Новости
09.05.2023
с Днём Победы!
07.03.2023
Поздравляем с Международным женским днем!
23.02.2023
Поздравляем с Днем защитника Отечества!
Оплата онлайн
При оплате онлайн будет
удержана комиссия 3,5-5,5%








Способ оплаты:

С банковской карты (3,5%)
Сбербанк онлайн (3,5%)
Со счета в Яндекс.Деньгах (5,5%)
Наличными через терминал (3,5%)

ИССЛЕДОВАНИЕ ЗОМБИ-СЕТЕЙ (BOT-NET) И МЕХАНИЗМОВ ЗАЩИТЫ ОТ ИХ ВОЗДЕЙСТВИЯ

Авторы:
Город:
Майкоп
ВУЗ:
Дата:
07 марта 2016г.

Информационные технологии стали неотъемлемой частью современного мира. В связи с этим набирает обороты новый вид преступности – киберпреступность, связанная с нарушением целостности информации пользователей информационными технологиями.

Часто при работе с сетью интернет очень многие недооценивают защиту своего компьютера, до тех пор, пока не происходит утечка важной информации, не пропадают деньги с банковских счетов.

Чаще всего в подобных нарушениях защиты используется так называемый bot-net, его еще называют зомби-сетью, бот-сетью или ботнетом. Итак, botnet - это сеть компьютеров, зараженных вредоносной программой – ботом, с дефектом алгоритма, который встраивается разработчиком. Данная программа позволяет получить доступ к данным компьютера с помощью удаленного доступа.

Цель данной работы – это исследование зомби-сетей и механизмов защиты от их воздействия.

Перед нами были поставлены следующие задачи: - охарактеризовать bot-net;  проанализировать типы управления зараженных компьютеров; показать использование зомби-сетей; исследовать классификацию ботнетов; обосновать механизмы защиты от воздействия бот-сетей.

Зомби-сети обладают мощными вычислительными ресурсами. Ботнеты являются грозным кибероружием и отличным способом «отмывания» денег для злоумышленников. При этом организация Интернета позволяет анонимно разработчику ботнета управлять зараженными компьютерами на расстоянии.

Управление машиной, которая заражена ботом, бывает прямым и опосредованным. В прямом управлении злоумышленник может установить связь с зараженным компьютером и управлять им, используя программы- команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами сети, посылает запрос и выполняет полученную команду.

Управление зомби-сетью как системой сводится к управлению отдельными ботами. Все они получают одинаковые команды и данные.

Набор таких команд невелик, из которых самыми распространенными являются: Update, Flood, Spam, Proxy.

Использование  команды  Update  позволяет  заражать  ПК  другими  вредоносными  программами  и устанавливать другие боты на компьютер. С помощью этой команды в зараженные компьютеры могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и пересылают их на сервер злоумышленника.

Процесс создания потока ложных запросов на указанный сервер в Сети производится с использованием Flood. Именно так организуются DDos-атаки.

Команда Spam загружает шаблон спам-сообщения и начинает рассылку его на указанные адреса.

Команда Proxy использует зараженный ПК как прокси-сервер -  любой компьютер из бот-сети  будет использоваться как прокси-сервер для сокрытия реального адреса киберпреступника, который управляет данной зомби-сетью.

В любом из выше перечисленных случаев, пользователь зараженной машины даже не подозревает, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой компьютеры, находящиеся под контролем хакеров, называют еще зомби-компьютерами, а сеть, в которую они входят – зомби- сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.

В основном bot-net используются для: -рассылки спама, кибершантажа, анонимного доступа в сеть, для продажи и аренды ботнетов, фишинга, кликфорда, кражи конфиденциальной информации. По подсчетам экспертов среднестатистический спамер зарабатывает приблизительно 50-100 тысяч долларов в год на таких бот- сетях. Бот-сети, которые предназначены для рассылки спама, так же могут собирать адреса электронной почты на зараженных машинах. В России спам попадает сразу под три закона: "О рекламе", "О персональных данных" и под статью 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ", чаще всего спамер отделывается штрафом.

Кибершантаж или DDos–атака - это распределенная атака вида отказ в обслуживании, а также поток ложных запросов, которые пытаются блокировать выбранный ресурс либо путем атаки на канал связи, который переполняется огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкуренции компаний. Защититься от DDos-атак очень сложно, так как во всех компьютерных платформах существует некий порог доставки. Успешная DDos-атака должна генерировать достаточное количество трафика, чтобы превысить это пороговое значение.

