Ботнеты — мощный инструмент киберпреступников, который позволяет им зарабатывать миллиарды долларов. Это большая проблема для всего интернет-сообщества.
Чтобы сократить влияние вредоносных атак, специалисты в области кибербезопасности создают специальные сервисы, которые позволяют в режиме реального времени просматривать активность вредоносных бот-сетей. Мы составили список таких инструментов — смотрите ниже.
Проблема ботнетов
За последнее время ситуация в области кибербезопасности серьезно накалилась. Кибератаки и заражения вредоносными программами все чаще становятся основной проблемой для интернет-сообщества: рядовых пользователей, владельцев брендов, рекламодателей.
Проводимые специалистами в области киберзащиты исследования показывают, что присутствие ботнетов расширяется, а их атаки происходят с тревожной регулярностью. В этой статье мы рассмотрим трекеры, которые показывают активность вредоносных сетей по всему миру в режиме реального времени. Но прежде чем мы о них расскажем, давайте узнаем о самом феномене.
Что такое ботнет
Ботнет — это объединенные в сеть, скомпрометированные, то есть зараженные вредоносным ПО, любые технические устройства с выходом в интернет. Ботами (роботами, или «зомби») они становятся после заражения. Управляют этой сетью операторы — ботмастеры.
Злоумышленники чаще всего используют сети из ботов для проведения DDoS-атак, коммерческого шпионажа, кражи конфиденциальной информации и персональных данных, заражения других устройств, скликивания рекламы и т. д.
Как ботнеты заражают устройства
Методы, которые мошенники используют для заражения пользовательских устройств и пополнения сети новыми ботами, просты. Для этого они чаще всего отправляют письма с вложениями через спам-рассылку. В качестве вложений — классические файлы, но с вредоносной начинкой в виде вирусов, червей или троянов.
Таким образом, киберпреступники компрометируют устройства невнимательных и опрометчивых пользователей и используют их для ботнет-атак. Боты в его составе могут быть географически рассредоточены по всему миру с широким охватом IP-адресов.
Также мошенники нередко применяют тактики социальной инженерии. В этом случае они выбирают наиболее подходящую жертву — руководителя отдела или сотрудника, у которого есть доступ к ценной и конфиденциальной информации или тайне — и всеми силами пытаются втереться к ней в доверие.
Кроме того, для распространения вредоносного кода киберпреступники используют флэш-накопители и другие распространенные носители. Ботовый код устанавливается с помощью функций автозапуска на компьютерах под управлением Windows.
Именно поэтому системы под управлением ОС Windows наиболее уязвимы перед атаками ботнетов.
Загрузки Drive-by — еще один способ, с помощью которого ботнеты заражают устройства вредоносами. Например, когда пользователь случайно посещает мошеннический сайт, с которого автоматически загружается вредоносное ПО через уязвимости браузера.
За последние несколько лет специалисты заметили тенденцию к росту количества заражений с помощью плагинов и дополнений в браузерах. Именно поэтому атаки стали происходить чаще, и не последнюю роль в этом сыграл рост числа случаев заражения пользовательских устройств с помощью загрузок Drive-by.
Инструменты для борьбы с ботнетами
Ботнеты разработаны исключительно для совершения мошеннических операций — скликивать рекламу, майнить биткоины, совершать DDoS-атаки и пр. Ниже мы расскажем про инструменты, с помощью которых можно отслеживать их активность.
Botnet Tracker
Botnet Trackerr — это инструмент, который можно использовать для анализа вредоносной архитектуры действующего ботнета и его активности в режиме реального времени. Отслеживать ботнеты непросто, поскольку их размер и мощность определяются количеством зараженных устройств.
Таким образом, отслеживание сетей из ботов предполагает реализацию многоэтапной стратегии. В процессе используются различные инструменты и методы обнаружения ботнетов: анализ IP-адресов, операционных систем, фингерпринт устройства, поведение пользователя и другие паттерны.
Например, сервисы, посвященные отслеживанию ряда печально известных ботнетов, например Zeus Tracker, показывают активность серверов управления ботнетом Zeus (хосты) по всему миру и предоставляют пользователям список доменов и IP-адресов, на которых был замечен вредонос. Статистика помогает частично выявить полезную информацию о вредоносных программах.
Основное внимание уделяется предоставлению системным администраторам возможности уверенно блокировать известные хосты, а также предотвращать и обнаруживать заражения в своих сетях. Для этой цели ботнет-трекер Botnet Tracker предлагает несколько списков блокировок. Эти блок-листы предоставляются в различных форматах и для различных целей.
Кроме того, инструмент Botnet Trackerr будет полезен интернет-провайдерам и правоохранительным органам в отслеживании вредоносных хостов в своей сети/стране, которые подключены к сети и запускают код ботнета. Хотя реальную мощь и масштаб любого ботнета не так легко определить, реализация подобных инициатив в совокупности может помочь в выявлении угроз и предотвратить финансовые потери.
Global Botnet Visualizer
Global Botnet Visualizer также информирует рекламодателей, маркетологов и владельцев ресурсов об активности ботов.
Lookingglasscyber
В сервисе Lookingglasscyber в режиме реального времени отображается карта, на которой показываются фактические данные о ботнет-атаках и их активности. Там показывается количество заражений в секунду, статистика атак в реальном времени. Инструмент отслеживает такие бот-сети, как Sality, Mobile, Conficker, ZeroAccess, APT, Trojan, TinyBanker, Clicker, Ramdo, Shiz, Flashback, Sensor и Dyre.
Malwaretech
Сервис malwaretech.com также показывает в режиме реального времени активность ботнетов по всему миру. Среди отслеживаемых вредоносов: Sality4, Kelihos, Necurs, Goze и Mira.
