0
بات نت ها معمولاً کنترل یک سری کامپیوتر را در سراسر دنیا در دست می گیرند و روی این دستگاه ها بدافزار، جاسوس افزار، اسپم و غیره نصب میکنند. اما بات نت ها چگونه کار میکنند؟ چه کسی آنها را کنترل میکند و چطور میتوانیم جلوی آن را بگیریم؟
بات نت یک سری دستگاه های متصل به اینترنت است که ممکن است شامل کامپیوتر، سرور، موبایل و اینترنت اشیا باشد که به نوعی بدافزار آلوده شده و توسط آن کنترل میشود. کاربران معمولاً نمی دانند که سیستمشان به بات نت آلوده است.
دستگاه هایی که بعضی از بدافزارها روی آنها نصب است توسط مجرمان سایبری کنترل میشوند. این بدافزار فعالیت های مخرب بات نت را مخفی کرده تا کاربر متوجه آنها نشود. برای مثال شما ممکن است بدون این که بدانید برای هزاران نفر با تبلت خود اسپم بفرستید.
معمولاً به دستگاه های آلوده به بات نت «زامبی» گفته میشود.
با توجه به کسی که آن را اجرا میکند یک بات نت میتواند عملکردهای مختلفی داشته باشد.
1- اسپم: ارسال تعداد بسیار زیادی اسپم به سراسر دنیا. برای مثال میزان ارسال اسپم از طریق ایمیل در سال گذشته 56.69 درصد بوده است. وقتی که شرکت امنیتی FireEye بات نت Srizbi را از کار انداخت میزان تعداد اسپم ها در سراسر دنیا تا حدود پنجاه درصد کاهش یافت.
2- بدافزار: ارسال بدافزار و جاسوس افزار به دستگاه های ضعیف.
3- داده: ضبط رمزها و دیگر اطلاعات شخصی.
4- کلیک تقلبی: یک دستگاه آلوده به وب سایت ها سر میزند تا ترافیک وب را به صورت تقلبی بالا ببرد.
5- بیت کوین: کسانی که بات نت را کنترل میکنند از دستگاه های آلوده برای دزدی بیت کوین و دیگر اعتبارات اینترنتی استفاده میکنند.
6- DDoS: کسانی که بات نت را کنترل میکنند کنترل دستگاه آلوده را به دست گرفته و آنها را هنگام حمله ی محروم سازی از سرویس آفلاین میکنند.
اوپراتورهای بات نت معمولاً از این روش ها برای کارهای مخرب سوء استفاده میکنند.
ما میدانیم که بات نت شبکه ای از کامپیوترهای آلوده است. با این حال اجزای مرکزی و معماری بات نت بسیار جالب هستند.
معماری:
• مدل کلاینت- سرور: یک بات نت کلاینت-سرور معمولاً از یک کلاینت چت ( قبلاً از IRC استفاده میشد اما بات نت های مدرن از تلگرام و دیگر سرویس های پیام رسان کدگذاری شده استفاده میکنند.) دامنه و یا وبسایت برای برقراری ارتباط با شبکه استفاده میکنند. اوپراتور پیامی را به سرور میفرستد که فرمان را اجرا میکند. درحالی که ساختار بات نتها بسیار با هم متفاوت است اما با تلاش میتواند بات نت کلاینت-سرور را از کار انداخت.
• نظیر به نظری: یک بات نت نظیر به نظیر (P2P) سعی میکند با ساخت شبکه ی غیرمتمرکز برنامه های امنیتی و تحقیقی که سرورهای C2 خاص را شناسایی میکنند از کار بیندازند. یک شبکه ی نظیر به نظیر از مدل کلاینت سرور پیشرفته تر است. به جای یک شبکه از دستگاه های آلوده ی متصل که از طریق آدرس IP با هم ارتباط برقرار میکنند، اوپراتورها ترجیح میدهند دستگاه های زامبی که به گره متصل هستند را استفاده کنند. در نتیجه دستگاه های متصل زیاد و گره های متفاوتی وجود دارد و شبکه قابل ردیابی نیست.
