Botnetlər haqqında qeydlər

Botnet (ing. botnet termini robotnetwork sözlərindən yaranmışdır) − bədniyyətliyə istifadəçinin xəbəri olmadan yoluxmuş kompüteri məsafədən idarə etməyə imkan verən ziyankar proqramlarla − botlarla yoluxmuş kompüterlərdən ibarət şəbəkədir. Bot istifadəçinin kompüterində gizli quraşdırılan və bədniyyətliyə yoluxmuş kompüterin resurslarından istifadə etməklə müəyyən əməlləri yerinə yetirməyə imkan verən proqramdır. Botnetlər adətən spam göndərilməsi, konfidensial informasiyanın toplanması, xidmətdən imtina hücumları, fişinq üçün istifadə edilir.

Botnetlərin növləri

Botnetlərin təsnifatı olduqca sadədir. Təsnifat botnetlərin arxitekturasına və botları idarə etmək üçün istifadə edilən protokollara əsaslanır.

Arxitekturasına görə botnetlərin təsnifatı
Arxitekturasına görə botnetlərin iki növü məlumdur.

Bir mərkəzli botnetlər. Belə arxitekturaya malik botnetlərdə bütün zombi kompüterlər bir komanda-nəzarət mərkəzinə (Command&Control Centre, C&C) qoşulur. C&C yeni botların qoşulmasını gözləyir, verilənlər bazasında onları qeydə alır, onların vəziyyətinə nəzarət edir və bot üçün mövcud əmrlər siyahısından botnet sahibinin seçdiyi komandanı onlara verir. C&C qoşulmuş bütün zombi kompüterləi görür və mərkəzləşdirilmiş zombi-şəbəkəni idarə etmək üçün şəbəkə sahibinin komanda-nəzarət mərkəzinə çıxışı olmalıdır.

Şəkil 1. Mərkəzləşdirilmiş topologiya

Mərkəzi olmayan botnetlər və ya P2P-botnetlər (ingilis dilində "Peer-to-peer" nöqtə-nöqtə birləşmə deməkdir.) Mərkəzi olmayan botnetlərdə botlar idarəetmə mərkəzinə deyil, zombi-şəbəkənin bir neçə yoluxmuş maşınına qoşulur. Əmrlər botdan bota göndərilir, hər botda bir neçə "qonşusunun" ünvanları olan siyahı olur və onların hər hansı birindən əmr alınan zaman o, əmri digər qonşularına ötürür, bununla da əmri yayır. Bu halda, botneti idarə etmək üçün bədniyyətlinin botnetə daxil olan ən azı bir kompüterə çıxışı olmalıdır.

Şəkil 2. Mərkəzi olmayan botnetlər (P2P)

İstifadə edilən şəbəkə protokollarına görə botnetlərin təsnifatı

Bot-kompüterə botnet sahibinin əmrlərini ötürmək üçün zombi-kompüter və əmr göndərən kompüter arasında şəbəkə bağlantısı yaratmaq lazımdır. Bütün şəbəkə qarşılıqlı əlaqəsi şəbəkə daxilində kompüterlərin ünsiyyət qaydalarını müəyyən edən şəbəkə protokollarına əsaslanır. Buna görə də, botnetləri istifadə olunan ünsiyyət protokolu əsasında təsnif etmək olar.
İstifadə edilən şəbəkə protokollarının növünə görə botnetlər aşağıdakı qruplara bölünür.

IRC-yönümlü. Bu botların ən erkən növlərindən biridir, botların idarə edilməsi IRC (Internet Relay Chat) əsasında həyata keçirilirdi. Yoluxmuş hər bir kompüter proqram-botun cismində göstərilən IRC-serverə qoşulur, müəyyən bir kanala keçir və öz sahibindən göstəriş gözləyirdi.

IM-yönümlü. Botnetlərin çox da məşhur olmayan növüdür. IRC-yönümlü həmkarlarından onunla fərqlənirlər ki, belə botnetlər məlumatları ötürmək üçün AOL, MSN, ICQ kimi IM-xidmətlərin (Instant Messaging) kanallarından istifadə edirlər. Bu botnetlərin çox populyar olmamasının səbəbi hər bir bot üçün IM-xidmətində ayrıca hesabın yaradılmasının mürəkkəbliyi ilə əlaqəlidir.

