Botnet

Botnet — bu har biri ikki yoki undan ortiq botlarni boshqaradigan Internet bilan aloqaga ega bir qancha qurilmalar majmuasi. Botnetlar Distributed Denial-of-Service (DDoS) hujumlarini amalga oshirish, maʼlumotlarni oʻgʻirlash^[1] spam yuborish va tajovuzkor shaxsga qurilmaga ulanish va uni boshqarish uchun ruxsat berish maqsadida ishlatilinishi mumkin. Xaker command&control (C&C) dasturi yordamida botnetni boshqarishi mumkin^[2]. „Botnet“ soʻzi „robot“ va „network — tarmoq“ soʻzlaridan tashkil topgan qoʻshma soʻzdir. Bu atama odatda salbiy yoki zararli maʼnoda ishlatilinadi.

DDoS hujumini koʻrsatadigan Stacheldraht botnet diagrammasi. (Eʼtibor bering, bu botnetning mijoz-server modeli turiga ham misoldir.)

Umumiy koʻrinish

Botnet — bu kompyuterlar, smartfonlar yoki „Internet of things“ (IoT) qurilmalari kabi Internetga ulangan qurilmalarning mantiqiy toʻplami boʻlib, ushbu tarmoq qurbonlarining xavfsizligi buzib oʻtilgan va boshqaruv uchinchi tomon qoʻliga oʻtgan boʻladi. „Bot“ deb nomlanuvchi har bir buzilgan qurilma zararli dasturlarni tarqatuvchi dasturiy taʼminot qurilmasiga kirganida yaratiladi. Botnet boshqaruvchisi ARM va Hypertext Transfer Protocol (HTTP) kabi standartlarga asoslangan tarmoq protokollari hamda maxsus aloqa kanallari orqali ushbu buzilgan kompyuterlar faoliyatini boshqara oladi^[3][4].

Botnetlar kiberjinoyatchilar tomonidan tobora koʻproq turli maqsadlar uchun qoʻllanib kelinmoqda^[5].

Tuzilishi

Botnet arxitekturasi vaqt oʻtishi bilan aniqlanib qolish xavfidan qochish maqsadida rivojlana bormoqda. Anʼanaga koʻra, bot dasturlari mavjud serverlar orqali muloqot qiladigan mijozlar sifatida tuzilgan. Bu bot qoʻriqchisiga (botnet boshqaruvchisi) barcha boshqaruvni masofaviy joydan amalga oshirish imkonini beradi, bu esa trafikni xiralashtiradi^[6]. Koʻpgina soʻnggi rusumdagi botnetlar aloqa qilish uchun mavjud boʻlgan peer-to-peer tarmoqlariga tayanishni boshlashmoqda. Ushbu P2P bot dasturlari mijoz-server modeli bilan bir xil amallarni bajaradi, biroq ular bilan aloqa qilish uchun markaziy server kerak emas.

Mijoz-server modeli

 

Mijoz-server modeliga asoslangan tarmoq, bu yerda individual mijozlar markazlashtirilgan serverlardan xizmatlar va resurslarni soʻrashadi.

Internetdagi birinchi botnetlar oʻz vazifalarini bajarish uchun mijoz-server modelidan foydalanganlar^[7]. Odatda, bu botnetlar Internet Relay Chat tarmoqlari, domenlari yoki veb-saytlari orqali ishlaydi. Infeksiyalangan mijozlar oldindan belgilangan joyga kirishadi va serverdan kiruvchi buyruqlarni kutishadi. Bot qoʻriqchisi buyruqlarni serverga yuboradi va ularni mijozlarga uzatadi. Mijozlar buyruqlarni bajaradilar va natijalarini botnet egasiga xabar qiladilar.

ARM botnetlarida zararlangan mijozlar ARM serveriga ulanadi va bot qoʻriqchisi tomonidan C&C uchun oldindan moʻljallangan kanalga qoʻshiladi. Bot qoʻriqchisi ARM serveri orqali tarmoqqa buyruqlar yuboradi. Har bir mijozbot buyruqlarni oladi va ularni bajaradi. Mijozlar oʻz harakatlarining natijalari bilan ARM tizimiga xabar yuboradilar^[6].

Foydalanuvchilararo

 

Oʻzaro bogʻlangan tugunlar markazlashtirilgan maʼmuriy tizimdan foydalanmasdan resurslarni bir-biri bilan boʻlishadigan peer-to-peer (P2P) tarmogʻi.

ARM botnetlarini aniqlash va dekapitatsiya qilish harakatlariga javoban bot qoʻriqchisi zararli dasturlarni peer-to-peer tarmoqlarida joylashtirishni boshlaydi. Ushbu botlar raqamli imzolardan foydalanishi mumkin, shunda faqat shaxsiy kalitga ega boʻlgan kishi botnetni boshqarishi mumkin^[8]. Masalan Gameover ZevS va ZeroAccess botnet kabilar shu tarzda ishlaydi.

Yangi botnetlar toʻliq P2P tarmoqlari orqali ishlaydi. P2P botlari markazlashtirilgan server bilan bogʻlanish oʻrniga, buyruqlarni tarqatish serveri va buyruqlarni qabul qiluvchi mijoz sifatida ishlaydi^[9]. Bu markazlashtirilgan botnetlar uchun muammo boʻlgan har qanday nosozlikning oldini oladi.

Boshqa zararlangan mashinalarni topish uchun bot boshqa virusli mashina bilan aloqa qilmaguncha tasodifiy IP manzillarini ehtiyotkorlik bilan tekshiradi. Aloqa oʻrnatgan bot oʻzining dasturiy taʼminot versiyasi va maʼlum boʻlgan botlar roʻyxati kabi maʼlumotlar bilan protokol tuzadi. Agar botlarning biri boshqasidan kuchsizroq boʻlsa, ular yangilash uchun fayl uzatishni boshlaydi^[8]. Shunday qilib, har bir bot virusli mashinalar roʻyxatini kengaytiradi va vaqti-vaqti bilan barcha maʼlum botlarga bogʻlanish orqali oʻzini yangilaydi.

