یکی از رایجترین و معروفترین بدافزارهای امروزی Botnetها هستند. Botnet از دو کلمه Bot و Net تشکیل شده است. یک Bot (که زامبی نیز نامیده میشود) یک سیستم آلوده است که، بدون اینکه صاحبان آن مطلع باشند، تحت کنترل یک مهاجم قرار دارد. مهاجم از کد Bot (بدافزار) برای آلوده کردن سیستم استفاده کرده و پس از آن بر اساس دستورالعملهای کد Bot با سرور مهاجم ارتباط برقرار کرده و انواع مختلفی از فعالیتهای مخرب را انجام میدهد. Net نیز در اینجا به معنی شبکه (Network) است. بنابراین، Botnet (یا شبکهی زامبیها) شبکهای از Botهای کنترلشده توسط یک مهاجم، برای انجام انواع مختلفی از فعالیتهای مخرب مانند ارسال ایمیلهای Spam[۲]، فیشینگ، ” کلیک تقلبی”[۳] و … است. در ادامه این مطلب، مدلهای متفاوت Botnetها را بررسی کرده، انواع فعالیتهای مخرب سایبری و کلاهبرداریهای اینترنتی صورتگرفته به وسیله Botnetها را بیان خواهیم کرد.
شکل ۱. ساختار یک Botnet
در ابتدا، Botnetها به عنوان ابزاری با اهداف معتبر در “IRC”[۴] ایجاد شده بودند اما پس از مدتی مهاجمین به بهرهبرداری از آسیبپذیریهای موجود در IRC پرداخته و از Botها برای انجام انواع مختلفی از فعالیتهای مخرب استفاده کردند.
در استفاده از Botnetها، با توجه به سهولت Compromise کردن سیستمهای محافظتنشده توسط آنتیویروس یا فایروال، مهاجم به طور معمول این سیستمها را هدف قرار داده و غالبا با استفاده از بدافزارها کنترل اینگونه سیستمها را به دست گیرد.
مهاجمین تمایل دارند هزاران و یا میلیونها سیستم را آلوده و کنترل کنند تا بتوانند به عنوان Botmaster یک شبکهی بسیار بزرگ از زامبیها عمل نموده و بتوانند حملات DDoS، حملات ارسال ایمیلهای Spam یا دیگر حملات سایبری و کلاهبرداریهای کامپیوتری را در مقیاس وسیع انجام دهند.
فروش و اجاره Botnetها نیز امری رایج بین مهاجمان است و گاهی اوقات، یک مهاجم Botnetها را از دیگر مهاجمین خریداری کرده و یا نوع خاصی از مهاجمین به نام Spammerها، Botnetها را برای انجام حملات ارسال ایمیلهای Spam در مقیاس وسیع اجاره میکنند. این مساله یکی دیگر از دلایل برای درنظر گرفتن Botnetها به عنوان یکی از بزرگترین تهدیدهای سایبری است.
ساختار Botnet
دو نوع ساختار Botnet وجود دارد:
- مدل کلاینت-سرور[۵]
این مدل یک مدل شبکه بنیادی است که در آن Botmaster مانند سرور و دیگر Botها به عنوان کلاینت عمل میکنند. در اینجا، Botmaster از مکانیزم فرمان و کنترل[۶] (C&C) برای کنترل انتقال یک پیام به هر کلاینت استفاده میکند. راهاندازی و نگهداری یک مدل کلاینت-سرور بسیار راحت است اما، ردیابی محل و از بین بردن یک Botnet با این مدل نیز برای یک مدیر شبکه بسیار راحت است.
شکل ۲. مدل کلاینت-سرور
- مدل نظیر به نظیر[۷] (P2P)
در یک مدل P2P، هر سیستم Compromise شده هم به عنوان کلاینت و هم به عنوان سرور عمل میکند. در این مدل، Botها لیستی از سایر Botهای Compromise شده در اختیار داشته و بدین طریق میتوانند دستورالعملهایی را به آنها منتقل کنند. در مدل P2P، ردیابی محل هر سرور متمرکزی (Botmaster) بسیار دشوارتر بوده و درنتیجه از یافتن و از بین بردن یک Botnet از این مدل بسیار دشوارتر است.
