• Botnet’и! Сама думка про botnet-інфікованих комп'ютерах в офісі, крадіжці даних, хостингу шахрайських веб-сайтів та участь в DoS атак здатна викликати достатню паніку у будь-якого керівника. Це не дивно, тому що botnet’и в даний час вважається одним з провідних Інтернет-загроз безпеки.
    Ця стаття призначена для того, щоб доступно викласти основну інформацію про те, як такі шкідливі мережі створюються і управляються - це допоможе вам не стати її жертвою.
    Botnet (буквально - мережа зомбі) - це набір комп'ютерів, які були інфіковані програмними роботами. Заражені системи можуть бути об'єднані в мережу “зомбі”, які виконують різні команди автоматично за сигналом від віддалених командирів (”botmaster“). Наприклад, черв'як Storm, який розповсюджується через спам, є найбільш поширеним botnet-агентом і його поширеність у період «розквіту» за різними оцінками коливалася від $ 1 млн. до 25 млн. комп'ютерів. Сумарна потужність мережі Storm порівнянна з потужністю суперкомп'ютерів і при організації нападів на будь-який веб-сайт мережа не залишить йому жодних шансів на існування.
    Були зроблені різні спроби для знищення або підпорядкування мережі Storm, але шкідлива програма виявилася напрочуд стійкою. Ще гірше, поки експерти з безпеки намагалися боротися з Storm’ом, з'явилася більш серйозна загроза: Nugache. Як і Storm, Nugache є мережею, замисленої для створення неупорядкованих атак.
    Загрози Botnet-мереж
    Botnet може піддати заражений їм комп'ютер, а також інші комп'ютери, розташовані із зараженим в одній мережі, різним загрозам, у тому числі:
    Spyware: зомбі можна замовити контролювати і викрасти особисті або фінансові дані.
    Adware: Зомбі можна дати команду завантажувати і показувати рекламні повідомлення. Деякі зомбі змушують браузери інфікованих систем відвідувати певні веб-сайти.
    Спам: Більшість небажаної пошти відправляється від зомбі. Власники заражених комп'ютерів, як правило, навіть не уявляють, що їх машина використовується для скоєння злочинів.
    Фішинг: Зомбі можуть використовувати комп'ютер як майданчик для розміщення фішинг-сайтів.
    DoS атаки: Найбільш небезпечна загроза від мереж зомбі це організація розподіленої DoS атаки, якій важко протидіяти, оскільки один заражений комп'ютер передає іншій(і так по всій мережі) команду відсилати масові запити для організації перевантаження певного веб-сайту.
    Виявлення і боротьба з Botnet’амі
    Оскільки botnet-атаки використовують різні методи, необхідні різні інструменти для виявлення шкідливих програм і пом'якшення їх наслідків, у тому числі:
    Анти-шкідливі програми: Анти-шкідливі програми можуть припинити дію шкідливої програми-хробака і заборонити користувачам завантажувати їх. Вони можуть виконати перевірку системи на наявність хробаків, троянських коней та інших типів загроз.
    IDS’и (системи виявлення вторгнень): Виявивши відхилення від звичайного трафіку в мережі, IDS може визначити початку DoS атаки, надаючи системного адміністратора час приймати відповідні дії, наприклад, блокувати IP-адреси, з яких відбувається атака.
    IPS’и (системи попередження вторгнень): IPS призначені приймати швидкі рішення - такі, як блокування певних IP-адреси - по мірі виникнення відхилення від нормального трафіку, що, ймовірно, послабить вплив DoS атаки. ASIC (application-specific integrated circuit - спеціалізована інтегральна схема) на основі IPS - потужний засіб для глибокого аналізу, необхідне для виявлення і блокування DoS атаки, функціонує як автоматичний вимикач.
    Honeypot: Дана технологія полягає в навмисному надання «слабкого місця» в мережі для залучення ймовірних атак. Це може відвернути увагу мережевих черв'яків, які намагаються зомбувати мережа, від критично важливих машин в мережі. Цей метод використовується для отримання раннього попередження про напад. Крім того, honeypot дає можливість експертам проаналізувати методи проникнення шкідливих програм, виявити слабкі місця в мережевої безпеки, що дозволяє правильно підібрати засоби впливу на спроби впровадження шкідливого коду або відображення DoS атаки.
    Botnet’и навряд чи коли-небудь зникнуть. Всі ознаки вказують на те, що вони з часом стануть тільки сильніше. Пильність і актуальність антивредоносных програм і прийняття невідкладних заходів з пом'якшення наслідків нападу є найкращими засобами, які можна зробити.