Asosiy komponentlar

Botnet yaratuvchisi ("bot qoʻriqchisi " yoki „bot master“ sifatida tanilgan) botnetni masofadan turib boshqaradi. Bu command&control (C&C) deb nomlanadi. Operatsiya uchun dastur maxfiy tarmoq orqali qurbonning mashinasida (zombi kompyuter) mijoz bilan bogʻlanishi kerak.

Boshqarish protokollari

ARM aloqa protokoli tufayli tarixan maʼqullangan C&C vositasidir. BotMaster zararlangan mijozlar qoʻshilishi uchun ARM kanalini yaratadi. Tarmoqqa yuborilgan xabarlar barcha tarmoq aʼzolariga uzatiladi. Yaratuvchisi botnetga buyruq berish uchun tizim mavzusini belgilashi mumkin. Masalan, bot chorvachisidan :herder!herder@example.com TOPIC #channel DDoS www.victim.com xabari #kanal hashtagiga tegishli barcha zararlangan mijozlarni www.victim.com veb-saytiga DDoS hujumini boshlash haqida ogohlantiradi.

Misol javobi :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com bot mijozi tomonidan bot master hujumni boshlaganligi haqida ogohlantiradi^[8].

Baʼzi botnetlar taniqli protokollarning maxsus versiyalarini amalga oshiradi. Amalga oshirishdagi farqlar botnetlarni aniqlash uchun ishlatilishi mumkin. Masalan, Mega-D spam qobiliyatini sinab koʻrish uchun biroz oʻzgartirilgan Simple Mail Transfer Protocol (SMTP) ilovasiga ega boʻlishi mumkin. Mega-D ning SMTP serverini oʻchirib qoʻyishi SMTP serveriga tayanadigan botlarning butun qoʻshinini oʻchirib qoʻya oladi^[10].

Zombi kompyuter

Kompyuter texnologiyalarida „zombi“ atamasi — bu kompyuter virusi, kompyuter qurti yoki troyan oti dasturi orqali xaker tomonidan buzilgan va uning masofaviy boshqaruvi ostida zararli vazifalarni bajarish uchun ishlatilishi mumkin boʻlgan Internet bilan aloqaga ega kompyuter. Zombi kompyuterlar koʻpincha xaker tomonidan boshqariladigan botnetga birgalikda muvofiqlashtiriladi va elektron pochta spamlarini tarqatish va veb-serverlarga nisbatan tarqatilgan xizmat koʻrsatishni rad etish hujumlarini (DDoS hujumlarini) boshlash kabi harakatlar uchun ishlatiladi. Aksariyat qurbonlar kompyuterlari zombi boʻlib qolganidan bexabar boʻlishadi. Bu kontseptsiya Gaitilik Vudu (Haitian Voodoo) folkloridagi zombiga oʻxshaydi. Zombi sehrgar tomonidan afsun orqali tiriltirilgan va sehrgarning buyrugʻiga qul boʻlgan, oʻz xohish-irodasiga ega boʻlmagan murdaga ishora qiladi. Bir nechta botnet mashinalari tomonidan muvofiqlashtirilgan DDoS hujumi, shuningdek, fantastik zombi filmlarida tasvirlanganidek, „zombi toʻdasi hujumi“ ga oʻxshaydi.

Tizimning „botnet“ ga qoʻshilishi natijasida maqsadli resurslarini oʻgʻirlash jarayoni baʼzan „scrumping“ deb ataladi^[11].

Command&Control (Buyur&Nazorat qil)

Botnet buyruq va boshqaruv protokollari (C&C) anʼanaviy IRC yondashuvlaridan tortib, murakkabroq versiyalargacha bir qancha usullarda amalga oshirildi.

Telnet

Telnet botnetlari oddiy C&C botnet protokolidan foydalanadi va unda botlar botnetni joylashtirish uchun asosiy buyruq serveriga ulanadi. Botlar tashqi serverda ishlaydigan telnet va SSH serverlarining standart kirishlari uchun IP diapazonlarini skanerlaydigan skript yordamida botnetga qoʻshiladi. Login topilgach, skanerlash serveri uni SSH orqali zararli dastur bilan yuqtirishi mumkin, bu esa boshqaruv serveriga ping yuboradi.

ARM

ARM tarmoqlari oddiy, past tarmoqli aloqa usullaridan foydalanadi, bu ularni botnetlarni joylashtirish uchun keng qoʻllash imkonini beradi. Ularning tuzilishi nisbatan sodda boʻlib, DDoS hujumlari va spam kampaniyalarini muvofiqlashtirishda oʻrtacha muvaffaqiyat bilan foydalanilgan, shu bilan birga oʻchirib tashlanmaslik uchun kanallarni doimiy ravishda almashtirish imkoniyatiga ega. Biroq, baʼzi hollarda, faqat maʼlum kalit soʻzlarni blokirovka qilish ARM-ga asoslangan botnetlarni toʻxtatishda samarali ekanligini isbotladi. RFC 1459 (ARM) standarti botnetlar orasida mashhur. Birinchi mashhur botnet boshqaruvchisi skripti „MaXiTE Bot“ shaxsiy boshqaruv buyruqlari uchun ARM XDCC protokolidan foydalangan.