پروتکل های فرمان و کنترل (C&C یا C2) در ماسک های مختلف ظاهر میشوند:
• Telnet: بات نت Telnet نسبتاً ساده است و از اسکریپت برای اسکن IP جهت ورود به سرور telnet و SSH برای اضافه کردن دستگاه های ضعیف استفاده میکنند.
• IRC: شبکه های IRC یک روش ارتباطی با پهنای باند بسیار کم را برای پروتکل C2 ارائه می دهند. قابلیت تغییر سریع کانال ها امنیت بیشتری را برای اوپراتورهای بات نت فراهم میکند اما باعث میشود که کلاینت های آلوده اگر اطلاعات کانال آپدیت شده را دریافت نکنند به راحتی از بات نت جدا شوند. ردیابی ترافیک IRC بسیار ساده است در نتیجه بسیاری از هکرها از این روش استفاده نمیکنند.
• دامنه ها: بعضی از بات نت های بزرگ از دامنه به جای کلاینت پیام رسان استفاده میکنند. دستگاه های آلوده به یک سری دامنه خاص که لیستی از فرمان های کنترل را اجرا میکنند دسترسی دارند. نقطه ضعف این روش نیاز بسیار بالا به پهنای باند برای بات نت های بزرگ است که باعث میشود خیلی زود شناسایی شوند.
• P2P: یک پروتکل P2P معمولاٌ با استفاده از کدگذاری نامتقارن امضای دیجیتالی را پیاده سازی میکنند. در نتیجه درحالی که اوپراتور کلید را در دست دارد فرد دیگری تقریباً نمیتواند فرمانهای دیگر را روی بات نت اجرا کند. در نتیجه به دلیل نبود یک سرور C2 خاص از بین بردن بات نت P2P کاری بسیار دشوار است.
• سایرین: در یک سال گذشته ما شاهد بوده ایم که اوپراتورهای بات نت از کانال های فرمان و کنترل بسیار جالبی استفاده کردهاند. برای مثال کانال های شبکه های اجتماعی مثل بات نت Android Twitoor که از طریق توییتر کنترل میشد. اینستاگرام نیز خیلی امن نیست. برای مثال در سال 2017 یک گروه جاسوسی سایبری روسی از نظرات زیر عکس های اینستاگرام بریتنی اسپیرز برای ذخیره سازی موقعیت سرور یک توزیع بدافزار C2 استفاده میکردند.
در سر آخر رشته ی یک بات نت دستگاه آلوده قرار دارد.
اوپراتورهای بات نت دستگاه های ضعیف را آلوده میکنند تا شبکه ی آنها بزرگتر شود. جالب اینجاست که بعضی از اوپراتورهای بات نت با هم رابطه ی خوبی ندارند و از دستگاه های آلوده علیه هم استفاده میکنند.
در بیشتر مواقع صاحبان دستگاه های زامبی از وجود بات نت خبر ندارند. گاهی اوقات بدافزار بات نت دیگر بدافزارها را نیز کنترل میکند.
دستگاه های متصل به اینترنت روز به روز بیشتر میشوند و بات نت ها فقط دستگاه های ویندوز و مک را مورد هدف قرار نمی دهند. دستگاه های اینترنت اشیا نیز در امان نیستند. گوشی های هوشمند و تبلت ها نیز امن نیستند. در چند سال گذشته دستگاه های اندروید بارها درگیر بات نت شدهاند. اندروید هدف بسیار ساده ایست چرا که متن باز است، نسخه های سیستم عامل مختلفی دارد و بسیار ضعیف است. البته دستگاه های اپل نیز تا به حال چندین بار به بات نت آلوده شده اند. یکی دیگر از هدف های بات نت ها روترهای ضعیف است. روترهایی که سفت افزار قدیمی و نا امن دارند به راحتی مورد حمله قرار میگیرند.
