معرفی BotNet و انواع حملات آنها

07 خرداد 1396
نویسنده :   Ali Salempanah

Botnet از دو کلمه robot و  network تشکیل شده است به عبارت دیگر به شبکه ای از کامپیوتر ها اطلاق می شود که به صورت از راه دور کنترل می شوند. به هریک از کامپیوتر های تشکیل دهنده این شبکه، bot گفته می شود . این کامپیوتر ها می توانند کامپیوتر های خانگی، سازمان و یا حتی سیستم هایی که در اختیار عموم قرار داده شده اند باشند. کامپیوتر های botnet در نقاط جغرافیایی مختلفی قرار گرفته اند. تنها وجه مشترکی که این کامپیوتر ها با یکدیگر دارند این است که همه آنها توسط یک بد افزار خاص آلوده شده اند. تمام این کامپیوتر های آلوده علاوه بر اینکه از راه دور قابلیت کنترل شدن را دارند می توانند یک سری دستورات را دریافت و اجرا کنند که این فرامین توسط یک Operator ایجاد و ارسال می شوند. نام دیگری که به Operator اختصاص می دهند bot herder میباشد . کامپیوتر هایی که تحت سلطه  Operator قرار دارند به نام Zombie معروف می باشند که تمام این zombie ها به یک سروری به نام Commend & Control (C&C)  متصل می شوند که آنها می توانند با این اتصال به سرور، اقدام به کارهایی مانند دزدیدن اطلاعات ، DoS،  Send Spam کنند و یا می توان از طریق آن، حمله خطرناک  Pivoting را نیز تدارک دیده که از طریق یکسری کانال های ارتباطی همانند پرتکل هایی که توسط سازمان  استاندارد سازی پرتکل تایید شده می باشند مانند IRC و یا HTTP برای انجام حمله خود استفاد کنند. botnet یک مشکل فرامرزی  و بین المللی می باشد که نیاز به یک تلاش و مشارکت همگانی برای تشخیص، حذف ونیز محاکمه قضایی دارد.

botnet سرور و زامبی ها

ها همیشه در تلاش هستند که ساختار آنها مورد تشخیص واقع نشود. در botnet های قدیمی ساختار ارتباطی آنها به گونه ای است که درست همانند ارتباط Client ها با سرور های موجود در شبکه می باشد که با این کار این مکان را به bot herder میداد که از راه دور تمام کنترل های خود را اعمال کند و در ترافیک آنها اخلالی ایجاد می کرد.

اما اخیرا ساختار botnetها تغییر یافته و از ساختار ارتباطی Peer – to – Peer  استفاده می کنند که کارایی این مدل همانند روش Client – Server  می باشد اما تنها تفاوت این روش این می باشد که نیاز به یک سرور مرکزی برای ایجاد ارتباط وجود ندارد.

مدل های مختلف ارتباطی مورد استفاده توسط شبکه های botnet

  • Client – Server model :

Botnet های اولیه برای انجام کارهای مخرب خود ابتدا از روش C&C استفاده می کردند که معمولا این botnet  ها برای عمل کردن به حملات خود در دنیای اینترنت محیط هایی همانند شبکه های Chat، دامین ها و یا وب سایت ها را به عنوان قربانی خود، هدف حمله قرار می دادند.

هرکدام از Client های آلوده شده پس از آلوده شدن منتظر کسب فرامین از سروری که آنها را هدیت می کند می ماند.bot herder یا به عبارتی هکر یک سری دستورات را به سرور ارسال می کند تا سرور این فرامین را به Client های آلوده شده ارجاع دهد که این Clientها که در اصل نقشZombie  را دارند پس از اجرای دستوارات نتیجه را به bot herder ارسال می کنند. در مورد IRC Botnet ها، کامپیوتر ها به سرور IRC آلوده شده متصل و به کانال از پیش تعیین شده برای C&C که توسط Bot herder طراحی و تعریف شده  Join می شوند..