Так же данную атаку невозможно заблокировать, поскольку очень трудно обеспечить эффективную блокировку длинного списка IP-адресов.

С поиском виновных в DDos-атаках тоже существуют следующие проблемы: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDos-атаке. Нужна очень тщательная проверка, чтобы определить, какие клиентские хосты были законными, а какие нет. Необходимо произвести множество расчетов, прежде чем будут приняты какие-либо решения.

Существует еще одно использование bot-net. Это фишинг - такие действия или схемы, которые пытаются узнать у вас персональные данные. Стоит относиться с осторожностью к сообщениям о закрытии ваших банковских счетов, обещании большой денежной выгоды с минимальными усилиями, запросы на пожертвования в благотворительные организации.

Кликфорд представляет собой целенаправленные ложные клики по вашим объявлениям лицами, не заинтересованными в содержании объявления. Эти клики могут производиться вручную или же в автоматическом режиме. В основном такой вид мошенничества используется фирмой-конкурентом, задача которой ударить по рекламному бюджету и ухудшить качество трафика на сайте фирмы-конкурента.

В бот – сетях используются такие же методы защиты от удаления из программного обеспечения компьютера, как и у большинства вирусов. Это маскировка под системный процесс, использование нестандартных методов запуска, подмена системных файлов для самомаскировки, использование двух самоперезапускающихся процессов, перезапускающих друг друга.

Известно, что, зомби-сети делятся на две классификации: по архитектуре и по протоколам управления. Если рассмотреть классификацию по архитектуре, то можно обнаружить, что данная классификация делится на два типа.

Первый тип – зомби-сети с единым центром, является самым простым в использовании. В таком типе все зараженные компьютеры напрямую подключены к единому центру управления - такие зомби-сети являются самыми распространенными. Бороться с ботнетом можно следующим образом: для этого достаточно найти и отключить питание компьютера злоумышленника.

Второй тип – децентрализованные ботнеты. В этом случае боты соединяются с несколькими зараженными компьютерами из зомби-сети. Управляющие команды передаются от одной зараженной машине к другой. В этом случае злоумышленнику для управления зомби-сетью достаточно иметь доступ хотя бы к одному компьютеру, входящему в бот-сеть.

Данная система очень трудна в создании, и уничтожить её достаточно сложно, но есть один возможный вариант – это подождать пока появится антивирусное ПО, которое сможет удалить боты со всех зараженных компьютеров.

Рассмотрим по подробнее классификацию по протоколам. В данной классификации существует несколько групп зомби сетей с использованием протоколов. Такие как: IRC-ориентированные ботнеты, Web- ориентированные и разные экзотические протоколы. IRC - зараженный ПК соединяется с IRC-сервером - протоколом прикладного уровня, который используется для обмена сообщениями в режиме реального времени. Данный протокол заходит на определенный канал и ждет команды от владельца зомби-сети.

Web - зараженный ПК соединяется с Web-сервером - протоколом, который хранит ресурсы сайта и доставляет их на устройство конечного пользователя, которая, в свою очередь, получает команды от владельца bot-net, и передает в ответ данные с зараженной машины.

Проанализировав возможность нарушения безопасности компьютера с помощью ботнета, мы пришли к следующим выводам.

Во-первых, многие испытавшие на себе последствия зомби-сетей были пользователями маршрутизаторов и сетевой платы нижнего ценового  диапазона.  Плюс ко  всему, пользователь не только не обладал навыками обновления программного обеспечения устройства, но еще и оставлял пароли по умолчанию на устройствах. Кроме того, производители устройств заинтересованы в быстром устаревании устройства и часто не только не намерены устранять недостатки, но и не имеют механизмов централизованного обновления своих продуктов.

Во-вторых, очень часто зараженным компьютером становился тот ПК, в который было загружено подозрительное программное обеспечение.

В настоящее время существуют множество программных и технических средств защиты от зомби-сетей. К программным средствам защиты можно отнести следующие программные обеспечения: Norton AntiBot, Check Point.

Для защиты от DDos-атаки используются технические устройства, такие как: Cisco Guard и Cisco Anomaly Detectorа для контроля трафика можно использовать: Cisco SCEIronPort S-seriesCisco NetFlow

В данной работе были проанализированы основные характеристики зомби-сетей, исследованы причины нарушения защиты информационной безопасности компьютера, выявлены программные и технические средства для защиты от бот-сетей.