از بین بردن بات نت کار راحتی نیست. گاهی اوقات معماری بات نت به صورتی است که اوپراتور میتواند به سادگی آن را دوباره بسازد. گاهی اوقات بات نت زیادی بزرگ است. در بیشتر مواقع از بین بردن بات نت نیازمند همکاری بین محققین امنیتی، شرکت های دولتی و دیگر هکرهاست که گاهی اوقات نیاز به تکنیک های در پشتی دارند.
یکی از بزرگترین نمونه های از بین بردن بات نت GameOver Zeus بود. GOZ یکی از بزرگترین بات نت ها در چند سال گذشته بود که نزدیک به یک میلیون دستگاه را آلوده کرده بود. هدف اصلی این بات نت دزدی، ارسال ایمیل اسپم بود که از یک دامنه ی نظیر به نظیر که الگوریتم تولید میکرد ساخته شده بود و به نظر نمیرسید که روشی برای از بین بردن آن وجود داشته باشد.
الگوریتم تولید دامنه به بات نت کمک میکند تا لیست طولانی از دامنه ها برای استفاده به عنوان نقاط قرار برای بدافزار بات نت بسازد. نقاط ملاقات زیاد جلوگیری از گشترش را تقریباً ناممکن میکند و تنها اوپراتورها لیست دامنه ها را میدانند.
GameOver Zeus
در سال 2014 گروهی از محققان امنیتی که در حال همکاری با اف بی آی و دیگر سازمان های بین المللی بودند توانستند GameOver Zeus را از بین ببند. البته این کار به هیچ وجه ساده نبود. پس از مشاهده ی ثبت دامنه ها این گروه در شش ماه 150000 دامنه را ثبت کردند. این کار باعث شد تا دیگر هیچ دامنه ای ثبت نشود.
سپس بسیاری از ISPها کنترل عمل گره های پروکسی GOZ را که توسط اوپراتورهای بات نت برای ارتباط بین سرورهای فرمان و کنترل استفاده میشد واگذار کردند.
صاحب بات، اوگنی بوگوچو پس از یک ساعت متوجه از بین رفتن بات نت خود شد و حدود چهار تا پنج ساعت تلاش کرد تا آن را بازگرداند.
سپس محققین ابزار کدگذاری رایگان را برای قربانی ها فرستادند.
در سال 2016 بزرگترین و بدترین بات نت شناسایی شده Mirai بود. پیش از از بین بردن آن، بات نت مبتنی بر اینترنت اشیا با حملات DDoS کامپیوترهای زیادی را مورد هدف قرار داد. در شکل زیر تعداد کشورهایی که مورد هدف Mirai قرار گرفتند را میبینید.
باتنت اینترنت اشیا متفاوت است
درحالی که Mirai بزرگترین بات نت دنیا نبود اما بزرگترین حملات را انجام میداد. این بات نت از 62 رمز پیش فرض دستگاه های اینترنت اشیا استفاده میکرد.
مارکوس هاچینز، محقق امنیتی میگوید که بیشتر دستگاه های اینترنت اشیا معمولاً در یک جا به صورت آنلاین قرار دارند و همیشه منابع شبکه برای اشتراک دارند. با افزایش دستگاه های اینترنت اشیا با امنیت پایین تعداد دستگاه های آلوده بیشتر هم میشود.
ما چیزهای بسیار زیادی دمرود بات نت ها آموختیم. اما چگونه از دستگاه خود مراقبت کنیم؟ اول از همه این که سیستم خود را به روز کنید. آپدیت های معمولی نقاط ضعف سیستم عامل شما را پر میکنند.
دوم این که یک نرم افزار آنتی ویروس و ضد بدافزار دانلود و نصب کنید. گزینه های خوب بسیار زیادی برای شما موجود است.
سوم این که هنگام مرور وب مواظب باشید. برای مثال میتوانید از افزونه ی uBlock Origin استفاده کنید.