ARM dan foydalanishdagi muammolardan biri shundaki, har bir bot mijozi botnetdan foydalanish uchun ARM serveri, porti va tarmogʻini bilishi kerak. Zararli dasturlarga qarshi tashkilotlar ushbu serverlar va kanallarni aniqlab, oʻchirib qoʻyishi, botnet hujumini samarali toʻxtatishi mumkin. Agar bu sodir boʻlsa, mijozlar hali ham infektsiyalangan, lekin ular odatda uxlab yotadilar, chunki ular koʻrsatmalarni olish imkoniga ega emaslar^[8]. Ushbu muammoni hal qilish uchun botnet bir nechta server yoki kanallardan iborat boʻlishi mumkin. Agar server yoki kanallardan biri oʻchirilgan boʻlsa, botnet boshqasiga oʻtadi. IRC trafigini hidlash orqali qoʻshimcha botnet serverlari yoki kanallarini aniqlash va buzish hali ham mumkin. Botnetning raqibi hatto boshqaruv sxemasi haqida bilimga ega boʻlishi va buyruqlarni toʻgʻri berish orqali bot choʻponiga taqlid qilishi mumkin^[12].

P2P (Pitupi)

ARM tarmoqlari va domenlaridan foydalanadigan botnetlarning koʻpchiligi vaqt oʻtishi bilan oʻchirilishi mumkinligi sababli, xakerlar botnetni yanada mustahkamroq va tugatishga chidamli qilish uchun C&C bilan P2P botnetlariga oʻtishadi.

Baʼzilar shifrlashdan botnetni boshqalardan himoya qilish yoki blokirovka qilish usuli sifatida ham ishlatishgan, koʻpincha shifrlashdan foydalanganda bu ochiq kalitli kriptografiya boʻlib, uni amalga oshirishda ham, uni buzishda ham qiyinchiliklar tugʻdiradi.

Domenlar

Koʻpgina yirik botnetlar oʻz qurilishida IRC oʻrniga domenlardan foydalanadilar (qarang: Rustock botnet va Srizbi botnet). Ular odatda oʻq oʻtkazmaydigan xosting xizmatlariga ega. Bu C&C ning eng dastlabki turlaridan biridir. Zombi kompyuter maxsus moʻljallangan veb-sahifaga yoki boshqaruv buyruqlari roʻyxatiga xizmat qiluvchi domen(lar) ga kiradi. Veb-sahifalar yoki domenlardan C&C sifatida foydalanishning afzalliklari shundaki, katta botnetni osongina yangilanishi mumkin boʻlgan juda oddiy kod yordamida samarali boshqarish va saqlash mumkin.

Ushbu usuldan foydalanishning kamchiliklari shundaki, u keng miqyosda katta hajmdagi tarmoqli kengligidan foydalanadi va domenlar davlat idoralari tomonidan ozgina kuch sarflab tezda egallab olinishi mumkin. Agar botnetlarni boshqaruvchi domenlar qoʻlga olinmasa, ular ham xizmat koʻrsatishni rad etish hujumlari bilan murosa qilishning oson maqsadi hisoblanadi.

Fast-flux DNS- dan kundan-kunga oʻzgarishi mumkin boʻlgan boshqaruv serverlarini kuzatishni qiyinlashtirish uchun foydalanish mumkin. Boshqaruv serverlari, shuningdek, DNS domenidan DNS domeniga oʻtishlari mumkin, domen yaratish algoritmlari boshqaruvchi serverlari uchun yangi DNS nomlarini yaratish uchun ishlatiladi.

Baʼzi botnetlar DynDns.org, No-IP.com va Afraid.org kabi bepul DNS hosting xizmatlaridan foydalanadi, bu esa botlarni oʻz ichiga olgan IRC serveriga subdomenni yoʻnaltiradi. Ushbu bepul DNS xizmatlarining oʻzi hujumlarga ega boʻlmasa-da, ular mos yozuvlar nuqtalarini taqdim etadi (koʻpincha botnetning bajariladigan fayliga qattiq kodlangan). Bunday xizmatlarni olib tashlash butun botnetni buzishi mumkin.

Boshqalar

GitHub^[13], Twitter^[14][15], Reddit^[16], Instagram^[17] XMPP ochiq kodli tezkor xabar protokoli^[18] va Tor maxfiy xizmatlari kabi yirik ijtimoiy media saytlariga^[19] qayta soʻrov yuborish^[20] C&C serveri bilan aloqa qilish uchun chiqish filtrlashdan qochishning mashhur usullari orqali amalga oshiriladi^[21].

Tuzilmasi

Anʼanaviy

Ushbu misol botnet qanday yaratilgani va zararli foyda olish uchun ishlatilishini koʻrsatadi.

1. Xaker troyan va/yoki ekspluatatsiya toʻplamini sotib oladi yoki quradi va undan foydali yuki zararli dastur boʻlgan bot boʻlgan foydalanuvchilarning kompyuterlarini yuqtirishni boshlash uchun foydalanadi.
2. Bot virusli kompyuterga maʼlum bir buyruq va boshqaruv (C&C) serveriga ulanishni buyuradi. (Bu botmasterga qancha botlar faol va onlayn ekanligi haqidagi jurnallarni yuritish imkonini beradi.)
3. Keyin botmester botlarni klavishlarni bosish uchun ishlatishi yoki onlayn hisobga olish maʼlumotlarini oʻgʻirlash uchun shaklni egallashdan foydalanishi va botnetni DDoS va/yoki spam sifatida xizmat sifatida ijaraga berishi yoki daromad olish uchun hisob maʼlumotlarini onlayn sotishi mumkin.
4. Botlarning sifati va qobiliyatiga qarab, qiymat oshiriladi yoki kamayadi.

Yangi botlar avtomatik ravishda oʻz muhitini skanerlashi va zaifliklar va zaif parollar yordamida oʻzlarini targʻib qilishi mumkin. Umuman olganda, bot qanchalik zaifliklarni skanerlashi va tarqatishi mumkin boʻlsa, botnet boshqaruvchilari hamjamiyatiga shunchalik qimmatli boʻladi^[22].

