Ботнеты – лазейка в корпоративные сети организаций

Ботнеты на сегодняшний день являются одной из наиболее серьезных угроз для информационной безопасности предприятий и организаций.  В одних случаях они подвергают риску тысячи, а в других — более миллиона систем. Последствиями деятельности ботнетов могут стать утечка данных, несанкционированный доступ к ресурсам сети, организация атак типа «отказ в обслуживании» (Denial of Service, DoS) и рассылка спама.

Ботнеты продолжат существовать и дальше. Вредоносное ПО перестало быть статическим,  ботнеты способны  менять свою структуру в зависимости от команд  киберпреступника. О масштабах проблемы заставляет задуматься и тот факт, что комплекс инструментов для создания бота стоит 500 долларов, а убытки, которые несут компании из-за атак, исчисляются миллионами. 

Последствия заражения

Согласно оценкам, около одной четверти подключенных к Интернету персональных компьютеров могут быть частью ботнета. Распространявшийся в 2011 году ботнет TDL, поражал в день более 4,5 миллионов компьютеров и примерно 100 тысяч уникальных Интернет-адресов. Почти половина специалистов по ИТ-безопасности отмечают, что объем вредоносных атак в последнее время значительно возрос.

Вот несколько причин такого роста:

·        Распространение вредоносного ПО становится бизнесом

Киберпреступники — это уже не отдельно взятые любители. Они организованы в структуры, которые имеют финансирование и определенные цели. К созданию и распространению ботнетов, способных нанести бизнесу весомый ущерб, привлекаются высококвалифицированные программисты,  у которых есть  необходимые ресурсы и достаточное время для разработки программ.

Информация стала для хакеров практически золотой жилой. Однако интерес для них представляют не только сведения финансового характера, но и  общая информация о пользователях.  Обладание такими данными очень выгодно для хакеров — ведь это позволяет им вести атаки и спам-кампании более целенаправленно, тем самым повышая вероятность успеха.  Например, на 500 тыс. электронных адресов рассылается предложение купить какую-либо продукцию. Даже если откликается всего один из тысячи, это уже 500 новых заказов. А теперь представьте, что в базе спамера не 500 тыс., а, скажем, 70 миллионов адресов…

В качестве примера производительности можно привести ботнет «Rustock». Армия ботов рассылала ежедневно по 14 миллиардов спам-сообщений, пока не была обезврежена в марте 2011 года правоохранительными органами США.

·        Угрозы становятся более целенаправленными и изощренными

Компании могут  подвергаться угрозам самых разных видов: вирусы, сетевые черви, трояны, шпионское и рекламное ПО, ботнеты и т.п. Все эти инструменты задействуются для целенаправленного взлома (Advanced Persistent Threat, APT), объектом которого являются конкретные лица и организации. Кроме того, боты обладают полиморфизмом и могут подделываться под обычные приложения и источники сетевого трафика, что затрудняет их обнаружение средствами, ориентированными на распознавание сигнатур. Для эффективной защиты от ботов бизнесу необходим  многоуровневый подход к решению проблемы.

·        Многочисленные направления атак

Для того чтобы «пробить» существующую в организации защиту, имеются различные потенциальные точки входа: уязвимости в браузерах, мобильные телефоны, вложения в электронные письма, сменные носители и т.п. Свой вклад сюда также вносят распространение приложений в стиле Web 2.0 и использование социальных сетей в качестве бизнес-инструментов. Таким образом, у  хакеров появляется все больше возможностей проникнуть в корпоративные сети предприятий через ссылки на вредоносные ресурсы или  вирусную рекламу, размещенную на легитимном сайте.

Экскурс в историю ботнетов

GMBot, самый первый из известных ботов, не нес в себе никаких угроз. Он был разработан в конце 80-х гг. с целью имитации реального человека при общении в сети по протоколу IRC (Internet Relay Chat). Примерно в 1999 году появились боты, атаки которых уже не были столь безобидными. Алгоритм их работы становился все сложнее, а   процесс  разработки ботнетов стал осуществляться на коммерческой основе. Например, за созданный в 2006 году бот Zeus готовы были заплатить несколько тысяч долларов. В середине 2011 года исходный код разработки Zeus и SpyEye стал достоянием общественности, что позволяет практически любому пользователю организовать собственный ботнет.

Сегодня боты в основном используются для создания лазеек в компьютерных сетях организаций. Проникнув в сети, хакеры, стараясь не привлекать к себе внимания, собирают необходимую им конфиденциальную информацию.  Внешне боты практически ничем себя не проявляют, поэтому во многих организациях убеждены, что их компьютеры свободны от вредоносного ПО. Из-за этого специалисты, отвечающие за  безопасность, не получают своевременной информации об угрозах.

Возможные угрозы

В ближайшее время ботнеты будут продолжать развиваться, используя методы социальной инженерии  и эксплойтов нулевого дня, распространяясь через социальные сети  и мобильные устройства.

Ранее считалось, что  в первую очередь компьютеры с ОС Windows более всего подвержены атакам ботов, тем не менее, операционные системы Linux и Mac также не застрахованы от проникновения вредоносного ПО. Современные варианты ботнетов работают на нескольких платформах; они все чаще активизируются на устройствах под управлением Apple, Android и других мобильных систем, выходя на связь с командно-управляющими серверами (Command and Control servers, C&C) через сети 3G и Wi-Fi.

Опасной тенденцией становится использование социальных сетей в качестве командно-управляющих центров.  Именно через социальные сети и веб-службы (например IM) передаются инструкции вредоносным программам, которые установлены на компьютерах потенциальных объектов атаки. Например, в таких сетях, как Twitter, злоумышленники могут быстро организовывать и так же быстро закрывать торговые площадки, не организуя для этого выделенный сервер. 

Использование  методов социальной инженерии

Для распространения ботов хакеры часто используют методы социальной инженерии. Благодаря социальным сетям стало легко собирать персональную и профессиональную информацию о сотрудниках, что открывает новые каналы для атак, ботнетов и APT. Проведенное компанией Check Point исследование показало, что основной мотивацией для опирающихся на социальную инженерию атак является финансовая выгода (51%).  Второе  и третье место занимают возможности получения доступа к конфиденциальной информации организации  (46%) и  конкурентного преимущества (40%). Ущерб в каждом конкретном случае составляет от 25 тыс. до 100 тыс. долларов.

Современные хакеры легко могут получить доступ к инструментам и ресурсам для бот-атак. Ситуация напоминает игру в кошки-мышки: разработчики антивирусного ПО добавляют в средства защиты новые функции, а авторы вредоносных программ модифицируют свою продукцию, создавая новые, обходящие защиту варианты. Внушает оптимизм тот факт, что правоохранительные органы, крупные корпорации и эксперты по вопросам безопасности осознают серьезность проблемы и предпринимают согласованные действия по деактивации ботов; примером может служить операция, в ходе которой в 2011 году был уничтожен ботнет Rustock.

Более подробно о возможных  угрозах со стороны ботов:http://www.checkpoint.com/products/anti-bot-software-blade/anti-bot-software-blade-landing-page.html.