Veb-yönümlü. Botnetlərin nisbətən yeni və sürətlə inkişaf edən növüdür, www vasitəsilə idarə etməyə yönəlib. Bot müəyyən bir veb-serverə qoşulur, əmrləri alır və cavab məlumatlarını ötürür. Belə botnetlər yaradılmasının nisbətən rahatlığı, İnternetdə çox sayda veb-serverin olması və bir veb interfeys vasitəsilə idarəetmənin sadəliyi səbəbindən çox populyardır.

Digər botnetlər. Yuxarıda sadalanan növlərdən başqa, yalnız TCP/IP protokollar steki əsasında qurulmuş məxsusi protokollar vasitəsilə qoşulan botnet növləri də var, yalnız TCP, ICMP, UDP protokolları istifadə edilir.

Botnet yaratmaq üçün proqram təminatı

Botnet yaratmaq üçün bir neçə tanınmış proqram platforması var ‒ Carberp, Citadel, SpyEye, ZeuS və onların qiymətləri xeyli fərqlənə bilər. Məsələn, Carberp yaradıcıları həbslərindən bir az qabaq bütöv dəst üçün 40 000 dollar istəyirdilər, Zeus-un ilk versiyası isə 400 dollar idi. Zeus-un rutkit funksionallığı və təcrübəsiz istifadəçi üçün bir sıra proqram təminatı olan modifikasiya olunmuş versiyası təxminən 1500 dollara başa gəlir. Zeus-un gənc rəqibi SpyEye da modullar-incektlər toplusu ilə təxminən eyni qiymətədir.
2012-ci ildə Zeus-un əvvəlki versiyalarının ilkin kodları açıq elan edildi və bazar aylıq yeniləmə üçün 15 dollar və aylıq dəstək 25 dollar olmaqla 125 dollara botnet platforması satışı təklifləri ilə doldu. Bununla yanaşı, İnternetdə bəzi platformaların "sındırılmış" versiyalarını tapmaq çox da səy tələb etmir.

ABŞ-da ən böyük 5 botnet

Microsoft Security Intelligence Report (2010-cu il yanvar-iyun, cild 9) hesabatında müxtəlif bot-şəbəkələrdə istifadə edilən kompüterlərin sayına görə ölkələrin siyahısı verilir.
Microsoft hesabatına görə, bu baxımdan ən yoluxmuş ölkə ABŞ-dır, müxtəlif botnetlərdə 2.2 milyon kompüter iştirak edir. Bu dünyadakı bot-kompüterlərin təxminən üçdə biridir. ABŞ-da ən geniş yayılmış botnetlərin siyahısı cədvəl 1-də verilir.
İkinciliyi 550 min yoluxmuş kompüterlə Braziliya qazanıb. İlk beşliyə İspaniya (485 min), Cənubi Koreya (422 min) və Meksika (364 min) yoluxmuş kompüterlə daxildir.
Botnetlərin yaradılması və idarə edilməsi üçün ən populyar proqram təminatı Rimecud, Alureon, Hamweq və Pushbot kompleksləridir, bu proqramlar artıq 10 aydır ki, istifadə edilir və onların populyarlığının azalması müşahidə edilmir. Bu proqramların çoxu haker saytları, MSN Messenger, Yahoo Messenger və AIM vasitəsilə yayılır.

Cədvəl 1. ABŞ-da ən geniş yayılmış botnetləri

  Botnet Yoluxmuş kompüterlərin sayı (milyon)
1.    
2.    
3.    
4.    
5.    

 


Microsoft şirkətinin çökdürdüyü botnetlər

Microsoft şirkətinin kompüter cinayətləri (ing. Digital Crimes) ilə mübarizə şöbəsinin mütəxəssisləri tərəfindən müxtəlif vaxtlarda bir sıra botnetlər sıradan çıxarılmışdır:

1. Waledac spam-botneti (bir neçə yüz min kompüter, sutkada yarım milyard spam-məktub göndərə bilirdi), 2010-cu il fevral

2. Rustock (bir milyon kompüter), 2010-cu il mart

3. Kelihos spam-botneti (41 min kompüter), 2011-ci il sentyabr

4. Citadel botneti (50 milyon kompüter), 2013-cü il iyun (FTB ilə birgə)

5. Bamital botneti (250 mindən 1 milyona kimi kompüter), 2013-cü il iyun (Symantec ilə birgə)

6. ZeroAccess botneti (1.9 milyondan çox kompüter), 2013-cü il dekabr (Symantec ilə birgə)

7. Sefnit botneti (2 milyondan çox kompüter), 2014-cü il yanvar


 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.