Kompyuterlar zararli dasturlarni ishga tushirganda botnetga qoʻshilishi mumkin. Bunga foydalanuvchilarni avtoulov orqali yuklab olishga jalb qilish, veb-brauzerning zaifliklaridan foydalanish yoki foydalanuvchini elektron pochta ilovasidan kelib chiqishi mumkin boʻlgan troyan oti dasturini ishga tushirishga aldash orqali erishish mumkin. Ushbu zararli dastur odatda botnet operatori tomonidan kompyuterga buyruq berish va boshqarish imkonini beruvchi modullarni oʻrnatadi. Dastur yuklab olingandan soʻng, u uyga qoʻngʻiroq qiladi (qayta ulanish paketini yuboradi) asosiy kompyuterga. Qayta ulanish amalga oshirilganda, u qanday yozilganiga qarab, troyan oʻzini oʻchirib tashlashi yoki modullarni yangilash va saqlash uchun mavjud boʻlib qolishi mumkin.

Boshqalar

Baʼzi hollarda, botnet vaqtincha koʻngilli xakerlar tomonidan yaratilishi mumkin, masalan, 2010-yilda Chanology loyihasi davomida 4chan aʼzolari tomonidan foydalanilgan Past orbitali ionli toʻpni amalga oshirish bilan^[23].

Xitoyning Buyuk toʻpi 2015-yilda GitHub kabi yirik nishonlarga hujum qilish uchun katta efemer botnet yaratish uchun Xitoyga internet magistrallarida qonuniy veb-brauzer trafigini oʻzgartirish imkonini beradi^[24].

Umumiy xususiyatlar

• Aksariyat botnetlarda hozirda tarqatilgan xizmat koʻrsatishni rad etish hujumlari mavjud boʻlib, ularda bir nechta tizimlar bitta Internet-kompyuter yoki xizmatga imkon qadar koʻproq soʻrovlar yuborib, uni haddan tashqari yuklaydi va qonuniy soʻrovlarga xizmat koʻrsatishni oldini oladi. Masalan, jabrlanuvchining serveriga qilingan hujum. Jabrlanuvchining serveri botlar tomonidan soʻrovlar bilan bombardimon qilinadi, serverga ulanishga harakat qiladi, shuning uchun uni haddan tashqari yuklaydi.
• Spyware — bu foydalanuvchi faoliyati haqida oʻz yaratuvchilariga maʼlumot yuboradigan dasturiy taʼminot — odatda parollar, kredit karta raqamlari va qora bozorda sotilishi mumkin boʻlgan boshqa maʼlumotlar. Korporativ tarmoq ichida joylashgan buzilgan mashinalar bot chorvadori uchun qimmatroq boʻlishi mumkin, chunki ular koʻpincha maxfiy korporativ maʼlumotlarga kirishlari mumkin. Yirik korporatsiyalarga bir necha maqsadli hujumlar Aurora botneti kabi nozik maʼlumotlarni oʻgʻirlashga qaratilgan^[25].
• Elektron pochta spamlari — bu odamlardan kelgan xabarlar sifatida yashiringan, ammo reklama, bezovta qiluvchi yoki zararli boʻlgan elektron pochta xabarlari.
• Klik firibgarligi foydalanuvchi kompyuteri shaxsiy yoki tijoriy manfaatlar uchun soxta veb-trafik yaratish maqsadida foydalanuvchining xabardorligisiz veb-saytlarga tashrif buyurganida yuzaga keladi^[26].
• CHEQ, Ad Fraud 2019, Internetdagi yomon ishtirokchilarning iqtisodiy narxiga koʻra, reklama firibgarligi koʻpincha botlarning zararli faoliyati natijasidir. Botlarning tijoriy maqsadlari orasida taʼsir qiluvchilar oʻzlarining taxminiy mashhurligini oshirish uchun foydalanishlari va onlayn nashriyotlar botlardan reklamani chertishlar sonini koʻpaytirish, saytlarga reklama beruvchilardan koʻproq komissiya olish imkonini beradi.
• Bitkoin qazib olish botnet operatori uchun daromad olish uchun xususiyat sifatida bitkoin qazib olishni oʻz ichiga olgan soʻnggi botnetlarda ishlatilgan^[27][28].
• Oʻz-oʻzidan tarqaladigan funksionallik, oldindan sozlangan buyruq-va-nazorat (CNC) bosilgan yoʻriqnomani oʻz ichiga olgan maqsadli qurilmalar yoki tarmoqni oʻz ichiga oladi, koʻproq infektsiyani maqsad qiladi, shuningdek, bir nechta botnetlarda uchraydi. Baʼzi botnetlar oʻzlarining infektsiyalarini avtomatlashtirish uchun ushbu funktsiyadan foydalanadilar.

Bozordagi oʻrni

Botnet-nazoratchilar hamjamiyatida universitet, korporativ va hatto davlat mashinalari kabi eng koʻp botlarga, eng yuqori umumiy oʻtkazish qobiliyatiga va „yuqori sifatli“ zararlangan mashinalarga ega boʻlish uchun doimiy va uzluksiz kurash mavjud^[29].

Botnetlar koʻpincha ularni yaratgan zararli dastur nomi bilan atalsa-da, bir nechta botnetlar odatda bir xil zararli dasturdan foydalanadi, lekin turli ob’ektlar tomonidan boshqariladi.

Fishing

Botnetlar koʻplab elektron firibgarlik uchun ishlatilishi mumkin. Bu botnetlar oddiy foydalanuvchilarning kompyuterini/dasturiy taʼminotini nazorat qilish uchun viruslar kabi zararli dasturlarni tarqatish uchun ishlatilishi mumkin^[30]. Birovning shaxsiy kompyuterini nazorat qilish orqali ular shaxsiy maʼlumotlariga, jumladan, parollar va hisoblarga kirish maʼlumotlariga cheksiz kirish huquqiga ega boʻladilar. Bu fishing deb ataladi. Fishing bu elektron pochta yoki matn orqali yuboriladigan „jabrlanuvchi“ bosgan havola orqali „jabrlanuvchi“ akkauntlariga kirish maʼlumotlarini olishdir^[31]. Verizon soʻrovi shuni koʻrsatdiki, elektron „josuslik“ holatlarining uchdan ikki qismi fishingdan kelib chiqadi^[32].