شکل ۳. مدل نظیر به نظیر
Botmaster
سیستم Botmaster از ۴ ماژول زیر تشکیل شده است:
- ماژول آلودهسازی[۸]: برای پخش شدن در سرتاسر شبکه LAN یا WAN.
- ماژول فرمان[۹]: برای اجرای از راه دور فرمانها.
- ماژول کنترل[۱۰]: تعریفکننده نقش مالک Botnet.
- ماژول مخفیکاری[۱۱]: برای پنهان شدن و جلوگیری از تشخیص.
حملات و کلاهبرداریهای سایبری با استفاده از Botnetها
در ادامه مثالهایی از حملات و کلاهبرداریهای سایبری صورتگرفته توسط Botnetها را بیان خواهیم کرد:
- ارسال ایمیلهای Spam
- حملات منع سرویس توزیعشده (DDoS)
- کلیک تقلبی
- Key Logging
- فیشینگ
- سرقت هویت[۱۲]
- کرک پسوردها[۱۳]
- تقلب در بازیها/نظرسنجیهای آنلاین
در ادامه، یک سناریوی حمله سایبری با استفاده از Botnetها را بررسی میکنیم.
حملهی DDoS با استفاده از Botnetها:
در این سناریو، مهاجم ابتدا یک شبکهی زامبی بسیار بزرگ ایجاد میکند. فرض میکنیم که هر Bot در شبکه دارای کد Bot (بدافزار) بوده و از طریق آن به طور منظم با سرور مهاجم در ارتباط است. در ادامه، مهاجم حملهی DDoS را با ارسال فرمان به تمام Botها در Botnet آعاز میکند. در نتیجه این اقدام، قربانی تعداد بسیار زیادی درخواست، از هزاران و حتی شاید میلیونها Bot، به طور همزمان دریافت میکند و به دلیل حجم بالای درخواستها، سرویس قربانی از کار خواهد افتاد و حملهی DDoS به سرانجام میرسد.
انواع Botnet
- DosBot: که حملات DoS و DDoS را انجام میدهد.
- SpamBot: که با جمعآوری آدرسهای ایمیل، به توزیع ایمیلهای Spam میپردازد.
- BrowseBot: که روند[۱۴] جستجوهای کاربر را جمع کرده و از آنها در شبکه تبلیغات استفاده میکند.
- AdSenseBot: که مشابه BrowseBot بوده اما “Google AdSense”[۱۵] را هدف قرار میدهد.
- idBo: که اطلاعات شناسهها و گذرواژههای کاربران را جمعآوری میکند.
- CCBot: که اطلاعات کارتهای اعتباری را از صفحات پرتال تجارت الکترونیکی جمعآوری میکند.
- PollBot: که به دستکاری نتایج نظرسنجیهای آنلاین برگزار شده برای محصولات و سرویسها میپردازد.
- BruteForceBot: که با حملات لایهی کاربرد[۱۶] و لایهی TCP به وبسایتها حمله میکند.
- NetBot: که با استفاده از پروتکلهای لایه ۲ و ۳ به شبکهها حمله میکند.
[۱] منبع: https://www.towardscybersecurity.com/2020/03/what-is-a-botnet.html
[۲] Spamming
[۳] Click Fraud
[۴] IRC یا “گپ رله اینترنتی” (Internet Relay Chat)، روشی از ارتباط آنی روی اینترنت است. IRC اساساً برای گفتگوهای گروهی طراحی شده و گفتگوها به صورت عمومی در محلهایی بنام کانال انجام میگیرد، همچنین ارتباط شخص با شخص توسط پیام خصوصی ممکن است.
[۵] Client-Server Model
[۶] Command & Control
[۷] Peer-to-Peer Model
[۸] Infection Module
[۹] Command Module
[۱۰] Control Module
[۱۱] Stealth Module
[۱۲] Identity Theft
[۱۳] Password Cracking
[۱۴] Trend
[۱۵] سرویس Google AdSense یکی از سرویسهای رایگان تبلیغاتی گوگل است که به ناشران تبلیغ اجازه میدهد تا تبلیغهای متنی، تصویری، ویدئویی یا هر نوع تبلیغ چند رسانهای که با محتوا و مخاطبان سایتشان ارتباط دارد را بر روی وبسایت خود قرار داده و از طریق نمایش این تبلیغات کسب درآمد کنند.
[۱۶] Application layer