Een botnet is een netwerk van robots, een verzameling computers waarop een computertoepassing draait die alleen wordt gecontroleerd en gemanipuleerd door de eigenaar of de softwarebron. De term “botnet” kan verwijzen naar een legitiem netwerk van computers die de verwerking van programma’s delen.
Wanneer mensen het over botnets hebben, bedoelen ze meestal een verzameling computers die besmet zijn met bots, een kwaadaardig type robotsoftware dat een veiligheidsrisico vormt voor de eigenaar van de computer. Zodra de robotsoftware (ook bekend als malware) in een computer is geïnstalleerd, wordt deze een zombie of drone die de bevelen van de botcommandant niet kan weerstaan.
Afhankelijk van de geavanceerdheid van de bots, kan een botnet klein of groot zijn. Een groot botnet kan tienduizenden zombies bevatten. Een klein botnet daarentegen heeft misschien maar duizend drones. Meestal weten de eigenaars van zombiecomputers niet dat hun computers en hun middelen op afstand worden gecontroleerd en uitgebuit via Internet Relay Chat door een individu of een groep malwarelopers (IRC)
Kwaadaardige bots van diverse types hebben het internet al geïnfecteerd en doen dat nog steeds. Sommige bots hebben hun verspreiders – de scripts waarmee ze andere computers kunnen infecteren (dit is de reden waarom sommige mensen botnets computervirussen noemen), terwijl andere dat niet hebben.
Bots van verschillende types
Hier is een overzicht van de populairste bots op het internet op dit moment, samen met hun functies en commandoset.
Xtreme, Agobot, Forgot, en Chatbot is voorbeelden van bots.
Dit zijn de meest bekende bots, met meer dan 500 variaties beschikbaar op het internet vandaag. De broncode van de bots heeft een GPL-licentie en is geschreven in C++ met cross-platform mogelijkheden als compiler. Deze bots kunnen in complexiteit variëren van eenvoudige op modules gebaseerde ontwerpen tot zeer abstracte ontwerpen. De modulaire aanpak maakt het relatief eenvoudig om commando’s of scanners toe te voegen om kwetsbaarheden efficiënt uit te buiten. Hij kan gebruik maken van de pakketsnuffelbibliotheek libpcap, alsook van NTFS ADS en PCRE. Agobot is uniek omdat het de enige bot is die andere protocollen dan IRC gebruikt voor controle.
UrXBot, SDBot, UrBot, en RBot zijn allemaal robots.
Net als het vorige type hebben deze bots een GPL-licentie, maar in tegenstelling tot de laatste klasse zijn ze minder abstract van opzet en geschreven in een rudimentaire C-compilertaal. Deze bots zijn bekend en worden veel gebruikt op het internet, ondanks dat hun implementatie minder gevarieerd is en hun ontwerp minder verfijnd is.
Bots gebaseerd op GT-Bots en bots gebaseerd op mIRC
GT staat voor “global threat” en verwijst naar bots die gescript zijn in mIRC. GT-bots gebruiken de mIRC chat client om een verzameling van binaries (meestal DLL’s) en scripts te lanceren; hun scripts gebruiken vaak de bestandsextensies. Omdat mIRC een van de populairste IRC-clients voor Windows is, zijn er talrijke versies van deze bots op het internet beschikbaar. Meer.
- Botnets worden voor snode doeleinden gebruikt.
- Botnetaanvallen: Wat ze zijn en hoe ze werken
- DDOS (Distributed Denial of Service)-aanvallen
Een botnet kan worden gebruikt als wapen om een gedistribueerde denial of service te veroorzaken. Een botnet valt een netwerk of computersysteem aan om de dienstverlening te verstoren door de verbinding te verbreken of de bandbreedte van het slachtoffernetwerk te verbruiken, en de bronnen van het computersysteem van het slachtoffer te overbelasten. Botnetaanvallen kunnen ook worden gebruikt om de website van een concurrent te beschadigen of plat te leggen.
Botnets maken gebruik van fast-flux DNS om phishing- en malwareleveringssites te verbergen achter een voortdurend veranderend netwerk van gecompromitteerde hosts die als proxies fungeren.
