С помощью специальных программ злоумышленники могут удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами. «Зомбированные» компьютеры устанавливают связь друг с другом через Интернет. Ботнет представляет собой вредоносную систему, во главе с ботнет-оператором, дающим инструкции небольшому количеству машин. Затем эти компьютеры распространяют полученные команды другим подключённым машинам, обычно посредством IRC. Такая система распространения предотвращает обнаружение контролирующих компьютеров и позволяет им действовать анонимно.

Применение ботнетов

Сети ботнет эффективны при выполнении задач, которые при передаче их одному единственному компьютеру или Интернет-соединению были бы неосуществимыми. Чаще всего ботнеты используются злоумышленниками для рассылки спама. По оценкам экспертов, в настоящее время более 80% спама рассылается с зомби-машин. Ботнеты широко применяются и для проведения DDoS-атак (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании»). С зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей.

Часто мошенники используют ботнеты для кражи конфиденциальной информации. Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу — например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть. Доступными для злоумышленников могут оказаться пароли всех зараженных машин. Кроме того, киберпреступники могут сдавать свои ботнеты в аренду или же продавать их.

Классификация ботнетов

Деление ботнетов на виды основывается, во-первых, на их архитектуре, а, во-вторых, на протоколах, используемых для управления ботами. Таким образом, по своей структуре ботнеты делятся на следующие типы:

Централизованные

Данная модель подразумевает, что все зомби-компьютеры управляются из одной точки. Командный центр ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Ботнеты с централизованной архитектурой легко создавать, ими легко управлять и также легко нейтрализовать. Для этого достаточно закрыть командный центр.

Децентрализованные, или P2P-ботнеты

Здесь боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого зараженного компьютера есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным. Таким образом он распространяет команду дальше. Для управления децентрализованным ботнетом необходимо иметь доступ к одному из входящих в «зомби»-сеть компьютеров.

Иерархическая модель

Эта модель является подобием централизованной, только здесь присутствует более сложная схема, которая управляет всей системой ботнета. Она удобна для контроля очень больших сетей. Суть заключается в создании кластера серверов, которые управляют сегментами сети.

По типу используемых сетевых протоколов ботнеты делятся на следующие группы:

IRC-ориентированные

Управление ботами осуществляется на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединяется с указанным в теле программы-бота IRC-сервером, заходит на определенный канал и ждет команды от своего хозяина.

IM-ориентированные

В этом случае для передачи информации используются каналы IM-служб (Instant Messaging). Недостаток данного способа связи в том, что боты должны выходить в Интернет и постоянно присутствовать онлайн. Большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, поэтому у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети.

Веб-ориентированные

Здесь управление ведется через www. Бот соединяется с определенным веб-сервером, получает от него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.

Существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

Эксперты по безопасности с тревогой отмечают, что ботнет-технологии постоянно развиваются. Главная опасность их состоит в том, что помимо всего прочего они могут быть использовании как средство политического воздействия. Возможность анонимно управлять зараженными машинами вне зависимости от их местонахождения может даже спровоцировать конфликты между государствами. Для этого достаточно организовать кибератаку на серверы одной страны с компьютеров другой.