьинформации и стабильность работы веб-сайтов является залогом успешногофункционирования предприятий и фирм, а также государственных сетей. Хотяэксперты и предупреждают об опасности, которую несут развитие бот-сетей,большинство владельцев бизнеса, государство отказываются предприниматькакие-либо меры по защите от них до тех пор, пока не сталкиваются с подобнойпроблемой, а зомби-сети все продолжают и продолжают развиваться.