Botnet چیست؟ معرفی بات نت و 8 کاربرد مهم این شبکه مخرب

در میان انواع متعدی از نرم افزارهای مخرب ، بات نت ها گسترده ترین و جدی ترین تهدیدی است که امروزه به طور معمول در حملات سایبری رخ می دهد.بات نت ها مجموعه از رایانه های در خطر هستند که از راه دور به وسیله bot master تحت زیرساخت مشترک C&C کنترل می شوند. bot مخفف Robotاست که همچنین به آن زامبی هم گفته می شود. تفاوت اصلی بین بات نت با سایر انواع بد افزارها وجود زیر ساخت C&C است که به بات ها اجازه می دهد که دستورات و command ها را دریافت کنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

Bot master باید مطمئن شود که ساختار C&C شان به اندازه کافی قوی است که هزاران بات توزیع شده در سراسر جهان را مدیریت کند و همچنین دربرابر هر گونه تلاش برای از بین بردن بات نت ها مقاوت کند. بات نت چیزی جز یک ابزار نیست و انگیزه های مختلفی برای استفاده از آنها وجود دارد. رایج ترین استفاده از بات نت انگیزه های جنایتکارانه مانند کسب درامد و برای اهداف خرابکارانه است. کاربردهای بات نت ها می توانند به صورت زیر دسته بندی شوند ولی احتمالا کاربردهای بالقوه دیگری هم وجود دارد که در زیر لیست نشده است:


1-حملات DDOS

حمله ای روی سیستم کامپیوتر یا شبکه است که منجر به از دست دادن سرویس دهی به کاربران می شود که معمولا باعث از دست رفتن اتصال و سرویس های شبکه با مصرف پهنای باند شبکه قربانی یا ایجاد سربار روی منابع محاسباتی سیستم می شود. حملات DDOS تنها به وب سرورها محدود نمی شوند تقریبا هر سرویس قابل دسترسی روی اینترنت می تواند هدف چنین حمله ای باشد.

2-Spamming

این رایج ترین و ساده ترین استفاده از بات نت است. کارشناسان تخمین زده اند که بیش از 80 درصد spam ها توسط کامپیوتر های زامبی ارسال می شوند. بات نت ها که هزاران کامپیوتر را در بر می گیرند به spammer ها اجازه می دهند که میلیون ها پیام از سیستم های آلوده در بازه زمانی کوتاهی فرستاده شود.مزایایی که باتنت ها برای spammer ها ایجاد می کنند به شرح زیر است:

  • ادرس هایی که برای فرستادن spam استفاده می شود جزء لیست سیاه قرار می گیرد و mailهایی با این آدرس ها به طور خودکار توسط mail server مشخص خواهند شد اما این مشکل توسط بات نت ها حل شده است.
  • بات نت این امکان را برای spammer فراهم می کند تا آدرس های Email را از روی کامپیوتر آلوده برداشت کند. این آدرسها به SPAMMER ها فروخته شده یا توسط خود صاحبان بات نت استفاده می شوند.

3-Sniffing traffic

بات نت می تواند برای کشف اطلاعات مهم و حساس روی سیستم آلوده استفاده شود .اگر سیستم بیش از یک بار آلوده شده باشد و بات نت های دیگری هم وجود داشته باشند،Packet sniffing اطلاعات کلیدی سایر بات ها را هم جمع آوری می کند.

4-Key logging

وقتی که سیستم آلوده شده از کانال های رمزگذاری (مانند Https و POP35 ) استفاده می کند ، sniffing بسته ها روی سیستم کار بیهوده ای است تا زمانی که کلید مناسب رمزگشایی کشف شود. اما بات ها ویژگی هایی را برای این موقعیت ارائه می دهند و با کمک key logger حمله کننده می تواند به آسانی اطلاعات حساس را بازیابی کند.