Qarshi choralar

Botnetlarning geografik tarqalishi shuni anglatadiki, har bir ishga yollanuvchi alohida identifikatsiya qilinishi/toʻgʻrilanishi/taʼmirlanishi va filtrlashning afzalliklarini cheklaydi.

Kompyuter xavfsizligi boʻyicha mutaxassislar zararli dasturlarni boshqarish va boshqarish tarmoqlarini yoʻq qilish yoki yoʻq qilishga muvaffaq boʻlishdi, shu qatorda serverlarni tortib olish yoki ularni Internetdan uzib qoʻyish, zararli dastur tomonidan C&C infratuzilmasi bilan bogʻlanish uchun foydalanishi kerak boʻlgan domenlarga kirishni rad etish va baʼzi hollarda C&C tarmogʻiga kirish^[33][34][35]. Bunga javoban, C&C operatorlari oʻzlarining C&C tarmoqlarini IRC yoki Tor kabi boshqa mavjud infratuzilmalarga joylashtirish, hech qanday sobit serverlarga bogʻliq boʻlmagan peer-to-peer tarmoq tizimlaridan foydalanish va ochiq kalitdan foydalanish kabi usullarga murojaat qilishdi. tarmoqqa kirish yoki buzishga urinishlarni bartaraf etish uchun shifrlash^[36].

Norton AntiBot isteʼmolchilarga qaratilgan edi, lekin koʻpchilik maqsadli korxonalar va/yoki ISPlar. Xostga asoslangan usullar anʼanaviy virusga qarshi dasturlarni chetlab oʻtgan bot xatti-harakatlarini aniqlash uchun evristik usullardan foydalanadi. Tarmoqqa asoslangan yondashuvlar yuqorida tavsiflangan usullardan foydalanishga moyildir; C&C serverlarini yopish, DNS yozuvlarini null-marshrutlash yoki IRC serverlarini toʻliq oʻchirish. BotHunter — bu AQSh armiyasi tadqiqot idorasi koʻmagida ishlab chiqilgan dasturiy taʼminot boʻlib, tarmoq trafigini tahlil qilish va uni zararli jarayonlarga xos boʻlgan naqshlar bilan solishtirish orqali tarmoq ichidagi botnet faolligini aniqlaydi.

Sandia National Laboratories tadqiqotchilari juda katta tarmoqqa taqlid qilish uchun 4480 tugunli yuqori unumdor kompyuter klasterida virtual mashinalar sifatida bir million Linux yadrolarini (botnetga oʻxshash shkala) bir vaqtning oʻzida ishga tushirish orqali botnetlarning xatti-harakatlarini tahlil qilmoqdalar. botnetlar ishlaydi va ularni toʻxtatish usullari bilan tajriba oʻtkazadi.

Avtomatlashtirilgan bot hujumlarini aniqlash kundan-kunga qiyinlashib bormoqda, chunki tajovuzkorlar botlarning yangi va murakkab avlodlarini ishga tushirmoqda. Masalan, avtomatlashtirilgan hujum katta bot armiyasini joylashtirishi va hisoblarni buzish uchun juda aniq foydalanuvchi nomi va parollar roʻyxati bilan shafqatsiz kuch usullarini qoʻllashi mumkin. Bu gʻoya butun dunyo boʻylab turli IP-lardan oʻn minglab soʻrovlar bilan saytlarni toʻldirishdir, lekin har bir bot har 10 daqiqada faqat bitta soʻrov yuboradi, bu esa kuniga 5 milliondan ortiq urinishlarga olib kelishi mumkin^[37]. Bunday hollarda koʻplab vositalar volumetrik aniqlashdan foydalanishga harakat qiladi, ammo avtomatlashtirilgan bot hujumlari endi volumetrik aniqlashning tetiklarini chetlab oʻtish usullariga ega.

Ushbu bot hujumlarini aniqlash usullaridan biri bu „imzoga asoslangan tizimlar“ deb nomlanuvchi tizim boʻlib, unda dasturiy taʼminot soʻrovlar paketidagi naqshlarni aniqlashga harakat qiladi. Ammo hujumlar doimiy ravishda rivojlanib boradi, shuning uchun minglab soʻrovlardan naqshlarni ajratib boʻlmaydigan hollarda bu mos variant boʻlmasligi mumkin. Bundan tashqari, botlarni toʻxtatib turish uchun xulq-atvor yondashuvi mavjud boʻlib, u oxir-oqibat botlarni odamlardan ajratishga harakat qiladi. Insonga xos boʻlmagan xatti-harakatlarni aniqlash va maʼlum bot xatti-harakatlarini tan olish orqali ushbu jarayon foydalanuvchi, brauzer va tarmoq darajasida qoʻllanilishi mumkin.

Virusga qarshi kurashish uchun dasturiy taʼminotdan foydalanishning eng samarali usuli bu zararli dasturni tizimning zaif ekanligiga ishontirish uchun honeypot dasturidan foydalanish edi. Zararli fayllar keyinchalik sud-tibbiyot dasturi yordamida tahlil qilinadi.

2014-yil 15-iyul kuni Amerika Qoʻshma Shtatlari Senati Sud-huquq qoʻmitasining Jinoyat va terrorizm boʻyicha quyi qoʻmitasida botnetlar tahdidi hamda ularni buzish va yoʻq qilish boʻyicha davlat va xususiy harakatlar haqida tinglov boʻlib oʻtdi^[38].