Botnets kunnen elke internetservice aanvallen. Eén methode is om de website te overspoelen met recursieve HTTP– of bulletin-board zoekopdrachten. Spidering is een type aanval waarbij protocollen van een hoger niveau worden gebruikt om de effectiviteit van een aanval te vergroten.
Spyware Dit is software die informatie over de activiteiten van een gebruiker naar de makers ervan stuurt – meestal wachtwoorden, creditcardnummers en andere gevoelige gegevens die op de zwarte markt kunnen worden verkocht. Gecompromitteerde machines binnen een bedrijfsnetwerk kunnen waardevoller zijn voor de bot herder omdat ze vaak toegang hebben tot gevoelige gegevens binnen dat bedrijf. Het Aurora-botnet is een voorbeeld van verschillende gerichte aanvallen op grote ondernemingen om gevoelige informatie te stelen.
AdwareIts heeft tot doel een commerciële entiteit actief te promoten zonder toestemming of medeweten van de gebruiker, bijvoorbeeld door banneradvertenties op webpagina’s te vervangen door die van een andere contentprovider.
Spamming en verkeerstoezicht
Een botnet kan ook gebruikmaken van het proxyprotocol TCP/SOCKS IP voor netwerktoepassingen op een geïnfecteerde computer. De botnetcommandant kan de geïnfecteerde zombie (samen met andere zombies) gebruiken om e-mailadressen te verzamelen. of massaal spam of phishingmails te versturen nadat hij een computer heeft gecompromitteerd.
Bovendien kan een bot fungeren als pakketsnuffelaar, waarbij gevoelige gegevens worden opgespoord en onderschept terwijl ze door een geïnfecteerde machine gaan. Gebruikersnamen en wachtwoorden zijn veelvoorkomende gegevens waar deze bots naar zoeken, die de botnetcommandant kan gebruiken voor persoonlijk gewin. Gegevens over een rivaliserend botnet dat in dezelfde eenheid is geïnstalleerd, worden ook gemined, waardoor de botnetcommandant dat botnet kan overnemen.
Wanneer een botnetexploitant de toegangsnummers van een groep inbelbots vervangt door het telefoonnummer van een slachtoffer, is er sprake van access number replacement. Als er genoeg bots bij de aanval betrokken zijn, zal het slachtoffer regelmatig gebombardeerd worden met telefoontjes waarin geprobeerd wordt verbinding te maken met het internet. Omdat ze weinig verweer hebben tegen deze aanval, zijn de meeste mensen gedwongen hun telefoonnummer te veranderen (vaste lijn, mobiele telefoon, enz.).
Massale identiteitsdiefstal en keylogging
Encryptiesoftware die op de computers van de slachtoffers is geïnstalleerd, zal de meeste bots ervan weerhouden echte gegevens te verzamelen. Maar sommige bots hebben zich aangepast door machines te infecteren met keyloggerprogramma’s. De bot-eigenaar kan met een keylogger de toetsenreeksen uitfilteren die voor of na trefwoorden als PayPal of Yahoo mail worden getypt. Dit is een van de redenen voor de recente massale diefstal van PayPal-rekeningen.
Bots kunnen ook worden gebruikt om de identiteit van een groot aantal mensen te stelen. Dit gebeurt door phishing of door zich voor te doen als een legitiem bedrijf om gebruikers over te halen persoonlijke informatie en wachtwoorden te verstrekken. Een link in deze phishing-e-mails kan de gebruiker ook naar een nepwebsite van PayPal, eBay of een andere website leiden om hem te verleiden zijn gebruikersnaam en wachtwoord in te voeren.
Botnetverspreiding
Botnets kunnen ook worden gebruikt om botnets over het netwerk te verspreiden. Dit gebeurt door de gebruiker over te halen het programma te downloaden, uitgevoerd via FTP, HTTP, of e-mail.
Misbruik van Pay-Per-Click-systemen
Door klikken op een pay-per-click systeem te automatiseren, kunnen botnets worden gebruikt om geld te verdienen. Wanneer een browser wordt geactiveerd, kunnen gecompromitteerde eenheden worden gebruikt om automatisch op een site te klikken. Bijgevolg worden botnets ook gebruikt om geld te verdienen aan Google Adsense en andere affiliate programma’s door zombies te gebruiken om de klikkenteller van een advertentie kunstmatig op te drijven.
