Sieci botnet: dochodowy interes

Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween

Prosty botnet zorientowany na sieć wymaga strony hostingowej, na której może być zlokalizowane centrum C&C. Takie strony są łatwo dostępne, zapewniają wsparcie oraz anonimowy dostęp do serwera (dostawcy anonimowych usług hostingowych zwykle gwarantują, że do plików dziennika nikt nie uzyska dostępu, łącznie z organami ścigania). Ogłoszenia takie jak to przedstawione powyżej są powszechne w Internecie.

Po stworzeniu strony C&C potrzebne są komputery zainfekowane przez bota. Można zakupić gotową sieć, w której zainstalowany jest bot jakiejś innej osoby. Ponieważ kradzież botnetów jest powszechną praktyką, większość kupujących woli wymienić zarówno szkodliwe programy, jak i centra C&C na swoje własne, dzięki czemu przejmują gwarantowaną kontrolę nad botnetem. Następnie wysłane jest polecenie do bota w nowo zakupionej sieci, aby pobrał i zainstalował nowego bota (z nowym adresem C&C), a potem zniszczył samego siebie. W ten sposób zastępowane są "niewłaściwe" boty i botnet zaczyna komunikować się z nowym centrum C&C. Takie "odnowienie" botnetów pomaga zabezpieczyć je i zapewnić im anonimowość, ponieważ do tego czasu eksperci z zakresu bezpieczeństwa IT mogą już dowiedzieć się o "starym" C&C i "starym" bocie.

Niestety stworzenie nowego botnetu również nie jest trudne: dostępne są narzędzia ułatwiające to zadanie. Najpopularniejsze z nich to pakiety oprogramowania, takie jak Mpack, Icepack i WebAttacker. Infekują one systemy użytkowników, którzy odwiedzają zainfekowaną stronę internetową, za pośrednictwem luk w zabezpieczeniach przeglądarek lub wtyczek do przeglądarek. Takie pakiety oprogramowania znane są jako systemy masowej infekcji internetowej lub po prostu ExploitPacks. Po tym, jak exploit wykona swoją funkcję, przeglądarka pobiera plik wykonywalny z Internetu i uruchamia go. Plik ten jest programem typu bot, który dodaje do botnetu nowy komputer zombie i przekazuje kontrolę cyberprzestępcy.

Interesujące jest to, że ExploitPack został pierwotnie opracowany przez rosyjskich hakerów, później jednak znalazł odbiorców również w innych państwach. Szkodniki te zostały zlokalizowane (co świadczy o ich sukcesie komercyjnym na czarnych rynkach) i obecnie są aktywnie wykorzystywane między innymi w Chinach.

Im system łatwiejszy w użyciu, tym większą popularnością cieszy się wśród cyberprzestępców. Twórcy takich systemów, jak oprogramowanie C&C lub ExploitPack zdają sobie z tego sprawę i rozwijają przyjazne dla użytkownika mechanizmy instalacji i konfiguracji dla swoich produktów, aby zwiększyć ich popularność i zapotrzebowanie na nie.
Na przykład instalacja centrum C&C sprowadza się zwykle do skopiowania plików na serwer sieciowy i uruchomienia skryptu install.php przy użyciu przeglądarki. Interfejs sieciowy znacznie ułatwia instalację: aby skonfigurować i uruchomić centrum C&C, cyberprzestępca musi tylko poprawnie wypełnić wszystkie pola formularza internetowego.

W świecie cyberprzestępczym nikt nie ma wątpliwości, że wcześniej czy później produkty antywirusowe zaczną wykrywać wszystkie boty. Gdy to nastąpi, cyberprzestępcy utracą zainfekowane maszyny, na których zostanie zainstalowany produkt antywirusowy. Właściciele botnetów wykorzystują szereg różnych metod w celu zachowania kontroli nad swoimi sieciami, z których najbardziej skuteczną jest ochrona szkodliwych programów przed wykryciem poprzez przetwarzanie szkodliwego kodu. Czarny rynek oferuje szereg różnych usług związanych z szyfrowaniem, pakowaniem i zaciemnianiem szkodliwego kodu.

W Internecie można znaleźć wszystko, co jest potrzebne, aby skutecznie prowadzić botnet. Powstrzymanie rozwoju przemysłu botnetowego nie jest możliwe w tym momencie.