Zararsiz foydalanish

BOINC ning bir qismi kabi koʻngilli hisoblash sifatida ham tanilgan zararli boʻlmagan botnetlar koʻpincha ilmiy maqsadlarda qoʻllaniladi. Misol uchun, Rosetta@home mavjud boʻlib, u protein-oqsillarni joylashtirishni bashorat qilishni va yangi oqsillarni loyihalashni maqsad qiladi; Katta Adron Kollayderi bilan bogʻliq turli xil tajribalarni simulyatsiya qilishni maqsad qilgan LHC@home ; SETI@home, yerdan tashqari razvedkani qidirish bilan bogʻliq maʼlumotlarni tahlil qilishga yordam beradi va aylanayotgan neytron yulduzlaridan signallarni qidiradigan Eynshteyn@Home. Ushbu botnetlar ixtiyoriy boʻlib, kompyuterni qoʻshish uchun foydalanuvchi roziligini talab qiladi (shuning uchun oʻz-oʻzidan tarqalish qobiliyatiga ega emas) va zararli boʻlgandan koʻra botnetdan ancha oson olib tashlash imkonini beradi. Foydalanuvchining xabardorligi, oʻz-oʻzidan tarqalish qobiliyatining yoʻqligi va kamroq zarar etkazish xavfi tufayli, bu botnetlardagi kompyuterlar koʻpincha „zombi“ emas, balki „tugunlar“ deb ataladi. Ushbu botnetlar tadqiqotchilarga nolga yaqin narxda katta hisoblash imkoniyatlarini taqdim etadi^[39].

Veb-saytlarga tasodifiy DDoS hujumi xavfi saqlanib qolmoqda, chunki yomon „jamlangan“ botnet oʻz kompyuterlarining hammasi boʻlmasa ham, juda koʻpini veb-saytga, masalan, maʼlumotlarni yigʻish uchun topshirishi mumkin. Biroq, tugunlar imkon qadar kamroq soʻrov yuborganligi sababli, ushbu veb-saytda ish tugagach, botnet koʻpincha veb-saytga kirishni toʻxtatadi, masalan, bu holda maʼlumotlar toʻplami. Hech qanday yangi tugunlar veb-saytga ulanishga urinmaydi, bu „hujum“ boshlanganidek birdaniga tarqalib ketishiga olib keladi. Botnetning oʻzi tomonidan soʻrovlarning cheklanishi „hujum“ ni yanada zaiflashtiradi.

Botnetlarning tarixiy roʻyxati

Birinchi botnet tarmogʻi ilk marotaba EarthLink tomonidan 2001-yilda taniqli spamer Xan C. Smit^[40] bilan sud jarayonida tan olingan va fosh qilingan. Botnet ommaviy spam yuborish uchun yaratilgan va oʻsha paytdagi barcha spamlarning deyarli 25 foizini tashkil qilgan^[41].

Taxminan 2006-yilda aniqlashni toʻxtatish uchun baʼzi botnetlar oʻlchamlarini qisqartirib kodi^[42].

Yaratilgan sana	Qayta ishlangan sana	Botnet nomi	Taxminiy roʻyxat	Spam hajmi (kuniga milliard)	Taxalluslar
1999	!a	999,999,999	100000	!a
2003		MaXiTE	500-1000 servers	0	MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
2004 (boshi)		Bagle	230,000[43]	5.7	Beagle, Mitglieder, Lodeight
		Marina Botnet	6,215,000[43]	92	Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
		Torpig	180,000[44]		Sinowal, Anserin
		Storm	160,000[45]	3	Nuwar, Peacomm, Zhelatin
2006 (atrofida)	2011 (Mart)	Rustock	150,000[46]	30	RKRustok, Costrat
		Donbot	125,000[47]	0.8	Buzus, Bachsoy
2007 (atrofida)		Cutwail	1,500,000[48]	74	Pandex, Mutant (related to: Wigon, Pushdo)
2007		Akbot	1,300,000[49]
2007 (Mart)	2008 (Noyabr)	Srizbi	450,000[50]	60	Cbeplay, Exchanger
		Lethic	260,000[43]	2	none
		Xarvester	10,000[43]	0.15	Rlsloup, Pixoliz
2008 (atrofida)		Sality	1,000,000[51]		Sector, Kuku
2008 (atrofida)	2009-Dekabr	Mariposa	12,000,000[52]
2008 (Noyabr)		Conficker	10,500,000+[53]	10	DownUp, DownAndUp, DownAdUp, Kido
2008 (Noyabr)	2010 (Mart)	Waledac	80,000[54]	1.5	Waled, Waledpak
		Maazben	50,000[43]	0.5	-
		Onewordsub	40,000[55]	1.8
		Gheg	30,000[43]	0.24	Tofsee, Mondera
		Nucrypt	20,000[55]	5	Loosky, Locksky
		Wopla	20,000[55]	0.6	Pokier, Slogger, Cryptic
2008 (atrofida)		Asprox	15,000[56]		Danmec, Hydraflux
0		Spamthru	12,000[55]	0.35	Spam-DComServ, Covesmer, Xmiler
2008 (atrofida)		Gumblar
2009 (May)	Noyabr 2010 (toʻliq emas)	BredoLab	30,000,000[57]	3.6	Oficla
2009 (atrofida)	2012-07-19	Grum	560,000[58]	39.9	Tedroo
		Mega-D	509,000[59]	10	Ozdok
		Kraken	495,000[60]	9	Kracken
2009 (Avgust)		Festi	250,000[61]	2.25	Spamnost
2010 (Mart)		Vulcanbot
2010 (Yanvar)		LowSec	11,000+[43]	0.5	LowSecurity, FreeMoney, Ring0.Tools
2010 (atrofida)		TDL4	4,500,000[62]		TDSS, Alureon
		Zeus	3,600,000 (US only)[63]		Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010	(Taxminlar: 2011, 2012)	Kelihos	300,000+	4	Hlux
2011 yoki oldinroq	2015-02	Ramnit	3,000,000[64]
2012 (atrofida)		Chameleon	120,000[65]		-
2016 (Avgust)		Mirai	380,000		-
2014		Necurs	6,000,000

• Santa-Barbaradagi Kaliforniya universiteti tadqiqotchilari kutilganidan olti baravar kichik botnetni nazorat qilish imkonini topishdi. Baʼzi mamlakatlarda foydalanuvchilar bir kunda IP manzillarini bir necha marta oʻzgartirishi odatiy holdir. Botnet hajmini IP-manzillar soni boʻyicha baholash koʻpincha tadqiqotchilar tomonidan qoʻllaniladi, bu notoʻgʻri baholashga olib kelishi mumkin^[66].

Yana qarang

• Kompyuter qurti
• Spambot
• Kompyuter viruslari va qurtlari xronologiyasi
• Kengaytirilgan doimiy tahdid

Manbalar

1. „Thingbots: The Future of Botnets in the Internet of Things“. Security Intelligence (20-fevral 2016-yil). Qaraldi: 28-iyul 2017-yil.
2. „botnet“. Qaraldi: 9-iyun 2016-yil.
3. Ramneek. „Bots &; Botnet: An Overview“. SANS Institute (2003-yil 8-avgust). Qaraldi: 12-noyabr 2013-yil.
4. Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. (March 2018). „Business Model of a Botnet“. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP). 441–445-bet. arXiv:1804.10848. Bibcode:2018arXiv180410848P. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6.
5. Danchev, Dancho. „Novice cyberciminals offer commercial access to five mini botnets“. Webroot (11-oktabr 2013-yil). Qaraldi: 28-iyun 2015-yil.
6. Schiller, Craig A.. Botnets. Burlington, Virginia: Syngress, 1-yanvar 2007-yil — 29–75 bet. DOI:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358. 
7. „Botnets: Definition, Types, How They Work“ (en). Crowdstrike. Qaraldi: 2021-yil 18-aprel.
8. Heron, Simon (1–aprel 2007–yil). „Botnet command and control techniques“. Network Security. 2007-jild, № 4. 13–16-bet. doi:10.1016/S1353-4858(07)70045-4.
9. Wang, Ping „Peer-to-peer botnets“,. Handbook of Information and Communication Security Stamp: . Springer, 2010. ISBN 9783642041174. 
10. C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
11. Arntz, Pieter. „The Facts about Botnets“. Malwarebytes Labs (30-mart 2016-yil). Qaraldi: 27-may 2017-yil.
12. Schiller, Craig A.. Botnets. Burlington, Virginia: Syngress, 1-yanvar 2007-yil — 77–95 bet. DOI:10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8. 
13. Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread“. ZDNet. Qaraldi: 7-oktabr 2017-yil.
14. „Hackers Use Twitter to Control Botnet“.
15. „First Twitter-controlled Android botnet discovered“ (24-avgust 2016-yil). Qaraldi: 27-may 2017-yil.
16. Gallagher, Sean. „Reddit-powered botnet infected thousands of Macs worldwide“. ARS Tecnica (3-oktabr 2014-yil). Qaraldi: 27-may 2017-yil.
17. Cimpanu, Catalin. „Russian State Hackers Use Britney Spears Instagram Posts to Control Malware“. Bleeping Computer (6-iyun 2017-yil). Qaraldi: 8-iyun 2017-yil.
18. Dorais-Joncas, Alexis. „Walking through Win32/Jabberbot.A instant messaging C&C“ (30-yanvar 2013-yil). Qaraldi: 27-may 2017-yil.
19. Zeltser. „When Bots Use Social Media for Command and Control“. zeltser.com.
20. Constantin, Lucian. „Cybercriminals are using the Tor network to control their botnets“. PC World (25-iyul 2013-yil). Qaraldi: 27-may 2017-yil.
21. „Cisco ASA Botnet Traffic Filter Guide“. Qaraldi: 27-may 2017-yil.
22. Attack of the Bots at Wired
23. Norton. „Anonymous 101 Part Deux: Morals Triumph Over Lulz“. Wired.com (2012-yil 1-yanvar). Qaraldi: 2013-yil 22-noyabr.
24. Peterson, Andrea. „China deploys new weapon for online censorship in form of 'Great Cannon'“. The Washington Post (10-aprel 2015-yil). Qaraldi: 10-aprel 2015-yil.
25. „Operation Aurora — The Command Structure“. Damballa.com. 11-iyun 2010-yilda asl nusxadan arxivlangan. Qaraldi: 30-iyul 2010-yil.
26. Edwards, Jim. „This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser“ (27-noyabr 2013-yil). Qaraldi: 27-may 2017-yil.
27. Nichols, Shaun. „Got a botnet? Thinking of using it to mine Bitcoin? Don't bother“ (24-iyun 2014-yil). Qaraldi: 27-may 2017-yil.
28. „Bitcoin Mining“. BitcoinMining.com. 2022-yil 11-iyunda asl nusxadan arxivlangan. Qaraldi: 30-aprel 2016-yil.
29. „Trojan horse, and Virus FAQ“. DSLReports. Qaraldi: 7-aprel 2011-yil.
30. „Uses of botnets | The Honeynet Project“. www.honeynet.org. 20-mart 2019-yilda asl nusxadan arxivlangan. Qaraldi: 2019-yil 24-mart.
31. „What is phishing? - Definition from WhatIs.com“ (en). SearchSecurity. Qaraldi: 2019-yil 24-mart.
32. Aguilar. „The Number of People Who Fall for Phishing Emails Is Staggering“ (en-US). Gizmodo. Qaraldi: 2019-yil 24-mart.
33. „Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants“. vhosts.eecs.umich.edu.
34. „DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis“. Annual Computer Security Applications Conference. ACM (2012-yil dekabr).
35. "BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic". Proceedings of the 15th Annual Network and Distributed System Security Symposium. 2008. 
36. „IRCHelp.org – Privacy on IRC“. www.irchelp.org. Qaraldi: 2020-yil 21-noyabr.