Bot Herder یک IRC Channel ایجاد کرده و کامپیوتر های آلوده به آن را اضافه می کند و پیغامی که برای این کانال ارسال می شود به صورت Broadcast   بوده تا به تمام اعضای این کانال ارسال شود به عنوان مثال با ارسال این پیغام :

#Channel ddos www.exampel.com

که بدین معنی می باشد: تمام کامپیوتر های آلوده شده مربوط به کانال #Channel  حمله DDoS را علیه وب سایت www.example.com را شروع کنند. در پیغام جوابی که Bot herder از Zombie های خود دریافت خواهد کرد به شکل زیر می باشد :

:bot1! bot@compromised .net PRIVMSG #Channel I am doing ddosin www.example.com

این پیغام Bot herder را در جریان حمله DDoS شروع شده توسط یکی از Zombie های شرکت کننده در حمله قرار می دهد. یکی از معایب IRC این می باشد که Zombie ها باید اطلاعاتی از قبیل IRC Server، پورت و کانالی را که عضو آن هستند، بدانند. در صورتی که در شبکه یک سازمان یک Anti – Malware راه اندازی شده باشد، با از کار انداختن IRC Server و کانال استفاده شده توسط این حمله، به طور کامل و موثری این حمله را خنثی سازی می کند که با این کار کامپیوتر ها آلوده باقی می مانند اما دیگر راه ارتباطی خود را با Bot herder اساسا از دست خواهند داد و دیگر فرامینی از سوی هکری برای آنها ارسال نخواهد شد.

معمولا هکر ها برای دفع این مشکل ،در هنگام حمله به قربانی از چندین سرور و کانال متعدد استفاده می کند که در صورت از کار افتادن یکی از سرور ها و کانالها، به صورت Random به یکی دیگر از سرور ها و کانال های موجود switch کنند و همچنان به حمله خود ادامه  دهد.همچنین این امکان وجود دارد که با شنود ترافیک مربوط IRC دیگر سرور ها و کانال های در حال استفاده شدن در این حمله ، تشخیص داده شده و  آنها را ز کار انداخت.

تعداد زیادی از Botnet ها بیشتر تمایل دارند که از Domain  ها در ساختار خود استفاده کنند و در ساختار خود از IRC استفاده نکنند که از این دست Botnet ها می توان به Runstock botnet  و Srizbi botnet اشاره کرد که این botnet ها معمولا همراه سرویس bulletproof hosting راه اندازی می شوند

حمله botnet به مدل کلاینت یرور

  • Peer – to – Peer Model :

    در طی تلاش های انجام شده برای تشخیص و از کار انداختن IRC Botnet ها، Bot herder ها نیز شروع به گسترش بد افزارهایی کرده اند که برای شبکه های Peer – to – Peer طراحی شده اند و آنها را مورد حمله خود قرار می دهند. در این دست حملات Bot ها از یک سری امضاهای الکترونیکی (Signature) در ترافیک خود استفاده می کنند که فقط فردی که دسترسی به Private Key دارد می تواند این Botnet ها را کنترل کند. از این قبیل Botnet ها می توان Gamerover ZeuS و Zero Access را مثال زد.

    Botnet های جدید به طور کامل از مدل P2P استفاده می کنند که به جای ایجاد ارتباط با یک سرور مرکزی و کسب فرامین، Botnet های P2 ،فرمانهایشان را توسط سرورها و کاربرانی که  شبکه ایmesh  مانند دارند، دریافت می کنند.در روش های قبلی در صورتی که ارتباط با سرور مرکزی قطع شود دیگر کل حمله از کار می افتاد اما در این روش دیگر این مشکل وجود ندارد. در روش P2P برای یافتن Zombie ها ، خود به صورت تصادفی IP های متعددی را امتحان می کند تا به یکی از IP  آدرس های  آلوده متصل شود که پس از اتصال به کامپیوتر آلوده، اطلاعاتی از قبیل ورژن نرم افزار و لیستی از BOT های معروف را به هکر ارسال می کند .در صورتی که یکی از Bot ها از ورژن قدیمی تری استفاده می کند با اشتراک گذاشتن یک سری فایل به روز شده، اقدام به  بروز رسانی Bot های قدیمی می کند. از این طریق هر bot لیست کامپیوتر های آلوده شده خود را به روز و گسترش می دهد که این به روز رسانی از طریق اتصال یک bot به bot  های معروف و به روز شده امکان پذیر است:

 اجزای اصلی یک Botnet :

  • Command & Control

ساختار C&C از یک سری سرور که برای کنترل ماشین های آسیب پذیر استفاده می شوند متشکل است . C&C سرور ممکن است به طور مستقیم توسط Operator هدایت و کنترل شود و یا به صورت اتوماتیک خود را روی سخت افزار قربانی که توسط بد افزار آلوده شده است اجرا کند .با استفاده از Fast – Flux DNS و تغییر مداوم اطلاعات توسط این ابزار، می توان با استفاده از قطع کردن ارتباط با دیگر سرور های موجود در C&C و نیز خارج از دسترس ساختن آنها، از کنترل هکر جلوگیری کرد.

 

 

در برخی موراد متخصصین امنیت موفق بوده اند که برخی از شبکه های C&C را تخریب و یا مختل کنند که این کار را از طریق قطع ارتباط آنها با NET، قطع دسترسی آنها با دامین که توسط C&C مورد استفاده قرار می گرفت و به ساختار C&C متصل می شد، به انجام برسانند.  حتی در برخی موارد این متخصصین توانستند خود شبکه C&C را مورد حمله خود قرار دهند و به شبکه داخلی آن رخنه کنند. اما در جواب این اقدامات، هکر ها از تکنیک های دیگری مانند پوشش دادن شبکه C&C خود با استفاده از ساختار های TOR و IRC و استفاده از شبکه P2P (که از سرور های ثابت برای حمله استفاده نمی کنند) کمک می گیرند  و هم چنین از یک کلید عمومی رمزنگاری بهره می برند تا از رخنه کردن در شبکه های C&C و Spoof کردن آنها جلوگیری کنند.

  • Zombie Computer

در علم کامپیوتر Zombie به کامپیوتری گفته می شود که به اینترنت متصل میباشد و نیز از قبل توسط هکر مورد حمله واقع شده و در آن رخنه ایجاد کرده و یا به ویروس یا تروجان آلوده شده باشد. Zombie ها معمولا از راه دور برای یک سری اهداف مخرب و غیر قانونی توسط هکر مورد استفاده واقع می شوند. معمولا ایجادbotnet  هایی از کامپیوتر های آلوده شده برای تدارک دیدن حملاتی از قبیلE – Mail Spam  یا DDoS  پیاده سازی می شوند.

 

ساختار کلی حمله Botnet ها :

  • هکر ها با خرید و یا ایجاد یک تروجان یا Exploit Kit شروع به آلوده سازی کامپیوتر ها می کنند
  • Bot موجود بر روی کامپیوتر آلوده شده پس از استقرار بر روی سیستم قربانی خود را در C&C سرور Log می کند تا هکر را از وجود خود بر روی سیستم قربانی مطلع سازد .
  • Bot سر دسته یا همانBot مستر هکر، دیگر bot های موجود بر روی کامپیوترهای آلوده را برای گردآوری اطلاعات یا ثبت اطلاعات وارد شده توسط کیبرد قربانی، دزدیدن حساب های کاربران Online و یا اجاره کردن Botnet برای انجام حمله DDoS به خدمت می گیرد.

Botnet های معروف دنیا
Botnet های مشهوری که می توان به آنها اشاره کرد در جدول زیر آورده شده است:

 

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد