Botnet

Sieć przejętych urządzeń (botów) zdalnie sterowanych przez atakującego, wykorzystywana m.in. do ataków DDoS, rozsyłania spamu czy kopania kryptowalut.

Botnet to sieć urządzeń przejętych przez atakującego i zdalnie sterowanych z jednego miejsca, najczęściej bez wiedzy ich właścicieli. Każda taka zainfekowana maszyna to tzw. bot (albo zombie), a osoba lub grupa, która nimi dowodzi, to bot herder. Nazwa to zbitka słów „robot” i „network” i dobrze oddaje sedno: to armia robotów, tyle że zbudowana z cudzego sprzętu.

Jak to działa

Najpierw urządzenie zostaje zainfekowane (mail z załącznikiem, dziurawa usługa wystawiona do internetu, słabe hasło na panelu admina). Malware instaluje się po cichu i melduje się do infrastruktury sterującej, czyli C2 (Command and Control). Klasyczne botnety używają jednego centralnego serwera C2, nowsze idą w model P2P (peer-to-peer), gdzie boty gadają między sobą — trudniej taki ubić, bo nie ma jednego punktu do odcięcia.

Po co to komu? Skala. Tysiące maszyn naraz potrafią wysłać masę spamu, łamać hasła metodą credential stuffing, kopać kryptowaluty na twoim prądzie, a najczęściej — przeprowadzać ataki DDoS, czyli zasypać ofiarę ruchem z tysięcy adresów IP jednocześnie.

Przykład z praktyki

Sztandarowy case to Mirai (2016). Skanował internet w poszukiwaniu kamer IP i routerów z fabrycznymi loginami typu admin/admin, logował się i dokładał urządzenie do sieci. Tak zebrał setki tysięcy botów i położył m.in. dostawcę DNS Dyn — przez co pół zachodniego internetu (Twitter, Netflix) na chwilę zniknęło. Co gorsza, autor opublikował kod źródłowy, więc do dziś krążą jego warianty.

Jeśli chcesz zobaczyć skanowanie „od kuchni” w legalny sposób, odpal na własnej sieci:

nmap -p 23,2323 --open 192.168.1.0/24

To te porty Telnetu, które Mirai brał na celownik. Znajdziesz coś otwartego? Masz pierwszego kandydata do załatania.

Częste mity

  • „Botnet to tylko komputery.” Nie. Dziś to głównie IoT — kamery, routery, lodówki, drukarki. Wszystko, co ma procesor i adres IP.
  • „Mam antywirusa, jestem bezpieczny.” Bot często nie zwalnia maszyny ani nie kasuje plików — ma siedzieć cicho i czekać na rozkazy. Możesz być częścią botnetu i nic nie zauważyć.
  • „To problem korporacji.” Twój domowy router ze starym firmware i hasłem z pudełka jest dokładnie tym, czego szukają.

Pojęcia powiązane

Warto skojarzyć botnet z: malware, C2 (Command and Control), DDoS, IoT, credential stuffing oraz RAT (Remote Access Trojan).