37. „Brute-Force Botnet Attacks Now Elude Volumetric Detection“. DARKReading from Information Week (2016-yil 19-dekabr). Qaraldi: 14-noyabr 2017-yil.
38. United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism. Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, 15-iyul 2014-yil. Washington, DC: U.S. Government Publishing Office, 2018. 18-noyabr 2018-yilda qaraldi. 
39.   Kondo, D et al. „Cost-Benefit Analysis of Cloud Computing Versus Desktop Grids.“ 2009 IEEE International Symposium on Parallel & Distributed Processing. IEEE, 2009. 1-12. Web.
40. Credeur. „Atlanta Business Chronicle, Staff Writer“. bizjournals.com. Qaraldi: 22-iyul 2002-yil.
41. Mary Jane Credeur. „EarthLink wins $25 million lawsuit against junk e-mailer“ (22-iyul 2002-yil). Qaraldi: 10-dekabr 2018-yil.
42. Paulson, L.D. (April 2006). „Hackers Strengthen Malicious Botnets by Shrinking Them“ (PDF). Computer; News Briefs. 39-jild, № 4. IEEE Computer Society. 17–19-bet. doi:10.1109/MC.2006.136. „The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said.“
43. „Symantec.cloud | Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security“. Messagelabs.com. 18-noyabr 2020-yilda asl nusxadan arxivlangan. Qaraldi: 2014-yil 30-yanvar.
44. Chuck Miller. „Researchers hijack control of Torpig botnet“. SC Magazine US (2009-yil 5-may). 24-dekabr 2007-yilda asl nusxadan arxivlangan. Qaraldi: 7-noyabr 2011-yil.
45. „Storm Worm network shrinks to about one-tenth of its former size“. Tech.Blorge.Com (2007-yil 21-oktyabr). 24-dekabr 2007-yilda asl nusxadan arxivlangan. Qaraldi: 30-iyul 2010-yil.
46. Chuck Miller. „The Rustock botnet spams again“. SC Magazine US (2008-yil 25-iyul). 4-aprel 2016-yilda asl nusxadan arxivlangan. Qaraldi: 30-iyul 2010-yil.
47. Stewart. „Spam Botnets to Watch in 2009“. Secureworks.com. SecureWorks. Qaraldi: 9-mart 2016-yil.
48. „Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security“. Msmvps.com (2010-yil 2-fevral). 16-avgust 2010-yilda asl nusxadan arxivlangan. Qaraldi: 30-iyul 2010-yil.
49. „New Zealand teenager accused of controlling botnet of 1.3 million computers“. The H security (2007-yil 30-noyabr). Qaraldi: 12-noyabr 2011-yil.
50. „Technology | Spam on rise after brief reprieve“. BBC News (2008-yil 26-noyabr). Qaraldi: 24-aprel 2010-yil.
51. „Sality: Story of a Peer-to-Peer Viral Network“. Symantec (2011-yil 3-avgust). Qaraldi: 12-yanvar 2012-yil.
52. „How FBI, police busted massive botnet“. theregister.co.uk. Qaraldi: 3-mart 2010-yil.
53. „Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab“. F-secure.com (2009-yil 16-yanvar). Qaraldi: 24-aprel 2010-yil.
54. „Waledac botnet 'decimated' by MS takedown“. The Register (2010-yil 16-mart). Qaraldi: 23-aprel 2011-yil.
55. Gregg Keizer. „Top botnets control 1M hijacked computers“. Computerworld (2008-yil 9-aprel). Qaraldi: 23-aprel 2011-yil.
56. „Botnet sics zombie soldiers on gimpy websites“. The Register (2008-yil 14-may). Qaraldi: 23-aprel 2011-yil.
57. „Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com“. .canada.com. 11-may 2011-yilda asl nusxadan arxivlangan. Qaraldi: 10-noyabr 2011-yil.
58. „Research: Small DIY botnets prevalent in enterprise networks“. ZDNet. Qaraldi: 30-iyul 2010-yil.
59. Warner. „Oleg Nikolaenko, Mega-D Botmaster to Stand Trial“. CyberCrime & Doing Time (2010-yil 2-dekabr). Qaraldi: 6-dekabr 2010-yil.
60. „New Massive Botnet Twice the Size of Storm — Security/Perimeter“. DarkReading (7-aprel 2008-yil). Qaraldi: 30-iyul 2010-yil.
61. Kirk. „Spamhaus Declares Grum Botnet Dead, but Festi Surges“. PC World (16-avgust 2012-yil).
62. „Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)“. kasperskytienda.es (2011-yil 3-iyul). Qaraldi: 11-iyul 2011-yil.
63. „America's 10 most wanted botnets“. Networkworld.com (2009-yil 22-iyul). Qaraldi: 10-noyabr 2011-yil.
64. „EU police operation takes down malicious computer network“. phys.org.
65. „Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month“. Spider.io (2013-yil 19-mart). Qaraldi: 21-mart 2013-yil.
66. Espiner. „Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK“. Zdnet.com (2011-yil 8-mart). Qaraldi: 10-noyabr 2011-yil.

Havolalar

• Honeynet loyihasi va tadqiqot alyansi — „Dushmaningizni biling: botnetlarni kuzatish“
• Shadowserver Foundation — bu zararli dasturlar, botnet faoliyati va elektron firibgarlik haqida toʻplaydigan, kuzatadigan va hisobot beradigan ixtiyoriy xavfsizlikni nazorat qiluvchi guruh.
• EWeek.com — „Botnet jangi allaqachon yoʻqolganmi?“
• Botnet Bust — „SpyEye zararli dastur ustasi aybini tan oladi“, FBR