بات نت چیست؟ و چگونه در حملات سایبری از آن استفاده می شود؟

یکی از رایج‌ترین و معروف‌ترین بدافزارهای امروزی Botnetها هستند. Botnet از دو کلمه Bot و Net تشکیل شده است. یک Bot (که زامبی نیز نامیده می‌شود) یک سیستم آلوده است که، بدون اینکه صاحبان آن مطلع باشند، تحت کنترل یک مهاجم قرار دارد. مهاجم از کد Bot (بدافزار) برای آلوده کردن سیستم استفاده کرده و پس از آن بر اساس دستورالعمل‌های کد Bot با سرور مهاجم ارتباط برقرار کرده و انواع مختلفی از فعالیت‌های مخرب را انجام می‌دهد. Net نیز در اینجا به معنی شبکه (Network) است. بنابراین، Botnet (یا شبکه‌ی زامبی‌ها) شبکه‌ای از Botهای کنترل‌شده توسط یک مهاجم، برای انجام انواع مختلفی از فعالیت‌های مخرب مانند ارسال ایمیل‌های Spam[۲]، فیشینگ، ” کلیک تقلبی”[۳] و … است. در ادامه این مطلب، مدل‌های متفاوت Botnetها را بررسی کرده، انواع فعالیت‌های مخرب سایبری و کلاه‌برداری‌های اینترنتی صورت‌گرفته به وسیله Botnetها را بیان خواهیم کرد.

Botnet چیست؟

شکل ۱. ساختار یک Botnet

در ابتدا، Botnetها به عنوان ابزاری با اهداف معتبر در “IRC”[۴] ایجاد شده بودند اما پس از مدتی مهاجمین به بهره‌برداری از آسیب‌پذیری‌های موجود در IRC پرداخته و از Botها برای انجام انواع مختلفی از فعالیت‌های مخرب استفاده کردند.

در استفاده از Botnetها، با توجه به سهولت Compromise کردن سیستم‌های محافظت‌نشده توسط آنتی‌ویروس یا فایروال، مهاجم به طور معمول این سیستم‌ها را هدف قرار داده و غالبا با استفاده از بدافزارها کنترل این‌گونه سیستم‌ها را به دست گیرد.

مهاجمین تمایل دارند هزاران و یا میلیون‌ها سیستم را آلوده و کنترل کنند تا بتوانند به عنوان Botmaster یک شبکه‌ی بسیار بزرگ از زامبی‌ها عمل نموده و بتوانند حملات DDoS، حملات ارسال ایمیل‌های Spam یا دیگر حملات سایبری و کلاه‌برداری‌های کامپیوتری را در مقیاس وسیع انجام دهند.

فروش و اجاره Botnetها نیز امری رایج بین مهاجمان است و گاهی اوقات، یک مهاجم Botnetها را از دیگر مهاجمین خریداری کرده و یا نوع خاصی از مهاجمین به نام Spammerها، Botnetها را برای انجام حملات ارسال ایمیل‌های Spam در مقیاس وسیع اجاره می‌کنند. این مساله یکی دیگر از دلایل برای درنظر گرفتن Botnetها به عنوان یکی از بزرگ‌ترین تهدیدهای سایبری است.

ساختار Botnet

دو نوع ساختار Botnet وجود دارد:

  • مدل کلاینت-سرور[۵]

این مدل یک مدل شبکه بنیادی است که در آن Botmaster مانند سرور و دیگر Botها به عنوان کلاینت عمل می‌کنند. در اینجا، Botmaster از مکانیزم فرمان و کنترل[۶] (C&C) برای کنترل انتقال یک پیام به هر کلاینت استفاده می‌کند. راه‌اندازی و نگهداری یک مدل کلاینت-سرور بسیار راحت است اما، ردیابی محل و از بین بردن یک Botnet با این مدل نیز برای یک مدیر شبکه بسیار راحت است.

Botnet چیست؟

شکل ۲. مدل کلاینت-سرور

  • مدل نظیر به نظیر[۷] (P2P)

در یک مدل P2P، هر سیستم Compromise شده هم به عنوان کلاینت و هم به عنوان سرور عمل می‌کند. در این مدل، Botها لیستی از سایر Botهای Compromise شده در اختیار داشته و بدین طریق می‌توانند دستورالعمل‌هایی را به آن‌ها منتقل کنند. در مدل P2P، ردیابی محل هر سرور متمرکزی (Botmaster) بسیار دشوارتر بوده و درنتیجه از یافتن و از بین بردن یک Botnet از این مدل بسیار دشوارتر است.

Botnet چیست؟

شکل ۳. مدل نظیر به نظیر

Botmaster

سیستم Botmaster از ۴ ماژول زیر تشکیل شده است:

  • ماژول آلوده‌سازی[۸]: برای پخش شدن در سرتاسر شبکه LAN یا WAN.
  • ماژول فرمان[۹]: برای اجرای از راه دور فرمان‌ها.
  • ماژول کنترل[۱۰]: تعریف‌کننده نقش مالک Botnet.
  • ماژول مخفی‌کاری[۱۱]: برای پنهان شدن و جلوگیری از تشخیص.

حملات و کلاه‌برداری‌های سایبری با استفاده از Botnetها

در ادامه مثال‌هایی از حملات و کلاه‌برداری‌های سایبری صورت‌گرفته توسط Botnetها را بیان خواهیم کرد:

در ادامه، یک سناریوی حمله سایبری با استفاده از Botnetها را بررسی می‌کنیم.

حمله‌ی DDoS با استفاده از Botnetها:

در این سناریو، مهاجم ابتدا یک شبکه‌ی زامبی بسیار بزرگ ایجاد می‌کند. فرض می‌کنیم که هر Bot در شبکه دارای کد Bot (بدافزار) بوده و از طریق آن به طور منظم با سرور مهاجم در ارتباط است. در ادامه، مهاجم حمله‌ی DDoS را با ارسال فرمان به تمام Botها در Botnet آعاز می‌کند. در نتیجه این اقدام، قربانی تعداد بسیار زیادی درخواست، از هزاران و حتی شاید میلیون‌ها Bot، به طور همزمان دریافت می‌کند و به دلیل حجم بالای درخواست‌ها، سرویس قربانی از کار خواهد افتاد و حمله‌ی DDoS به سرانجام می‌رسد.

انواع Botnet

  • DosBot: که حملات DoS و DDoS را انجام می‌دهد.
  • SpamBot: که با جمع‌آوری آدرس‌های ایمیل، به توزیع ایمیل‌های Spam می‌پردازد.
  • BrowseBot: که روند[۱۴] جستجوهای کاربر را جمع کرده و از آن‌ها در شبکه تبلیغات استفاده می‌کند.
  • AdSenseBot: که مشابه BrowseBot بوده اما “Google AdSense”[۱۵] را هدف قرار می‌دهد.
  • idBo: که اطلاعات شناسه‌ها و گذرواژه‌های کاربران را جمع‌آوری می‌کند.
  • CCBot: که اطلاعات کارت‌های اعتباری را از صفحات پرتال تجارت الکترونیکی جمع‌آوری می‌کند.
  • PollBot: که به دستکاری نتایج نظرسنجی‌های آنلاین برگزار شده برای محصولات و سرویس‌ها می‌پردازد.
  • BruteForceBot: که با حملات لایه‌ی کاربرد[۱۶] و لایه‌ی TCP به وب‌سایت‌ها حمله می‌کند.
  • NetBot: که با استفاده از پروتکل‌های لایه ۲ و ۳ به شبکه‌ها حمله می‌کند.

[۱] منبع: https://www.towardscybersecurity.com/2020/03/what-is-a-botnet.html

[۲] Spamming

[۳] Click Fraud

[۴] IRC یا “گپ رله اینترنتی” (Internet Relay Chat)، روشی از ارتباط آنی روی اینترنت است. IRC اساساً برای گفتگوهای گروهی طراحی شده و گفتگوها به صورت عمومی در محل‌هایی بنام کانال انجام می‌گیرد، همچنین ارتباط شخص با شخص توسط پیام خصوصی ممکن است.

[۵] Client-Server Model

[۶] Command & Control

[۷] Peer-to-Peer Model

[۸] Infection Module

[۹] Command Module

[۱۰] Control Module

[۱۱] Stealth Module

[۱۲] Identity Theft

[۱۳] Password Cracking

[۱۴] Trend

[۱۵] سرویس Google AdSense یکی از سرویس‌های رایگان تبلیغاتی گوگل است که به ناشران تبلیغ اجازه می‌دهد تا تبلیغ‌های متنی، تصویری، ویدئویی یا هر نوع تبلیغ چند رسانه‌ای که با محتوا و مخاطبان سایتشان ارتباط دارد را بر روی وب‌سایت خود قرار داده و از طریق نمایش این تبلیغات کسب درآمد کنند.

[۱۶] Application layer

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.