5-Spreading new malware

در اکثر موارد بات نت ها برای انتشار بات های جدید استفاده می شوند و این کار را به آسانی از طریق دانلود و اجرای فایل از طریق Http یا Ftp انجام می دهند.همچنین بات نت می توانند ویروسی را از طریق Email پخش کنند و بات نت باعث می شود که ویروس خیلی سریع انتشار پیدا کند و باعث آسیب بیشتر گردد.

6-(Installing advertisement add-ons and Browser Helper Objects (BHO

بات نت ها می توانند برای به دست آوردن سود های مالی استفاده شوند این با راه اندازی وب سایت جعلی و و تبلیغات روی آن انجام می شود.اپراتور این وب سایت با برخی از شرکت های hosting گفتگو می کند که به ازای کلیک روی تبلیغات پرداخت داشته باشند.با کمک بات نت این کلیک ها می تواند به صورت خودکار انجام شود به طوری که مستقیما چند هزار بات روی pop-upها کلیک کنند.این فرایند می تواند گسترش پیدا کند اگر بات ، Start page کامپیوتر آلوده را تصرف کند و هر زمان که قربانی از browser استفاده می کند کلیک ها اجرا می شود.

7-Mass identify theft

اغلب ترکیبی از مواردی که در بالا گفته شد می تواند برای سرقت هویت در مقیاس بزرگی استفاده شود. phishing mail که تظاهر به درستی می کنند از قربانیانشان می خواهند که به صورت آنلاین به سایت رفته و اطلاعات شخصی شان را ثبت کنند این Emailهای جعلی از طریق بات ها به وسیله روش های spammingشان تولید و فرستاده می شود.

8-Anonymous Internet Access

مهاجمان می توانند از طریق بات ها به وب سرورها دسترسی پیدا کنند و و جنایاتی از قبیل هک کردن وب سایت ها یا انتقال پول های دزدیه شده را نجام دهند که البته به نظر می رسد که که این فعالیت را آن سیستم آلوده انجام داده است.ما می توانیم انواع بات نت ها را از نظر معماری و پروتکل های آنها به صورت زیر دسته بندی کنیم:

Classification of botnets according to architectures :در حال حاضر دو نوع شناخته شده از معماری بات نت وجود دارد:

  • Centralized botnets : در این نوع از بات نت ها، تمام کامپیوتر ها به یک مرکز فرمان و کنترل (C&C) متصل شده اند. C&C منتظر می ماند تا بات های جدید متصل شوند، آنها را در پایگاه داده ثبت می کند ، وضعیت آنها را trackو ردیابی می کند و bot master به آنها دستوراتی را که از لیست دستورات بات انتخاب می شود ارسال می کند.تمام کامپیوتر های زامبی برای C&C قابل مشاهده هستند. همچنین صاحب شبکه نیاز دارد که به C&C دسترسی داشته باشد تا بتواند بات نت متمرکز را مدیریت کند.این نوع از بات نت ها گسترده ترین نوع از شبکه زامبی هستند. چنین بات نت ساده تر ایجاد و مدیریت می شوند و به دستورات سریع تر پاسخ می دهند. از آن طرف شناسایی این نوع بات نتها آسان است و درصورت شناسایی کانال C&C ، تمام بات نت ها افشا خواهند شد.
  • Decentralized or peer-to-peer botnets: در بات نت غیرمتمرکز، بات ها به چندین کامپیوتر آلوده روی شبکه بات نت متصل هستند. دستورات از طریق یک بات به بات دیگر منتقل می شود. هر بات لیستی از جند همسایه خود را دارد و هر دستور که توسط بات از همسایه هایش دریافت شود، برای دیگران فرستاده می شود و همین طور این کار انجام می شود و بدین ترتیب دستورات در سراسر شبکه زامبی پخش خواهند شد. ایجاد بات نت های غیر متمرکز کار آسانی نیست ولی شناسایی بات نت های غیر متمرکز به مراتب پیچیده تر است.

Classification of botnets according to network protocols : بات نت ها می توانند به رده های زیر دسته بندی شوند زمانی که رده بندی براساس پروتکل های شبکه است.

  • IRC-oriented: این یکی از اولین نوع های بات نت است . بات ها از طریق کانال های IRC کنترل می شوند. هر کامپیوتر آلوده که به سرور IRC متصل است در بدنه برنامه بات نشان داده می شود برای دریافت دستورات از master اش روی کانال خاصی منتظر می ماند.استفاده از IRC دارای چندین مزیت می باشد: سرورهای IRC به طور رایگان در دسترس هستند و به آسانی راه اندازی می شوند، حمله کنندگان زیادی سال ها تجربه استفاده از ارتباطات IRC را دارند.
  • IM-oriented: این نوع از بات نت رایج نیست. تفاوت این با IRC oriented در این است که که بات نت ها در آن از کانال های ارتباطی که توسط سرویس های( IM (Instant messaging فراهم می شود مانند AOL،MSN ، ICQ و ....استفاده می کنند. دلیل اینکه چنین بات نت هایی از محبوبیت نسبتا کمی برخوردار هستند دشواری ایجاد account های شخصی IM برای هر بات است. بات ها باید به شبکه متصل شوند و در تمام مدت آنلاین بمانند.از آنجایی که اکثر سرویس های IM اجازه نمی دهند که سیستم از بیش از یک کامپیوتر در زمان استفاده از همان account متصل باشد، هر بات ،account خودش را نیاز دارد.اگرچه سرویس های IM تلاش زیادی برای جلوگیری از هر گونه ثبت نام account بصورت خودکار می کنند.
  • Web-oriented: این نوع نسبتا جدید است و به سرعت بات نت های طراحی شده برای کنترل شبکه های زامبی تحت world wide web در حال گسترش هستند. بات به وب سرور از پیش تعریف شده ای متصل می شود و از آن دستورات را دریافت می کندو در جواب داده ها را به ان انتقال می دهد.شبکه های زامبی به این صورت محبوب هستند به خاطر اینکه نسبتا آسان ایجاد می شوند.
  • Other: علاوه بر بات نت هایی که در بالا لیست شد، انواع دیگری از بات نت ها وجود دارند که از طریق پروتکل مربوط به خودشان ارتباط برقرار می کنند یعنی تنها مبتنی بر پشته TCP//IP هستند یعنی آنها تنها از پروتکل های لایه انتقال مانند TCP،ICMP وUDP استفاده می کنند.

کمی از یک بحث جذاب در خصوص بات نت چیست؟

با درود به همگی ، یه سوال داشتم که اگه بتونید کمکم کنید یک دنیا ممنون میشم. میخوام در مورد "بات نت" تحقیق کنم. اما گنگ گنگم. اگه در این مورد اطلاعات دارین لطفا کمک کنید.از الف تا ی هر چی میدونید لطف کنید بگید.از چیستی بات نتها تا انواعشون و چگونگی انتشار و روش مقابله باهاشون و کلاً چیزایی که لازمه برای پژوهش درمورد بات نت یاد گرفت. اگه کتابی در این مورد هم سراغ دارین بگین. خلاصه هر راهی که به نظرتون می رسه که میتونه کمکم کنه بگین. با سپاس فراوان

-----------------------

اطلاعاتی که من دارم با توجه به ضعف هایی که در سیستم یوزر هست وارد میشه و سیستم رو بصورتی مطیع خودش میکنه و از این سیستم برای حمله به سرور استفاده میکنه...البته باید گفت که بات نت یک کرم اینترنتی هست که ب عنوان اسپم به ایمیل ها ارسال میشه و سرعت تکثیر خیلی بالایی داره طوری که میتونه یک شبکه رو در حد اکسترانت تقریبا فلج کنه...اگه یادتون باشه ویروسی به نام بلاستر با همین روش تعداد زیادی سیستم رو آلوده کرد(900 میلیون) و تونس سرور های مایکروسافت رو واسه 3 روز از کار بندازه....این نوع حمله هانیاز به دانش زیادی برای نفوذ داره و الگوریتم های پیشرفته میطلبه....یه سر به وبسایت آشیانه بزن.www.ashiane.org... فقط من نمیدونم چرا همه دنبال هک کردن هستن...!

----------------------

خوب اول یک توضیح سریع و مختصر در خصوص ساختار این Botnet ای که فرمودید بدیم ، همونطوری که از اسمش پیداست شبکه هست چون Net داره در انتهای کلمه اما از چه نوعی و چه کاربردی داره ؟ ما انواع حملات هکری رو از نظر هدف هکر به سه نوع طبقه بندی میکنیم ، اولین هدف دستیابی به اطلاعات هست ، دومین هدف دستکاری اطلاعات هست و سومین هدف تخریب اطلاعات یا عدم دسترسی به اطلاعات هست ، Botnet ها بیشتر در رده بندی دسته سوم قرار میگیرند ، یعنی Botnet ها باعث بروز حملات خارج از سرویس کردن شبکه یا DOS میشن ، حالا خود DOS چی هست رو در ادامه لینکشو برات قرار میدم ، خوب شاید این سئوال پیش بیاد که چجوری یک Botnet تشکیل میشه و یکباره حمله میکنه ؟

جوابش رو هر روز در اینترنت دارین میبینید ، فرض رو بر این بگیرین که هکری به نام UNITY قصد هک کردن و تخریب اطلاعات وب سایت هواپیمایی کاسپین رو داره که اعصابش رو خورد کرده و کلی تو فروگاه پروازهاش تاخیر داشته ، خوب چیکار میکنه ؟ UNITY اگر خودش به تنهایی بشینه صبح تا شب سرور وب سایت هواپیمایی کاسپین رو بسته اطلاعاتی بهش ارسال کنه که خراب بشه ، جون به جونش کنن هیچکاری نمیتونه بکنه ، خوب راهکار چیه ؟ خوب UNITY یک نرم افزار پولی گرون رو کرک میکنه ، مثلا دیکشنری بابیلون ، بعد داخل این نرم افزار یک تروجان کار میزاره که باعث میشه هر کسی که این نرم افزار رو نصب کنه تابع دستوراتی باشه که از کامپیوتر UNITY صادر میشه ، خوب UNITY این نرم افزار رو داخل یک سایت آپلود رایگان برای دانلود رایگان قرار میده و بعد از مدتی هزاران نفر این نرم افزار رو دانلود میکنن و نصب میکنن و مشخصه که چی میشه نه ؟

باتنت چیست

UNITY الان یک شبکه داره که تحت اختیارش هستند و تجربه ثابت کرده که در لحظه یک سوم این کامپیوترها در اینترنت آنلاین هستند ، خوب این شبکه میشه یک Botnet و تحت امر UNITY قرار میگیره ، حالا UNITY دستور میده که دوستان عزیز به سرور وب سایت هواپیمایی کاسپین حمله کنید ، خوب در اینجا کی آدرس IP به سرور درخواست نمیفرسته !!! هزاران هزار درخواست برای این وب سایت ارسال میشه که نمیتونه تحمل کنه و DOS میشه ، این روش تشکیل Botnet هست ، روش انتشارش هم همین هست ، اما روش جلوگیریش بسیار بسیار سخته چون میتوهه False Positive زیادی داشته باشه . در خصوص اطلاعات بیشتر در این مورد همونطوری که دوست عزیزمون کابر Amin اشاره کردن ، میتونی به مطلب زیر که از وب سایت گروه امنیتی آشیانه برداشت شده مراجعه کنی که خیلی خوب این مسئله رو باز کرده ، هر سئوالی داشتی در ادامه ذکر کن :

هم در دوره آموزش سکیوریتی پلاس و هم در دوره آموزش نتورک پلاس در خصوص ماهیت حملات دیداس و انواع آنها بحث شده است ، اگر می خواهید اطلاعات بیشتری در این خصوص داشته باشید می توانید به این دوره ها مراجعه کنید ، حتی مفاهیم بات نیز در این دوره ها آموزش داده شده است.


نظرات